Как да управляваме риска при вътрешен одит?

Една от промените в ISO 19011:2018 е добавянето на нов принцип „подход, основан на риска“. Темата за риска не е новост за ISO 19011, но в това издание значението му е значително по-задълбочено.

Какво е риск?

На първо място се забелязва промяна в определението на термина „риск – влияние на неопределеността“. Към определението са направени 4 забележки, които обръщат внимание на това, че:

• влиянието може да бъде както положително, така и отрицателно;
• неопределеността е състояние на недостиг на информация относно дадено събитие, неговите последствия или вероятност;
• рискът се характеризира чрез потенциални събития и последствия;
• най-често рискът се представя като комбинация от последствията от дадено събитие и вероятността за неговото възникване.

Какво е подход основан на риска?

Подходът, основан на риска представлява подход, който отчита рисковете и възможностите, свързани с одита. Основната цел за използването на подхода е да се гарантира постигане на целите на програмата за одит.

Управлението на риска е вид превантивна мярка, което на по-достъпен език означава, че преди да се предприемат действия(в конкретния случай одит/и) трябва да се помисли за ситуациите, които биха попречили(риск) или помогнали(възможности) за тяхното изпълнение.

Прилагането на подхода, основан на риска оказва влияние върху планирането, провеждането и документирането на одитa.

Планиране – това е моментът, в който се планират какви и колко одита да бъдат проведени за определен период от време, чрез съставянето на програма за одит. Планирането е свързано с големината и вида на организацията, видове внедрени системи за управление, нивото на зрялост на системата, естеството, функционалността, местоположенията – много фактори, които представляват потенциален риск или възможност. Примери за рискове и възможности, свързани с програмата за одит са представени в т.5.3. Разликата с ISO 19011:2011 е че в т.5.3 от ISO 19011:2018 е разширен обхвата на рисковете и са включени възможности.

Примери за рискове:

• грешки при определяне на цели на одита и брой, продължителност и график за одитите;
• липса на достатъчно време, оборудване;
• липса на достатъчна компетентност за целите на одита;
• неподходящи канали за обмен на информация;
• липса на сътрудничество от страна на одитираните.

Примери за възможности:

• извършване на няколко одита в рамките на едно посещение;
• намаляване на времето и разстоянието за пътуване до местоположението;
• провеждане на дистанционен одит.

Провеждане – извършване на конкретния одит. Провеждането на одита включва широк обхват от дейности, като:

• подготовка – преглед на документирана информация, планиране на конкретния одит, разпределение на отговорности и възлагане на задачи;
• извършване на одита – среща за откриване, преглед на документация, събиране на информация, съставяне на констатации, заключения от одит, среща за закриване;
• подготовка на доклад и разпространяване;
• завършване на одит;
• действия след одит – корекции, коригиращи действия, възможности за подобряване.

Отново с най-голяма тежест подхода се прилага към процеса на планиране на конкретния одит – т. 6.3.2.1 от ISO 19011:2018. За да се планира конкретният одит се използва информация от програмата за одит и предоставената документирана информация, свързана с внедрената в организацията система за управление. На този етап на планиране се взема под внимание рискът от въздействието на дейностите на одита върху процесите на одитираната организация. Дейностите на одита трябва да се планират по начин, който не нарушава нормалното функциониране на процесите в организацията. За да се постигне това е необходимо предварително да се съгласуват дейностите по одита и графика на посещенията с одитираната организация.

По време на планирането се вземат предвид:

• „рисковете за постигане на целите на одита, възникнали от неефикасно планиране на одита“;
• „рисковете за одитираната организация, възникнали при извършване на одита“;
• „възможностите за подобряване на ефективността и ефикасността на дейностите за одит“.

Документиране – подготовка и разпространяване на доклада от одит, управление на документираната информация, свързана с одита.

През целия процес на провеждане на одит се използва и съставя документирана информация, която съдържа специфична, в някои случаи и чувствителна информация. Поради тази причина е необходимо да се определят рисковете и възможностите, свързани с:

• опазването на професионалната тайна;
• съхраняването, защитата и унищожаването на документирана информация, като програми, планове, записки, въпросници, доклади и т.н.

Когато организацията е голяма, резултатите от одита най-често се оповестяват чрез разпространение на доклада от одит до заинтересованите страни. Но това на практика представлява риск за опазване на професионалната тайна. За да се овладее този риск е необходимо предварително да се предвидят мерки, с цел да се избегне разкриването на информация относно организацията на трети страни, особено в случаите, когато одитите се извършват от външни лица.

Принципно правило е, че екипът за одит и лицето, което управлява програмата за одит не трябва да разпространяват информация, получена по време на одита или от доклада от одит на друга страна без изричното съгласие на клиента на одита. За да се спази това изискване е необходимо предварително да бъдат създадени правила, с които да бъде запознат екипа за одит.