Хайде, да ни е честито! Скоро след джулая, рано-рано сабахлем, след слънцето, на хоризонта изгря и новият ISO 19011:2018. За да е тържествено, това стана с фанфарен съпровод от страна на симпатичната Clare Naden от ISO (https://www.iso.org/news/ref2304.html). Тя пък, цитирайки избрани мисли от Denise Robitaille, американка, шефка на специалния за стандарта проектен комитет ISO/PC 302, също я включва в оркестъра. Да видим сега, какво е ново и на какво ISO 19011 набляга, според думите на самата Denise (леко перефразирани):
- 19011 е ревизиран, за да продължава да бъде полезен, отчитайки промените в пазарната среда, развитието на технологиите и множеството (вече близо 70 на брой!) MSS (Management System Standard) новопоявили се или ревизирани стандарти;
- сега 19011 насочва към подход, основан на рисковете, като го включва като нов принцип към предишните други принципи за одитиране;
- има нещичко казано ("Тhere are tips ...") за одитиране на рискове и възможности, а също и за прилагане на "рисковия" подход към самия процес на одитиране;
- има разширени указания и насоки за някои дейности, като управление на програма за одити и провеждане на одит.
Ето тези четири неща посочва Denise. Скромно, но достатъчно? Ще видим нататък ...
Едно е сигурно, че Denise с леко сърце и спокойно си е празнувала на 4-ти юли.
Не е зле да хвърлим едно око и зад завесата, за да видим как изглежда новия стандарт преди да посегнем да си го купим. За това влизаме в "супер услугата" на ISO, наречена Online Browsing Platform - OBP (https://www.iso.org/obp/ui/#iso:std:iso:19011:ed-3:v1:en) и там, в раздела за маркирани изменения виждаме какво е пипал комитетът ISO/PC 302 (в червено - отпаднали неща, в зелено - добавени). Трудно се преразказва - трябва да се види. Впечатляващо е!
(Нататък следва текстът, писан преди месеци. Почти всичко сигурно е валидно и сега )
Април или май 2018 ISO/PC 302 ще ни зарадва с нов ISO 19011. Макар сега да е на етап FDIS, разпространяваната информация за стандарта е твърде пестелива, да не се каже - супер оскъдна, с изключение на автори и източници, разположени близо до кухнята на ISO и неговите национални членове. (Дали в ISO не са се успокоили, че вече са с гарантиран пазар?)
Затова, след доста ровене, успяваме да намерим "сламки", по които да се ориентираме.
Очаквано, както и при новия ISO 31000, така сега и за ISO 19011, няма да открием нещо капитално ново. Това е защото нито процеса на управление на рисковете, нито процеса за одитиране могат изведнъж да се окажат някакви други. Те са си "свещенни процеси", подобно на "свещенни крави", които и за следващите няколко ревизии надали ще бъдат пипнати из основи, а могат само да бъдат леко допълвани и козметично подобрявани. Това, вече знаем от опит, няма да попречи на някои консултанти и на някои одитори от трета страна да стряскат хората с възторжени възгласи колко нов и колко различен и разумен е новият стандарт.
Ако, ние - българите, сме реалисти, то следва да погледнем първо в каква степен успяхме да усвоим "стария" 19011, т.е. възползвахме ли се по най-разумен начин от препоръките му?
Има неща, които при това могат да ни смущават и то не заради не толкова добре усвоения стар 19011, а защото и новия го чака май пак същата съдба. Това, свободата, е голяма работа! Свободата, като четеш стандарт с незадължаващи указания, сам да си прецениш кое да приложиш и в каква степен. При това за нещата, които си загърбил, никой не може да ти дири сметка... (Но, ако питате, ще кажа, че позволява да се прецени доколко си зрял и способен)
И какъв е резултатът от това? Без да сме докрай изчерпателни да кажем само основни неща:
много рядко се планира и изпълнява Програма за одити. Всъщност, прави се, но в силно окастрения вид на "Годишен график" или "план" за одитите през годината. Да, разбира се, върши работа, но само до там, за да се каже кога какво ще се одитира и толкова ...
Цели на Програмата? Лице, което управлява Програмата? Наблюдения и прегледи ... всичко това го няма, защото се знае - 99% от одиторите са доволни и "график" да видят.
Нямаш ли Програма, насочена към цели, е все едно да имаш обезглавено одитиране;
- при положение, че имаме горното (т.е. Програмата е окълцана до График) виждаме, че пак в 90% от случаите графикът съдържа само един одит годишно. Като правило той се намества да предхожда одита от трета страна и служи главно за положителен отговор на "Правили ли сте вътрешни одити?", който отговор успокоява одитора от трета страна и той приема, че одитите(!?) се правят на "планирани интервали", както е изискването;
- пак при положение, че имаме горното (т.е. Програма/График с един одит годишно) ще видим, че са много случаите, в които стават чудеса. Не само че одитът е един в годината, но той даже протича за един ден! Дори и системата да е тройно и четворно интегрирана, пак за един ден тази работа се "опатква". Тези, които са участвали или са много добре запознати с работата, знаят че този един ден не е и един, а си е точно половин ден;
- в малките фирми, а те 90% у нас са такива, се стига до положението "брат брата одитира" без да се мигне с око даже, защото в 19011 сега пише, че "трябва да се направят всякакви усилия" в посока на принципа за независимост. Да видим дали ще пише същото и в новия 19011.
За да не става много "черно" спираме до тук. И има подозрения, че не само у нас това е така. Така е и на "Запад", както се казва, а може би и на "Изток", само че не знаем в каква степен.
Усещат ли тези неща в уважавания ISO/PC 302 и какво ли си говорят, срещайки се на работни сесии в различни (често противоположни) точки на земното кълбо (при наличие на съвсем прилично седалище на пъпа на Швейцария). Дали един ден ще се осмелят да решат, че тази свобода на указанията може мъничко да се намали с определяне на някои указания като задължителни за прилагане. Нека остане само свободата да си избереш в каква степен да го приложиш указанието, но тъй или иначе следва да го имаш, ако е дадено като задължително.
Сега да видим какво може да се прочете за новия 19011 в достъпните източници ...
Категоричен акцент е подходът, основан на рискове.
Личи от това, че е обявен като нов, седми, принцип в раздел 4.
Реализацията на този принцип, за разлика от всички други, е най-конкретна. Тя те кара да дадеш приоритет на рисковите области в бизнеса и, ако правиш Програма, да насочиш одитите към тях. Кара те още при планиране на конкретен одит да включиш одиторски проверки там, където се очаква да се види и разбере, че управлението на процеси е интегрирано с управление на рисковете за тези процеси.
Има някакви промени в термините. Например, "audit evidence" сега става "objective evidence", т.е. "доказателство от одит" става "обективно доказателство". Плюс което се казва, че ще има заострено внимание върху обективността при формулиране на констатации. И още, че ще се върви в посока на "проверки на информацията". Каквото и да значи това, стига само да не означава, че всяко намерено доказателство следва не само да е проверимо, но и проверявано. Прилича, че ще има отворена вратичка в тази посока, защото под "обективно доказателство" ще се разбира "Информация, която в някаква степен може да е подложена на проверка". Със сигурност тук опасността е доказателствата, получени чрез "излагане на факти" (т.е. при разговор) да се проверяват и по друг начин. Само ще внимаваме одитираният да не ни се обиди, нали? Той ни е казал нещо в отговор на въпрос, а ние после търчим да проверим дали наистина е така. Е, как да не е обидно?! То тогава по-добре да не ползваме този метод...
Ще е интересно дали терминът за "Програма за одити" ще е пак "Съвкупност от един или повече одити ... " и т.н. Ето защо нашите програми са всъщност съвкупност от само ЕДИН одит. При това с претенцията, че "проверява цялата система за една година" - познато, популярно, но откъде идва - не се знае.
Ползване на ICT методи и технологии... Това е много добре! Не ходиш непременно да видиш очите на одитирания, а приемаш той да ти изпрати информацията по мейла, факса, skype-а - както е най-подходящо. Да не забравим и най-елементарното - одиторът може да си направи разговор с одитирания по телефона. Да не забравим и по-сложното - одиторът може да получи права на достъп само за времето и само за целите на одита и да влезе със своя лаптоп в ресурса на одитираните. Тук възможностите са много и са все хубави, защото пестят време и така помагат одита да "носи стойност" просто като не губи излишно време за одитиране. На хората времето им трябва да работят, а не да се одитират... Какво може да ни притесни тук? То е това, че и в стария 19011 ставаше дума за дистанционното одитиране, но не се знае колко и как е прилагано. Съмненията са, че не е прилагано широко. А занапред - ще се надяваме повече!
Вероятно Приложение А ще ни изненада с няколко неща:
- въздействие на одита върху жизнен цикъл на продукт/услуга;
- указания за одит на верига за доставки;
- одит на "най-тънката струна" в системите - на т. нар. "лидерство и съпричастност" (leadership and committment).
Както стана дума по-горе, оскъдна е информацията и затова е рисковано да се гадае, а и да се разчита на откъслечна информация от втора и трета ръка. (защото ще се получи, като в онази индийската приказка за слепите хора, които опипвали слона, за да го опишат как изглежда). Нека изчакаме да се вдигна завесата и FDIS-a да се превърне в ISO.
Но все пак има усещане, че акцентите на 19011 са явно в етапите на планиране (за Програма) и подготовка (на конкретен одит). Има логика, но има и нещо друго, за което се сещаме ...
Навремето Игор Стравински е казал за музикантите, които свирят на арфа - "Те 90% от времето пилеят за настройка, а в останалите 10% свирят фалшиво". С други думи прекомерното пилеене на енергия за подготовки и планиране може да изяде от качеството на изпълнението. Спорно ли е? Разминава се с постановката за петте "П"-та? Но пък иначе много добре се обяснява с управлението на рисковете. Една арфа има 47 струни и това де факто са 47 източници на риск от разстройване (така ли се казва?) на верния тон. Един тон да не си е на мястото и вече свириш фалшиво. Цялостния процес на одитиране е нещо като арфата. Има много неща за настройване, но все пак нека основното внимание бъде върху изпълнението.
Независимо какво пише в стандартите, на въпроса "Какво трябва да гони одиторът?" верен отговор е, че трябва да се гони получаването на стойност от одита в полза на бизнеса. Успех!
