Изпълнение на одит
Това е точка 6 на стандарта. Тя съдържа седем подточки, като някои от тях са допълнително развити. Ще коментираме нивото "основни подточки" -- от 6.1 до 6.7. Да разберем смисъла им.
т. 6.1 -- Аршинът може да е различен
Точка 6.1 "Общи положения" заслужава особено внимание и ще я цитираме буквално.
"Тази точка съдържа указания за подготовка и извършване на конкретен одит като част от програмата за одит ... Степента, в която се прилагат предписанията на тази точка, зависи от целите и обхвата на конкретния одит."
Написаното е съвсем ясно. Вече знаем, че един одит винаги тръгва от зададени цели и обхват.
Няма нужда да се чете дълбоко между редовете на т. 6.1, но все пак от написаното разбираме:
- степента на прилагане на предписанията в т. 6 може да е различна -- от "никаква" до "съвсем подробна";
- степента на прилагане определяме само ние и даже може за всеки одит да е каквато искаме;
- степента на прилагане е съобразена с важността на целите и с обема на обхвата;
- "авторите" на стандарта не държат да следваме строго, точно и в пълнота указанията, наречени тук "предписания";
- "авторите" на стандарта ни дават степен на свобода, от която може да се възползваме, ако искаме да сме практични;
- ще имаме горната свобода, ако изискванията за одитиране, които ние залагаме в документи на системата ни и съответните им практики, са гъвкави;
- и накрая, няма да одитираме като "коне с капаци", а ще одитираме различно, като се съобразяваме какво и защо одитираме.
На това място, преди да приключим с т. 6.1, може да кажем "А, честито!" на онези последни мохикани, намират се все още тук и там, които гледат на ISO 19011 като на сбор с изисквания или като на свещена книга, всяко отклонение от която е греховно. А може и да им напомним, че този текст, със същия смисъл, го имаше и в предходното второ издание на стандарта!
Степента на свобода, за която стана дума по-горе, ще я реализираме, като в документите си за одитиране заложим, по наша преценка, варианти на изисквания и на практики, според целите и обхвата на различните одити. Едно е да одитираш дали някакъв най-обикновен склад спазва рутинни изисквания, друго е одит с обхват за процес, ползващ диагностичен инструментариум, който да стига до изводи от анализи и да дава заключение, годно за управленски решения. Само следва да внимаваме при това да не си усложним излишно процедурата... Накратко -- процедурата ни за одит може да съдържа пълен комплект от изисквания, като не всички от тях ще изпълняваме, а само тези, които преценим според целите и обхвата на всеки един случай.
Някой би опитал да обобщи смисъла на т. 6.1 с краткото "Ще си одитираме както си знаем!" и тук вече ще се наложи такъв анархистичен устрем да се охлажда и обуздава. Всеки одит -- бил той най-прост или най-сложен, съдържа и минава през една и съща канонична схема, без която не може и трябва да се спазва.
Ето я ...
1) търсим доказателства в зададените обхвати, съобразно зададените цели и избрани критерии;
2) знаейки критериите, при вече намерени доказателства, правим констатации;
3) знаем целите на одита и, при събрани достатъчно констатации, правим ЗАКЛЮЧЕНИЕ(я)
Заключението нарочно е с главни букви, защото то е най-важното -- с него приключва одитът.
И, както вече знаем, заключението/ята е обвързано, т.е. непременно кореспондира (т.е. има връзка), с целта/целите на одита.
Без тази триада, с всяка стъпка изпълнена по най-добър начин точно в тази последователност, одит всъщност няма. Може да се мисли, че указанията в т. 6.2 до 6.7 са дадени с цел да се осигури най-добро изпълнение на горната триада в един най-общ случай.
т. 6.2 -- Разузнаване, но "без бой"
"Разузнаване с бой" е военно понятие. За да се разбере къде е укрит противникът, трябва да го предизвикаш да открие стрелба и така той си издава огневите точки. При вътрешен одит не се конфронтират противници, няма бойно поле, но има разузнаване "без бой" и това е смисълът на т. 6.2. Как се прави? Трябва жива среща на водещият одитор (трябва да се знае вече кой е той) с хора-ръководители от одитираните звена/обекти. Стандартът посочва 11 теми. Много са!
За вътрешен одит, особено в малка или средна фирма, където хората се познават и където всички познават процесите, някои въпроси ще са излишни. Няма да коментираме всички теми.
Но нека видим кои са по-важни или необходими във всеки един случай:
За вътрешен одит, особено в малка или средна фирма, където хората се познават и където всички познават процесите, някои въпроси ще са излишни. Няма да коментираме всички теми.
Но нека видим кои са по-важни или необходими във всеки един случай:
- одитираните искат да разберат целите, обхвата, критериите, методите за одит и екипа;
- одиторите трябва да разберат какви са рисковете и възможностите в обектите за одит;
- какви нормативни актове и договори налагат изисквания в работата на одитираните;
- кой може да бъде най-подходящият график за провеждане на одита;
- има ли някакви изисквания за достъп, защита, сигурност, безопасност.
В заключение, "разузнаването без бой" приключва с изяснена възможност за извършване на одита, което, за вътрешен одит, след съгласуване, със сигурност е "Мисията е възможна!".
Ако в практиката има нещо за съгласуване, това най-често са графикът и съставът на екипа.
т. 6.3 -- "Un but sans plan n'est qu'un souhait" ("Цел без план е само желание")
Това е казано от Антоан дьо Сент-Екзюпери. За да е сигурен полетът и да се стигне до целта, е необходим летателен план. За всеки одит се поставят цели и това налага планиране. Това е смисълът на т. 6.3.
Има подготовка преди същинското планиране. Преглеждаме документираната информация, която се прилага в звената/обекта на одита и така се ориентираме за изпълняваните процеси и функции. Така детайлизираме критериите и разбираме къде да са акцентите на проверките.
Дори и след това пак не сме съвсем готови да пишем план за одита.
Трябва преди това да се помисли за рисковете. Изобщо рисковете са ни винаги "едно на ум". Това се нарича "подход, основан на риска".
Донякъде ни улеснява това, че в практиката са известни "дежурните" рискове при одит:
Остава, при разработване на плана за одит, да планираме така, че да избегнем всеки риск.
Според стандарта планът за одит следва да съдържа някои елементи и да отчете някои условия.
Елементите са:
Условията най-общо са свързани с необходимостта от комуникация между страните, вкл. и на други езици, със структура и оформяне на доклада, с логистика и координация, поверителност, с резултатите и заключенията от предходни одити. Може да има съобразяване и с други неща.
Остава планът да бъде обмислен, обсъден и съставен. Добрият план е изпълнимият план.
След това планът да бъде съобщен пред одитираните (но без частта с конкретните проверки).
Ако одитираните възразят срещу плана, търсим консенсусни решения и алтернативи.
И ако накрая всичко е наред -- планът е готов за изпълнение в деня на одита.
Планът за одит може да има всякакъв формат. Често е табличен. Удобно е да е на MS Excel.
Да приключим с още една мисъл ...
"Пропускайки подготовката, ти си подготвяш провала".
Така е казал Бенджамин Франклин. Как това се отнася до одиторите?
Ако вече са разпределени одиторските задачи за извършване на проверки, всеки одитор от екипа може да се погрижи да се подготви точно за задачите, които са му се паднали. Тази подготовка да помогне проверките да бъдат извършени ефикасно (цялостно) и ефективно (без преразход на планирани ресурси).
т. 6.4 -- "In God we trust. All others must bring data" - W. Edwards Deming
Ако парафразираме казаното от Деминг, то ще е "Вярваме в Бог. Всеки друг трябва да дава доказателства". Деминг го е казал не по повод на одитирането, но то и за него се отнася точно.
Триадата, посочена в т. 6.1, почва с доказателства и затова те са в основата на процеса на одит.
А точка 6.4 се отнася до извършването на одит.
Първо ще се погрижим, ако към екипа има водачи и наблюдатели, те да не ни пречат. Затова те са под командата на водещия одитор, а той иска от тях най-важното -- да не одитират. Водачите трябва да помагат на екипа (за бързо намиране на места, хора, документи, друго), но без да се намесват в проверките. Наблюдателите -- те, според това кой ги е пратил, трябва да наблюдават само това, което ги интересува, но безмълвно -- да не се намесват в действия по одитиране.
В началото на одита има "среща за откриване". Тя всъщност е среща на екипа одитори с екип на одитираните. Тук стандартът дава твърде много указания от различно естество, но това е защото се има предвид някаква сложна ситуация, при която екипите не се познават, говорят различни езици, одитираните не са наясно какво ги чака и как ще се действа и много още други неща. За вътрешен одит, особено в малка или среда организация, и особено ако се прави не за пръв път, а е едва ли не рутинна ситуация, нещата доста се опростяват. Включително до решение да няма среща за откриване по смисъла на описаното в стандарта, а нещо по-просто.
Иначе, във всеки друг случай, срещата е необходима за финализиране на нужни уточнения:
Методите основно са три, ако не броим, че могат и да се комбинират.
Метод -- преглед на документация.
Какво е документация? Всичко може да е документация, стига да е информация на носител -- записи, документи, снимки, каталози, чертежи, таблици, мостри, плакати, постери, кроики, шаблони, видеозаписи, аудиозаписи, файлове на твърд диск, USB, CD, DVD, магнитна лента, всичко, което може да се види на екрана на компютър, таблет, телефонен апарат, монитор на апаратура, микроскоп, индикация на прибор, изображение на телевизор, холограма ... стига само това да има статута на документ или запис според стандарта за проверяваната система и да е управлявано за актуалност, разпространение и запазване, както иска съответния стандарт.
Някои правила от практиката:
Ако в практиката има нещо за съгласуване, това най-често са графикът и съставът на екипа.
т. 6.3 -- "Un but sans plan n'est qu'un souhait" ("Цел без план е само желание")
Това е казано от Антоан дьо Сент-Екзюпери. За да е сигурен полетът и да се стигне до целта, е необходим летателен план. За всеки одит се поставят цели и това налага планиране. Това е смисълът на т. 6.3.
Има подготовка преди същинското планиране. Преглеждаме документираната информация, която се прилага в звената/обекта на одита и така се ориентираме за изпълняваните процеси и функции. Така детайлизираме критериите и разбираме къде да са акцентите на проверките.
Дори и след това пак не сме съвсем готови да пишем план за одита.
Трябва преди това да се помисли за рисковете. Изобщо рисковете са ни винаги "едно на ум". Това се нарича "подход, основан на риска".
Донякъде ни улеснява това, че в практиката са известни "дежурните" рискове при одит:
- риск 1 -- когато ние одитираме, може да попречим на хора, които работят;
- риск 2 -- да ангажираме прекалено одитираните и да им губим времето;
- риск 3 -- екипът одитори да няма пълна обща компетентност за одита;
- риск 4 -- недостатъчна по обем или прекалено голяма извадка при сбор на доказателства;
- риск 5 -- неефикасно или нереалистично планиране. Неизпълним изцяло план за одит;
- риск 6 -- одиторите не спазват установени разпоредби и условия за работната среда;
- риск 7 -- одиторите да пострадат поради невнимание или небрежност;
- риск 8 -- конфронтация с инциденти и конфликти по оста "одитор -- одитиран".
- риск 9 -- нарушена поверителност или друга характеристика на сигурността;
- риск 10 -- в резултат на всичко по-горе -- риск да не се постигнат целите на одита.
Остава, при разработване на плана за одит, да планираме така, че да избегнем всеки риск.
Според стандарта планът за одит следва да съдържа някои елементи и да отчете някои условия.
Елементите са:
- цели, обхват, критерии;
- места за посещение, дати, часове, времетраене на проверките;
- методи за одит, вид и размер на извадките -- зададени за всяка отделна проверка;
- екип, роли и отговорности за всеки от екипа, разпределение на проверките в екипа;
- разпределение и ползване на ресурите, необходими за планираните проверки.
Условията най-общо са свързани с необходимостта от комуникация между страните, вкл. и на други езици, със структура и оформяне на доклада, с логистика и координация, поверителност, с резултатите и заключенията от предходни одити. Може да има съобразяване и с други неща.
Остава планът да бъде обмислен, обсъден и съставен. Добрият план е изпълнимият план.
След това планът да бъде съобщен пред одитираните (но без частта с конкретните проверки).
Ако одитираните възразят срещу плана, търсим консенсусни решения и алтернативи.
И ако накрая всичко е наред -- планът е готов за изпълнение в деня на одита.
Планът за одит може да има всякакъв формат. Често е табличен. Удобно е да е на MS Excel.
Да приключим с още една мисъл ...
"Пропускайки подготовката, ти си подготвяш провала".
Така е казал Бенджамин Франклин. Как това се отнася до одиторите?
Ако вече са разпределени одиторските задачи за извършване на проверки, всеки одитор от екипа може да се погрижи да се подготви точно за задачите, които са му се паднали. Тази подготовка да помогне проверките да бъдат извършени ефикасно (цялостно) и ефективно (без преразход на планирани ресурси).
т. 6.4 -- "In God we trust. All others must bring data" - W. Edwards Deming
Ако парафразираме казаното от Деминг, то ще е "Вярваме в Бог. Всеки друг трябва да дава доказателства". Деминг го е казал не по повод на одитирането, но то и за него се отнася точно.
Триадата, посочена в т. 6.1, почва с доказателства и затова те са в основата на процеса на одит.
А точка 6.4 се отнася до извършването на одит.
Първо ще се погрижим, ако към екипа има водачи и наблюдатели, те да не ни пречат. Затова те са под командата на водещия одитор, а той иска от тях най-важното -- да не одитират. Водачите трябва да помагат на екипа (за бързо намиране на места, хора, документи, друго), но без да се намесват в проверките. Наблюдателите -- те, според това кой ги е пратил, трябва да наблюдават само това, което ги интересува, но безмълвно -- да не се намесват в действия по одитиране.
В началото на одита има "среща за откриване". Тя всъщност е среща на екипа одитори с екип на одитираните. Тук стандартът дава твърде много указания от различно естество, но това е защото се има предвид някаква сложна ситуация, при която екипите не се познават, говорят различни езици, одитираните не са наясно какво ги чака и как ще се действа и много още други неща. За вътрешен одит, особено в малка или среда организация, и особено ако се прави не за пръв път, а е едва ли не рутинна ситуация, нещата доста се опростяват. Включително до решение да няма среща за откриване по смисъла на описаното в стандарта, а нещо по-просто.
Иначе, във всеки друг случай, срещата е необходима за финализиране на нужни уточнения:
- по плана за одит -- ще има ли промени или остава, както е бил даден;
- работни времена и почивки;
- ползване на необходими ресурси (например, транспорт);
- условията за достъп;
- изисквания за безопасност;
- моменти и начини на комуникации и докладване;
- особени ситуации, които може да наложат прекъсване или отлагане на одита.
Методите основно са три, ако не броим, че могат и да се комбинират.
Метод -- преглед на документация.
Какво е документация? Всичко може да е документация, стига да е информация на носител -- записи, документи, снимки, каталози, чертежи, таблици, мостри, плакати, постери, кроики, шаблони, видеозаписи, аудиозаписи, файлове на твърд диск, USB, CD, DVD, магнитна лента, всичко, което може да се види на екрана на компютър, таблет, телефонен апарат, монитор на апаратура, микроскоп, индикация на прибор, изображение на телевизор, холограма ... стига само това да има статута на документ или запис според стандарта за проверяваната система и да е управлявано за актуалност, разпространение и запазване, както иска съответния стандарт.
Някои правила от практиката:
- одиторът преглежда първо документи, които предварително си е набелязал да иска;
- в редки случаи приема документи, предложени от одитирания, ако прецени за нужно;
- одиторът преглежда документи "в ръцете си", а не показани му от разстояние;
- преглеждането не е чрез "сканиране по диагонал", а е аналитично -- с вникване;
- проверяват се изискванията за управление на документите;
- проверяват се комплектността и състоянието;
- проверяват се свързаността и адекватността на данните в записи;
- одиторът може да поиска и допълнителни документи, за които не се е сетил отпреди.
Избягваме практики, в които методът да стане с течение на времето водещ и единствен. Иначе става така, подготовката на одитираните за одит ще е просто подготовка на документите.
Само в много редки и обосновани случаи одиторът иска за себе си копия на документи.
Одиторът контролира времето. То много бързо минава и може да не му стигне.
Одиторът има способност да се ориентира бързо и да не се уморява от големи обеми данни.
Добрият одитиран е подготвен да дава документи -- той не ги търси, защото са му подръка.
Докато одиторът гледа документи, одитираният не трябва да изчезва нанякъде, а да е при него.
Проверката се фактографира -- одиторът си записва какво е гледал и проверявал.
Метод -- събеседване с компетентни отговорни хора
Какво е събеседване? Всеки организиран разговор, който се води (в смисъл на "управлява") от одитора с одитирания колега. Разговорът е по предварително намислени теми и с намислени въпроси по всяка тема. Не само в това "намисляне" е подготовката на одитора. Одиторът знае предварително и що за човек (с какъв профил) е очакваният събеседник. Дали е бъбривец или стиснат и лаконичен. Дали умее да се изразява ясно, пълно и по темата. Подготовката изяснява кой е компетентният и отговорен човек, с когото трябва да се говори. Ако се случи един да е отговорен, а друг -- компетентен, то одиторът ще разговаря и с двамата.
А от одитора се очаква да управлява събеседването за получаване на доказателства основно от вида "излагане на факти" (виж дефиницията за доказателство от одит), а понякога и някои допълнителни доказателства, ако в хода на разговора се гледат записи или документи, или се стигне до ситуации, предлагащи доказателства от вида "друга информация".
Но основното е одиторът да получи това "излагане на факти" като основен резултат.
Да се върнем на подготовката във вид на намислени теми и въпроси към темите.
Не си правете въпросник, ако смятате той да бъде изчерпателен. Въпросите в него ще са много и в крайна сметка ще затормозят разговора, ще загубят време. Някои въпроси даже може да бъдат претупани, а може накрая да останат и незададени въпроси. Твърди се, че за всяко нещо, което трябва да бъде опознато и проучено, са достатъчни само няколко (5 или 6) въпроса.
Ако трябва одиторът да опознае някаква дейност...
1-ви въпрос -- "В какво най-общо се изразява дейността и какво е значението й ?"
2-ри въпрос -- "Каква подготовка е необходима за изпълнение ?"
3-ти въпрос -- "Какви са изискванията (поне основните) за изпълнение ?"
4-ти въпрос -- "Каква е организацията за контрол на дейността и на резултатите от нея ?"
5-ти въпрос -- "Какво се прави при установено отклонение от изискванията ?"
6-ти въпрос -- "Как се документира, отчита или докладва изпълнението ?"
Няма нужда за тези 5 или 6 въпроса да се пише въпросник -- те лесно се помнят. Одитор, който е забол носа си да чете обширен въпросник и не се сеща да погледне човека в очите, "олеква". Затова нека практиката е такава -- помним тези "ключови" въпроси, не ги претупваме. Като слушаме внимателно, отговорът на всеки ключов въпрос може да ни подсети да зададем някои "непланирани" уточняващи или допълващи въпроси. Това е доброто одиторско събеседване ...
А сега -- лошите практики!
Методът "събеседване" е рисков. Одиторът може да се изложи и да не си свърши работата:
(ХХХ -- Материалът се дописва и редактира, моля, извинете!)
А от одитора се очаква да управлява събеседването за получаване на доказателства основно от вида "излагане на факти" (виж дефиницията за доказателство от одит), а понякога и някои допълнителни доказателства, ако в хода на разговора се гледат записи или документи, или се стигне до ситуации, предлагащи доказателства от вида "друга информация".
Но основното е одиторът да получи това "излагане на факти" като основен резултат.
Да се върнем на подготовката във вид на намислени теми и въпроси към темите.
Не си правете въпросник, ако смятате той да бъде изчерпателен. Въпросите в него ще са много и в крайна сметка ще затормозят разговора, ще загубят време. Някои въпроси даже може да бъдат претупани, а може накрая да останат и незададени въпроси. Твърди се, че за всяко нещо, което трябва да бъде опознато и проучено, са достатъчни само няколко (5 или 6) въпроса.
Ако трябва одиторът да опознае някаква дейност...
1-ви въпрос -- "В какво най-общо се изразява дейността и какво е значението й ?"
2-ри въпрос -- "Каква подготовка е необходима за изпълнение ?"
3-ти въпрос -- "Какви са изискванията (поне основните) за изпълнение ?"
4-ти въпрос -- "Каква е организацията за контрол на дейността и на резултатите от нея ?"
5-ти въпрос -- "Какво се прави при установено отклонение от изискванията ?"
6-ти въпрос -- "Как се документира, отчита или докладва изпълнението ?"
Няма нужда за тези 5 или 6 въпроса да се пише въпросник -- те лесно се помнят. Одитор, който е забол носа си да чете обширен въпросник и не се сеща да погледне човека в очите, "олеква". Затова нека практиката е такава -- помним тези "ключови" въпроси, не ги претупваме. Като слушаме внимателно, отговорът на всеки ключов въпрос може да ни подсети да зададем някои "непланирани" уточняващи или допълващи въпроси. Това е доброто одиторско събеседване ...
А сега -- лошите практики!
Методът "събеседване" е рисков. Одиторът може да се изложи и да не си свърши работата:
- не се представя, държи се строго официално и не "разведрява" обстановката;
- не представя целта на разговора;
- не управлява времето, придържането към темите, обстановката;
- чете въпросник, забол е нос в бумагите си, не поглежда човека (вече го казахме това);
- не изслушва докрай -- прекъсва;
- позволява на други одитори (ако той не е сам) и те да питат в режим "кръстосан разпит";
- записва си отговорите в режим почти "стенографиране" без да е поискал разрешение;
- одиторът е загрижен и прави усилия, често тромави, да покаже, че и той е компетентен;
- одиторът, по един или друг начин, губи самоконтрол на поведението си.
Метод -- наблюдение
Какво е наблюдение? Одиторът присъства на мястото, където може лично да види изпълнение на работа или да установи състоянието на нещо (хигиена, подреденост, наличност или друго).
Тук подготовката е във внимателното запознаване с дейността/процеса, която ще се проверява, чрез документите, съдържащи критерии, ако е нужно ще се гледат и други документи. Може да се направи предварително посещение на мястото, където ще се развива действието. В най-добър случай запознаването ще даде като резултат пълна представа за това, което би трябвало да се види при правилно изпълнение или какво би трябвало да бъде правилното състояние.
Подготовката продължава с уреждане на среща (ден и час) за явяване на мястото. Там одиторът ще се срещне и представи, ако е нужно, на ръководител или друго лице, което е "домакин" на мястото. Ще поиска да знае кога предстои изпълнение на дейността, колко време продължава, къде да застане, какво да прави или да не прави, за да не пречи на работата, и други уточнения. Полезно е одиторът да се е подготвил с чек-лист, в който ще отбелязва стъпките на изпълнение= и спазването на набелязани критерии. Ако е позволено, може да се заснеме клип.
Описаното до тук е "наблюдение на естествено изпълнение". А може да има и "поръчано за целите на одита изпълнение", когато одиторът ще помоли да се направи нещо пред него, за да види какво и как се постъпва. При молба за поръчано изпълнение одиторът може да получи отказ и може ще трябва да преговаря или да намери друг човек, друго място, друг момент.
А има и дейности, които не могат да се наблюдават във всеки момент -- как се организира и прави обучение, как се приема и отработва рекламация, как висшето ръководство насърчава персонала за работа по подобрения и други подобни. В тези случаи ползваме другите методи.
Добра практика е при планиране на одита, при определяне на всяка проверка, да се задават и методите за набиране на доказателства. Но следва да се имз предвид и това, че в хода на одита тези методи може да се наложи да бъдат сменени или комбинирани.
Също добра практика е одитираните да са готови предварително да представят доказателства за работата си и за постигане на изискванията. Такава готовност на одитираните намалява стреса на одиторите, който се изразява в това, че няма готови и лесно достъпни доказателства, одитът се бави и влиза в конфликт с планираните за проверките времена. Одиторите са хора, които не обичат да правят, образно казано, разкопки, за да добиват доказателства. На тях им се иска доказателствата да са им пред очите и да се разкриват бързо и лесно.
Да се върнем на т. нар. "фактографиране". С него намерената информация (документи, записи, данни, факти, сведения) става доказателство, защото по този начин се изпълнява условието доказателството да е проверимо. При всеки метод за добиване на информация записваме данни за получената информация. Ако сме гледали записи -- посочваме кои, от дата... до дата... или от номер... до номер... Ако сме говорили с хора -- записваме с кого, за какво и по кои въпроси какви отговори (само основните моменти) сме получили. Ако сме наблюдавали изпълнение на работа или състояние на нещо -- записваме какво, къде, с кого сме гледали. Всяко получено годно (т.е. адекватно и проследимо) доказателство следва да бъде записано.
Остава да бъдат определени констатации, чрез съпоставяне на доказателствата с критериите.
Типично за вътрешните одити, но не като правило, констатациите за съответствие не се пишат.
Повече внимание се обръща на констатациите за несъответствия и те следва да се записват, а понякога и да се степенуват. Степенуване има, когато констатациите не са за несъответствие, а
трябва да отразят "степен на удовлетворяване на критериите", както е казано в дефиницията за одит. Степените може да са в числови стойности по някаква скала или в стойности по ниво. Това степенуване се описва в някакъв документ (в методика или в процедурата за одити) за да се избегне донякъде субективизма при присъждане на степента.
Констатациите следва да се обсъждат с одитираните колеги или може и с други одитори, а ако има несъгласие с определена от одитора констатация, тя се обсъжда, за да се стигне до общо разбиране, а ако съгласие не се постига, то различните мнения се вписват в доклада от одит.
Най-хубаво е, когато има възможност, екипът одитори да намери време за общо обсъждане и за преглед на получените констатациите, преди те да се вписват в доклада и да се обявяват. При такава среща на екипа обсъждането се води с отчитане на поставените цели на одита и се явява като част от подготовката на заключителната среща, с която се закрива одитът. Срещата приключва с формулиране и постигане на съгласие за заключението от одита. Заключението се базира на пакета от всички констатации, съпоставен с поставените цели чрез плана за одита. Заключението съдържа основно твърдения за степента на съответствие спрямо критериите и твърдения, с връзка към поставените цели. Например, ако целта е била "Да се установи ефикасността на ... ", то в заключението непременно ще има текст, който казва "Ефикасността на ... е ... ". В заключението може да има текстове за преценка на състоянието на системата като цяло, а може да има и всякакви други твърдения, които екипът счете за необходимо. Но най-важно от всичко е ДА ИМА ЗАКЛЮЧЕНИЕ и то да е адекватно и да покрива целите на одита.
Срещата за закриване на одита е с основно значение да обяви констатациите и заключението.
Срещата води водещият одитор. Присъстват екипът одитори, ръководителите на одитираните колеги, може да има и заинтересовани страни. Може да се обсъждат варианти за закриване на несъответствията.
т. 6.5 -- "Verba volant, scripta manent" (Думите отлитат, написаното остава)
От римски времена е ясно, че важните работи са свързани с необходимост от документиране.
За нас, при одита, докладът от одит е най-важния документ, а стандартът казва "Докладът от одит предоставя пълен, точен, обобщен и ясен запис за одита... " и после посочва елементи, които могат да влязат в текстовете на доклада. Много са! Да не ги коментираме. По-добре е да ги видим в т. 6.5.1 и да преценим кои от многото препоръчани елементи ще ни свършат реално работа, когато трябва да дадем писмени резултати от одита. Докладът се разпространява до клиента на одита и до другите страни, в т.ч. може и заинтересовани страни да получат части от доклада. А най-добра практика, за която стандартът не се е сетил, е докладът да се презентира.
Да опитаме да разберем какво има в последните две точки -- т. 6.6 и т. 6.7 -- само "с две думи", тъй като в тях няма нищо толкова значимо или особено, и нищо чак толкова интересно.
т. 6.6 -- Завършване на одит
Всичко, каквото има да се прави след одит е направено и документите от този одит са запазени
т. 6.7 -- Извършване на действия след одит
Действията са корекции и коригиращи действия. Те се определят и изпълняват от одитираните лица. Те освен това следва да докладват за резултатите, а ефекта от действията следва да бъде проверен. Стандартът няма ясна представа как и кога да стане проверката и кой да я направи. А това означава, че ние трябва да намерим решение сами...
Тук подготовката е във внимателното запознаване с дейността/процеса, която ще се проверява, чрез документите, съдържащи критерии, ако е нужно ще се гледат и други документи. Може да се направи предварително посещение на мястото, където ще се развива действието. В най-добър случай запознаването ще даде като резултат пълна представа за това, което би трябвало да се види при правилно изпълнение или какво би трябвало да бъде правилното състояние.
Подготовката продължава с уреждане на среща (ден и час) за явяване на мястото. Там одиторът ще се срещне и представи, ако е нужно, на ръководител или друго лице, което е "домакин" на мястото. Ще поиска да знае кога предстои изпълнение на дейността, колко време продължава, къде да застане, какво да прави или да не прави, за да не пречи на работата, и други уточнения. Полезно е одиторът да се е подготвил с чек-лист, в който ще отбелязва стъпките на изпълнение= и спазването на набелязани критерии. Ако е позволено, може да се заснеме клип.
Описаното до тук е "наблюдение на естествено изпълнение". А може да има и "поръчано за целите на одита изпълнение", когато одиторът ще помоли да се направи нещо пред него, за да види какво и как се постъпва. При молба за поръчано изпълнение одиторът може да получи отказ и може ще трябва да преговаря или да намери друг човек, друго място, друг момент.
А има и дейности, които не могат да се наблюдават във всеки момент -- как се организира и прави обучение, как се приема и отработва рекламация, как висшето ръководство насърчава персонала за работа по подобрения и други подобни. В тези случаи ползваме другите методи.
Добра практика е при планиране на одита, при определяне на всяка проверка, да се задават и методите за набиране на доказателства. Но следва да се имз предвид и това, че в хода на одита тези методи може да се наложи да бъдат сменени или комбинирани.
Също добра практика е одитираните да са готови предварително да представят доказателства за работата си и за постигане на изискванията. Такава готовност на одитираните намалява стреса на одиторите, който се изразява в това, че няма готови и лесно достъпни доказателства, одитът се бави и влиза в конфликт с планираните за проверките времена. Одиторите са хора, които не обичат да правят, образно казано, разкопки, за да добиват доказателства. На тях им се иска доказателствата да са им пред очите и да се разкриват бързо и лесно.
Да се върнем на т. нар. "фактографиране". С него намерената информация (документи, записи, данни, факти, сведения) става доказателство, защото по този начин се изпълнява условието доказателството да е проверимо. При всеки метод за добиване на информация записваме данни за получената информация. Ако сме гледали записи -- посочваме кои, от дата... до дата... или от номер... до номер... Ако сме говорили с хора -- записваме с кого, за какво и по кои въпроси какви отговори (само основните моменти) сме получили. Ако сме наблюдавали изпълнение на работа или състояние на нещо -- записваме какво, къде, с кого сме гледали. Всяко получено годно (т.е. адекватно и проследимо) доказателство следва да бъде записано.
Остава да бъдат определени констатации, чрез съпоставяне на доказателствата с критериите.
Типично за вътрешните одити, но не като правило, констатациите за съответствие не се пишат.
Повече внимание се обръща на констатациите за несъответствия и те следва да се записват, а понякога и да се степенуват. Степенуване има, когато констатациите не са за несъответствие, а
трябва да отразят "степен на удовлетворяване на критериите", както е казано в дефиницията за одит. Степените може да са в числови стойности по някаква скала или в стойности по ниво. Това степенуване се описва в някакъв документ (в методика или в процедурата за одити) за да се избегне донякъде субективизма при присъждане на степента.
Констатациите следва да се обсъждат с одитираните колеги или може и с други одитори, а ако има несъгласие с определена от одитора констатация, тя се обсъжда, за да се стигне до общо разбиране, а ако съгласие не се постига, то различните мнения се вписват в доклада от одит.
Най-хубаво е, когато има възможност, екипът одитори да намери време за общо обсъждане и за преглед на получените констатациите, преди те да се вписват в доклада и да се обявяват. При такава среща на екипа обсъждането се води с отчитане на поставените цели на одита и се явява като част от подготовката на заключителната среща, с която се закрива одитът. Срещата приключва с формулиране и постигане на съгласие за заключението от одита. Заключението се базира на пакета от всички констатации, съпоставен с поставените цели чрез плана за одита. Заключението съдържа основно твърдения за степента на съответствие спрямо критериите и твърдения, с връзка към поставените цели. Например, ако целта е била "Да се установи ефикасността на ... ", то в заключението непременно ще има текст, който казва "Ефикасността на ... е ... ". В заключението може да има текстове за преценка на състоянието на системата като цяло, а може да има и всякакви други твърдения, които екипът счете за необходимо. Но най-важно от всичко е ДА ИМА ЗАКЛЮЧЕНИЕ и то да е адекватно и да покрива целите на одита.
Срещата за закриване на одита е с основно значение да обяви констатациите и заключението.
Срещата води водещият одитор. Присъстват екипът одитори, ръководителите на одитираните колеги, може да има и заинтересовани страни. Може да се обсъждат варианти за закриване на несъответствията.
т. 6.5 -- "Verba volant, scripta manent" (Думите отлитат, написаното остава)
От римски времена е ясно, че важните работи са свързани с необходимост от документиране.
За нас, при одита, докладът от одит е най-важния документ, а стандартът казва "Докладът от одит предоставя пълен, точен, обобщен и ясен запис за одита... " и после посочва елементи, които могат да влязат в текстовете на доклада. Много са! Да не ги коментираме. По-добре е да ги видим в т. 6.5.1 и да преценим кои от многото препоръчани елементи ще ни свършат реално работа, когато трябва да дадем писмени резултати от одита. Докладът се разпространява до клиента на одита и до другите страни, в т.ч. може и заинтересовани страни да получат части от доклада. А най-добра практика, за която стандартът не се е сетил, е докладът да се презентира.
Да опитаме да разберем какво има в последните две точки -- т. 6.6 и т. 6.7 -- само "с две думи", тъй като в тях няма нищо толкова значимо или особено, и нищо чак толкова интересно.
т. 6.6 -- Завършване на одит
Всичко, каквото има да се прави след одит е направено и документите от този одит са запазени
т. 6.7 -- Извършване на действия след одит
Действията са корекции и коригиращи действия. Те се определят и изпълняват от одитираните лица. Те освен това следва да докладват за резултатите, а ефекта от действията следва да бъде проверен. Стандартът няма ясна представа как и кога да стане проверката и кой да я направи. А това означава, че ние трябва да намерим решение сами...
(ХХХ -- Материалът се дописва и редактира, моля, извинете!)
