TISAX bývá často vnímán jako audit, který je potřeba „udělat kvůli automotive“. To je ale zjednodušené. TISAX nezačíná samotným auditem a nekončí získáním labelu. Je to strukturovaný proces, ve kterém se rychle ukáže, zda organizace skutečně rozumí tomu, co chrání, proč to chrání, kde to chrání a jak to umí doložit. Prakticky se přitom opírá i o registraci a správu rozsahu (scope) v oficiálním ENX portálu.
Proto je TISAX praktická zkouška toho, jestli firma zvládá správně nastavit rozsah, cíle hodnocení, důkazy i celkovou konzistenci.
Co firmy na TISAX nejvíc překvapí?
Mnoho organizací očekává, že nejtěžší částí bude samotné ověřování ze strany auditora. V praxi ale často vznikají největší problémy ještě dřív, ve chvíli, kdy má firma přesně určit, co má být vlastně hodnoceno.
Prvním častým překvapením je rozsah hodnocení. Právě tady se rozhoduje, které procesy, lokality, zdroje a činnosti budou do hodnocení spadat. Pokud scope nezahrnuje všechny relevantní části organizace, které pracují s informacemi zákazníka nebo zajišťují související činnosti, nemusí být výsledek pro zákazníka použitelný.
Druhým překvapením jsou cíle hodnocení. TISAX není jeden univerzální cíl, který stačí prostě splnit. Organizace vždy volí konkrétní cíle podle typu chráněných informací a požadavků obchodního partnera. Od toho se pak odvíjí, které části ISA jsou relevantní, jaké důkazy bude potřeba připravit a co bude auditor skutečně ověřovat.
Třetím překvapením bývá, že TISAX nestojí na kvalitě formulací v dokumentech, ale na schopnosti prokázat skutečný stav. Rozdíl mezi firmou, která má bezpečnost jen popsanou, a firmou, která ji skutečně řídí, se při hodnocení projeví velmi rychle.
Proč nestačí dobrá dokumentace?
Jednou z nejčastějších chyb je představa, že dobrá dokumentace sama o sobě znamená dobrou připravenost. Ve skutečnosti je to jen jedna část celku.
TISAX nehodnotí bezpečnost obecně, ale bezpečnost v přesně vymezeném rozsahu. Stejně důležité jsou i správně zvolené cíle hodnocení, protože určují, jaký typ ochrany má být prokázán a jaké požadavky z ISA jsou relevantní. Pokud organizace tyto základy nastaví špatně, může mít dobře zpracované dokumenty, ale přesto připravovat důkazy k něčemu jinému, než co bude ve skutečnosti hodnoceno.
Klíčovou roli proto hrají důkazy. V hodnocení nejde jen o to, co organizace tvrdí, ale co umí doložit. U levelu 2 se ověřuje věrohodnost sebehodnocení hlavně na základě dokumentů, záznamů a rozhovorů. U levelu 3 je ověření výrazně hlubší a zaměřuje se i na to, jak procesy fungují v praxi.
Dobře napsaná směrnice sama o sobě nestačí. Pokud neodpovídá rozsahu, není navázaná na správné cíle a není podložená důkazy z provozu, její hodnota pro TISAX je omezená.
Podle čeho poznat skutečnou připravenost
Připravenost na TISAX se nepozná podle počtu směrnic ani podle toho, jak profesionálně dokumentace vypadá. Pozná se podle několika konkrétních věcí.
- Správně vymezený rozsah: Organizace musí přesně vědět, které procesy, lokality, týmy a aktivity do hodnocení patří. Zároveň musí být schopná obhájit, proč jsou v rozsahu právě tyto části a proč jiné ne.
- Správná volba cílů hodnocení: Firma musí rozumět tomu, jaké informace chrání, jaké požadavky se na jejich ochranu vztahují a jaký cíl hodnocení z toho vyplývá. Pokud tento cíl neodpovídá realitě nebo očekávání zákazníka, problém se obvykle projeví velmi rychle.
- Kvalitní evidence: Připravená firma nemá jen dokumenty, ale také záznamy, schvalovací stopy, přehledy odpovědností, důkazy o školení a další výstupy, které potvrzují, že pravidla fungují i v provozu. Tyto důkazy musí být dostupné, srozumitelné a navázané na reálné procesy.
- Konzistence napříč organizací: TISAX rychle odhalí situace, kdy centrální dokumentace tvrdí jedno, ale lokality nebo týmy fungují jinak. To je zvlášť důležité tam, kde je v jednom rozsahu zahrnuto více lokalit. V takovém případě nestačí, aby byla připravená jen část organizace.
- Realistické sebehodnocení: Organizace, která je opravdu připravená, nevnímá self-assessment jako formalitu, ale jako nástroj k odhalení slabých míst ještě před samotným hodnocením.
TISAX jako manažerský test reality
Z pohledu vedení firmy má TISAX ještě jeden důležitý rozměr. Není to jen bezpečnostní hodnocení. Je to také test toho, zda organizace umí sladit odpovědnosti, rozsah hodnocení, důkazy i očekávání zákazníků do funkčního celku.
Firmy, které jsou na TISAX dobře připravené, vynikají tím, že mají jasno v tom, co je v rozsahu, proč to tam je, jaké cíle se na to vztahují a jaké důkazy k tomu existují. Bezpečnost u nich není izolovaná agenda compliance týmu, ale sladěný systém mezi governance, provozem, lokalitami, dodavateli i obchodním kontextem.
Naopak organizace, které s TISAX bojují, často selhávají právě v této disciplíně. Rozsah je nejasný, cíle jsou zvolené spíš odhadem než na základě analýzy, sebehodnocení je příliš optimistické a evidence není navázaná na reálné procesy.
Závěr
Připravenost na TISAX se pozná se podle toho, zda má firma správně nastavený rozsah, odpovídající cíle hodnocení a důkazy, že deklarované procesy skutečně fungují. TISAX je proto spíš test reálného řízení bezpečnosti než formální compliance cvičení.
