Этапы планирования и проведения риск-ориентированного внутреннего аудита

Продолжение статьи «Риск-ориентированный внутренний аудит систем менеджмента». В этой статье мы подробно разберем все этапы риск-ориентированного внутреннего аудита.

1. Планирование аудита

Основой аудита, основанного на оценке рисков, является тщательное планирование. Начните с понимания контекста организации, который включает в себя ее стратегические цели, область распространения СМ, нормативные требования и потребности заинтересованных сторон.

Например, производитель медицинского оборудования должен уделять первостепенное внимание безопасности пациентов и соблюдению требований законодательства, в то время как компания, занимающаяся администрированием логистических процессов, может сосредоточиться на безопасности данных и логистике.

Далее следует составить план аудита, в котором приоритетными будут области повышенного риска.

Он включает в себя:

• Определение ключевых процессов и потенциальных областей риска.
• Распределение ресурсов в областях, где риски имеют наибольшую вероятность и влияние.

2. Проведение оценки рисков

Следующим этапом является проведение системной оценки рисков для выявления уязвимостей в критических процессах. Это можно сделать с помощью таких инструментов, как:

• Матрицы рисков: Они помогают визуально классифицировать риски на основе двух критериев: вероятности последствий и тяжести воздействия, что упрощает определение приоритетности этих рисков.
• Анализ видов и последствий отказов (FMEA): Этот метод рассматривает возможные области отказа (проблем) в процессе, оценивает их серьезность, вероятность и возможность обнаружения, а также присваивает приоритет.

Например, в условиях лечебного заведения (госпиталя, больницы) процесс FMEA может выявлять риски, связанные с ошибками приема лекарств, которые затем расставляются по приоритетам для детального аудита.

3. Проведение аудита

Сосредоточьте усилия при проведении внутренних аудитов на областях высокого риска, выявленных на этапах планирования и оценки. Такой подход обеспечивает эффективное использование времени и ресурсов при проведении внутренних аудитов системы менеджмента.

Рекомендации для эффективного проведения аудитов:

• Используйте специально разработанные списки с вопросами (чек-листы) или открытые вопросы для оценки конкретных элементов управления в областях высокого риска.
• Ищите системные проблемы, которые могут привести к сбоям, а не отдельные проблемы.

Пример: При проверке процесса Управление поставщиками в приоритетном порядке проверяйте поставщиков с критически важного сырья или компонентов, с которыми были ранее проблемы и возникали несоответствия или тех, чья деятельность представляет значительный экологический риск или уязвимость в сфере информационной безопасности.

Например, оцените соблюдение поставщиками экологических норм, практику утилизации отходов и усилия по сокращению углеродного следа.

Аналогичным образом оцените их протоколы информационной безопасности, такие как меры по защите данных, контроль доступа и планы реагирования на инциденты. Такой комплексный подход помогает устранить зоны повышенного риска, обеспечивая соблюдение стандартов качества, экологии и информационной безопасности.

4. Анализ и действия по результатам аудита

Последний этап — анализ результатов аудита и обеспечение их применения.

Подчеркните риски при составлении отчета, четко связав результаты с их потенциальным влиянием на достижение целей организации.

Корректирующие действия должны быть приоретезированы в зависимости от уровня риска. Например, результаты, связанные с критическими нарушениями безопасности, должны рассматриваться и устраняться раньше, чем мелкие процедурные ошибки.

Используйте подход, основанный на оценке риска, для определения сроков и ответственности за последующие корректирующие действия.

Например, если аудит выявил потенциальный риск загрязнения продукции на предприятии по переработке пищевых продуктов, необходимо немедленно принять меры по устранению проблемы и предотвращению ее возникновения в будущем.

Возможные проблемы при проведении риск-ориентированного внутреннего аудита и рекомендации по их решению.

Сложность вовлечения в командную работу.

Внедрение аудита на основе рисков часто встречает сопротивление со стороны коллектива и заинтересованных сторон. Сотрудники могут рассматривать его как дополнительное бремя или опасаться того, как он может повлиять на их работу. Чтобы решить эту проблему:

• Четко объясните преимущества: Объясните, как концентрация на рисках повышает эффективность, уменьшает количество неожиданных проблем и помогает достичь цели организации.
• Заранее привлекайте в команду сотрудников: привлекайте ключевых заинтересованных сотрудников к процессу планирования внутреннего аудита, чтобы сформировать ответственность и обеспечить решение их проблем в их процессах.

Баланс между рисками и имеющимися ресурсами

Аудит, основанный на оценке рисков, может показаться ресурсоемким, особенно для небольших организаций с ограниченным штатом и бюджетом.

Рекомендации:

• Сосредоточьтесь на критических областях: отдайте приоритет высокоэффективным рискам, а не пытайтесь охватить все сразу.
• Используйте внешнюю экспертизу: небольшие организации могут сотрудничать с консультантами и привлекать для проведения внутренних аудитов специалистов сторонних консалтинговых организаций.

Например, небольшая производственная компания может сначала провести аудит только трех основных поставщиков (поставщиков критически важного сырья или компонентов), а затем заняться поставщиками с меньшим риском.

Избегайте ловушек

Распространенные ошибки при проведении аудита, основанного на оценке рисков, могут снизить его эффективность. К числу таких ошибок относятся:

• Чрезмерное усложнение процесса: Инструменты оценки рисков должны быть простыми и удобными в использовании. Сложные методики могут препятствовать их применению.
• Сосредоточение исключительно на документации: Несмотря на важность документации, в ходе аудита следует оценивать реальные методы и средства контроля.
• Игнорирование рисков с низкой вероятностью возникновения и высокой тяжестью последствий: Редкие, но серьезные риски, такие как стихийные бедствия, требуют внимания, даже если они кажутся маловероятными. Вспомните историю падения метеорита в Челябинской области.

Для правильного и уверенного внедрения нового подхода к проведению внутренних аудитов можно начать с постепенного перехода. Сосредоточьтесь сначала на одном процессе или подразделении компании, чтобы применить принципы риск-ориентированного подхода и обрести уверенность.

Например, логистическая компания может начать с аудита процесса доставки, оценивая такие риски, как задержки в доставке, повреждение товаров, воздействие на окружающую среду или уязвимость системы безопасности данных. Это может включать в себя оценку экологических последствий методов транспортировки, таких как эффективность использования топлива или уровень выбросов, а также анализ мер информационной безопасности для защиты конфиденциальных данных клиентов во время транспортировки. Решая эти критические задачи в первую очередь, компания обеспечивает соблюдение стандартов качества, экологии и информационной безопасности, а также минимизирует операционные и репутационные риски.

Используйте существующие инструменты

Вам не нужны дорогие инструменты для начала аудита на основе оценки рисков. Существующие ресурсы можно эффективно адаптировать:

• Электронные таблицы: Используйте их для создания матрицы рисков или отслеживания результатов.
• Программное обеспечение для управления рисками: Эти инструменты могут упростить оценку и отчетность, если позволяют ресурсы.

Например, розничная компания может использовать простой лист Excel для документирования рисков и определения приоритетности действий во время первоначальных аудитов.

Постоянное совершенствование

Аудит, основанный на оценке рисков, - это не одноразовое мероприятие; он развивается с течением времени. После первых проведенных внутренних аудитов:

• Оцените эффективность: Определите, что сработало хорошо, а что необходимо скорректировать.
• Усовершенствуйте свой подход: Обновляйте критерии риска, инструменты и планы аудита по мере углубления понимания.

Например, после аудита процессов работы с поставщиками организация может понять, что ей нужны более четкие критерии для оценки надежности поставщиков. Усовершенствовав свои методы, компания сможет повысить эффективность будущих аудитов.

Для любой организации внедрение риск-ориентированного внутреннего аудита - это не просто выполнение требований внешнего сертификационного органа - это проактивный шаг к повышению устойчивости и обеспечению стабильного качества. Начните с малого, мыслите масштабно, и пусть аудит на основе оценки рисков поможет вам создать более сильную систему менеджмента, а специалисты нашего учебного центра, по совместительству являющиеся действующими аудиторами, всегда рады помочь Вам в решении всех возникших вопросов!