събота, 30 ноември 2019 г.

ISO 19011 и вътрешните одити. Какво ново в третото издание? Нужни ли са промени?


"Какво ТРЯБВА да променим в документите си, заради третото издание на стандарта?"


Този въпрос беше зададен на едно от последните обучения. От емоцията при питането пролича, че вероятно колежката беше дошла на обучение най-вече за да намери отговор на този въпрос и след това да се залови да прави някакви изменения и допълнения в документите за одитиране.

Въпросът наистина е важен. Mоже да има два отговора. Но преди това една малка поправка...

Не следва да се пита за това с думата "трябва", защото "трябва" се ползва винаги за изисквания. 
Така, ако редактираме въпроса, то той би звучал "Какво БИ БИЛО ДОБРЕ да променим ... " или "КАКВО МОЖЕ да променим, ако НИЕ преценим, че е нужно ...". Тази редакция напълно пасва на духа на стандарта, който е с указания, който никого и с нищо не задължават насилствено...

И една бележка... Мина вече доста време от 2018 година, когато новото издание видя бял свят.
С други думи, очаква се, че въпросът за промените не би следвало вече да е актуален. Който е променил нещо -- променил. Който пък не е променил -- или е нямал нужда или си няма хабер. 

РЕЗЮМЕ
(за много заети хора)

Не сте непременно задължени да правите промени в документите си за вътрешни одити, само поради това, че има ново трето издание на стандарта ISO 19011. Това е така, тъй като стандартът съдържа само указания и представя систематизирано пълен набор от добри практики за процеса на одитиране. А указанията не са изисквания и не задължават с нищо. Вместо задължения поради изисквания, указанията разчитат на добро желание, разбиране и стремеж към усъвършенстване. Потенциалът от желания, разбиране и стремежи към по-добро при различните хора и в различни ситуации също е различен. Така въпросът за възможни промени е въпрос на наши преценки и решение.

 Добросъвестните и любопитни потребители на стандарта обаче могат да направят следното:
 - да прочетат новото издание и да се запознаят подробно с въпроси, които ги интересуват
 - да си осигурят обучение, което да ги запознае цялостно и подробно със стандарта
  
Едва след това могат да си зададат въпроса дали съществуващите документи и усвоената практика на одитиране са достатъчно добри и не трябва да се променят или има нужда от промени, тъй като новите указания на третото издание са подсказали нещо полезно и интересно, което си струва да бъде усвоено, за да бъдат вътрешните одити не само ефикасни, но и ефективни.

Ако това резюме ви убеждава и ви е достатъчно - спестете си време и не четете по-нататък...

  
ДВА ОТГОВОРА И МАЛКО ПОДРОБНОСТИ
  
И така - двата отговора ... Първият отговор е кратък и принципен.

Другият, по същество,  е свързан с желание за въвеждане на промени в документите, от които най-вероятно ще следва да се променят или допълнят и практиките на одитиране.

Под "променят" следва да се разбира "подобрят", да станат още по-ефикасни и по-ефективни.

Кратък отговор - "Не променяйте нищо!", ако документите за вътрешни одити във вашата система са добре разработени и практиките, стъпили на тях, са достатъчно добри. Това значи, че при одитиране избягвате дежурните рискове, намирате начини и решения за точно и бързо събиране на доказателства и формулиране на констатации и освен това лесно и бързо правите необходимите записи (за планиране на одит, за запис на констатация и за доклад от одит). Така вашите одити са не само ефикасни (постигат целите си), но са и ефективни (постигат целите си, но за кратко време и без особени разходи на други ресурси).

Казано накратко - ако документите не ви тежат и не ви дразнят, и ако всичко върви добре - най-разумно е нищо да не се пипа. Правете одити, както сте си ги правили до излизането на това последно издание на стандарта. Той не ви задължава с нищо (в стандарта няма изисквания! ) и никой няма да ви дири сметка дали сте приложили или не нещо "ново".

Но нека кажем все пак. че дори и при това положение, всеки добросъвестен одитор или всеки мениджър на система би се очаквало да прояви интерес и да види кое точно прави този стандарт "нов" и дали има нещо, което би било добре и е разумно да се усвои и приложи.

Да отбележим и още нещо... Новото издание на стандарта е добър повод ние да отидем на обучение или да си организираме обучение за одиторите, или да реализираме, ако имаме, отдавна стаени идеи не само за подобрения, но и (защо не) за експерименти на тема "одити".
Така че ISO ни дава повода - нека тогава се възползваме.

В скоби ... тези занимания ние може да си ги правим и без да има специален повод като този - "излязло ново издание на стандарта!".

По-подробен отговор. Той гласи, че принципно, ако един стандарт съдържа единствено указания (т.е. изложени добри практики, насоки, препоръки) то той най-вече има смисъл и може да се ползва като източник на идеи за промени от всякакво естество на усвоени практики.

Ситуациите са поне две, защото са две насоките за промени - за оздравяване и за развитие ...

1) ползваме стандарта за ремонт и оздравяване, защото не сме доволни от одитирането.

Имаме процедура и трябва да се водят записи, но въпросната процедура е тромава, излишно претоварена, писана е от външен експерт (консултант, който се е старал да се презастрахова), трудно се прилага, даже не се спазва точно, остаряла е, но в нея не са правени промени от доста години. Нещо повече одитите са се превърнали в досадно и губещо време занимание.

Шефовете ни търпят да си играем на одити, защото знаят, че това го иска "исото" и си затварят очите, когато получават почти едни и същи доклади без или с много малка полезна стойност.

2) ползваме стандарта за разширяване, обогатяване, освежаване и, в крайна сметка - за подобряване не само на документалната си основа за одитиране, но и на живите практики. В този случай разглеждаме стандарта като източник на идеи, като сборник с добри подсказки за намиране на подходящи точно за нас решения

Първият случай няма да коментираме. То, ако е така, е по-добре всичко да отиде в коша и да се тръгне изначално "от нулата ...", при което ще се разделим с всичко, което е тромаво и тъпо.

Във втория случай ще се наложи да прегледаме стандарта с идеята да открием нещо ново, което може да ни освежи, защото НИЕ искаме, желаем и сме любопитни да пробваме, а не защото НЯКОЙ ще ни натика в ъгъла, ще ни гепи за яката и ще ни кресне "А вие ЗАЩО ... ?"

И така, ако прегледаме новото издание на ISO 19011, какво "ново" може да открием?

Прочее, някой неща, дори да са "стари", ако навремето не сме ги били приложили, ще се окажат и те "нови", наред с другите, които пък са "съвсем нови" ... :)

Ето как в самия стандарт (стр. 5 "Предговор на ISO") са обявени новостите ...

Основните разлики в сравнение с второто издание са следните:
  • към принципите за одитиране е добавен подход, основан на риска;
  • разширени са указанията за управление на програмата за одит, включително за риска за програмата за одит;
  • разширени са указанията за извършване на одит, особено в частта за планирането на одит
  • разширени са изискванията за общата компетентност на одиторите;
  • отпаднало е приложението, съдържащо изисквания за компетентност за извършване на одит в специфични области на системите за управление(поради големия брой стандарти за отделни системи за управление, не би било практично да се включват изисквания за компетентност за всички области);
  • разширено е Приложение А, за да се дадат указания за извършване на одит на (нови) елементи като контекст на организацията, лидерство и ангажираност, виртуални одити, съответствие и верига на доставки.

Нека коментираме тези шест обяви за "основни разлики"...

Рискове
Сега всички стандарти на ISO от категорията MSS говорят за рискове. Затова решаваме в документите си за одити да въведем аспекта, свързан с рисковете. но отнесени към процеса на одитиране. Правим така, че още при планиране на Програмата за одити, а сетне и на даден одит, ще добавяме нов раздел "Рискове" и ще ги посочваме. Може дори да ги подложим на обработка по начин, както е за системата, която одитираме или да си направим отделна проста за разбиране и прилагане методика, която ще бъде, примерно, Приложение към Процедурата.

Не забравяме да съобразим, че темата "рискове при одити" ще следва да се добави към темите на Прегледа на системата от ръководството. Да не забравим и това, че в новото издание този "Подход, основан на риска" даже не е и указание, а си е само един от принципите за одитиране. И това ни дава още по-голяма свобода да решим как да отразим този "нов" принцип

Разширени указания за управление на програмата за одит, вкл. за риска за програмата
Я първо да видим как и в каква степен при вас са усвоени указанията за програма за одит, както са дадени в старото второ издание. Ще се окаже ли, че при вас Програмата всъщност е редуцирана до съставяне само на годишен график на одитите. Това значи, че сте обърнали гръб на почти всички указания за програмата от второто издание. Е, нима сега заради третото издание ще си нарушите комфорта, за да усвоите указанията, които преди това сте загърбили, още повече, че те сега даже са и разширени?! А е дори възможно редуцираната ви само до график програма да съдържа само един одит годишно. Ако е така, това вече е "колапс" на програмата. Програмата ви е колабирала! И това е "минавало метър"  пред одитори?

И накрая, ако е така, нека си зададете въпроса "Ще си струва ли напъна да реагираме на указанията, вкл. и на разширените, за програмата, щом до момента ние сме ги загърбили всичките?" Мисля, че е лесно да се отгатне отговорът. Ами "... вкл. за риска за програмата"? Нека кажем направо - да, има рискове за програмата, но само тогава, когато се прави и изпълнява програма. Ако не правите програма за одити, то няма и рискове за нея... нали? А може да го кажем и с малко ирония и тъга - първите два риска за програмата са следните ...

1) да няма съставена програма и 2) да има програма само като график с един одит годишно

Нека все пак подскажем една препоръка за програмата. Освен традиционния график, нека към него добавяме още нещо, което е дадено в т. 5.4.4 на стандарта - "Определяне на ресурси за програмата за одит". Ако направите това ще планирате и подкрепите с нужните ресурси всеки одит от графика, така щото нито един одит да не изпита криза или да е неефективен поради недостиг или липса на някакъв ресурс. Ето оттук идва и дежурният риск за Програмата - рискът да няма или да не стигне необходим ресурс.

Коментар: За тези практики, които се изразяват в планиране само на един одит годишно си е "виновно" самото ISO. Дефиницията за програма за одити е такава, че почва с думите "Съвкупност от ЕДИН или повече одити... ". Съвкупност от един ли?! Хммм ...

Разширени указания за извършване на одит, особено в частта за планирането на одит
И тук може пак да почнем от въпроса "Я да видим как и в каква степен ... " Каквато и да е степента на усвояване на указанията от второто издание, ако смятаме че си планираме добре одитите, няма сериозно основание да променяме начина си на планиране. Принципът е - "Каквото работи добре не следва да се пипа!". Първата промяна, на която си струва да отделите внимание е указанието при планиране на одит да се възприеме подход, основан на рисковете. Това е т. 6.3.2.1 "Използване на подход, основан на риска, при планирането." Отделете малко внимание на основния риск, който е докато одитирате да повлияете (или даже да попречите) на работата на хората, които одитирате. Променете си процедурата за одит, като добавите текст, с който визирате този риск и предвидите мерки, с които го редуцирате до приемливи нива.

Едни от "новите" указания може да се окажат тези в т. 6.3.4 "Подготовка на документираната информация за одит". Правите ли въпросници за одита? Но не такива, които са с въпроси "по стандарта", а са с въпроси в зависимост от поставените цели за одита и от обектите за одит. Вижте също и А.13 от Приложение А. Само въпросници ли подготвяте за всеки одит? А други  документи - таблици, блок-схеми, диаграми, данни за извадки, аудио-визуална информация ... ?

Разширени изисквания за общата компетентност на одиторите
Указанията за компетентността в т.т. 7.1 и 7.2 са толкова много, че могат да ви отворят доста работа, особено ако досега не сте отделяли достатъчно внимание по този важен въпрос. И ако наистина е така, то преценете кои указания да усвоите, за да сте в тон с новото издание. Ако трябва да откроим най-важното, според нас, то може да е (според т. 7.1 "Общи положения") :
- въведете планирано и документирано оценяване на компетентността на одиторите
- осигурете развитие, поддържане и подобряване на компетентността, чрез "непрекъснато професионално обучение и редовно участие в одити" (цитат)

При добро желание вижте какво още има в т. 7.2 и си добавете и други новости във вашите  документи за одити. Помислете дали може и как да стане това "редовно участие в одити", ако при вас действа схемата "Годишен график с един одит".

Разширено Приложение А с указания за извършване на одит на (нови) елементи
Новите елементи, според стандарта, са:
- контекст
 - лидерство и ангажираност
·       - виртуални одити
·       - съответствие
·       - верига на доставки

Преди да погледнем тези елементи, нека отделим малко внимание на А.1 и на Таблица А.1 "Методи за одит". Новото, което виждаме е одитирането "От разстояние" в два варианта - с човешко и без човешко взаимодействие. Съдържащата се в тази таблица информация е достатъчна да ни даде идеи за развитие на практиките ви за одитиране в нови насоки.

А.8 Одитиране на контекста
Изисквайте одиторите да бъдат убеждаване чрез доказателства в това, че определеният контекст, изразен чрез посочени вътрешни и външни фактори и заинтересовани страни, не е "паднал наготово от небето", а е резултат от ползвани осигуровки и достатъчен анализ. Включете указанията в т. А.8 a, b, c, d, e в подходящ ваш документ - Приложение към процедурата за одити или отделна методика.

А. Лидерство и ангажираност
Изисквайте одиторите да се убеждават, че доказването на тези две качества става или с преки действия на висшето ръководство, или с действия, които то е делегира на други ръководители.

Третото издание на стандарта се хвали с това, че въвежда още по-ангажиращи отговорности за висшето ръководство. Ако това е така, следвайки изложените в стандартите изисквания за топ мениджмънта, ние би следвало да документираме начина, по който могат да бъдат проверени изискванията на съответния стандарт. На пример, в ISO 9001, в т. 5.1.1 това са подточки a), b), c), d), e), f), g), h), i), j). Щом като се твърди, че стандартът въвежда още по-ангажиращи отговорности за висшето ръководство, то вие следва също да сте по-ангажирани те да бъдат проверявани. Най-добре е това да стане в обособен раздел на процедурата за одити или в отделна методика.

А.16 Виртуални одити
Те най-често налагат да се одитира дистанционно, тъй като процесите, изпълнявани от одитираните хора ползват он-лайн среда и те самите са локализирани на различни места.

Ако имате такъв вид процеси и трябва да ги одитирате, ще ви се наложи да определите изисквания за дистанционно одитиране в документите си за одит, защото сега ги нямате.

Дистанционното одитиране звучи изкусително! Няма да пътуваш, ако обекти на одит има в друго населено място. Няма да се разхождаш да обикаляш всички обекти за одити, защото за някои обекти и проверки, особено ако имаме кредит на доверие в одитираните, и ако искаме одитът да не се проточва, ще направим просто разговор по телефона или по Skype-а. Ще поискаме да видим документ като ни го пратят по Е-мейла (не трябва да е класифициран като поверителен). Правим още едно Приложение към Процедурата със заглавие "Правила и практики за дистанционно одитиране". Прочее, нека едно от тези правила да бъде, че "един обект не следва да се одитира дистанционно при повече от два последователни одита ... " Смисълът тук е, че все пак, някога, одиторски крак трябва да стъпи "на терен".

А.7 Съответствие
В тази част на стандарта - "Одитиране на съответствието" - са изложени девет проверки, които би следвало да се изпълняват, ако се търси дали има съответствие с някакви изисквания.

И тъй като това е едва ли не основна и рутинна работа, с която сте запознати, защото вече сте я вършили, то би следвало да прецените кои от тези девет проверки сте усвоили и правите успешно и кои от тях, малко или повече, са относително непознати или непрактикувани.
Ако се налага, допълнете си процедсурите с изисвания или методиката с указания. Направете така, че да разширите практиката си в посока към пълнота на проверките за съответствие.

А.12 Одит на верига за доставки
Чрез допълнения в процедурата си за одит ще определите как да извършвате одити от втора страна, като проверявате доставчиците си. Тези одити трябва да включват с акцент само критериите, които ви интересуват, проверени в обхват, валиден за тези критерии. По-добре би било такива одити да се правят "на терен" при доставчика, но понякога трябва да имате готовност за дистанционно одитиране (при голям брой доставчици, при големи разстояния, при спешна необходимост от проверка на нещо, ... ) 

Следващата част е за провеждането на одита, а още по-следващата -- за документите, които може да ползваме във връзка с един вътрешен одит














   

























неделя, 17 ноември 2019 г.

ISO 19011 и вътрешните одити. Програмата за одити -- с нея можем повече...

Програма за одити

Първо, да погледнем на Програмата по чисто практически начин.

Съдържание
Програмата за одити, ако си я представим като един документ, може да се състои от две части:
  • график-разпределение на одитите за периода на действие на Програмата;
  • дейности, чрез които се цели ресурсно и всяко друго осигуряване за одитите в графика.
В практиката много често Програмата съдържа само първата част - график и то годишен.
Разчита се това, че когато този график бъде утвърден и подписан от първия ръководител, то с този подпис, по подразбиране следва, че всеки заложен в графика одит ще се изпълни когато е планиран, ще получи и ще може да разполага с нужните за него всякакъв вид ресурси и друго, ако се окаже нужно, осигуряване. В това има резон и може да се приеме, но все пак по-доброто решение, особено в случаите на по-натоварени с одити графици, да се разработва и втората част на Програмата, която се грижи за общото и за ресурсното им осигуряване.

Нека да коментираме графика и дейностите за осигуряване.

График-разпределение
Когато се прави графикът, той обикновено е годишен, се мисли основно по два въпроса.
Първо, колко на брой и кога да бъдат одитите?
И второ - как да се насочат и как да се разпределят проверките?

На първият въпрос често отговорът е само един одит, който се провежда в момент предхождащ първоначалния сертификационен одит или редовния надзорен одит. Решението е типично за малки и средни по численост на персонала организации, в които системите не са големи. Ако това е вярно, нека се каже още, че има и "нетипични случаи", в които малките и средни фирми или организации залагат по няколко одита в годината и постъпват така докато системата е още "млада" и все още не се е усвоила твърдо. Разпределението на одитите в такива случаи често е по разделите на стандарта.

Ако стандартът е ISO 9001, то одитите по раздели на стандарта са:
  • по раздели 4 и 5;
  • по 6 и 7;
  • по 8;
  • по 9 и 10 .
Така ще са напълно достатъчни само четири вътрешни одита. По един на тримесечие. А нататък, когато системата "остарее" и се стабилизира и когато одиторите добият достатъчен опит, тези четири одита може да се редуцират до три или два, а накрая - един. Но накрая!

А може разпределението на одитите да не се води по разделите на стандарта, а да е с по-друга насоченост - по звена, по процеси, по документи с изисквания... и накрая - да е комбинирано.

По-големите организации имат по-развити системи по простата причина, че включват повече и може би по-сложни процеси. Очаква се в тях графикът да залага няколко одита, разпределени така, че да бъде проверена цялата система, ако е само една, или да бъдат проверени всички организационни звена в обхвата на тази система. Ако системата е една, но е интегрирана от компонентите качество-екология-безопасност-друго, това не променя много нещата, защото пак ще са необходими няколко вътрешни одита. Ако някой опита да направи един вътрешен одит на такава интегрирана система и го "опатка" за един ден, това ще е одит по метода на "сляпата кучка" или "бързата работа - срам ...". Никой не би се осланял на добрата съвест при едно такова решение.

В същото време броят одити в годината няма норма и мярка, която да позволява да отсъждаме твърдо и категорично поведението на организациите. Има случаи, в които много голяма фирма с няколко изнесени и на други територии звена, прави само два одита (пролетен и есенен) годишно, при което есенният одит предхожда надзорния от третата страна. И това е добра и подходяща практика, защото всеки от тези два одита всъщност е нещо като макроодит и се провежда с много обекти за проверка в рамките на цяла една седмица и с участие на целия одиторски състав - над 10 човека. И за да е ясно, че няма норма и мярка за броя, нека видим и още един пример - пак много голяма фирма прави подробни проверки, чрез 80 одита годишно и с участие на екипи, сформирани от общ фирмен състав на одиторите от над 60 човека. Какво виждаме - две съвсем сходни "по калибър" фирми реализират ефикасни одити по два съвсем различни начина и могат, всяка от тях, да аргументира убедително прилагания от нея подход.

Когато Програмата, т.е. графикът, включва един или няколко одити с насоченост единствено да се определи простото съответствие на система(и) или, още по-зле, единствено за да се напишат планове и доклади като доказателство за пред външни одитори, че е имало вътрешен одит, то е все едно да свириш на пиано с един пръст, в една октава и само едно най-простичко парче - като "Котешки марш" - да мислиш, че е достатъчно, да си доволен и да се смяташ за пианист.



Не сме свикнали да четем и да обръщаме внимание на раздела "Въведение" на стандартите.
Но ето какво пише в този раздел на ISO 19011 ...

"Резултатите от одит могат да предоставят входни елементи за аналитичния аспект при планирането на дейности и може да допринесат за идентифициране на потребностите и дейностите за подобряване." (БДС EN ISO 19011:2018, Въведение)

Дори най-повърхностния прочит на този текст говори ясно, че одитите може да са сериозен инструмент, с насоченост да бъде полезен за фирменото управление при анализи, замисляне на подобрения и при планиране на бизнеса. Който седне да замисля и пише Програма за одити в една фирма, би трябвало преди това да е станал наясно какво важно за бизнеса предстои през следващия планов период, какви фирмени цели са поставени, какви бизнес-планове са задействани, какви проекти ще текат и други още неща... Тогава Програмата ще съдържа освен одити за проверка на системите и други одити с насоченост и с цели, които обслужват реални нужди на фирменото управление. Може да е само един или да са само два-три такива одити, те пак ще стигат да се създаде култура, че с одити може да се наглежда всичко, което е важно.

Дейности и ангажименти, чрез които се цели ресурсно и всяко друго осигуряване за одитите
Какви ще бъдат те става ясно след като е съставен графикът, но те ще имат насоченост към
  • осигуряване и насочване на всякакви необходими ресурси за всеки конкретен одит. Основната идея е нито един одит да не закъсва и да не се затруднява, поради липса или недостатъчност на някакъв ресурс, а също и да се планира всичко друго необходимо;
  • грижа за обогатяване с нови и подобряване на вече разполагаеми ресурси, които ще се ползват за нуждите на процеса одит - квалифицирани одитори, методическа база, обмяна на опит, техническа база, актуализиране на документи и т.н.
Какви ще бъдат сроковете за тях - те са ясни, когато ще се осигуряват ресурси за конкретен одит, планиран за определен момент. Но може да има дейности и ангажименти по обогатяване и подобряване на ресурсната основа, които ще имат срок "постоянен" или "в края на годината", ако Програмата е за годишен период


Изпълнение на одит и Пестеливо документиране
би следвало да са следващите две части, с които да приключат Записките.
Но се налага преди тях да вклиним тема за отговор на въпроса

"Какво трябва да променим в документите си, поради това ново издание на стандарта?"
(това ще е следващата тема)


петък, 8 ноември 2019 г.

ISO 19011 и вътрешните одити. Принципите, без които не може...

Принципи на одитиране
Принципите - те са седем:
  • етичност
  • безпристрастно представяне
  • професионална добросъвестност
  • опазване на професионалната тайна
  • независимост
  • подход, основан на доказателства
  • подход, основан на риска
Как да използваме принципите?
Запознавайки се с принципите трябва да насочим внимание към улавяне на духа или смисъла на всеки един принцип. Принципите не могат да се изпълняват точно и буквално като зададени изисквания. Принципите, чрез заложените в тях дух и смисъл, ни създават основа за практики по одитиране. Ако в практиката възникне ситуация или трябва да се реши въпрос, който не е възниквал и трябва да се намери решение или начин на действие за първи път, то един много добър ориентир може да бъде подходящия за случая принцип(и). Ако намереното решение се вписва в постановките на принцип(и), то с голяма вероятност то ще е адекватно и вярно.

Не може да се направи строго "разпределение", с което да се избира кой от принципите да се приложи в даден момент. В някаква степен всеки от принципите е приложим във всяка стъпка на одитния процес. Как и доколко става това - преценката е наша и трябва да си я намираме.

Какво ни говорят принципите?
Освен с буквалните си формулировки, както са дадени в стандарта, принципите могат да бъдат прочетени и със смисъл, намерен "между редовете" на стандарта. Ако е така, какво ни говорят?

Буквалните формулировки трябва да ги прочетем и осмислим. 
Да опитаме да видим какво има между редовете.

(1) Етичност
От одитора се изисква взискателност към себе си - на професионална и на етична основа
Иска се внимание и уважително отношение към одитираните и към всички други участници.
С две думи - преди да си станал одитор трябва да си станал човек.
Това е причина този принцип негласно да е обявен за водещ. Стандартът го определя изрично като "Основа за професионализма". Да си го кажем направо - ако си скандалджия, болезнено мнителен, грубиян, натрапник, ако будалкаш и се извърташ, ако ... то не си одитор изобщо!

(2) Безпристрастно представяне
Вече знаем (в Част 2 на Записките), че по дефиниция одитът е документиран процес.
Този принцип налага документираното да отговаря точно на действителното.
Особено важно е това да се прилага при съставяне на констатации и заключения.
Има още два момента, с които този принцип е допълнен:
  • значими пречки, възникнали в хода на одита се вписват в доклада. Одиторът не премълчава и не укрива проверки, които, така или иначе, не са били извършени поради някаква причина. Нататък информацията за неизпълнени проверки ще се ползва при планиране на следващ одит
  • различаващи се мнения (между одитор/одитиран или между екип/организация) също се вписват в доклада
(3) Професионална добросъвестност
Важен елемент на тази "добросъвестност" е, че одиторските преценки са винаги обосновани.
Този принцип няма как да бъде нарушаван от професионални одитори от трета страна. Те чрез него си "вадят хляба". По-голяма опасност има вътрешните одитори, които иначе, когато не одитират, са специалисти, работници и служители - всеки на своето място - за деня на одит да имат нагласата, че това е ден за разтоварване и разнообразяване от скучната им "основна" работа. В деня, в който има одит, тези хора също имат задачи, които следва да се свършат професионално, с грижа и с разбиране, че се носи отговорност за изпълнение и резултати.


(4) Опазване на професионалната тайна

Става дума за сигурността, относима към всякаква информация, свързана с вътрешните одити.
За един одит - как е проведен и как е приключил - не се говори и не се споделя по неформални начини. За един одит се пишат документи и тези документи, в т.ч. може дори да става дума и за работните записки на одиторите, трябва да са защитени и се опазват от неправомерен достъп. 

(5) Независимост
Вече знаем, че по дефиниция одитът е определен като независим процес.
Като достатъчен минимум се очаква одиторът да няма отговорности, свързани с резултатите от одитираната дейност. Или отговорности за дейността като цяло и изобщо. "Граван гарвану ..." не одитира :) Но има организации и фирми, съставени само от "гарвани" - типично за адвокати, спедитори, преводачи, софтуерни и друг подобен вид малки до средни фирми с крайно опростени и сплескани йерархично структури. При тях всички са с един и същ професионален профил и изпълняват един единствен вид дейности. Решението при тях може да бъде на база различни проекти (за софтуера), различни направления или методи (за спедитори), различни по характер дела (за давокати), различни езици (за преводачи) и т.н. 

При описване на този принцип въображението на авторите на стандарта или се е изчерпало, или ги е домързяло да поясняват повече, поради което са написали (следва дословен цитат) - "При малки организации ... да се положат всички усилия за създаване на безпристрастност и  за насърчаване на обективността". 

Едно универсално и почти напълно гарантирано решение за безпристрастност и  обективност е малката или среда организация да си повика външен експерт като одитор и да му плати за това. Друго решение може да е размяна на вътрешни одитори между добре познати и доверени помежду си организации на принципа "Ти на мене - аз на тебе"

(6) Подход, основан на доказателства
Отново от дефиницията за одит (в Част 2) ясно виждаме, че доказателствата са в основата на всичко в одитния процес.Целта на одита и критериите насочват къде да търсиш доказателства, а после остава само да ги оцениш (обективно!). Лесно се стига до извод, че колкото повече доказателства, толкова по-сигурни констатации и заключения... Но има нещо важно, което стандартът деликатно напомня (дословен цитат) - "Доказателствата от одит трябва да бъдат проверими. Обикновено те трябва да се основават на извадки от наличната информация, когато одитът се извършва с ограничена продължителност и ограничени ресурси." В това изказване под "наличната информация" явно се има предвид "тази която обектът на одит съдържа и/или може да предложи". И нека бъдем реалисти - винаги ресурсите, в т.ч. времето за одит са ограничени. С две думи - без извадки не може! Как се правят извадки - стандартът тук казва "... по подходящ начин", а нататък за извадките в стандарта е писано отделно и обширно. А ние бихме препоръчали този подходящ начин да бъде съобразен с чисто практически ориентири, за които може да стане дума по-нататък в тези Записки.

(7) Подход, основан на риска
Както за всяка една работа, така и при одитирането имаме рискове, носещи вреди, а има и възможности, водещи до ползи. Естествено балансът рискове/възможности може всеки път и за всяка ситуация да е различен и това ни ангажира да правим преценки в одитния процес. За всяка една дейност какви може да са рисковете и какви възможностите. Реакцията ни след едно добро и пълно опознаване на рисковете и възможностите следва да бъде такова планиране, което ще включи действия и мерки за регулиране на баланса вреди/ползи с идеята да се разчисти пътя за постигане на основния очакван резултат от един одит - постигане на целите на одита, а оттам и за постигане на целите на Програмата за одити


Програма за одити ...
Това ще е следващата тема... Ще видим, че е важно да има Програма, която да насочва одитите през годината така, че да дават полезни резултати

сряда, 6 ноември 2019 г.

ISO 19011 и вътрешните одити. Какво е одит? Какво са доказателствата при одит?

Какво е "одит" на система за управление?
По дефиниция това е -
"систематичен, независим и документиран процес за получаване на обективно доказателство и обективното му оценяване, за да се определи степента, до която са удовлетворени критериите за одит"

В това определение виждаме, че одитът е процес с три определящи характеристики - той е систематичен, независим и документиран. Тях ще коментираме малко по-късно. Сега може да се каже, че която и от трите характеристики да липсва, одитът ще е значително опорочен.

Спираме се на дейностите, които включва процесът и те са две - 
1) получаване на обективно доказателство и
2) обективното му оценяване

Резултатът, който следва да се получи от тези две дейности е "степента, до която са удовлетворени критериите за одит". Критериите за одит - това са изискванията, които сме решили (или са ни възложили) да проверим при одита. Тук е интересно да коментираме думата "степен". Степен е онова, което е някъде между двете крайни състояния, които сме свикнали да търсим. А те са "съответства"/"несъответства". Казано по-общо - това е бинарната логика, която има само две стойности - "има"/"няма", "черно"/"бяло", "единица"/"нула". Само че някой път резултатът от обективното оценяване ни кара да мислим и да определяме "степен". Това е ситуация, при която (нека пак се изразим образно) няма "черно" или "бяло", а е нещо между тях - т.е. нека да кажем "сиво". В такива случаи одиторът ще е длъжен да се изрази ясно, за да се определи дали установената степен на удовлетворенение е по-близо до "пълно удовлетворение" или е близо до "пълно неудовлетворение", или е около средата между тях. Има хора, които казват, че одиторът, също като фотограф, прави черно-бяла снимка на изследвания обект, в която може да видим всички нюанси на "сивото". И снимката не подлежи на ретуш ...

Така освен крайни оценки от типа "съответства"/"несъответства" одиторите може да дадат резултати от оценяване изразени с понятията за равнище на степента - ниско, средно, добро, много добро. Равнищата може да са повече от тези или пък по-малко. Колко ще са те и как ще се определят че да няма субективно отплесване - това е най-добре да го каже отделна методика или раздел "метод за оценяване" на една процедура за одити.

Още нещо - вижда се явен акцент за обективност - както на доказателството, така и на оценяването. Как да се осигури обективност е въпрос, който не винаги е лесен за отговор... Това също ще коментираме допълнително по-нататък.


Какво е "одит" от гл. т. на организацията за изпълнението му?
Да видим организацията на одитния процес в най-общ план ...



Всеки един одит е планиран с цел(и), време на провеждане и обект/обхват в Програма за одити, която засяга някакъв период (по-често едногодишен). Може да има и извънредни одити.

При зададени цел(и) и обхват на одит става ясно кои са обектите на одита (места, които ще бъдат посетени за проверка), а заедно с това и документите, които съдържат изисквания. В тези документи обръщаме внимание само на тези изисквания, които са свързани или относими към целите и обхвата на одита. Те са критерии. Критериите ни ориентират за определяне на екипа одитори, като при това търсим да постигнем всеки в екипа да е компетентен и независим. За един екип може да търсим и колективна компетентност (един знае едно, друг - друго и така го допълва) за този одит. Екипът си съставя план за одита и при най-добро желание прави този план подробен и описателен, включително с посочване на метод(и) за изпълнение на всяка една проверка. Остава само този план да бъде изпълнен - т.е. да се намерят доказателства за всяка една планирана проверка и да се направи оценяването им, изразено чрез констатации. Накрая цялата така събрана информация, заедно с отчитане на зададените цели за този одит, служи за извеждане на заключение от одита. Съставя се и се разпространява писмен доклад или протокол към съответни абонати и така одитът приключва.

Кое е най-важното понятие?
Сигурно може да има различни мнения по това, но тук смятаме, че терминът "доказателство" е най-важното понятие и правилното му разбиране има критично значение за одитния процес.

Доказателството от одит е -
"записи, излагане на факт или друга информация, които са свързани с критериите за одит и са проверими"
От този текст веднага разбираме, че има три основни вида и източници на доказателства

  • записи. Да разсъждаваме по-общо - документи и записи с данни, които ни интересуват
  • излагане на факт. Може да си мислим, че това е случай, при който одитор пита нещо и получава отговор(и) от одитиран колега
  • друга информация. Навярно това е всичко, което сме видяли и разбрали по някакъв друг начин - например чрез наблюдение на изпълнение на работа или състояние на нещо
Трите вида доказателства може да наречем най-общо "информация" и тогава тук става важно да се разбере, че не всяка информация ще е доказателство от одит. Тя ще е доказателство, ако

1) е свързана с критериите за одит
2) е проверима - т.е. да може повторно да бъде установена, ако не изцяло, то поне в най-важните си части - по същество. Проверимостта на намерено доказателство може да се осигури по време на самия одит чрез фактографиране - одиторът си записва какво е доказателството, къде е разкрито, при кого и други данни, ако се сметнат за необходими. А необходимостта се преценява с оглед на ситуации, които може да наложат доказателството да бъде препроверено дори и от друг одитор или друго длъжностно лице. В интерес на истината такива ситуации не са чести, а напротив - може да са твърде редки и само в особени случаи.   

Ако одитор не познава добре смисъла на термина "доказателство от одит", той допуска грешката да не приема излагането на факти за самостоятелно доказателство, а ще иска и подкрепящо доказателство във вид на запис или пък подкрепящо доказателство във вид на изпълнение на работа, за да може "око да види". 

Как лисицата се завъртя така, че си захапа опашката?
Във второто издание на стандарта нямаше термин "обективно доказателство". Сега обаче има!
Обективно доказателство е -
"данни, подкрепящи съществуването или истинността на нещо"
За да се разбере смисъла на този термин и връзката му с "доказателство от одит" ще е нужна най-малкото продължителна и много дълбока медитация. Един педант би попитал "А какво, според тази дефиниция е данни?" и още "Всяко ли нещо може да е нещо-то от дефиницията?"

Възниква подозрение, че бащите-творци на стандарта, в тази му част, леко са залитнали.
Има обаче едно ключе към разчистване на мъглата и то е в Забележка 2 към този термин...
Забележка 2 -
"Обективното доказателство за целите на одит обикновено е записи, излагане на факти или друга информация, свързана с критериите за одита и проверима"

Ако направим заместване на подчертания текст с неговия термин-еквивалент, получавамв, че
"Обективното доказателство за целите на одит обикновено е доказателството от одит" 
или още по-подробното
"Данните, подкрепящи съществуването или истинността на нещо, за целите на одит обикновено са доказателствата от одит"

Ами сега?! Та, ето как Кума Лиса си захапа опашката, а потребителите на стандарта могат да прекъснат дълбоката си безплодна медитация. Одиторите следва да са хора с практически усет


И все пак, ако възникне някаква екстремна и свирепа одиторска патаклама, ние, като хора практици, следва да сме готови с данни, че доказателството ни не е лъжовно, че не е менте!

Да видим три примера, които се опитват да направят точно това...
1) Доказателството от одит е от вида друга информация. Одиторът е видял палет с детайли, изоставен на пода насред пътеката, означена с ленти за свободно преминаване.
Обективното доказателство е снимка на този палет, както е в зоната за свободно преминаване

2) Доказателството от одит е от вида излагане на факти. Одиторът е попитал "Въведена ли е електронна система за управление на материалите в склада?" и е чул ясен отговор - "Да."
Обективното доказателство може да е складов документ, който тази системата е генерирала или Протокол от изпитване на системата при нейното инсталиране, или ... други данни

3) Доказателството от одит е от вида записи. Одиторът е преглеждал поредица от записи в  "Регистър на рекламации и сигнали от клиенти"
Обективното доказателство е това, че одиторът си е записал подробно един от записите, например - последният, с дата, клиент, продукт, начин на обработка и ... досадно е, нали?

Излиза, че едно грижливо и подробно фактографиране може да даде резултат близък до смисъла на понятието "обективно доказателство". Остава да се питаме "А това не намалява ли ефективността на одитирането", защото докато се занимаваме да търсим и описваме "данни, подкрепящи съществуването или истинността на нещо", а нещото е вече готово намерено доказателство от одит, времето си тече. А времето е пари, а и не само пари...

Някой може да каже "Ама в примера за ситуация 1) тази снимка може да се изфабрикува с фотошоп-а или по друг начин подкрепящите данни да са фалшиви, нагласени, редактирани... "

Но ние говорим сега за вътрешен одит - т.е. има ли смисъл ние самите да залъгваме себе си? 
Че даже и да е външен одит - пак няма смисъл. Одитирането не търпи лъжи, а изкушения в тази посока не липсват. Примери за едно или друго от минали дни също не липсват...  

В тази Част 2 на Записките тръгнахме от дефиницията за одит и я коментирахме.
Преди доста време, в отговор на зададен въпрос, се наложи да измисляме и друга дефиниция, по-подходяща за вътрешен одит, но доста неформална.

Ето неформалната дефиниция -
"Вътрешният одит е действие, при което едни наши колеги, обучени за да бъдат одитори, отиват на гости при други свои колеги, за да се порадват на добрите им практики и да си поговорят за работа в работно време."    

Тук също има знакови моменти...
Защо отиват? На гости ... Как се ходи на гости? Как домакини посрещат гости?
С каква нагласа? Да се порадват как колегите им работят добре ...
Каква е общата цел? Да се поговори за работата... Това говорене също е работа, а цел и резултат трябва да бъдат възможностите за подобряване. Защото такива винаги и навсякъде има!

Разбира се при това има правила. Ако все пак се окаже, че нещо не е в ред - описва се като несъответствие. Спокойно, без емоции, ако трябва - обсъжда се... Но винаги и след одита ние си оставаме приятели и колеги каквито сме били и преди него.

Принципи на одитиране ...
Това ще е следващата тема...
Принципите не са нещо скучно и излишно - напротив, има начин да се съобразяваме с тях и така те ни помагат да сме добри вътрешни одитори :)















вторник, 5 ноември 2019 г.

ISO 19011 и вътрешните одити. Въведение


ISO 19011:2018 Guidelines for auditing management systems
ISO 19011:2018 Указания за извършване на одит на системи за управление



Тези записки са свързани с третото издание на ISO 19011 от 2018 година. 
Включват материал, който се представя в модулните обучения - М03А 
в системата на Алфа Куолити България с водещ Бончо Антонов


ISO 19011, както и всички други стандарти, които може да ни интересуват, ще намерим в БИС. 
БЪЛГАРСКИ ИНСТИТУТ ЗА СТАНДАРТИЗАЦИЯ

Четири начина за закупуване на стандарти и други материали от БИС
1. Информационен център на БИС, София, жк. “Изгрев”, ул. "Лъчезар Станчев" № 13, етаж 1
2. On-line www.bds-bg.org 
3. факс +359 2 873-55-97
4. електронна поща      info@bds-bg.org

"Нови" одитори
За "нови" одитори се препоръчва внимателно проучване на стандарта като "самоподготовка".
Нататък, когато това проучване приключи, може да препоръчаме нещо като "пътна карта" за продължаване и поддържане на подготовката като одитор:
  • участие в одити
    Практиката учи, особено собствената практика. Без реални участия в одити има опасност да се получи "книжен одитор" - човек, който само ходи на обучения, взема документи от тях, но не одитира.
  • съпровождане на външен одит
    Винаги може да си уредите да съпровождате външен одитор. Ако одиторът е професионален и го съпровождате, ставате свидетел на много добри, но понякога, за съжаление, и на не толкова добри или направо лоши практики. Всичко това учи. 
    Един съвет - не досаждайте на външния одитор с въпроси и не се мъчете да му помагате.
    Бъдете безмълвна сянка, наблюдавайте и се обаждайте само ако ви питат нещо...
  • одит при доставчик
    Ако сте вътрешен одитор във вашата организация, много е вероятно да ви възложат изпълнение на такъв одит при ваш доставчик. Приемаме, че поготовката и изпълнението на такъв одит могат да минат и за стъпка в подготовката, защото в този случай вие се стараете особено за този одит, за да не се изложите нещо пред доставчика
  • специализирани обучения
    Може да се каже, че стандартът е организационен и методически документ и може да се научи много в тези два аспекта. Но при одит има и нещо друго - работи се с хора и то с различни хора. За това стандартът е предвидил и обявил само един принцип и нищо повече по същество. Затова "специализирани" са обученията, които ни казват как се работи с различни хора в различни ситуации и как се управляват ситуациите. Може да има и друг вид специализирани обучения - например, как се преглеждат и анализират документи, как се наблюдават изпълнения и състояния и други подобни. Обикновено ние си мислим че знаем тези неща, но е лесно да се надценим и заблудим. Нужно е обучение.
  • наблюдавани учебни одити
    Това е една консултантска услуга, която в миналото много "вървеше" и Алфа Куолити я проведе при много от големите и знакови български фирми. Целта на услугата е да подготви "на терен" вътрешните одитори на една фирма и след това да провери нивото на подготовката чрез наблюдение как се изпълнява един учебен одит. Изпълнението може да се заснеме с цел след това да се анализира. Може да включи подготовка на изкуствени доказателства и несъответствия, което да е известно или неизвестно на одиторите. Накрая следва доклад на консултантите, които дават общи оценки и препоръки.
  • ползване на жокер "Обади се на приятел"
    Всеки, който е минал модула М03А, разполага с възможността да попита и да поиска помощ за неща, с които се занимава и е стигнал до затруднения. Ще му помогнем и след това няма да му пускаме фактура за извършена услуга, защото вече се познаваме и сме тръгнали да ставаме приятели. А приятелите така си помагат.
По повод на тази пътна карта може да отбележим нещо важно. Одиторът, какъвто и да е той, не спира да се учи и подготвя. Никога не си мисли или казва "Вече знам това". Винаги търси нещо допълнително и ново да научи, за да си разшири и защити компетентността като одитор.

Да опитаме да очертаем профила на добрия вътрешен одитор
  • познава хората във фирмата
  • хората във фирмата го познават
  • познава добре процесите и практиките
  • мисленето му не е инертно
  • мисли логически и аналитично
  • отговорен човек, който си държи на думата
  • любопитен е, интересно му е
  • винаги (или поне когато е на одит) е комуникативен и приветлив
Има няколко особено критични лични качества
  • умее да се изразява ясно и кратко да обяснява
  • умее да пише правилно, стегнато и ясно
  • способен е да възприема всякаква информация
  • способен е да вниква в състава и съдържанието на документи
  • способен е да води целево насочен разговор
Накрая одиторът умее да комбинира способностите и качествата си, ако са полезни и да тушира (поне докато е на одит) онези свои особености, които не се вписват в добрия профил.

Ясно е, че в никоя фирма няма да се намери човек с всичките тези качества, Да не говорим за формиране на фирмен одиторски състав. Пак е ясно, че при това положение ще трябва да се разчита на самоконтрол, потушаване, комбиниране, допълване на профилни характеритики в рамките на всеки конкретен одиторски екип, който има определена задача.

Указания - това е различно от изисквания!
Както личи от заглавието, стандартът съдържа указания. Какво са указанията? Сбор от добри практики и полезни съвети, натрупани в изобилие, което, в повечето случаи, ще се окаже че е далеч над онова, което ни интересува във връзка с вътрешните одити. Или, казано с други думи, стандартът е широка, препълнена и пъстра сергия с добри практики и съвети, но ние, разхождайки се наоколо имаме свободата да харесаме или не всяка от тези добри практики. А която си харесаме може да усвоим напълно или само частично - пак преценката си е наша. Но никой не може да ни "търси сметка" защо не сме усвоили еди кое си указание. Изборът си е наш и той зависи от нашата грижа да си създадем или да подобрим вътрешните си одити.

Указанията са полезни с това, че когато се заемем да правим система или процес - в случая за вътрешни одити - създавайки документите за системата/процеса, ако гледаме указанията ще се подсетим какви изисквания да заложим в документите. Ако пък имаме действаща система/процес, то указанията ще ни бъдат полезни, ако сме се сетили за подобрения и търсим развитие на практиките.

Казано накратко - стандартът с нищо не не задължава, но ни подсеща и обяснява. Поради това ние го ползваме при създаване или при актуализиране на документи и практики. Така ние трансформираме незадължителните указания на стандарта в наши собствени изисквания, с които се самозадължаваме, когато ги поставим в процедури, инструкции или други документи.

Какво е ново при това трето издание на стандарта?
  • добавен принцип за подход, основан на риска
  • по-подробни указания за управление на Програма за одити и рисковете за нея
  • разширени указания за провеждане на одит, вкл. за планирането му
  • разширени базови изисквания за компетентност на одиторите
  • разширен Aнекс A с указания за одитиране на „новостите“ – контекст, ръководство и съпричастност, виртуално одитиране, законово съoтветствие (compliance) и доставчици
Има и други някои разлики и новости, обявени от съставителите на стандарта, но няма да ги коментираме специално, а по-скоро ще се пошегуваме с долната картинка ...


... все едно, че в щайгата със зелени ябълки една от ябълките е сменена с червена.
Духът и основното съдържание на второто издание са запазени, макар и не съвсем буквално, но достатъчно. Така че, който си знае отпреди стандарта, си запазва всичко научено, но и ще добави нещичко към него.

Да обърнем внимание на въведението...
Там някъде се казва, че резултатите от одит могат да послужат за анализи при бизнес-планирането и могат да са полезни за определяне на нужди от и работи по подобрения.

Тук дебело може да се подчертае - резултатите от одити не са полезни само с това, че се проверява формално системата за управление и се фабрикува доказателство, че си имаме одити, за пред външен одитор!

Друго за подчертаване е, че проверки чрез одити може да се правят не само по изискванията на стандартите за системи за управление, а и по други източници на критерии
  • политики и изисквания на заинтересовани страни
  • изисквания на закони и всякакви наши и чужди нормативни актове
  • изисквания за процесите на системата за управление
  • изисквания на планове на системата за управление
  • изисквания, свързани с технологии и практики
  • изисквания от правилник за вътрешен ред и организация на... нещо си
  • ...
В многоточието може да се запишат още какви ли не други изисквания, стига да има смисъл, от гледна точка на бизнеса, да бъдат поддържани, проверявани и да се търсят подобрения. Това отваря вратата стандартът да се прилага, чрез създадени на негова основа документи, за случаи на одити на информационни системи, изпълнение на проекти и всякакви други "несистемни" случаи, ако под "системни" разбираме системите за управление от типа ISO (MSS стандарти).

Иначе казано, стандартът може да бъде полезен като по него си разкроим и ушием "по мярка" система или процес, чрез който да поддържаме с проверки онова, което е важно за бизнеса.


Но така създадения процес на одитиране, както всичко при системите, подлежи на актуализации и подобрения за нагаждане според (изброени напосоки, но непълно):
  • размер на организацията
  • състояние и зрелост на система
  • характер и сложност на бизнеса
  • цели и обхват на одитите
Всяко от горните може да е променливо, а оттам следва, че поне някои промени ще се налага да се усвояват и от нашия процес на одитиране.

Какво е одит на система за управление?  
Отговорът на този въпрос ще видим в следващия пост