Уважаемые внутренние аудиторы систем менеджмента!
Думаем, что и у вас так часто бывало, что вы потратили несколько недель на аудит «каждого уголка» вашей системы менеджмента (по ISO 14001, ISO 27001, ISO 9001, ISO 22000 или другим стандартам), а потом «всплыла» какая-то критическая проблема, которая была «просмотрена» во время этих аудитов.
Традиционные методы аудита часто «размывают» усилия, рассматривая все процессы как одинаково важные и оставляя области с высоким риском без внимания.
Поэтому в этой статье мы решили представить вашему вниманию Риск-ориентированный подход как метод проведения внутренних аудитов, который фокусируется на том, что действительно важно, и обеспечивает результативность этого процесса. Этот подход может применяться в организациях, которые внедрили системы менеджмента в соответствии с требованиями стандартов: ISO 9001, ISO 14001, ISO 27001, ISO 22000 и другими.
Аудит, основанный на оценке рисков, определяет приоритетные области системы менеджмента, представляющие наиболее значительный риск для достижения целей организации. Это позволяет проводить более эффективные и результативные аудиты, способствующие улучшению и развитию системы менеджмента.
Такой подход позволяет отойти от традиционного «менталитета чек-листа стандартных вопросов», вместо этого внедряя оценку рисков в процесс аудита для повышения эффективности, соответствия и результативности.
Ниже будет подробно описана концепция аудита на основе рисков, его отличия от традиционного аудита и то, почему он важен для организаций, стремящихся к постоянному совершенствованию.
Что такое риск-ориентированный внутренний аудит?
Аудит на основе оценки рисков - это систематический метод, который распределяет ресурсы аудита на основе оценки рисков, связанных с различными областями системы менеджмента. При этом особое внимание уделяется аудиту процессов, средств контроля или систем, сбои в которых могут существенно повлиять на достижение целей организации, соответствие требованиям или снизить удовлетворенность потребителей.
Такой подход превращает аудиты в стратегические инструменты для улучшения системы менеджмента, а не просто в упражнения по соблюдению требований органов по сертификации.
Принципы такого подхода:
1.Определение приоритетности, т.е. областей повышенного риска:
При планировании внутренних аудитов необходимо сосредотачиваться на процессах или видах деятельности с наибольшим потенциалом влияния на качество, безопасность, информационную безопасность, экологические показатели или соответствие нормативным/законодательным требованиям.
В отличие от традиционного подхода к проведению внутренних аудитов, при котором все области оцениваются одинаково, при проведении аудита на основе оценки рисков особое внимание уделяется критическим областям, например, производственным процессам с высоким уровнем риска, а не к административному управлению с низким уровнем риска.
2.Проактивное управление рисками: Суть этого принципа - проактивное управление рисками для прогнозирования и решения проблем до их возникновения.
Эта проактивная позиция гарантирует «смягчение» критических рисков, снижая вероятность неблагоприятных последствий.
3.Эффективное распределение ресурсов: Это принципконцентрации усилия на приоритетных областях, оптимизации распределения времени и ресурсов. Минимизация усилий в областях с низким уровнем риска поможет достичь более высоких результатов с меньшими затратами ресурсов.
4.Повышение качества, соответствия требованиям и устойчивости:
Проактивно устраняя значительные риски, организации повышают надежность и эффективность своих процессов, продуктов или услуг.
Этот подход также соответствует требованиям стандартов ISO 9001:2015, ISO 14001:2015 и ISO 27001:2022 и других, обеспечивая выполнения требований по постоянному улучшению СМ.
5.Более эффективное принятие решений: Риск-ориентированный подход обеспечивает руководство организаций сведениями о критических рисках, позволяя принимать обоснованные решения, соответствующие приоритетам и целям организации.
6.Повышение устойчивости организации: Этот подход также способствует формированию «культуры предвидения и готовности», позволяя организации адаптироваться к трудностям и снижая вероятность сбоев.
Далее в таблице на примерах представлены основные различия при проведении аудитов при применении традиционного подхода и риск-ориентированного подхода.
Думаем, что и у вас так часто бывало, что вы потратили несколько недель на аудит «каждого уголка» вашей системы менеджмента (по ISO 14001, ISO 27001, ISO 9001, ISO 22000 или другим стандартам), а потом «всплыла» какая-то критическая проблема, которая была «просмотрена» во время этих аудитов.
Традиционные методы аудита часто «размывают» усилия, рассматривая все процессы как одинаково важные и оставляя области с высоким риском без внимания.
Поэтому в этой статье мы решили представить вашему вниманию Риск-ориентированный подход как метод проведения внутренних аудитов, который фокусируется на том, что действительно важно, и обеспечивает результативность этого процесса. Этот подход может применяться в организациях, которые внедрили системы менеджмента в соответствии с требованиями стандартов: ISO 9001, ISO 14001, ISO 27001, ISO 22000 и другими.
Аудит, основанный на оценке рисков, определяет приоритетные области системы менеджмента, представляющие наиболее значительный риск для достижения целей организации. Это позволяет проводить более эффективные и результативные аудиты, способствующие улучшению и развитию системы менеджмента.
Такой подход позволяет отойти от традиционного «менталитета чек-листа стандартных вопросов», вместо этого внедряя оценку рисков в процесс аудита для повышения эффективности, соответствия и результативности.
Ниже будет подробно описана концепция аудита на основе рисков, его отличия от традиционного аудита и то, почему он важен для организаций, стремящихся к постоянному совершенствованию.
Что такое риск-ориентированный внутренний аудит?
Аудит на основе оценки рисков - это систематический метод, который распределяет ресурсы аудита на основе оценки рисков, связанных с различными областями системы менеджмента. При этом особое внимание уделяется аудиту процессов, средств контроля или систем, сбои в которых могут существенно повлиять на достижение целей организации, соответствие требованиям или снизить удовлетворенность потребителей.
Такой подход превращает аудиты в стратегические инструменты для улучшения системы менеджмента, а не просто в упражнения по соблюдению требований органов по сертификации.
Принципы такого подхода:
1.Определение приоритетности, т.е. областей повышенного риска:
При планировании внутренних аудитов необходимо сосредотачиваться на процессах или видах деятельности с наибольшим потенциалом влияния на качество, безопасность, информационную безопасность, экологические показатели или соответствие нормативным/законодательным требованиям.
В отличие от традиционного подхода к проведению внутренних аудитов, при котором все области оцениваются одинаково, при проведении аудита на основе оценки рисков особое внимание уделяется критическим областям, например, производственным процессам с высоким уровнем риска, а не к административному управлению с низким уровнем риска.
2.Проактивное управление рисками: Суть этого принципа - проактивное управление рисками для прогнозирования и решения проблем до их возникновения.
Эта проактивная позиция гарантирует «смягчение» критических рисков, снижая вероятность неблагоприятных последствий.
3.Эффективное распределение ресурсов: Это принципконцентрации усилия на приоритетных областях, оптимизации распределения времени и ресурсов. Минимизация усилий в областях с низким уровнем риска поможет достичь более высоких результатов с меньшими затратами ресурсов.
4.Повышение качества, соответствия требованиям и устойчивости:
Проактивно устраняя значительные риски, организации повышают надежность и эффективность своих процессов, продуктов или услуг.
Этот подход также соответствует требованиям стандартов ISO 9001:2015, ISO 14001:2015 и ISO 27001:2022 и других, обеспечивая выполнения требований по постоянному улучшению СМ.
5.Более эффективное принятие решений: Риск-ориентированный подход обеспечивает руководство организаций сведениями о критических рисках, позволяя принимать обоснованные решения, соответствующие приоритетам и целям организации.
6.Повышение устойчивости организации: Этот подход также способствует формированию «культуры предвидения и готовности», позволяя организации адаптироваться к трудностям и снижая вероятность сбоев.
Далее в таблице на примерах представлены основные различия при проведении аудитов при применении традиционного подхода и риск-ориентированного подхода.
Примеры из реальной практики проведения внутренних аудитов:
Система менеджмента качества (ISO 9001)
В фармацевтической компании при проведении аудита, основанного на оценке рисков, приоритет был отдан проверке взаимодействия и оценки поставщика активных фармацевтических ингредиентов (API), от которых зависит качество продукции. Вместо того чтобы одинаково проверять всех поставщиков, аудит был сосредоточен на этом поставщике с высоким риском для готовой продукции, чтобы выявить потенциальные проблемы с качеством, такие как недостатки в производственных процессах или отклонения от надлежащей производственной практики (GMP).
Это позволило компании заблаговременно устранить риски, которые могут привести к появлению некачественной продукции и несоблюдению нормативных требований.
Система менеджмента информационной безопасности (ISO 27001)
Для компании, оказывающей услуги клиентам и имеющей большие базы данных этих клиентов, внутренний аудит, основанный на оценке рисков, был сосредоточен на сторонних поставщиках, имеющих доступ к конфиденциальным данным клиентов.
В ходе аудита были выявлены такие уязвимые места, как слабые методы шифрования данных или недостаточная подготовка сотрудников по вопросам кибербезопасности. Выявив эти недостатки, компания усилила меры информационной безопасности, и предотвратила утечку данных, сохранив доверие клиентов.
Система экологического менеджмента (ISO14001)
В компании, производящей медицинское оборудование, риск-ориентированный внутренний аудит, был сосредоточен на производственном процессе, в котором используются материалы с высоким уровнем воздействия на окружающую среду, например, опасные химические вещества.
Аудит помог выявить неадекватные методы утилизации отходов и недостаточное соблюдение требований законодательства в сфере экологии. Своевременное решение этих проблем помогло организации снизить вредное воздействие на окружающую среду, избежать штрафов и продемонстрировать корпоративную ответственность.
Система менеджмента качества (ISO 9001)
В фармацевтической компании при проведении аудита, основанного на оценке рисков, приоритет был отдан проверке взаимодействия и оценки поставщика активных фармацевтических ингредиентов (API), от которых зависит качество продукции. Вместо того чтобы одинаково проверять всех поставщиков, аудит был сосредоточен на этом поставщике с высоким риском для готовой продукции, чтобы выявить потенциальные проблемы с качеством, такие как недостатки в производственных процессах или отклонения от надлежащей производственной практики (GMP).
Это позволило компании заблаговременно устранить риски, которые могут привести к появлению некачественной продукции и несоблюдению нормативных требований.
Система менеджмента информационной безопасности (ISO 27001)
Для компании, оказывающей услуги клиентам и имеющей большие базы данных этих клиентов, внутренний аудит, основанный на оценке рисков, был сосредоточен на сторонних поставщиках, имеющих доступ к конфиденциальным данным клиентов.
В ходе аудита были выявлены такие уязвимые места, как слабые методы шифрования данных или недостаточная подготовка сотрудников по вопросам кибербезопасности. Выявив эти недостатки, компания усилила меры информационной безопасности, и предотвратила утечку данных, сохранив доверие клиентов.
Система экологического менеджмента (ISO14001)
В компании, производящей медицинское оборудование, риск-ориентированный внутренний аудит, был сосредоточен на производственном процессе, в котором используются материалы с высоким уровнем воздействия на окружающую среду, например, опасные химические вещества.
Аудит помог выявить неадекватные методы утилизации отходов и недостаточное соблюдение требований законодательства в сфере экологии. Своевременное решение этих проблем помогло организации снизить вредное воздействие на окружающую среду, избежать штрафов и продемонстрировать корпоративную ответственность.
