Продолжение статьи «Риск-ориентированный внутренний аудит систем менеджмента». В этой статье мы подробно разберем все этапы риск-ориентированного внутреннего аудита.
1. Планирование аудита
Основой аудита, основанного на оценке рисков, является тщательное планирование. Начните с понимания контекста организации, который включает в себя ее стратегические цели, область распространения СМ, нормативные требования и потребности заинтересованных сторон.
Например, производитель медицинского оборудования должен уделять первостепенное внимание безопасности пациентов и соблюдению требований законодательства, в то время как компания, занимающаяся администрированием логистических процессов, может сосредоточиться на безопасности данных и логистике.
Далее следует составить план аудита, в котором приоритетными будут области повышенного риска.
Он включает в себя:
2. Проведение оценки рисков
Следующим этапом является проведение системной оценки рисков для выявления уязвимостей в критических процессах. Это можно сделать с помощью таких инструментов, как:
Например, в условиях лечебного заведения (госпиталя, больницы) процесс FMEA может выявлять риски, связанные с ошибками приема лекарств, которые затем расставляются по приоритетам для детального аудита.
3. Проведение аудита
Сосредоточьте усилия при проведении внутренних аудитов на областях высокого риска, выявленных на этапах планирования и оценки. Такой подход обеспечивает эффективное использование времени и ресурсов при проведении внутренних аудитов системы менеджмента.
Рекомендации для эффективного проведения аудитов:
Пример: При проверке процесса Управление поставщиками в приоритетном порядке проверяйте поставщиков с критически важного сырья или компонентов, с которыми были ранее проблемы и возникали несоответствия или тех, чья деятельность представляет значительный экологический риск или уязвимость в сфере информационной безопасности.
Например, оцените соблюдение поставщиками экологических норм, практику утилизации отходов и усилия по сокращению углеродного следа.
Аналогичным образом оцените их протоколы информационной безопасности, такие как меры по защите данных, контроль доступа и планы реагирования на инциденты. Такой комплексный подход помогает устранить зоны повышенного риска, обеспечивая соблюдение стандартов качества, экологии и информационной безопасности.
4. Анализ и действия по результатам аудита
Последний этап — анализ результатов аудита и обеспечение их применения.
Подчеркните риски при составлении отчета, четко связав результаты с их потенциальным влиянием на достижение целей организации.
Корректирующие действия должны быть приоретезированы в зависимости от уровня риска. Например, результаты, связанные с критическими нарушениями безопасности, должны рассматриваться и устраняться раньше, чем мелкие процедурные ошибки.
Используйте подход, основанный на оценке риска, для определения сроков и ответственности за последующие корректирующие действия.
Например, если аудит выявил потенциальный риск загрязнения продукции на предприятии по переработке пищевых продуктов, необходимо немедленно принять меры по устранению проблемы и предотвращению ее возникновения в будущем.
Возможные проблемы при проведении риск-ориентированного внутреннего аудита и рекомендации по их решению.
Сложность вовлечения в командную работу.
Внедрение аудита на основе рисков часто встречает сопротивление со стороны коллектива и заинтересованных сторон. Сотрудники могут рассматривать его как дополнительное бремя или опасаться того, как он может повлиять на их работу. Чтобы решить эту проблему:
Баланс между рисками и имеющимися ресурсами
Аудит, основанный на оценке рисков, может показаться ресурсоемким, особенно для небольших организаций с ограниченным штатом и бюджетом.
Рекомендации:
Например, небольшая производственная компания может сначала провести аудит только трех основных поставщиков (поставщиков критически важного сырья или компонентов), а затем заняться поставщиками с меньшим риском.
Избегайте ловушек
Распространенные ошибки при проведении аудита, основанного на оценке рисков, могут снизить его эффективность. К числу таких ошибок относятся:
Для правильного и уверенного внедрения нового подхода к проведению внутренних аудитов можно начать с постепенного перехода. Сосредоточьтесь сначала на одном процессе или подразделении компании, чтобы применить принципы риск-ориентированного подхода и обрести уверенность.
Например, логистическая компания может начать с аудита процесса доставки, оценивая такие риски, как задержки в доставке, повреждение товаров, воздействие на окружающую среду или уязвимость системы безопасности данных. Это может включать в себя оценку экологических последствий методов транспортировки, таких как эффективность использования топлива или уровень выбросов, а также анализ мер информационной безопасности для защиты конфиденциальных данных клиентов во время транспортировки. Решая эти критические задачи в первую очередь, компания обеспечивает соблюдение стандартов качества, экологии и информационной безопасности, а также минимизирует операционные и репутационные риски.
Используйте существующие инструменты
Вам не нужны дорогие инструменты для начала аудита на основе оценки рисков. Существующие ресурсы можно эффективно адаптировать:
Например, розничная компания может использовать простой лист Excel для документирования рисков и определения приоритетности действий во время первоначальных аудитов.
Постоянное совершенствование
Аудит, основанный на оценке рисков, - это не одноразовое мероприятие; он развивается с течением времени. После первых проведенных внутренних аудитов:
Например, после аудита процессов работы с поставщиками организация может понять, что ей нужны более четкие критерии для оценки надежности поставщиков. Усовершенствовав свои методы, компания сможет повысить эффективность будущих аудитов.
Для любой организации внедрение риск-ориентированного внутреннего аудита - это не просто выполнение требований внешнего сертификационного органа - это проактивный шаг к повышению устойчивости и обеспечению стабильного качества. Начните с малого, мыслите масштабно, и пусть аудит на основе оценки рисков поможет вам создать более сильную систему менеджмента, а специалисты нашего учебного центра, по совместительству являющиеся действующими аудиторами, всегда рады помочь Вам в решении всех возникших вопросов!
1. Планирование аудита
Основой аудита, основанного на оценке рисков, является тщательное планирование. Начните с понимания контекста организации, который включает в себя ее стратегические цели, область распространения СМ, нормативные требования и потребности заинтересованных сторон.
Например, производитель медицинского оборудования должен уделять первостепенное внимание безопасности пациентов и соблюдению требований законодательства, в то время как компания, занимающаяся администрированием логистических процессов, может сосредоточиться на безопасности данных и логистике.
Далее следует составить план аудита, в котором приоритетными будут области повышенного риска.
Он включает в себя:
- Определение ключевых процессов и потенциальных областей риска.
- Распределение ресурсов в областях, где риски имеют наибольшую вероятность и влияние.
2. Проведение оценки рисков
Следующим этапом является проведение системной оценки рисков для выявления уязвимостей в критических процессах. Это можно сделать с помощью таких инструментов, как:
- Матрицы рисков: Они помогают визуально классифицировать риски на основе двух критериев: вероятности последствий и тяжести воздействия, что упрощает определение приоритетности этих рисков.
- Анализ видов и последствий отказов (FMEA): Этот метод рассматривает возможные области отказа (проблем) в процессе, оценивает их серьезность, вероятность и возможность обнаружения, а также присваивает приоритет.
Например, в условиях лечебного заведения (госпиталя, больницы) процесс FMEA может выявлять риски, связанные с ошибками приема лекарств, которые затем расставляются по приоритетам для детального аудита.
3. Проведение аудита
Сосредоточьте усилия при проведении внутренних аудитов на областях высокого риска, выявленных на этапах планирования и оценки. Такой подход обеспечивает эффективное использование времени и ресурсов при проведении внутренних аудитов системы менеджмента.
Рекомендации для эффективного проведения аудитов:
- Используйте специально разработанные списки с вопросами (чек-листы) или открытые вопросы для оценки конкретных элементов управления в областях высокого риска.
- Ищите системные проблемы, которые могут привести к сбоям, а не отдельные проблемы.
Пример: При проверке процесса Управление поставщиками в приоритетном порядке проверяйте поставщиков с критически важного сырья или компонентов, с которыми были ранее проблемы и возникали несоответствия или тех, чья деятельность представляет значительный экологический риск или уязвимость в сфере информационной безопасности.
Например, оцените соблюдение поставщиками экологических норм, практику утилизации отходов и усилия по сокращению углеродного следа.
Аналогичным образом оцените их протоколы информационной безопасности, такие как меры по защите данных, контроль доступа и планы реагирования на инциденты. Такой комплексный подход помогает устранить зоны повышенного риска, обеспечивая соблюдение стандартов качества, экологии и информационной безопасности.
4. Анализ и действия по результатам аудита
Последний этап — анализ результатов аудита и обеспечение их применения.
Подчеркните риски при составлении отчета, четко связав результаты с их потенциальным влиянием на достижение целей организации.
Корректирующие действия должны быть приоретезированы в зависимости от уровня риска. Например, результаты, связанные с критическими нарушениями безопасности, должны рассматриваться и устраняться раньше, чем мелкие процедурные ошибки.
Используйте подход, основанный на оценке риска, для определения сроков и ответственности за последующие корректирующие действия.
Например, если аудит выявил потенциальный риск загрязнения продукции на предприятии по переработке пищевых продуктов, необходимо немедленно принять меры по устранению проблемы и предотвращению ее возникновения в будущем.
Возможные проблемы при проведении риск-ориентированного внутреннего аудита и рекомендации по их решению.
Сложность вовлечения в командную работу.
Внедрение аудита на основе рисков часто встречает сопротивление со стороны коллектива и заинтересованных сторон. Сотрудники могут рассматривать его как дополнительное бремя или опасаться того, как он может повлиять на их работу. Чтобы решить эту проблему:
- Четко объясните преимущества: Объясните, как концентрация на рисках повышает эффективность, уменьшает количество неожиданных проблем и помогает достичь цели организации.
- Заранее привлекайте в команду сотрудников: привлекайте ключевых заинтересованных сотрудников к процессу планирования внутреннего аудита, чтобы сформировать ответственность и обеспечить решение их проблем в их процессах.
Баланс между рисками и имеющимися ресурсами
Аудит, основанный на оценке рисков, может показаться ресурсоемким, особенно для небольших организаций с ограниченным штатом и бюджетом.
Рекомендации:
- Сосредоточьтесь на критических областях: отдайте приоритет высокоэффективным рискам, а не пытайтесь охватить все сразу.
- Используйте внешнюю экспертизу: небольшие организации могут сотрудничать с консультантами и привлекать для проведения внутренних аудитов специалистов сторонних консалтинговых организаций.
Например, небольшая производственная компания может сначала провести аудит только трех основных поставщиков (поставщиков критически важного сырья или компонентов), а затем заняться поставщиками с меньшим риском.
Избегайте ловушек
Распространенные ошибки при проведении аудита, основанного на оценке рисков, могут снизить его эффективность. К числу таких ошибок относятся:
- Чрезмерное усложнение процесса: Инструменты оценки рисков должны быть простыми и удобными в использовании. Сложные методики могут препятствовать их применению.
- Сосредоточение исключительно на документации: Несмотря на важность документации, в ходе аудита следует оценивать реальные методы и средства контроля.
- Игнорирование рисков с низкой вероятностью возникновения и высокой тяжестью последствий: Редкие, но серьезные риски, такие как стихийные бедствия, требуют внимания, даже если они кажутся маловероятными. Вспомните историю падения метеорита в Челябинской области.
Для правильного и уверенного внедрения нового подхода к проведению внутренних аудитов можно начать с постепенного перехода. Сосредоточьтесь сначала на одном процессе или подразделении компании, чтобы применить принципы риск-ориентированного подхода и обрести уверенность.
Например, логистическая компания может начать с аудита процесса доставки, оценивая такие риски, как задержки в доставке, повреждение товаров, воздействие на окружающую среду или уязвимость системы безопасности данных. Это может включать в себя оценку экологических последствий методов транспортировки, таких как эффективность использования топлива или уровень выбросов, а также анализ мер информационной безопасности для защиты конфиденциальных данных клиентов во время транспортировки. Решая эти критические задачи в первую очередь, компания обеспечивает соблюдение стандартов качества, экологии и информационной безопасности, а также минимизирует операционные и репутационные риски.
Используйте существующие инструменты
Вам не нужны дорогие инструменты для начала аудита на основе оценки рисков. Существующие ресурсы можно эффективно адаптировать:
- Электронные таблицы: Используйте их для создания матрицы рисков или отслеживания результатов.
- Программное обеспечение для управления рисками: Эти инструменты могут упростить оценку и отчетность, если позволяют ресурсы.
Например, розничная компания может использовать простой лист Excel для документирования рисков и определения приоритетности действий во время первоначальных аудитов.
Постоянное совершенствование
Аудит, основанный на оценке рисков, - это не одноразовое мероприятие; он развивается с течением времени. После первых проведенных внутренних аудитов:
- Оцените эффективность: Определите, что сработало хорошо, а что необходимо скорректировать.
- Усовершенствуйте свой подход: Обновляйте критерии риска, инструменты и планы аудита по мере углубления понимания.
Например, после аудита процессов работы с поставщиками организация может понять, что ей нужны более четкие критерии для оценки надежности поставщиков. Усовершенствовав свои методы, компания сможет повысить эффективность будущих аудитов.
Для любой организации внедрение риск-ориентированного внутреннего аудита - это не просто выполнение требований внешнего сертификационного органа - это проактивный шаг к повышению устойчивости и обеспечению стабильного качества. Начните с малого, мыслите масштабно, и пусть аудит на основе оценки рисков поможет вам создать более сильную систему менеджмента, а специалисты нашего учебного центра, по совместительству являющиеся действующими аудиторами, всегда рады помочь Вам в решении всех возникших вопросов!