вторник, 5 ноември 2019 г.

ISO 19011 и вътрешните одити. Въведение


ISO 19011:2018 Guidelines for auditing management systems
ISO 19011:2018 Указания за извършване на одит на системи за управление



Тези записки са свързани с третото издание на ISO 19011 от 2018 година. 
Включват материал, който се представя в модулните обучения - М03А 
в системата на Алфа Куолити България с водещ Бончо Антонов


ISO 19011, както и всички други стандарти, които може да ни интересуват, ще намерим в БИС. 
БЪЛГАРСКИ ИНСТИТУТ ЗА СТАНДАРТИЗАЦИЯ

Четири начина за закупуване на стандарти и други материали от БИС
1. Информационен център на БИС, София, жк. “Изгрев”, ул. "Лъчезар Станчев" № 13, етаж 1
2. On-line www.bds-bg.org 
3. факс +359 2 873-55-97
4. електронна поща      info@bds-bg.org

"Нови" одитори
За "нови" одитори се препоръчва внимателно проучване на стандарта като "самоподготовка".
Нататък, когато това проучване приключи, може да препоръчаме нещо като "пътна карта" за продължаване и поддържане на подготовката като одитор:
  • участие в одити
    Практиката учи, особено собствената практика. Без реални участия в одити има опасност да се получи "книжен одитор" - човек, който само ходи на обучения, взема документи от тях, но не одитира.
  • съпровождане на външен одит
    Винаги може да си уредите да съпровождате външен одитор. Ако одиторът е професионален и го съпровождате, ставате свидетел на много добри, но понякога, за съжаление, и на не толкова добри или направо лоши практики. Всичко това учи. 
    Един съвет - не досаждайте на външния одитор с въпроси и не се мъчете да му помагате.
    Бъдете безмълвна сянка, наблюдавайте и се обаждайте само ако ви питат нещо...
  • одит при доставчик
    Ако сте вътрешен одитор във вашата организация, много е вероятно да ви възложат изпълнение на такъв одит при ваш доставчик. Приемаме, че поготовката и изпълнението на такъв одит могат да минат и за стъпка в подготовката, защото в този случай вие се стараете особено за този одит, за да не се изложите нещо пред доставчика
  • специализирани обучения
    Може да се каже, че стандартът е организационен и методически документ и може да се научи много в тези два аспекта. Но при одит има и нещо друго - работи се с хора и то с различни хора. За това стандартът е предвидил и обявил само един принцип и нищо повече по същество. Затова "специализирани" са обученията, които ни казват как се работи с различни хора в различни ситуации и как се управляват ситуациите. Може да има и друг вид специализирани обучения - например, как се преглеждат и анализират документи, как се наблюдават изпълнения и състояния и други подобни. Обикновено ние си мислим че знаем тези неща, но е лесно да се надценим и заблудим. Нужно е обучение.
  • наблюдавани учебни одити
    Това е една консултантска услуга, която в миналото много "вървеше" и Алфа Куолити я проведе при много от големите и знакови български фирми. Целта на услугата е да подготви "на терен" вътрешните одитори на една фирма и след това да провери нивото на подготовката чрез наблюдение как се изпълнява един учебен одит. Изпълнението може да се заснеме с цел след това да се анализира. Може да включи подготовка на изкуствени доказателства и несъответствия, което да е известно или неизвестно на одиторите. Накрая следва доклад на консултантите, които дават общи оценки и препоръки.
  • ползване на жокер "Обади се на приятел"
    Всеки, който е минал модула М03А, разполага с възможността да попита и да поиска помощ за неща, с които се занимава и е стигнал до затруднения. Ще му помогнем и след това няма да му пускаме фактура за извършена услуга, защото вече се познаваме и сме тръгнали да ставаме приятели. А приятелите така си помагат.
По повод на тази пътна карта може да отбележим нещо важно. Одиторът, какъвто и да е той, не спира да се учи и подготвя. Никога не си мисли или казва "Вече знам това". Винаги търси нещо допълнително и ново да научи, за да си разшири и защити компетентността като одитор.

Да опитаме да очертаем профила на добрия вътрешен одитор
  • познава хората във фирмата
  • хората във фирмата го познават
  • познава добре процесите и практиките
  • мисленето му не е инертно
  • мисли логически и аналитично
  • отговорен човек, който си държи на думата
  • любопитен е, интересно му е
  • винаги (или поне когато е на одит) е комуникативен и приветлив
Има няколко особено критични лични качества
  • умее да се изразява ясно и кратко да обяснява
  • умее да пише правилно, стегнато и ясно
  • способен е да възприема всякаква информация
  • способен е да вниква в състава и съдържанието на документи
  • способен е да води целево насочен разговор
Накрая одиторът умее да комбинира способностите и качествата си, ако са полезни и да тушира (поне докато е на одит) онези свои особености, които не се вписват в добрия профил.

Ясно е, че в никоя фирма няма да се намери човек с всичките тези качества, Да не говорим за формиране на фирмен одиторски състав. Пак е ясно, че при това положение ще трябва да се разчита на самоконтрол, потушаване, комбиниране, допълване на профилни характеритики в рамките на всеки конкретен одиторски екип, който има определена задача.

Указания - това е различно от изисквания!
Както личи от заглавието, стандартът съдържа указания. Какво са указанията? Сбор от добри практики и полезни съвети, натрупани в изобилие, което, в повечето случаи, ще се окаже че е далеч над онова, което ни интересува във връзка с вътрешните одити. Или, казано с други думи, стандартът е широка, препълнена и пъстра сергия с добри практики и съвети, но ние, разхождайки се наоколо имаме свободата да харесаме или не всяка от тези добри практики. А която си харесаме може да усвоим напълно или само частично - пак преценката си е наша. Но никой не може да ни "търси сметка" защо не сме усвоили еди кое си указание. Изборът си е наш и той зависи от нашата грижа да си създадем или да подобрим вътрешните си одити.

Указанията са полезни с това, че когато се заемем да правим система или процес - в случая за вътрешни одити - създавайки документите за системата/процеса, ако гледаме указанията ще се подсетим какви изисквания да заложим в документите. Ако пък имаме действаща система/процес, то указанията ще ни бъдат полезни, ако сме се сетили за подобрения и търсим развитие на практиките.

Казано накратко - стандартът с нищо не не задължава, но ни подсеща и обяснява. Поради това ние го ползваме при създаване или при актуализиране на документи и практики. Така ние трансформираме незадължителните указания на стандарта в наши собствени изисквания, с които се самозадължаваме, когато ги поставим в процедури, инструкции или други документи.

Какво е ново при това трето издание на стандарта?
  • добавен принцип за подход, основан на риска
  • по-подробни указания за управление на Програма за одити и рисковете за нея
  • разширени указания за провеждане на одит, вкл. за планирането му
  • разширени базови изисквания за компетентност на одиторите
  • разширен Aнекс A с указания за одитиране на „новостите“ – контекст, ръководство и съпричастност, виртуално одитиране, законово съoтветствие (compliance) и доставчици
Има и други някои разлики и новости, обявени от съставителите на стандарта, но няма да ги коментираме специално, а по-скоро ще се пошегуваме с долната картинка ...


... все едно, че в щайгата със зелени ябълки една от ябълките е сменена с червена.
Духът и основното съдържание на второто издание са запазени, макар и не съвсем буквално, но достатъчно. Така че, който си знае отпреди стандарта, си запазва всичко научено, но и ще добави нещичко към него.

Да обърнем внимание на въведението...
Там някъде се казва, че резултатите от одит могат да послужат за анализи при бизнес-планирането и могат да са полезни за определяне на нужди от и работи по подобрения.

Тук дебело може да се подчертае - резултатите от одити не са полезни само с това, че се проверява формално системата за управление и се фабрикува доказателство, че си имаме одити, за пред външен одитор!

Друго за подчертаване е, че проверки чрез одити може да се правят не само по изискванията на стандартите за системи за управление, а и по други източници на критерии
  • политики и изисквания на заинтересовани страни
  • изисквания на закони и всякакви наши и чужди нормативни актове
  • изисквания за процесите на системата за управление
  • изисквания на планове на системата за управление
  • изисквания, свързани с технологии и практики
  • изисквания от правилник за вътрешен ред и организация на... нещо си
  • ...
В многоточието може да се запишат още какви ли не други изисквания, стига да има смисъл, от гледна точка на бизнеса, да бъдат поддържани, проверявани и да се търсят подобрения. Това отваря вратата стандартът да се прилага, чрез създадени на негова основа документи, за случаи на одити на информационни системи, изпълнение на проекти и всякакви други "несистемни" случаи, ако под "системни" разбираме системите за управление от типа ISO (MSS стандарти).

Иначе казано, стандартът може да бъде полезен като по него си разкроим и ушием "по мярка" система или процес, чрез който да поддържаме с проверки онова, което е важно за бизнеса.


Но така създадения процес на одитиране, както всичко при системите, подлежи на актуализации и подобрения за нагаждане според (изброени напосоки, но непълно):
  • размер на организацията
  • състояние и зрелост на система
  • характер и сложност на бизнеса
  • цели и обхват на одитите
Всяко от горните може да е променливо, а оттам следва, че поне някои промени ще се налага да се усвояват и от нашия процес на одитиране.

Какво е одит на система за управление?  
Отговорът на този въпрос ще видим в следващия пост
Публикувано от в
Етикети: , , ,

Няма коментари:

Публикуване на коментар

Абонамент за: Коментари за публикацията (Atom)