събота, 30 ноември 2019 г.

ISO 19011 и вътрешните одити. Какво ново в третото издание? Нужни ли са промени?


"Какво ТРЯБВА да променим в документите си, заради третото издание на стандарта?"


Този въпрос беше зададен на едно от последните обучения. От емоцията при питането пролича, че вероятно колежката беше дошла на обучение най-вече за да намери отговор на този въпрос и след това да се залови да прави някакви изменения и допълнения в документите за одитиране.

Въпросът наистина е важен. Mоже да има два отговора. Но преди това една малка поправка...

Не следва да се пита за това с думата "трябва", защото "трябва" се ползва винаги за изисквания. 
Така, ако редактираме въпроса, то той би звучал "Какво БИ БИЛО ДОБРЕ да променим ... " или "КАКВО МОЖЕ да променим, ако НИЕ преценим, че е нужно ...". Тази редакция напълно пасва на духа на стандарта, който е с указания, който никого и с нищо не задължават насилствено...

И една бележка... Мина вече доста време от 2018 година, когато новото издание видя бял свят.
С други думи, очаква се, че въпросът за промените не би следвало вече да е актуален. Който е променил нещо -- променил. Който пък не е променил -- или е нямал нужда или си няма хабер. 

РЕЗЮМЕ
(за много заети хора)

Не сте непременно задължени да правите промени в документите си за вътрешни одити, само поради това, че има ново трето издание на стандарта ISO 19011. Това е така, тъй като стандартът съдържа само указания и представя систематизирано пълен набор от добри практики за процеса на одитиране. А указанията не са изисквания и не задължават с нищо. Вместо задължения поради изисквания, указанията разчитат на добро желание, разбиране и стремеж към усъвършенстване. Потенциалът от желания, разбиране и стремежи към по-добро при различните хора и в различни ситуации също е различен. Така въпросът за възможни промени е въпрос на наши преценки и решение.

 Добросъвестните и любопитни потребители на стандарта обаче могат да направят следното:
 - да прочетат новото издание и да се запознаят подробно с въпроси, които ги интересуват
 - да си осигурят обучение, което да ги запознае цялостно и подробно със стандарта
  
Едва след това могат да си зададат въпроса дали съществуващите документи и усвоената практика на одитиране са достатъчно добри и не трябва да се променят или има нужда от промени, тъй като новите указания на третото издание са подсказали нещо полезно и интересно, което си струва да бъде усвоено, за да бъдат вътрешните одити не само ефикасни, но и ефективни.

Ако това резюме ви убеждава и ви е достатъчно - спестете си време и не четете по-нататък...

  
ДВА ОТГОВОРА И МАЛКО ПОДРОБНОСТИ
  
И така - двата отговора ... Първият отговор е кратък и принципен.

Другият, по същество,  е свързан с желание за въвеждане на промени в документите, от които най-вероятно ще следва да се променят или допълнят и практиките на одитиране.

Под "променят" следва да се разбира "подобрят", да станат още по-ефикасни и по-ефективни.

Кратък отговор - "Не променяйте нищо!", ако документите за вътрешни одити във вашата система са добре разработени и практиките, стъпили на тях, са достатъчно добри. Това значи, че при одитиране избягвате дежурните рискове, намирате начини и решения за точно и бързо събиране на доказателства и формулиране на констатации и освен това лесно и бързо правите необходимите записи (за планиране на одит, за запис на констатация и за доклад от одит). Така вашите одити са не само ефикасни (постигат целите си), но са и ефективни (постигат целите си, но за кратко време и без особени разходи на други ресурси).

Казано накратко - ако документите не ви тежат и не ви дразнят, и ако всичко върви добре - най-разумно е нищо да не се пипа. Правете одити, както сте си ги правили до излизането на това последно издание на стандарта. Той не ви задължава с нищо (в стандарта няма изисквания! ) и никой няма да ви дири сметка дали сте приложили или не нещо "ново".

Но нека кажем все пак. че дори и при това положение, всеки добросъвестен одитор или всеки мениджър на система би се очаквало да прояви интерес и да види кое точно прави този стандарт "нов" и дали има нещо, което би било добре и е разумно да се усвои и приложи.

Да отбележим и още нещо... Новото издание на стандарта е добър повод ние да отидем на обучение или да си организираме обучение за одиторите, или да реализираме, ако имаме, отдавна стаени идеи не само за подобрения, но и (защо не) за експерименти на тема "одити".
Така че ISO ни дава повода - нека тогава се възползваме.

В скоби ... тези занимания ние може да си ги правим и без да има специален повод като този - "излязло ново издание на стандарта!".

По-подробен отговор. Той гласи, че принципно, ако един стандарт съдържа единствено указания (т.е. изложени добри практики, насоки, препоръки) то той най-вече има смисъл и може да се ползва като източник на идеи за промени от всякакво естество на усвоени практики.

Ситуациите са поне две, защото са две насоките за промени - за оздравяване и за развитие ...

1) ползваме стандарта за ремонт и оздравяване, защото не сме доволни от одитирането.

Имаме процедура и трябва да се водят записи, но въпросната процедура е тромава, излишно претоварена, писана е от външен експерт (консултант, който се е старал да се презастрахова), трудно се прилага, даже не се спазва точно, остаряла е, но в нея не са правени промени от доста години. Нещо повече одитите са се превърнали в досадно и губещо време занимание.

Шефовете ни търпят да си играем на одити, защото знаят, че това го иска "исото" и си затварят очите, когато получават почти едни и същи доклади без или с много малка полезна стойност.

2) ползваме стандарта за разширяване, обогатяване, освежаване и, в крайна сметка - за подобряване не само на документалната си основа за одитиране, но и на живите практики. В този случай разглеждаме стандарта като източник на идеи, като сборник с добри подсказки за намиране на подходящи точно за нас решения

Първият случай няма да коментираме. То, ако е така, е по-добре всичко да отиде в коша и да се тръгне изначално "от нулата ...", при което ще се разделим с всичко, което е тромаво и тъпо.

Във втория случай ще се наложи да прегледаме стандарта с идеята да открием нещо ново, което може да ни освежи, защото НИЕ искаме, желаем и сме любопитни да пробваме, а не защото НЯКОЙ ще ни натика в ъгъла, ще ни гепи за яката и ще ни кресне "А вие ЗАЩО ... ?"

И така, ако прегледаме новото издание на ISO 19011, какво "ново" може да открием?

Прочее, някой неща, дори да са "стари", ако навремето не сме ги били приложили, ще се окажат и те "нови", наред с другите, които пък са "съвсем нови" ... :)

Ето как в самия стандарт (стр. 5 "Предговор на ISO") са обявени новостите ...

Основните разлики в сравнение с второто издание са следните:
  • към принципите за одитиране е добавен подход, основан на риска;
  • разширени са указанията за управление на програмата за одит, включително за риска за програмата за одит;
  • разширени са указанията за извършване на одит, особено в частта за планирането на одит
  • разширени са изискванията за общата компетентност на одиторите;
  • отпаднало е приложението, съдържащо изисквания за компетентност за извършване на одит в специфични области на системите за управление(поради големия брой стандарти за отделни системи за управление, не би било практично да се включват изисквания за компетентност за всички области);
  • разширено е Приложение А, за да се дадат указания за извършване на одит на (нови) елементи като контекст на организацията, лидерство и ангажираност, виртуални одити, съответствие и верига на доставки.

Нека коментираме тези шест обяви за "основни разлики"...

Рискове
Сега всички стандарти на ISO от категорията MSS говорят за рискове. Затова решаваме в документите си за одити да въведем аспекта, свързан с рисковете. но отнесени към процеса на одитиране. Правим така, че още при планиране на Програмата за одити, а сетне и на даден одит, ще добавяме нов раздел "Рискове" и ще ги посочваме. Може дори да ги подложим на обработка по начин, както е за системата, която одитираме или да си направим отделна проста за разбиране и прилагане методика, която ще бъде, примерно, Приложение към Процедурата.

Не забравяме да съобразим, че темата "рискове при одити" ще следва да се добави към темите на Прегледа на системата от ръководството. Да не забравим и това, че в новото издание този "Подход, основан на риска" даже не е и указание, а си е само един от принципите за одитиране. И това ни дава още по-голяма свобода да решим как да отразим този "нов" принцип

Разширени указания за управление на програмата за одит, вкл. за риска за програмата
Я първо да видим как и в каква степен при вас са усвоени указанията за програма за одит, както са дадени в старото второ издание. Ще се окаже ли, че при вас Програмата всъщност е редуцирана до съставяне само на годишен график на одитите. Това значи, че сте обърнали гръб на почти всички указания за програмата от второто издание. Е, нима сега заради третото издание ще си нарушите комфорта, за да усвоите указанията, които преди това сте загърбили, още повече, че те сега даже са и разширени?! А е дори възможно редуцираната ви само до график програма да съдържа само един одит годишно. Ако е така, това вече е "колапс" на програмата. Програмата ви е колабирала! И това е "минавало метър"  пред одитори?

И накрая, ако е така, нека си зададете въпроса "Ще си струва ли напъна да реагираме на указанията, вкл. и на разширените, за програмата, щом до момента ние сме ги загърбили всичките?" Мисля, че е лесно да се отгатне отговорът. Ами "... вкл. за риска за програмата"? Нека кажем направо - да, има рискове за програмата, но само тогава, когато се прави и изпълнява програма. Ако не правите програма за одити, то няма и рискове за нея... нали? А може да го кажем и с малко ирония и тъга - първите два риска за програмата са следните ...

1) да няма съставена програма и 2) да има програма само като график с един одит годишно

Нека все пак подскажем една препоръка за програмата. Освен традиционния график, нека към него добавяме още нещо, което е дадено в т. 5.4.4 на стандарта - "Определяне на ресурси за програмата за одит". Ако направите това ще планирате и подкрепите с нужните ресурси всеки одит от графика, така щото нито един одит да не изпита криза или да е неефективен поради недостиг или липса на някакъв ресурс. Ето оттук идва и дежурният риск за Програмата - рискът да няма или да не стигне необходим ресурс.

Коментар: За тези практики, които се изразяват в планиране само на един одит годишно си е "виновно" самото ISO. Дефиницията за програма за одити е такава, че почва с думите "Съвкупност от ЕДИН или повече одити... ". Съвкупност от един ли?! Хммм ...

Разширени указания за извършване на одит, особено в частта за планирането на одит
И тук може пак да почнем от въпроса "Я да видим как и в каква степен ... " Каквато и да е степента на усвояване на указанията от второто издание, ако смятаме че си планираме добре одитите, няма сериозно основание да променяме начина си на планиране. Принципът е - "Каквото работи добре не следва да се пипа!". Първата промяна, на която си струва да отделите внимание е указанието при планиране на одит да се възприеме подход, основан на рисковете. Това е т. 6.3.2.1 "Използване на подход, основан на риска, при планирането." Отделете малко внимание на основния риск, който е докато одитирате да повлияете (или даже да попречите) на работата на хората, които одитирате. Променете си процедурата за одит, като добавите текст, с който визирате този риск и предвидите мерки, с които го редуцирате до приемливи нива.

Едни от "новите" указания може да се окажат тези в т. 6.3.4 "Подготовка на документираната информация за одит". Правите ли въпросници за одита? Но не такива, които са с въпроси "по стандарта", а са с въпроси в зависимост от поставените цели за одита и от обектите за одит. Вижте също и А.13 от Приложение А. Само въпросници ли подготвяте за всеки одит? А други  документи - таблици, блок-схеми, диаграми, данни за извадки, аудио-визуална информация ... ?

Разширени изисквания за общата компетентност на одиторите
Указанията за компетентността в т.т. 7.1 и 7.2 са толкова много, че могат да ви отворят доста работа, особено ако досега не сте отделяли достатъчно внимание по този важен въпрос. И ако наистина е така, то преценете кои указания да усвоите, за да сте в тон с новото издание. Ако трябва да откроим най-важното, според нас, то може да е (според т. 7.1 "Общи положения") :
- въведете планирано и документирано оценяване на компетентността на одиторите
- осигурете развитие, поддържане и подобряване на компетентността, чрез "непрекъснато професионално обучение и редовно участие в одити" (цитат)

При добро желание вижте какво още има в т. 7.2 и си добавете и други новости във вашите  документи за одити. Помислете дали може и как да стане това "редовно участие в одити", ако при вас действа схемата "Годишен график с един одит".

Разширено Приложение А с указания за извършване на одит на (нови) елементи
Новите елементи, според стандарта, са:
- контекст
 - лидерство и ангажираност
·       - виртуални одити
·       - съответствие
·       - верига на доставки

Преди да погледнем тези елементи, нека отделим малко внимание на А.1 и на Таблица А.1 "Методи за одит". Новото, което виждаме е одитирането "От разстояние" в два варианта - с човешко и без човешко взаимодействие. Съдържащата се в тази таблица информация е достатъчна да ни даде идеи за развитие на практиките ви за одитиране в нови насоки.

А.8 Одитиране на контекста
Изисквайте одиторите да бъдат убеждаване чрез доказателства в това, че определеният контекст, изразен чрез посочени вътрешни и външни фактори и заинтересовани страни, не е "паднал наготово от небето", а е резултат от ползвани осигуровки и достатъчен анализ. Включете указанията в т. А.8 a, b, c, d, e в подходящ ваш документ - Приложение към процедурата за одити или отделна методика.

А. Лидерство и ангажираност
Изисквайте одиторите да се убеждават, че доказването на тези две качества става или с преки действия на висшето ръководство, или с действия, които то е делегира на други ръководители.

Третото издание на стандарта се хвали с това, че въвежда още по-ангажиращи отговорности за висшето ръководство. Ако това е така, следвайки изложените в стандартите изисквания за топ мениджмънта, ние би следвало да документираме начина, по който могат да бъдат проверени изискванията на съответния стандарт. На пример, в ISO 9001, в т. 5.1.1 това са подточки a), b), c), d), e), f), g), h), i), j). Щом като се твърди, че стандартът въвежда още по-ангажиращи отговорности за висшето ръководство, то вие следва също да сте по-ангажирани те да бъдат проверявани. Най-добре е това да стане в обособен раздел на процедурата за одити или в отделна методика.

А.16 Виртуални одити
Те най-често налагат да се одитира дистанционно, тъй като процесите, изпълнявани от одитираните хора ползват он-лайн среда и те самите са локализирани на различни места.

Ако имате такъв вид процеси и трябва да ги одитирате, ще ви се наложи да определите изисквания за дистанционно одитиране в документите си за одит, защото сега ги нямате.

Дистанционното одитиране звучи изкусително! Няма да пътуваш, ако обекти на одит има в друго населено място. Няма да се разхождаш да обикаляш всички обекти за одити, защото за някои обекти и проверки, особено ако имаме кредит на доверие в одитираните, и ако искаме одитът да не се проточва, ще направим просто разговор по телефона или по Skype-а. Ще поискаме да видим документ като ни го пратят по Е-мейла (не трябва да е класифициран като поверителен). Правим още едно Приложение към Процедурата със заглавие "Правила и практики за дистанционно одитиране". Прочее, нека едно от тези правила да бъде, че "един обект не следва да се одитира дистанционно при повече от два последователни одита ... " Смисълът тук е, че все пак, някога, одиторски крак трябва да стъпи "на терен".

А.7 Съответствие
В тази част на стандарта - "Одитиране на съответствието" - са изложени девет проверки, които би следвало да се изпълняват, ако се търси дали има съответствие с някакви изисквания.

И тъй като това е едва ли не основна и рутинна работа, с която сте запознати, защото вече сте я вършили, то би следвало да прецените кои от тези девет проверки сте усвоили и правите успешно и кои от тях, малко или повече, са относително непознати или непрактикувани.
Ако се налага, допълнете си процедсурите с изисвания или методиката с указания. Направете така, че да разширите практиката си в посока към пълнота на проверките за съответствие.

А.12 Одит на верига за доставки
Чрез допълнения в процедурата си за одит ще определите как да извършвате одити от втора страна, като проверявате доставчиците си. Тези одити трябва да включват с акцент само критериите, които ви интересуват, проверени в обхват, валиден за тези критерии. По-добре би било такива одити да се правят "на терен" при доставчика, но понякога трябва да имате готовност за дистанционно одитиране (при голям брой доставчици, при големи разстояния, при спешна необходимост от проверка на нещо, ... ) 

Следващата част е за провеждането на одита, а още по-следващата -- за документите, които може да ползваме във връзка с един вътрешен одит














   

























Няма коментари:

Публикуване на коментар