вторник, 17 ноември 2020 г.

LEAN - Continuous Improvements... Where does continuous improvements management start?

LEAN - Continuous Improvements... Откъде започва управлението на подобренията?
LEAN - Continuous Improvements... Where does continuous improvements management start?

Извинете, материалът е на адрес
https://www.blogger.com/blog/post/edit/2082309523434294981/6099054083142220482

Sorry, You can find this article athttps://www.blogger.com/blog/post/edit/2082309523434294981/6099054083142220482



LEAN Production - 5S. Easy to achieve, but hard to maintain

LEAN Production - 5S. Лесно се прави, но трудно се поддържа
LEAN Production - 5S. Easy to establish, but hard to maintain it


Извинете, материалът е на адрес
https://www.blogger.com/blog/post/edit/2082309523434294981/1737023356622581766

Sorry, You can find this article at
https://www.blogger.com/blog/post/edit/2082309523434294981/1737023356622581766



понеделник, 20 юли 2020 г.

ISO 19011 и вътрешните одити. Оценяване. Кой одитор ни е "по-по-най"?




Въведение в темата. 
Може да е достатъчно, ако имате най-общ интерес към оценяването...

Въпросът "Кой одитор ни е по-по-най?" е безполезен. Не точно това трябва да ни интересува. Няма смисъл от класации, ранжиране, групиране или други някакви селекции. Ако правим оценяване, то е за да определим дефицити на компетентност, ефикасност на обучения или други действия в полза на одиторите на фирмата. Също и за да прегледаме поведението им при одитиране и да анализираме обратната връзка от одитираните и от заинтересовани страни. Ако правим някакво оценяване, то е и за да си планираме развитието на одиторите за година напред. 

Защото с одиторите следва постоянно да се работи, а дори и да им се възлага самоподготовка. 
Всеки одитор е човек, който винаги има какво да учи и винаги има нещо за усъвършенстване. 

Ако горното въведение е твърде сухо и постно, нека да видим нещата по-подробно...

И все пак -- трудно ми е да разбера откъде някои хора имат толкова голям интерес по темата за оценяване на вътрешните одитори. И защо за такова оценяване разчитат на стандарта ISO 19011, а не седнат сами да си определят критерии и методи и да си оценяват хората колкото си искат...

Но нека най-напред си изяснят какво точно искат да оценяват и дали наистина това им е важно.

Това въведение, освен че е маркирано в синьо, не свършва тук, а продължава с текст в края на този материал, който също е маркиран в синьо. Ще го видите най-долу, ако ви е интересно...


Компетентност и оценяване на одитори

Имаме си одиторски състав от няколко вътрешни одитори, определени както си трябва -- със заповед, след обучение, след кратко чиракуване в учебни одити или като наблюдатели. До тук -- добре! От този одиторски състав си определяме екипи за всеки отделен одит и чакаме читави резултати, т.е. заключения от одита, които да "покриват" зададените цели. Но ние не винаги сме доволни от резултатите и/или от поведението на одиторите ни.

"Ние" сме клиентите на одита, одитираните и други, участващи или засегнати от одита, страни.

Така се отваря възможност да говорим за оценяване на одитори и свързани с оценки действия.
На публични семинари въпросът най-често е бивал само маркиран, а детайлите на оценяването оставяни за самоподготовката на одиторите, ако имат интерес. Отделно ще добавим и това, че твърде редки са случаите, когато се пристъпва към оценяване на вътрешните одитори. Причината може би е в това, че никой не харесва да бъде оценяван, а има и друго -- повечето хора не обичат да бъдат оценители. Е, при това положение никак не е чудно, че материята "оценяване" не привлича особен интерес и това донякъде е жалко. Защото целта на едно такова оценяване не е да правим класация на "топ тримата" най-добри, а е да се разбере кой одитор от какво има нужда, за да израстне квалификационно или за да се освободи от не толкова добри лични навици и грешки, допускани в практиката. А за да знаем кой как работи като одитор, ние трябва да осигурим под някаква форма наблюдение, а също и обратни връзки от одитираните.

Ако Програмата за одити има добре организиран мониторинг, това до някаква степен решава въпроса с наблюдението. Ако все пак е нужно и нещо повече, трябва сами да преценим какво ще е подходящо. Може да е лице със задача да бъде "наблюдател" в някои от одитите, като при това осигурим наблюдателят да види практиките на всеки от състава на одиторите поне в един одит. Това обаче ще е подходящо и възможно в по-големи средни и в големи фирми. Едва ли ще има смисъл там, където одиторския състав във фирмата е от един или двама души. Но нека си кажем направо -- ако одиторите на фирмата са само един, двама или даже трима, едва ли ще е нужно да правим нещо специално за оценяване. В такива случаи просто трябва да осигурим тези един, двама или трима наши одитори да бъдат добре подготвени, като им осигуряваме редовно обучения и внимаваме дали се справят добре и все по-добре с течение на времето.

Написаното тук няма за цел да замести или да интерпретира постановките на стандарта. Точно напротив. В тази си част стандартът е подробен и ясен и би следвало да бъде внимателно четен.
Нататък следва информация по-скоро със справочен характер -- само къде и какво пише в текста.

В началото, в т. 7.1 се говори, че от компетентността зависи постигането на целите на одита.
Затова компетентността се планира и редовно оценява чрез процес, подчинен на Програмата.

Така става ясно, че този процес следва да съдържа и да управлява дейностите
- определяне на изисквана компетентност
- определяне на критерии за оценяване
- избор на метод(и) за оценяване 
- изпълнение на същинско оценяване

Процесът има входове -- данни за лично поведение, за прилагане на знания, опит от одити...
Изход от процеса (резултат) -- достатъчно ниво на обща за състава от одитори компетентност

Какво ще правим с така получените резултати? Ще знаем как да съставяме екипи за всеки одит. 
Ще се насочим накъде да ориентираме усилията за развитие на компетентността. Ще можем, ако редовно оценяваме, да видим и тенденциите в компетентността. Това би следвало да ни стига...

В 7.2.1 виждаме какво се очаква да знае добрият вътрешен одитор:
- продуктите, услугите и процесите в организацията, в която работи;
- методите за одитиране. Кога кой метод е подходящият. Как се комбинират методите;
- стандартите, системите и техните обхвати;
- рисковете в обхвата;
- Програмата за одити -- цели и обхват;
- неопределеността в зависимост от целите на конкретен одит;
- изисквания на клиента или на заинтересованите страни.

Може одиторът да знае горното и още други неща, но няма да е добър одитор, ако не притежава естествено или ако не е способен да усвои, поне само за времето на одит, нужни лични качества

В 7.2.2 може да видим тези лични качества
Тук няма да ги коментираме всичките, но има няколко непременно за отбелязване:
- одиторът допуска разглеждане и може да възприема алтернативи и различни гледни точки;
- одиторът води активно наблюдение. Не е сеирджия. "Активно" значи гледа и анализира;
- одиторът е възприемчив и гъвкав в мисленето и реакциите. Не го изумява различното; 
- одиторът е готов да приема различни подходи и култури (и психотипове на хора).

За последните две качества има дори специални указания, дадени от ISO и IAF. 

И така -- в 7.2.2 е представен впечатляващ букет от лични качества -- 13 на брой. Някои от тях са особени и твърде спорни -- например, одиторите да са "непоколебими". Това "качество" може да изиграе много лоша шега, ако при някого е в излишък. Това няма да го коментираме. Но е ясно, че човек с тези 13 лични качества за вътрешен одитор ние във фирмата си няма да намерим. 

Не е лесно да се намери такъв човек и извън фирмата.

Тогава? Реалността е проста -- работим с тези хора, с които разполагаме. Те поне трябва да знаят какви качества са нужни. Ако някое качество, нормално, в ежедневието, им липсва, то, в ситуация на одит, ще се наложи да го имат и да го ползват. O, да, трудно е, но няма как иначе... 

В т. 7.2.3 намираме дълъг, подробен и почти досаден опис на това, което се нарича "знания и умения". Ако опитаме да съкратим това прекалено подробно изброяване, може само да кажем, че са нужни "Общи знания и умения за системите за управление" (цитат), при което са пропуснали да уточнят, че става дума за стандартизираните системи за управление. И друго -- тези знания и умения са наречени "общи", но, забележете, те са 24 на брой! (в "Мечо Пух" имаше един подобен документ, който съдържаше, освен "Общи точки", в допълнение и "Още общи точки"!)

На следващо място идва компетентността за "област" и за "специфичен сектор". Тук стандартът скромно посочва само четири теми, от които само трета, и отчасти четвърта тема (за рисковете!), са свързани с конкретния вид работа в професионалната област. Идеята е одиторът да е готов предметен специалист. Не става в предприятие, което мели клинкер, за да произведе цимент, да ходи и да одитира човек, който знае как се мели зърно за производство на брашно. Кои са тези четири теми - вижте ги сами...

На още по-следващо място се посочва и друг вид компетентност, с която се натоварва човек, ако е ръководител на екип за одит. Темите тук са 13 на брой!

Накрая т. 7.2.3 има фанфарен завършек, защото се казва, че ако в обхвата на одита са няколко области (разбираме "няколко стандарта"), одиторите трябва да знаят гореизброените теми за всеки от стандартите, плюс тънкостите по "взаимодействието и синергията" (цитат!) между различните системи. 

В 7.2.4 и 7.2.5 се вижда как се постига компетентност за одитор и за ръководител на екип. За да постигнеш компетентност за одитор се препоръчва да следваш и комбинираш(!) четири действия, три от които са банални и не си струва да ги коментираме, а четвъртото може да се нарече, по нашенски, "чиракуване" под надзор на вече "печен" одитор. А за да постигнеш компетентност за ръководител на екип -- онези 13 теми, посочени тук по-горе, трябва да ги демонстрираш в режим на чиракуване на печен ръководител на екип.

Всеки знае, че оценяване се прави по критерии. В т. 7.3 "Определяне на критерии" стандартът ни казва само, макар че си знаем, че критериите може да са качествени, а може и количествени. Толкова по въпроса. Остава висящ въпросът "А кои все пак са критериите?". За тези, които четат стандарта много внимателно, има отговор и той е в даден по-нататък... в т. 7.5, където ни се казва, че критериите са посочени в т. 7.2.3! Нека си ги припомним само като бройка. Бройката е 24 + 4 + 13 = 41. 

Пак всеки знае, че критериите се ползват при работа с определени методи.
В ISO 19011 намираме шест метода за оценяване, за които ни се казва, че е най-добре да ги ползваме съчетано, за да имаме обективен, последователен, безпристрастен и надежден резултат.  

На това място вече се оформя една картина, която е такава, че ясно се вижда -- оценяването не е шега работа и не е играчка. Шест метода за оценяване по 41 критерия. Горко му не само на оценявания, но и на оценителя. Но не е само това. Нататък се препоръчва -- ако оценявания "не отговаря на критериите" (цитат), пращаме го на "допълнително обучение" (цитат) и накрая го пробваме пак с "повторно оценяване" (цитат). Ясно е едно -- при 41 на брой критерия за оценяване, човекът, при повторното оценяване, ще се издъни на други някои критерии и така се стига лесно до квалификационно-оценително перпетуум мобиле от типа "Подбор - обучение - оценяване - провал - обучение - оценяване - ... " Ясно е, че никой практично мислещ човек няма да тръгне да оценява по този начин. А ако пък някой издържи подобно оценяване, то той с основание може да се смята за нещо като свръхчовек или полубог, а това вече е напреднал стадий на психичното заболяване, наречено "одитизъм".

За да сме изчерпателни, поне по отношение на структурата на този раздел на стаандарта, нека кажем, че краят на тази сага с компетентност и оценяване е положен в т. 7.6 с дежурните и банални, поради масовото им повторение навсякъде, съвети за подобряване и непрекъснато професионално развитие.

(Това е текст, с който приключва частта "Въведение" на този материал)
Може наистина да има случаи, в които компетентността на вътрешните одитори да е критично важна и да е много необходимо да се проверява, оценява, поддържа, подобрява... Но масовият случай не е такъв и не налага да си налагаме мазохизма на оценяването в мащаба и по начина, както е дадено в ISO 19011. Хората не обичат да бъдат оценявани. Хората не обичат и да са оценители. Нека изграждаме вътрешните си одитори чрез участия в одити, наблюдения как работят и с поддържане на жива обратна връзка от одитираните и "права връзка" от клиента на одита. Приемаме правилото, че работим с хората, с които реално разполагаме и се грижим, както можем и както знаем, те да ни дават резултатите, които очакваме. Това се нарича самодейност, която не изключва най-изкушените колеги да намерят време и да прочетат търпеливо т. 7, в която хората, съставили стандартът, са си мислили, че са ни дали много полезна и много приложима информация. Дано е така. Успех! 
   





четвъртък, 23 април 2020 г.

ISO 31000 и Черния лебед


Ще опитомим ли Черния лебед с помощта на стандарта ISO 31000?

Една сутрин ни носи изненада – виждаме как черен лебед си се разхожда спокойно в двора ни.
Може ли да си опитомим черен лебед? Бързият отговор е „Не!“. Всъщност, за какво става дума? Сянката на черния лебед се явява за пръв път, и за кратко, в античността, но се мярка още няколко пъти в средновековието и, като по чудо, остава и до наши дни, но вече лишена от енигматичност и драматизъм – вече се знае, че най-напред в Австралия са открили черни лебеди и в днешни времена те не са някакво чудо, но останаха само като метонимия. Преименуването на явления и събития, често поетично и картинно, е похват в литературата, понякога и в други изкуства (да си спомним „Лебедово езеро“ на Чайковски). Нарича се „метонимия“. А е почти закон „Черен лебед“ да се свързва с най-мрачната палитра от катастрофи, коварство, измами, лъжи, поругаване на клетви, а напоследък и с тежки „модерни“ престъпления, каквото е терора в най-голям мащаб. В наши дни експертите по управление на рискове са приели и употребяват по-широко понятието „Черен лебед“ от 2007 г., когато Насим Талеб издаде книга с такова заглавие и опита да определи кои явления и събития се вписват в понятието „Черен лебед“.


Старозагорска опера, "Лебедово езеро", Анелия Димитрова в ролята на Одилия


Никой не може да сбърка събитие от типа „Черен лебед“, защото такова събитие е много голяма, като последици, и съвсем неочаквана, като вероятност, изненада. И едва когато събитието вече е станало факт, чак тогава започват да стават ясни някои негови ранни признаци и индикатори. В този смисъл инфекцията „COVID-19“ за нас не е черен лебед поне по две причини – защото вече сме я видяли в Китай и защото си знаем, че вирусите са стар и вечен неприятел на човека. Може да се каже, че класическият „черен лебед“ не се повтаря и каца само веднъж в историята на човечеството. А това ни навежда на мисъл, че има и „сиви лебеди“, които може много да приличат, или по характер да са същите като черните, но с тази разлика, че имаме отпреди опит и знания, дори и частични да са, от вече преживяно някъде по света събитие „Черен лебед“.

Класическият черен лебед не може да бъде съчинен и измислен от хора, макар такива опити да са правени и то неведнъж. А в някои случаи се плаща висока цена за подобни измислици. Една такава беше очакваното събитие Y2K, което уж щеше да обърка всички компютърни системи.
Ние, хората, трябва да си знаем... има още и други черни лебеди, за които сега и през ум не ни минава, че могат да съществуват! Затова ще е успех да се измисли универсален подход, с който да реагираме смислено на „черни събития“ в две посоки – как да намалим тежестта и обхвата на последиците и какви индикатори да следим, за да сме сигурни, че лебедът няма да се върне.

И така, вече е ясен по-обстойният отговор на въпроса „Може ли да си опитомим черен лебед?“. Към краткия отговор „Не!“ ще добавим, че рутинното управление на рисковете, описано във вид на указания в стандарта ISO 31000, разчита на процес, в началото на който е информираността, като минимум – за сценарии на събития, за вероятността те да се случат и за последиците от тях. Нататък процесът разчита на оценяване по зададени от нас критерии, ранжиране, направено според наши приоритети и интереси и накрая – разработване и прилагане на план с дейности, които са прицелени да въздействат върху средата-източник на рискове, за да е „под контрол“.

Има ли полза от прилагане на стандарта ISO 31000 щом като той само указва как да прилагаме рутинен процес за овладяване на рутинни рискове? И тук има кратък отговор – „Има полза!“. Ще разберем каква е ползата, ако опитаме да изясним какво е „рутинни“ рискове. Наричаме ги рутинни, защото са резултати от събития, които не учудват никого, ако се случат. Те са рутинни, защото са се случвали в миналото на нас самите или и на други места, имат ясни индикатори и се знаят почти точно основните последици, ако се реализират. Рутинните рискове са типични и характерни за работните ни процеси и за бизнеса. В този смисъл няма нужда, дори може да се каже, че е порочно да се напъваме да измисляме някакви екзотични, откъснати от практиката ни, рискове. Ако си позволим да правим така, неизбежно изпадаме в болезнена рископатия.
Но леките форми на рископатия са полезни, особено за хора, които са с развито въображение.

И все пак – кои рискове може да считаме за рутинни?
Сами трябва да си отговорим на въпроса.
Ако проектираме и внедряваме ново изделие, рисковете може да са ... проектът да се оскъпи, да не даде резултат, да закъснее, изделието да не е функционално или надеждно.
Ако предприемаме инвестиция, рисковете може да са ... тя да е неуспешна, да се оскъпи, да остарее бързо, да изостане много назад спрямо другите.
Ако искаме да излезем на нов пазар ... Ако опазваме индустриална тайна ... Ако назначаваме нов или освобождаваме стар персонал ... Ако усвояваме нова технология ... Ако ...

Ясно се вижда, че овладяването на рутинните рискове, чрез предвидения в стандарта ISO 31000 процес, ще дава бързи и видими ползи в много посоки, при което обобщено може да се каже „Основната полза е в това, че по-сигурно ще се постигат поставяни цели“. Пренасочването на внимание в ежедневието, дори частично, към готовност да се реагира на измислени лебеди, ще е нелогично, даже вредно. Народът казва за такива случаи „Изтървал питомното, гони дивото!“

Ако стъпим на разбиране за процес като сбор от свързани управлявани дейниости, то процесът „Управление на рискове“ основно включва: комуникации, консултиране, установяване на контекст, идентифициране, анализиране, преценяване, въздействие, наблюдения и прегледи.


Процес „Управление на рискове“

Процесът е итеративен и се „превърта“ периодично толкова често, колкото сме решили в частта, която ще наречем „ядро“ (контекст, оценяване, въздействие). Ядрото е в постоянно двупосочно взаимодействие с постоянно поддържани във фонов режим осигуряващи процеса дейности по: комуникации и консултиране, наблюдения и прегледи, записване и докладване

Най-пряката полза „Постигани цели“ има и своя първа производна, а тя се състои в осъзнаването на смисъла и превръщането на процесното отношение към рисковете в навик и трайна култура. Не само на определено високо ниво в йерархията, а на всички равнища – резултат, в който стандартът ISO 31000 е прицелен, и може да даде точен тласък в правилна посока на исканото от други стандарти „Мислене, основано на рискове“. Защото мисленето не може да е хаотично.

Основаното на рискове мислене, веднъж подхванато и поддържано във фонов режим ще дава резултати и в ключови управленски действия като вземане на решения и подобряване на резултатността в работата и на процесите.

И още нещо – ISO 31000, веднъж усвоен, повдига завесата и помага много да се разберат добре и да се изпълняват изискванията на почти всички т. нар. „рискови“ стандарти. А това означава, че е възможно да се разработи и внедри универсален процес на управление на рисковете за всички видове стандартизирани системи за управление, които иска да поддържа организацията

вторник, 31 март 2020 г.

COVID-19. Организационни и технически мерки в места с присъствена работа


Този материал е съставен в Алфа Куолити България в полза на хората, 

които трябва да бъдат на работните си места, но достатъчно защитени 

Уважаеми колеги и приятели, здравейте отново!

Предлагаме Ви нашите препоръки за вече доказани организационни и технически мерки за превенция на възникването и разпространението на вирусни и бактериални инфекции в такива организации и фирми, които извършват своите дейности с персонал на място.

Ако все пак естеството на работата го позволява, всеки който може, нека работи от вкъщи.
  • всеки хартиен документ, може да се прати и електронно – това ще е добра стъпка;
  • правете оперативки и водете търговски и други делови разговори конферентно;
  • има софтуер, който позволява споделяне на екран с голям брой събеседници;
  • за транспорта до и от работата – при наличие на свободни служебни автомобили,
    те може да се ползват от персонала, който иначе би ползвал обществен транспорт;
  • при транспорт с автобуси – обмислете възможността да се правят двойни курсове,
    като така ще се намали гъстотата на пътниците. Проветрявайте автобусите за всеки курс. Използвайте достатъчно често дезинфектанти за климатичната система;
  • на входовете на фирмите – за да не се струпват хора, ползвайте аварийните изходи като основни за отделните звена/цехове, за да не минават всички през едно място;
  • променете работното време в някои звена, за да няма пикове по входове и изходи;
  • ако това е възможно, нека отделните смени да не правят срещи за предаване на работа;
  • времената за физиологични почивки на отделните цехове да не се застъпват и да се увеличи броят на местата за пушене, пак с цел да се избегне струпване на хора;
  • ако нямате служебна столова – потърсете решение, с което да се спести излизането на персонала за обяд. Ако имате служебна столова – разместете обедните почивки (може да е свързано със разместване на смените), за да се намали концентрацията на хора. Почиствайте и дезинфектирайте между отделните групи за хранене;
  • обърнете внимание на вътрешната логистика – опитайте да скъсите маршрутите на транспортиране на материали и продукти и траекториите на придвижване на хора;
  • инсталирайте преградни пана, екрани и водни завеси за физическо отделяне на работните места и участъци;
  • почиствайте подовете и проветрявайте редовно работните помещения;
  • съоръжете работните места и участъци с локални вертикални аспиратори;
  • дезинфектирайте климатизаторите и другите системи, които нагнетяват въздух;
  • дезинфектирайте пропускателните устройства на входовете на фирмата и цеховете;
  • върху бърсалките за обувки пред цеховете да се слага зебло, напоено с хлорна вар;
  • при възможност ползвайте лампи с ултравиолетова светлина за дезинфекция на повърхности, вкл. на материали, незавършена продукция и завършен продукт, опаковки, междуоперационни тари и средства на вътрешно заводската логистика;
  • с оглед вида на купуваните материали и продукти и реда за входен контрол, може да е удачно някои материалида престояват известно време за „самоизчистване“;
  • поставете под особен контрол външните изпълнители на услуги на територията на предприятието: почистване, ремонт. Изобщо, ограничете достъпа на външни лица;
  • осигурете кани за гореща вода или други условия персоналът редовно да пие чай.
Преценявайте въздействието на прилаганите мерки върху качеството на процеси и продукти.


Екипът на Алфа Куолити ви пожелава здраве и кураж. Кризата не е по-силна от нас!

сряда, 18 март 2020 г.

ISO 19011 и вътрешните одити. Каква "документирана информация" ни е нужна?

За да разберем какви документи и записи за/от одит изискват стандартите, нека да погледнем в ISO 9001, където в т. 9.2.2, за вътрешните одити пише (да го видим в оригинал) ...

"9.2.2 The organization shall: 
...
f) retain documented information as evidence of the implementation of the audit programme and the audit results."

В българския превод текстът е ...
"f) съхранява документирана информация като доказателство за изпълнението на програмата за одит и за резултатите от одита"

Същият или много подобен текст ще намерим и в другите стандарти за системи за управление с поставени изисквания за вътрешно одитиране.

Да анализираме внимателно този текст ...
"документирана информация като доказателство за изпълнението на програмата ..." 
От текста на изискването следва това, че програма за одити, като документ под една или друга форма, трябва да я има. Така ще може да се отчита изпълнение на документираната програма. Най-просто е в самата програма да се прави подходящо отбелязване кои планирани одити са изпълнени и кои -- не. Стига програмата да не е само с един одит на цяла система и то за цялата година. Така отчитането се изразява просто в една справка за ходa на изпълнение на програмата. Надали обаче това е достатъчно за една добре построена система за управление. Между редовете на стандарта се чете един по-задълбочен смисъл, свързан с това дали изпълнението на програмата постига нейните цели и какъв е ефектът от провеждане на заложените одити. Най-общо казано, макар и неизчерпателно, но изпълнението на една програма става чрез изпълнение на програмираните в нея одити.

Нека разгледаме два, почти диаметрално различни, варианта: 
  1. няма Програма, оформена във вид на обособен, пълноценен по замисъл и съдържание документ, а има само един График за одити, който определя кога и какво ще се одитира през годината. Това е масов случай, в който може да приемем, че този График представлява силно окастрена по съдържание програма -- без заложени цели, без планирани осигуровки;

  2. има подробно разработена Програма, в която са заложени повече от дадените в стандарта ISO 19011 указания за съдържание, но два раздела в това съдържание ще са най-важните. Единият е графикът -- т.е. кога, къде, какво ще се одитира и с каква цел. В такъв график не очакваме да видим само един единствен одит за цяла година, а добре разпределена и насочена серия от одити, проверяващи, в тяхната съвкупност, цялата система.
    Другият раздел е с всичко, което може да е дейности, нужни ресурси и всичко останало, което е с насоченост да осигури успешно и ефективно изпълнение на програмата от одит на одит. Нито един, заложен в графика одит да не "пострада" поради липса на някакъв ресурс, лоша организация или друго недомислие и недоглеждане.   
Да пропуснем за момент първи вариант и се спрем на втория. 
Документите, в т.ч. и записи, които може да са необходими за одитирането, може да са самата Програма и всякакви други записи, свързани с нейното прилагане.

Да опитаме да видим кои документи може да са нужни за успешно доказване, че програмата ни е внедрена и се изпълнява добре. 

Та, като внимаваме да не изпаднем в перфектизъм, такива документи може да са:
  • Програмата с раздели за цели, график, ресурси и дейности по осигуряване на одитите;
  • документи за изпълнение на одит (виж по-горе вариантите 1, 2, 3 или 4);
  • документи и записи, свързани с обучения и с оценявания на одиторите;
  • документи и записи, ползвани при преглед на Програмата, с акцент върху подобренията;
  • документи и записи за извършена работа и/или отчети на корекции, коригиращи действия, препоръки, предписания от одити;
  • аналитични записи за извеждане на тенденции от установените при одити констатации и заключения и оценка на реакциите по направени предписания;
  • пакет документи и записи по управление на рискове, свързани с Програмата и одитите.
Седем вида документи! Ето как, макар и да не искахме, попаднахме в капана на перфектизма...
Спираме дотук, иначе изпадаме в клинично състояние, наречено "одитизъм". Но даже и сега има риск нещо да сме недогледали или пропуснали. Със сигурност ще установим това, ако седнем да четем внимателно указанията на ISO 19011. И ако видим, че има нещо пропуснато, значи сме на прага на одитизма и ще ни е нужна помощ за усмиряване. Накрая ще решим, че само първите два от изброените седем документа ще са ни достатъчни (нека добавим -- в повечето случаи).

Второ, документираната информация за "резултатите от одити." 
Това са заключенията от одити, защото по дефиниция, заключението от одит е резултат от одита. А заключенията се съдържат в Доклад или Протокол, или друг някакъв запис за изпълнен одит. Ако приемем по-широко и извън официалната дефиниция, за резултати от одит може да приемем План за одит и записите, свързани с направени Констатации. Накрая, ако си позволим поради някаква причина да гледаме още по-широко на понятието "резултат от одит", ще може да добавим и други документи -- въпросници, чек-листи, заснети фотоматериали, блок-схеми и всичко друго, по наша преценка, което би могло да е полезно с някаква цел, ако се документира. Но, ако се върнем пак в най-тесния смисъл на понятието "резултат", то това си е Заключението от одит. Това заключение, в най-минимизиран вариант, би могло дори да не се съдържа като част от Доклад или Протокол, а да е само като кратка бележка, която съдържа текст за заключение. 

Казаното до тук -- в резюме. Имаме четири варианта и трябва да си изберем един:
  1. доклад, протокол или друго, описващо одита, но съдържащо текст за Заключение;
  2. документ със Заключение, към него добавени -- План и Констатации;
  3. както (2), но с добавени и други, най-вече помощни за одита, документи;
  4. само най-кратък документ с данни за кой одит става дума, с каква цел е и Заключение
Вижда се, че (4) е "най-мързелив" вариант, но пък е напълно достатъчен от гл. т. на стандарта, в случая -- ISO 9001. Но и при другите стандарти, изискващи одит, нещата са пак така...

Да се върнем пак на текста от стандарта ISO 9001 ...
"9.2.2 The organization shall: 
...
f) retain documented information as evidence of the implementation of the audit programme and the audit results."

Забелязваме, че документирана информация се изисква с идеята за доказване на внедряването.
Какво значи "за доказване"? Човек не доказва нещо сам на себе си. Доказва на/пред някой друг.
Този друг може да е клиентът на одита, заинтересовано лице или пък одитор. Всяко доказване е свързано с представяне и възприемане на доказателства, констатации и заключения и това възприемане винаги е съвсем индивидуално. В смисъл, че едни хора лесно се убеждават, а други -- с голям зор или никак. Казано иначе -- на едни хора им стигат малко убеждения (разбирай тук и "документирана информация"), а на други хора... и вода от девет кладенeца не е достатъчна! Затова на нас ни трябва да се спрем на балансирано решение точно колко и какви документи да имаме за одитиране и това решение да си е наше, в смисъл да е защитимо и аргументирано от позицията пред кого и как ще ни се налага (да се мъчим!) да докажем, че програмата е внедрена.

От написаното токущо става ясно защо тук няма посочени "образци" на "точните" документи. Да, защото решенията може да са най-различни, според нашия избор и разбирания, и всяко от решенията може да е най-подходящо и най-правилно за даден случай. Решения не само за документалния състав, но и за структурата и съдържанието на всеки отделен документ/запис.

И все пак... ако някой е отворил тази публикация с надеждата да намери "идеални" образци, нека не се разочарова от това, че не е намерил. Нека се обади на автора на този материал, да каже какво го интересува и ще получи, надявам се, задоволителен отговор и това, което търси...




петък, 17 януари 2020 г.

ISO 19011 и вътрешните одити. Да направим вътрешен одит!

Изпълнение на одит

Това е точка 6 на стандарта. Тя съдържа седем подточки, като някои от тях са допълнително развити. Ще коментираме нивото "основни подточки" -- от 6.1 до 6.7. Да разберем смисъла им.

т. 6.1 -- Аршинът може да е различен
Точка 6.1 "Общи положения" заслужава особено внимание и ще я цитираме буквално.

"Тази точка съдържа указания за подготовка и извършване на конкретен одит като част от програмата за одит ... Степента, в която се прилагат предписанията на тази точка, зависи от целите и обхвата на конкретния одит."

Написаното е съвсем ясно. Вече знаем, че един одит винаги тръгва от зададени цели и обхват. 
Няма нужда да се чете дълбоко между редовете на т. 6.1, но все пак от написаното разбираме:
  • степента на прилагане на предписанията в т. 6 може да е различна -- от "никаква" до "съвсем подробна";
  • степента на прилагане определяме само ние и даже може за всеки одит да е каквато искаме;
  • степента на прилагане е съобразена с важността на целите и с обема на обхвата;
  • "авторите" на стандарта не държат да следваме строго, точно и в пълнота указанията, наречени тук "предписания";
  • "авторите" на стандарта ни дават степен на свобода, от която може да се възползваме, ако искаме да сме практични;
  • ще имаме горната свобода, ако изискванията за одитиране, които ние залагаме в документи на системата ни и съответните им практики, са гъвкави;
  • и накрая, няма да одитираме като "коне с капаци", а ще одитираме различно, като се съобразяваме какво и защо одитираме.
На това място, преди да приключим с т. 6.1, може да кажем "А, честито!" на онези последни мохикани, намират се все още тук и там, които гледат на ISO 19011 като на сбор с изисквания или като на свещена книга, всяко отклонение от която е греховно. А може и да им напомним, че този текст, със същия смисъл, го имаше и в предходното второ издание на стандарта!

Степента на свобода, за която стана дума по-горе, ще я реализираме, като в документите си за одитиране заложим, по наша преценка, варианти на изисквания и на практики, според целите и обхвата на различните одити. Едно е да одитираш дали някакъв най-обикновен склад спазва рутинни изисквания, друго е одит с обхват за процес, ползващ диагностичен инструментариум, който да стига до изводи от анализи и да дава заключение, годно за управленски решения. Само следва да внимаваме при това да не си усложним излишно процедурата... Накратко -- процедурата ни за одит може да съдържа пълен комплект от изисквания, като не всички от тях ще изпълняваме, а само тези, които преценим според целите и обхвата на всеки един случай.  

Някой би опитал да обобщи смисъла на т. 6.1 с краткото "Ще си одитираме както си знаем!" и тук вече ще се наложи такъв анархистичен устрем да се охлажда и обуздава. Всеки одит -- бил той  най-прост или най-сложен, съдържа и минава през една и съща канонична схема, без която не може и трябва да се спазва.

Ето я ...
1) търсим доказателства в зададените обхвати, съобразно зададените цели и избрани критерии;
2) знаейки критериите, при вече намерени доказателства, правим констатации;
3) знаем целите на одита и, при събрани достатъчно констатации, правим ЗАКЛЮЧЕНИЕ(я)

Заключението нарочно е с главни букви, защото то е най-важното -- с него приключва одитът. 
И, както вече знаем, заключението/ята е обвързано, т.е. непременно кореспондира (т.е. има връзка), с целта/целите на одита.

Без тази триада, с всяка стъпка изпълнена по най-добър начин точно в тази последователност, одит всъщност няма. Може да се мисли, че указанията в т. 6.2 до 6.7 са дадени с цел да се осигури най-добро изпълнение на горната триада в един най-общ случай.

т. 6.2 -- Разузнаване, но "без бой"
"Разузнаване с бой" е военно понятие. За да се разбере къде е укрит противникът, трябва да го предизвикаш да открие стрелба и така той си издава огневите точки. При вътрешен одит не се конфронтират противници, няма бойно поле, но има разузнаване "без бой" и това е смисълът на т. 6.2. Как се прави? Трябва жива среща на водещият одитор (трябва да се знае вече кой е той) с хора-ръководители от одитираните звена/обекти. Стандартът посочва 11 теми. Много са!

За вътрешен одит, особено в малка или средна фирма, където хората се познават и където всички познават процесите, някои въпроси ще са излишни. Няма да коментираме всички теми.

Но нека видим кои са по-важни или необходими във всеки един случай:
  • одитираните искат да разберат целите, обхвата, критериите, методите за одит и екипа;
  • одиторите трябва да разберат какви са рисковете и възможностите в обектите за одит;
  • какви нормативни актове и договори налагат изисквания в работата на одитираните;
  • кой може да бъде най-подходящият график за провеждане на одита;
  • има ли някакви изисквания за достъп, защита, сигурност, безопасност.
В заключение, "разузнаването без бой" приключва с изяснена възможност за извършване на одита, което, за вътрешен одит, след съгласуване, със сигурност е "Мисията е възможна!".
Ако в практиката има нещо за съгласуване, това най-често са графикът и съставът на екипа.

т. 6.3 -- "Un but sans plan n'est qu'un souhait" ("Цел без план е само желание")
Това е казано от Антоан дьо Сент-Екзюпери. За да е сигурен полетът и да се стигне до целта, е необходим летателен план. За всеки одит се поставят цели и това налага планиране. Това е смисълът на т. 6.3.

Има подготовка преди същинското планиране. Преглеждаме документираната информация, която се прилага в звената/обекта на одита и така се ориентираме за изпълняваните процеси и функции. Така детайлизираме критериите и разбираме къде да са акцентите на проверките.

Дори и след това пак не сме съвсем готови да пишем план за одита.
Трябва преди това да се помисли за рисковете. Изобщо рисковете са ни винаги "едно на ум". Това се нарича "подход, основан на риска".

Донякъде ни улеснява това, че в практиката са известни "дежурните" рискове при одит:
  • риск 1 -- когато ние одитираме, може да попречим на хора, които работят;
  • риск 2 -- да ангажираме прекалено одитираните и да им губим времето;
  • риск 3 -- екипът одитори да няма пълна обща компетентност за одита;
  • риск 4 -- недостатъчна по обем или прекалено голяма извадка при сбор на доказателства;
  • риск 5 -- неефикасно или нереалистично планиране. Неизпълним изцяло план за одит;
  • риск 6 -- одиторите не спазват установени разпоредби и условия за работната среда;
  • риск 7 -- одиторите да пострадат поради невнимание или небрежност;
  • риск 8 -- конфронтация с инциденти и конфликти по оста "одитор -- одитиран".
  • риск 9 -- нарушена поверителност или друга характеристика на сигурността;
  • риск 10 -- в резултат на всичко по-горе -- риск да не се постигнат целите на одита.
Май че тези десет риска са достатъчни... Все пак, нека помислим дали няма и други още.
Остава, при разработване на плана за одит, да планираме така, че да избегнем всеки риск.

Според стандарта планът за одит следва да съдържа някои елементи и да отчете някои условия.

Елементите са:
  • цели, обхват, критерии;
  • места за посещение, дати, часове, времетраене на проверките;
  • методи за одит, вид и размер на извадките -- зададени за всяка отделна проверка;
  • екип, роли и отговорности за всеки от екипа, разпределение на проверките в екипа;
  • разпределение и ползване на ресурите, необходими за планираните проверки.

Условията най-общо са свързани с необходимостта от комуникация между страните, вкл. и на други езици, със структура и оформяне на доклада, с логистика и координация, поверителност, с резултатите и заключенията от предходни одити. Може да има съобразяване и с други неща.

Остава планът да бъде обмислен, обсъден и съставен. Добрият план е изпълнимият план.
След това планът да бъде съобщен пред одитираните (но без частта с конкретните проверки).
Ако одитираните възразят срещу плана, търсим консенсусни решения и алтернативи.
И ако накрая всичко е наред -- планът е готов за изпълнение в деня на одита.

Планът за одит може да има всякакъв формат. Често е табличен. Удобно е да е на MS Excel.

Да приключим с още една мисъл ...
"Пропускайки подготовката, ти си подготвяш провала".
Така е казал Бенджамин Франклин. Как това се отнася до одиторите?

Ако вече са разпределени одиторските задачи за извършване на проверки, всеки одитор от екипа може да се погрижи да се подготви точно за задачите, които са му се паднали. Тази подготовка да помогне проверките да бъдат извършени ефикасно (цялостно) и ефективно (без преразход на планирани ресурси).

т. 6.4 -- "In God we trust. All others must bring data" - W. Edwards Deming
Ако парафразираме казаното от Деминг, то ще е "Вярваме в Бог. Всеки друг трябва да дава доказателства". Деминг го е казал не по повод на одитирането, но то и за него се отнася точно.
Триадата, посочена в т. 6.1, почва с доказателства и затова те са в основата на процеса на одит.

А точка 6.4 се отнася до извършването на одит.
Първо ще се погрижим, ако към екипа има водачи и наблюдатели, те да не ни пречат. Затова те са под командата на водещия одитор, а той иска от тях най-важното -- да не одитират. Водачите трябва да помагат на екипа (за бързо намиране на места, хора, документи, друго), но без да се намесват в проверките. Наблюдателите -- те, според това кой ги е пратил, трябва да наблюдават само това, което ги интересува, но безмълвно -- да не се намесват в действия по одитиране.

В началото на одита има "среща за откриване". Тя всъщност е среща на екипа одитори с екип на одитираните. Тук стандартът дава твърде много указания от различно естество, но това е защото се има предвид някаква сложна ситуация, при която екипите не се познават, говорят различни езици, одитираните не са наясно какво ги чака и как ще се действа и много още други неща. За вътрешен одит, особено в малка или среда организация, и особено ако се прави не за пръв път, а е едва ли не рутинна ситуация, нещата доста се опростяват. Включително до решение да няма среща за откриване по смисъла на описаното в стандарта, а нещо по-просто.

Иначе, във всеки друг случай, срещата е необходима за финализиране на нужни уточнения:
  • по плана за одит -- ще има ли промени или остава, както е бил даден;
  • работни времена и почивки;
  • ползване на необходими ресурси (например, транспорт);
  • условията за достъп;
  • изисквания за безопасност;
  • моменти и начини на комуникации и докладване;
  • особени ситуации, които може да наложат прекъсване или отлагане на одита.
Идва момента на търсене на доказателства за степента, в която са удовлетворени критериите.
Методите основно са три, ако не броим, че могат и да се комбинират.

Метод -- преглед на документация.
Какво е документация? Всичко може да е документация, стига да е информация на носител -- записи, документи, снимки, каталози, чертежи, таблици, мостри, плакати, постери, кроики, шаблони, видеозаписи, аудиозаписи, файлове на твърд диск, USB, CD, DVD, магнитна лента, всичко, което може да се види на екрана на компютър, таблет, телефонен апарат, монитор на апаратура, микроскоп, индикация на прибор, изображение на телевизор, холограма ... стига само това да има статута на документ или запис според стандарта за проверяваната система и да е управлявано за актуалност, разпространение и запазване, както иска съответния стандарт.

Някои правила от практиката:
  • одиторът преглежда първо документи, които предварително си е набелязал да иска;
  • в редки случаи приема документи, предложени от одитирания, ако прецени за нужно;
  • одиторът преглежда документи "в ръцете си", а не показани му от разстояние; 
  • преглеждането не е чрез "сканиране по диагонал", а е аналитично -- с вникване;
  • проверяват се изискванията за управление на документите;
  • проверяват се комплектността и състоянието;
  • проверяват се свързаността и адекватността на данните в записи;
  • одиторът може да поиска и допълнителни документи, за които не се е сетил отпреди.
Избягваме практики, в които методът да стане с течение на времето водещ и единствен. Иначе става така, подготовката на одитираните за одит ще е просто подготовка на документите.
Само в много редки и обосновани случаи одиторът иска за себе си копия на документи.
Одиторът контролира времето. То много бързо минава и може да не му стигне.
Одиторът има способност да се ориентира бързо и да не се уморява от големи обеми данни.
Добрият одитиран е подготвен да дава документи -- той не ги търси, защото са му подръка.
Докато одиторът гледа документи, одитираният не трябва да изчезва нанякъде, а да е при него.
Проверката се фактографира -- одиторът си записва какво е гледал и проверявал.

Метод -- събеседване с компетентни отговорни хора
Какво е събеседване? Всеки организиран разговор, който се води (в смисъл на "управлява") от одитора с одитирания колега. Разговорът е по предварително намислени теми и с намислени въпроси по всяка тема. Не само в това "намисляне" е подготовката на одитора. Одиторът знае предварително и що за човек (с какъв профил) е очакваният събеседник. Дали е бъбривец или стиснат и лаконичен. Дали умее да се изразява ясно, пълно и по темата. Подготовката изяснява кой е компетентният и отговорен човек, с когото трябва да се говори. Ако се случи един да е отговорен, а друг -- компетентен, то одиторът ще разговаря и с двамата.

А от одитора се очаква да управлява събеседването за получаване на доказателства основно от вида "излагане на факти" (виж дефиницията за доказателство от одит), а понякога и някои допълнителни доказателства, ако в хода на разговора се гледат записи или документи, или се стигне до ситуации, предлагащи доказателства от вида "друга информация".
Но основното е одиторът да получи това "излагане на факти" като основен резултат.

Да се върнем на подготовката във вид на намислени теми и въпроси към темите.
Не си правете въпросник, ако смятате той да бъде изчерпателен. Въпросите в него ще са много и в крайна сметка ще затормозят разговора, ще загубят време. Някои въпроси даже може да бъдат претупани, а може накрая да останат и незададени въпроси. Твърди се, че за всяко нещо, което трябва да бъде опознато и проучено, са достатъчни само няколко (5 или 6) въпроса.

Ако трябва одиторът да опознае някаква дейност...
1-ви въпрос -- "В какво най-общо се изразява дейността и какво е значението й ?"
2-ри въпрос -- "Каква подготовка е необходима за изпълнение ?"
3-ти въпрос -- "Какви са изискванията (поне основните) за изпълнение ?"
4-ти въпрос -- "Каква е организацията за контрол на дейността и на резултатите от нея ?"
5-ти въпрос -- "Какво се прави при установено отклонение от изискванията ?"
6-ти въпрос -- "Как се документира, отчита или докладва изпълнението ?"

Няма нужда за тези 5 или 6 въпроса да се пише въпросник -- те лесно се помнят. Одитор, който е забол носа си да чете обширен въпросник и не се сеща да погледне човека в очите, "олеква". Затова нека практиката е такава -- помним тези "ключови" въпроси, не ги претупваме. Като  слушаме внимателно, отговорът на всеки ключов въпрос може да ни подсети да зададем някои "непланирани" уточняващи или допълващи въпроси. Това е доброто одиторско събеседване ...

А сега -- лошите практики!
Методът "събеседване" е рисков. Одиторът може да се изложи и да не си свърши работата:
  • не се представя, държи се строго официално и не "разведрява" обстановката;
  • не представя целта на разговора;
  • не управлява времето, придържането към темите, обстановката;
  • чете въпросник, забол е нос в бумагите си, не поглежда човека (вече го казахме това);
  • не изслушва докрай -- прекъсва;
  • позволява на други одитори (ако той не е сам) и те да питат в режим "кръстосан разпит";
  • записва си отговорите в режим почти "стенографиране" без да е поискал разрешение;
  • одиторът е загрижен и прави усилия, често тромави, да покаже, че и той е компетентен;
  • одиторът, по един или друг начин, губи самоконтрол на поведението си.

Метод -- наблюдение
Какво е наблюдение? Одиторът присъства на мястото, където може лично да види изпълнение на работа или да установи състоянието на нещо (хигиена, подреденост, наличност или друго).

Тук подготовката е във внимателното запознаване с дейността/процеса, която ще се проверява, чрез документите, съдържащи критерии, ако е нужно ще се гледат и други документи. Може да се направи предварително посещение на мястото, където ще се развива действието. В най-добър случай запознаването ще даде като резултат пълна представа за това, което би трябвало да се види при правилно изпълнение или какво би трябвало да бъде правилното състояние.

Подготовката продължава с уреждане на среща (ден и час) за явяване на мястото. Там одиторът ще се срещне и представи, ако е нужно, на ръководител или друго лице, което е "домакин" на мястото. Ще поиска да знае кога предстои изпълнение на дейността, колко време продължава, къде да застане, какво да прави или да не прави, за да не пречи на работата, и други уточнения. Полезно е одиторът да се е подготвил с чек-лист, в който ще отбелязва стъпките на изпълнение= и спазването на набелязани критерии. Ако е позволено, може да се заснеме клип.

Описаното до тук е "наблюдение на естествено изпълнение". А може да има и "поръчано за целите на одита изпълнение", когато одиторът ще помоли да се направи нещо пред него, за да види какво и как се постъпва. При молба за поръчано изпълнение одиторът може да получи отказ и може ще трябва да преговаря или да намери друг човек, друго място, друг момент.

А има и дейности, които не могат да се наблюдават във всеки момент -- как се организира и прави обучение, как се приема и отработва рекламация, как висшето ръководство насърчава персонала за работа по подобрения и други подобни. В тези случаи ползваме другите методи.

Добра практика е при планиране на одита, при определяне на всяка проверка, да се задават и методите за набиране на доказателства. Но следва да се имз предвид и това, че в хода на одита тези методи може да се наложи да бъдат сменени или комбинирани.

Също добра практика е одитираните да са готови предварително да представят доказателства за работата си и за постигане на изискванията. Такава готовност на одитираните намалява стреса на одиторите, който се изразява в това, че няма готови и лесно достъпни доказателства, одитът се бави и влиза в конфликт с планираните за проверките времена. Одиторите са хора, които не обичат да правят, образно казано, разкопки, за да добиват доказателства. На тях им се иска доказателствата да са им пред очите и да се разкриват бързо и лесно.

Да се върнем на т. нар. "фактографиране". С него намерената информация (документи, записи, данни, факти, сведения) става доказателство, защото по този начин се изпълнява условието доказателството да е проверимо. При всеки метод за добиване на информация записваме данни за получената информация. Ако сме гледали записи -- посочваме кои, от дата... до дата... или от номер... до номер... Ако сме говорили с хора -- записваме с кого, за какво и по кои въпроси какви отговори (само основните моменти) сме получили. Ако сме наблюдавали изпълнение на работа или състояние на нещо -- записваме какво, къде, с кого сме гледали. Всяко получено годно (т.е. адекватно и проследимо) доказателство следва да бъде записано.

Остава да бъдат определени констатации, чрез съпоставяне на доказателствата с критериите.
Типично за вътрешните одити, но не като правило, констатациите за съответствие не се пишат.
Повече внимание се обръща на констатациите за несъответствия и те следва да се записват, а понякога и да се степенуват. Степенуване има, когато констатациите не са за несъответствие, а
трябва да отразят "степен на удовлетворяване на критериите", както е казано в дефиницията за одит. Степените може да са в числови стойности по някаква скала или в стойности по ниво. Това степенуване се описва в някакъв документ (в методика или в процедурата за одити) за да се избегне донякъде субективизма при присъждане на степента.

Констатациите следва да се обсъждат с одитираните колеги или може и с други одитори, а ако има несъгласие с определена от одитора констатация, тя се обсъжда, за да се стигне до общо разбиране, а ако съгласие не се постига, то различните мнения се вписват в доклада от одит.

Най-хубаво е, когато има възможност, екипът одитори да намери време за общо обсъждане  и за преглед на получените констатациите, преди те да се вписват в доклада и да се обявяват. При такава среща на екипа обсъждането се води с отчитане на поставените цели на одита и се явява като част от подготовката на заключителната среща, с която се закрива одитът. Срещата приключва с формулиране и постигане на съгласие за заключението от одита. Заключението се базира на пакета от всички констатации, съпоставен с поставените цели чрез плана за одита. Заключението съдържа основно твърдения за степента на съответствие спрямо критериите и твърдения, с връзка към поставените цели. Например, ако целта е била "Да се установи ефикасността на ... ", то в заключението непременно ще има текст, който казва "Ефикасността  на ... е ... ". В заключението може да има текстове за преценка на състоянието на системата като цяло, а може да има и всякакви други твърдения, които екипът счете за необходимо. Но най-важно от всичко е ДА ИМА ЗАКЛЮЧЕНИЕ и то да е адекватно и да покрива целите на одита.

Срещата за закриване на одита е с основно значение да обяви констатациите и заключението.
Срещата води водещият одитор. Присъстват екипът одитори, ръководителите на одитираните колеги, може да има и заинтересовани страни. Може да се обсъждат варианти за закриване на несъответствията.
     
т. 6.5 -- "Verba volant, scripta manent" (Думите отлитат, написаното остава)
От римски времена е ясно, че важните работи са свързани с необходимост от документиране.
За нас, при одита, докладът от одит е най-важния документ, а стандартът казва "Докладът от одит предоставя пълен, точен, обобщен и ясен запис за одита... " и после посочва елементи,  които могат да влязат в текстовете на доклада. Много са! Да не ги коментираме. По-добре е да ги видим в т. 6.5.1 и да преценим кои от многото препоръчани елементи ще ни свършат реално работа, когато трябва да дадем писмени резултати от одита. Докладът се разпространява до клиента на одита и до другите страни, в т.ч. може и заинтересовани страни да получат части от доклада. А най-добра практика, за която стандартът не се е сетил, е докладът да се презентира.

Да опитаме да разберем какво има в последните две точки -- т. 6.6 и т. 6.7 -- само "с две думи", тъй като в тях няма нищо толкова значимо или особено, и нищо чак толкова интересно.

т. 6.6 -- Завършване на одит
Всичко, каквото има да се прави след одит е направено и документите от този одит са запазени

т. 6.7 -- Извършване на действия след одит
Действията са корекции и коригиращи действия. Те се определят и изпълняват от одитираните лица. Те освен това следва да докладват за резултатите, а ефекта от действията следва да бъде проверен. Стандартът няма ясна представа как и кога да стане проверката и кой да я направи. А това означава, че ние трябва да намерим решение сами...








(ХХХ -- Материалът се дописва и редактира, моля, извинете!)




















































   

събота, 30 ноември 2019 г.

ISO 19011 и вътрешните одити. Какво ново в третото издание? Нужни ли са промени?


"Какво ТРЯБВА да променим в документите си, заради третото издание на стандарта?"


Този въпрос беше зададен на едно от последните обучения. От емоцията при питането пролича, че вероятно колежката беше дошла на обучение най-вече за да намери отговор на този въпрос и след това да се залови да прави някакви изменения и допълнения в документите за одитиране.

Въпросът наистина е важен. Mоже да има два отговора. Но преди това една малка поправка...

Не следва да се пита за това с думата "трябва", защото "трябва" се ползва винаги за изисквания. 
Така, ако редактираме въпроса, то той би звучал "Какво БИ БИЛО ДОБРЕ да променим ... " или "КАКВО МОЖЕ да променим, ако НИЕ преценим, че е нужно ...". Тази редакция напълно пасва на духа на стандарта, който е с указания, който никого и с нищо не задължават насилствено...

И една бележка... Мина вече доста време от 2018 година, когато новото издание видя бял свят.
С други думи, очаква се, че въпросът за промените не би следвало вече да е актуален. Който е променил нещо -- променил. Който пък не е променил -- или е нямал нужда или си няма хабер. 

РЕЗЮМЕ
(за много заети хора)

Не сте непременно задължени да правите промени в документите си за вътрешни одити, само поради това, че има ново трето издание на стандарта ISO 19011. Това е така, тъй като стандартът съдържа само указания и представя систематизирано пълен набор от добри практики за процеса на одитиране. А указанията не са изисквания и не задължават с нищо. Вместо задължения поради изисквания, указанията разчитат на добро желание, разбиране и стремеж към усъвършенстване. Потенциалът от желания, разбиране и стремежи към по-добро при различните хора и в различни ситуации също е различен. Така въпросът за възможни промени е въпрос на наши преценки и решение.

 Добросъвестните и любопитни потребители на стандарта обаче могат да направят следното:
 - да прочетат новото издание и да се запознаят подробно с въпроси, които ги интересуват
 - да си осигурят обучение, което да ги запознае цялостно и подробно със стандарта
  
Едва след това могат да си зададат въпроса дали съществуващите документи и усвоената практика на одитиране са достатъчно добри и не трябва да се променят или има нужда от промени, тъй като новите указания на третото издание са подсказали нещо полезно и интересно, което си струва да бъде усвоено, за да бъдат вътрешните одити не само ефикасни, но и ефективни.

Ако това резюме ви убеждава и ви е достатъчно - спестете си време и не четете по-нататък...

  
ДВА ОТГОВОРА И МАЛКО ПОДРОБНОСТИ
  
И така - двата отговора ... Първият отговор е кратък и принципен.

Другият, по същество,  е свързан с желание за въвеждане на промени в документите, от които най-вероятно ще следва да се променят или допълнят и практиките на одитиране.

Под "променят" следва да се разбира "подобрят", да станат още по-ефикасни и по-ефективни.

Кратък отговор - "Не променяйте нищо!", ако документите за вътрешни одити във вашата система са добре разработени и практиките, стъпили на тях, са достатъчно добри. Това значи, че при одитиране избягвате дежурните рискове, намирате начини и решения за точно и бързо събиране на доказателства и формулиране на констатации и освен това лесно и бързо правите необходимите записи (за планиране на одит, за запис на констатация и за доклад от одит). Така вашите одити са не само ефикасни (постигат целите си), но са и ефективни (постигат целите си, но за кратко време и без особени разходи на други ресурси).

Казано накратко - ако документите не ви тежат и не ви дразнят, и ако всичко върви добре - най-разумно е нищо да не се пипа. Правете одити, както сте си ги правили до излизането на това последно издание на стандарта. Той не ви задължава с нищо (в стандарта няма изисквания! ) и никой няма да ви дири сметка дали сте приложили или не нещо "ново".

Но нека кажем все пак. че дори и при това положение, всеки добросъвестен одитор или всеки мениджър на система би се очаквало да прояви интерес и да види кое точно прави този стандарт "нов" и дали има нещо, което би било добре и е разумно да се усвои и приложи.

Да отбележим и още нещо... Новото издание на стандарта е добър повод ние да отидем на обучение или да си организираме обучение за одиторите, или да реализираме, ако имаме, отдавна стаени идеи не само за подобрения, но и (защо не) за експерименти на тема "одити".
Така че ISO ни дава повода - нека тогава се възползваме.

В скоби ... тези занимания ние може да си ги правим и без да има специален повод като този - "излязло ново издание на стандарта!".

По-подробен отговор. Той гласи, че принципно, ако един стандарт съдържа единствено указания (т.е. изложени добри практики, насоки, препоръки) то той най-вече има смисъл и може да се ползва като източник на идеи за промени от всякакво естество на усвоени практики.

Ситуациите са поне две, защото са две насоките за промени - за оздравяване и за развитие ...

1) ползваме стандарта за ремонт и оздравяване, защото не сме доволни от одитирането.

Имаме процедура и трябва да се водят записи, но въпросната процедура е тромава, излишно претоварена, писана е от външен експерт (консултант, който се е старал да се презастрахова), трудно се прилага, даже не се спазва точно, остаряла е, но в нея не са правени промени от доста години. Нещо повече одитите са се превърнали в досадно и губещо време занимание.

Шефовете ни търпят да си играем на одити, защото знаят, че това го иска "исото" и си затварят очите, когато получават почти едни и същи доклади без или с много малка полезна стойност.

2) ползваме стандарта за разширяване, обогатяване, освежаване и, в крайна сметка - за подобряване не само на документалната си основа за одитиране, но и на живите практики. В този случай разглеждаме стандарта като източник на идеи, като сборник с добри подсказки за намиране на подходящи точно за нас решения

Първият случай няма да коментираме. То, ако е така, е по-добре всичко да отиде в коша и да се тръгне изначално "от нулата ...", при което ще се разделим с всичко, което е тромаво и тъпо.

Във втория случай ще се наложи да прегледаме стандарта с идеята да открием нещо ново, което може да ни освежи, защото НИЕ искаме, желаем и сме любопитни да пробваме, а не защото НЯКОЙ ще ни натика в ъгъла, ще ни гепи за яката и ще ни кресне "А вие ЗАЩО ... ?"

И така, ако прегледаме новото издание на ISO 19011, какво "ново" може да открием?

Прочее, някой неща, дори да са "стари", ако навремето не сме ги били приложили, ще се окажат и те "нови", наред с другите, които пък са "съвсем нови" ... :)

Ето как в самия стандарт (стр. 5 "Предговор на ISO") са обявени новостите ...

Основните разлики в сравнение с второто издание са следните:
  • към принципите за одитиране е добавен подход, основан на риска;
  • разширени са указанията за управление на програмата за одит, включително за риска за програмата за одит;
  • разширени са указанията за извършване на одит, особено в частта за планирането на одит
  • разширени са изискванията за общата компетентност на одиторите;
  • отпаднало е приложението, съдържащо изисквания за компетентност за извършване на одит в специфични области на системите за управление(поради големия брой стандарти за отделни системи за управление, не би било практично да се включват изисквания за компетентност за всички области);
  • разширено е Приложение А, за да се дадат указания за извършване на одит на (нови) елементи като контекст на организацията, лидерство и ангажираност, виртуални одити, съответствие и верига на доставки.

Нека коментираме тези шест обяви за "основни разлики"...

Рискове
Сега всички стандарти на ISO от категорията MSS говорят за рискове. Затова решаваме в документите си за одити да въведем аспекта, свързан с рисковете. но отнесени към процеса на одитиране. Правим така, че още при планиране на Програмата за одити, а сетне и на даден одит, ще добавяме нов раздел "Рискове" и ще ги посочваме. Може дори да ги подложим на обработка по начин, както е за системата, която одитираме или да си направим отделна проста за разбиране и прилагане методика, която ще бъде, примерно, Приложение към Процедурата.

Не забравяме да съобразим, че темата "рискове при одити" ще следва да се добави към темите на Прегледа на системата от ръководството. Да не забравим и това, че в новото издание този "Подход, основан на риска" даже не е и указание, а си е само един от принципите за одитиране. И това ни дава още по-голяма свобода да решим как да отразим този "нов" принцип

Разширени указания за управление на програмата за одит, вкл. за риска за програмата
Я първо да видим как и в каква степен при вас са усвоени указанията за програма за одит, както са дадени в старото второ издание. Ще се окаже ли, че при вас Програмата всъщност е редуцирана до съставяне само на годишен график на одитите. Това значи, че сте обърнали гръб на почти всички указания за програмата от второто издание. Е, нима сега заради третото издание ще си нарушите комфорта, за да усвоите указанията, които преди това сте загърбили, още повече, че те сега даже са и разширени?! А е дори възможно редуцираната ви само до график програма да съдържа само един одит годишно. Ако е така, това вече е "колапс" на програмата. Програмата ви е колабирала! И това е "минавало метър"  пред одитори?

И накрая, ако е така, нека си зададете въпроса "Ще си струва ли напъна да реагираме на указанията, вкл. и на разширените, за програмата, щом до момента ние сме ги загърбили всичките?" Мисля, че е лесно да се отгатне отговорът. Ами "... вкл. за риска за програмата"? Нека кажем направо - да, има рискове за програмата, но само тогава, когато се прави и изпълнява програма. Ако не правите програма за одити, то няма и рискове за нея... нали? А може да го кажем и с малко ирония и тъга - първите два риска за програмата са следните ...

1) да няма съставена програма и 2) да има програма само като график с един одит годишно

Нека все пак подскажем една препоръка за програмата. Освен традиционния график, нека към него добавяме още нещо, което е дадено в т. 5.4.4 на стандарта - "Определяне на ресурси за програмата за одит". Ако направите това ще планирате и подкрепите с нужните ресурси всеки одит от графика, така щото нито един одит да не изпита криза или да е неефективен поради недостиг или липса на някакъв ресурс. Ето оттук идва и дежурният риск за Програмата - рискът да няма или да не стигне необходим ресурс.

Коментар: За тези практики, които се изразяват в планиране само на един одит годишно си е "виновно" самото ISO. Дефиницията за програма за одити е такава, че почва с думите "Съвкупност от ЕДИН или повече одити... ". Съвкупност от един ли?! Хммм ...

Разширени указания за извършване на одит, особено в частта за планирането на одит
И тук може пак да почнем от въпроса "Я да видим как и в каква степен ... " Каквато и да е степента на усвояване на указанията от второто издание, ако смятаме че си планираме добре одитите, няма сериозно основание да променяме начина си на планиране. Принципът е - "Каквото работи добре не следва да се пипа!". Първата промяна, на която си струва да отделите внимание е указанието при планиране на одит да се възприеме подход, основан на рисковете. Това е т. 6.3.2.1 "Използване на подход, основан на риска, при планирането." Отделете малко внимание на основния риск, който е докато одитирате да повлияете (или даже да попречите) на работата на хората, които одитирате. Променете си процедурата за одит, като добавите текст, с който визирате този риск и предвидите мерки, с които го редуцирате до приемливи нива.

Едни от "новите" указания може да се окажат тези в т. 6.3.4 "Подготовка на документираната информация за одит". Правите ли въпросници за одита? Но не такива, които са с въпроси "по стандарта", а са с въпроси в зависимост от поставените цели за одита и от обектите за одит. Вижте също и А.13 от Приложение А. Само въпросници ли подготвяте за всеки одит? А други  документи - таблици, блок-схеми, диаграми, данни за извадки, аудио-визуална информация ... ?

Разширени изисквания за общата компетентност на одиторите
Указанията за компетентността в т.т. 7.1 и 7.2 са толкова много, че могат да ви отворят доста работа, особено ако досега не сте отделяли достатъчно внимание по този важен въпрос. И ако наистина е така, то преценете кои указания да усвоите, за да сте в тон с новото издание. Ако трябва да откроим най-важното, според нас, то може да е (според т. 7.1 "Общи положения") :
- въведете планирано и документирано оценяване на компетентността на одиторите
- осигурете развитие, поддържане и подобряване на компетентността, чрез "непрекъснато професионално обучение и редовно участие в одити" (цитат)

При добро желание вижте какво още има в т. 7.2 и си добавете и други новости във вашите  документи за одити. Помислете дали може и как да стане това "редовно участие в одити", ако при вас действа схемата "Годишен график с един одит".

Разширено Приложение А с указания за извършване на одит на (нови) елементи
Новите елементи, според стандарта, са:
- контекст
 - лидерство и ангажираност
·       - виртуални одити
·       - съответствие
·       - верига на доставки

Преди да погледнем тези елементи, нека отделим малко внимание на А.1 и на Таблица А.1 "Методи за одит". Новото, което виждаме е одитирането "От разстояние" в два варианта - с човешко и без човешко взаимодействие. Съдържащата се в тази таблица информация е достатъчна да ни даде идеи за развитие на практиките ви за одитиране в нови насоки.

А.8 Одитиране на контекста
Изисквайте одиторите да бъдат убеждаване чрез доказателства в това, че определеният контекст, изразен чрез посочени вътрешни и външни фактори и заинтересовани страни, не е "паднал наготово от небето", а е резултат от ползвани осигуровки и достатъчен анализ. Включете указанията в т. А.8 a, b, c, d, e в подходящ ваш документ - Приложение към процедурата за одити или отделна методика.

А. Лидерство и ангажираност
Изисквайте одиторите да се убеждават, че доказването на тези две качества става или с преки действия на висшето ръководство, или с действия, които то е делегира на други ръководители.

Третото издание на стандарта се хвали с това, че въвежда още по-ангажиращи отговорности за висшето ръководство. Ако това е така, следвайки изложените в стандартите изисквания за топ мениджмънта, ние би следвало да документираме начина, по който могат да бъдат проверени изискванията на съответния стандарт. На пример, в ISO 9001, в т. 5.1.1 това са подточки a), b), c), d), e), f), g), h), i), j). Щом като се твърди, че стандартът въвежда още по-ангажиращи отговорности за висшето ръководство, то вие следва също да сте по-ангажирани те да бъдат проверявани. Най-добре е това да стане в обособен раздел на процедурата за одити или в отделна методика.

А.16 Виртуални одити
Те най-често налагат да се одитира дистанционно, тъй като процесите, изпълнявани от одитираните хора ползват он-лайн среда и те самите са локализирани на различни места.

Ако имате такъв вид процеси и трябва да ги одитирате, ще ви се наложи да определите изисквания за дистанционно одитиране в документите си за одит, защото сега ги нямате.

Дистанционното одитиране звучи изкусително! Няма да пътуваш, ако обекти на одит има в друго населено място. Няма да се разхождаш да обикаляш всички обекти за одити, защото за някои обекти и проверки, особено ако имаме кредит на доверие в одитираните, и ако искаме одитът да не се проточва, ще направим просто разговор по телефона или по Skype-а. Ще поискаме да видим документ като ни го пратят по Е-мейла (не трябва да е класифициран като поверителен). Правим още едно Приложение към Процедурата със заглавие "Правила и практики за дистанционно одитиране". Прочее, нека едно от тези правила да бъде, че "един обект не следва да се одитира дистанционно при повече от два последователни одита ... " Смисълът тук е, че все пак, някога, одиторски крак трябва да стъпи "на терен".

А.7 Съответствие
В тази част на стандарта - "Одитиране на съответствието" - са изложени девет проверки, които би следвало да се изпълняват, ако се търси дали има съответствие с някакви изисквания.

И тъй като това е едва ли не основна и рутинна работа, с която сте запознати, защото вече сте я вършили, то би следвало да прецените кои от тези девет проверки сте усвоили и правите успешно и кои от тях, малко или повече, са относително непознати или непрактикувани.
Ако се налага, допълнете си процедсурите с изисвания или методиката с указания. Направете така, че да разширите практиката си в посока към пълнота на проверките за съответствие.

А.12 Одит на верига за доставки
Чрез допълнения в процедурата си за одит ще определите как да извършвате одити от втора страна, като проверявате доставчиците си. Тези одити трябва да включват с акцент само критериите, които ви интересуват, проверени в обхват, валиден за тези критерии. По-добре би било такива одити да се правят "на терен" при доставчика, но понякога трябва да имате готовност за дистанционно одитиране (при голям брой доставчици, при големи разстояния, при спешна необходимост от проверка на нещо, ... ) 

Следващата част е за провеждането на одита, а още по-следващата -- за документите, които може да ползваме във връзка с един вътрешен одит