Колко и какви вътрешни одити да планираме?

Началото на годината е подходящ период за анализ на постигнатите резултати от предходната година и планиране на дейностите за настоящата. Обикновено, това е времето, в което се планират какви и колко вътрешни одити да се проведат през годината, защото независимо от вида на внедрената в организацията система за управление, стандартите изискват провеждането на вътрешни одити през планирани интервали от време.

На практика, планирането се свежда до решение за провеждане на един вътрешен одит през избран месец на годината, обикновено месецът преди надзорния одит от органа за сертификация. Донякъде този вид планиране е оправдан за малки организации с внедрена една система за управление, например съгласно ISO 9001:2015. Но когато става въпрос за големи организации с повече от едно местоположение, разнородни и сложни дейности и с внедрена интегрирана система, планирането не е толкова лесна задача. Някои предпочитат провеждането на отделни одити по различни направления, местоположения, стандарти, а други провеждане на комбинирани одити.

Решението какви и колко вътрешни одити да се проведат за даден периода се взема на базата на:

• големината и вида на организацията;
• функционалността, сложността и естеството на дейността/процесите/продуктите;
• нивото на зрялост на внедрената система/и.

Резултатите от планирато най-често се документират чрез съставянето на програма за одити, която включва информация за:

• целта на програмата;
• обхват на програмата;
• рискове и възможности, свързани с програмата и действия за тяхното овладяване;
• график на провеждане на одитите – брой, честота, продължителност;
• критерии и методи на планираните одити;
• ресурси за изпълнение на програмата;
• критерии за подбор на членовете на екипа за одит;
• приложима документирана информация.

Отговорности

Отговорността за съставянето и управлението на програмата за одити следва да бъде възложена на компетентно лице. На практика, това най-често е лицето, което отговаря за управлението на системата за управление и познава в дълбочина както системата, така и особеностите на организацията. Изискванията към компетентността на лицето са свързани с притежаването на знания и умения за:

• принципите, процесите и методите на одитиране;
• стандартите за внедрената система или системи за управление;
• информация за одитираната организация и нейния контекс;
• приложимите изисквания на нормативни актове и други изисквания, свързани с дейността;
• управление на риска;
• информационни и комуникационни технологии.

Цел на програмата

Лицето, което управлява програмата определя нейната цел и период на действие. В общия случай, целта се определя като осигуряване на съответствие на системата с изискванията на организацията и на съответния стандарт/и. По-рядко могат да се срещнат цели като например:

• определяне на възможности за подобряване на системата;
• оценяване на способността на организацията да определя рисковете и възможностите и да определя и прилага ефикасни действия за тяхното овладяване;
• съответствие с приложими нормативни актове.

Периодът на действие на програмата най-често се определя на една година, но в зависимост от ситуацията е възможно планирането да се извърши и за по-дълъг период като например – две или повече години или за срока на договора с органа за сертификация. При планиране на по-дълги периоди в програмата е полезно да се включи информация за контролните/надзорни одити от страна на органа за сертификация.

Обхват на програмата

Обхватът е свързан с обекта и границите на програмата, като например дейността на организация Х на местоположение Y. При малки организации обикновено няма възможности за избор и в обхвата на програмата се включва цялата дейност, която се намира на едно единствено местоположение. При определяне на обхвата за големи организации влияят редица фактори, като:

• вида на внедрената система – по един стандарт, интегрирана;
• брой, важност, сложност, сходство и местоположение на дейностите, които трябва да бъдат одитирани;
• целта, обхвата и продължителността на всеки одит;
• резултати от предходни одити – вътрешни, външни;
• значими промени в организацията и др.

В обхвата на програмата задължително трябва да се включат всички дейности и местоположения, които са посочени в обхвата на сертифицираната система за управление.

Рискове и възможности

Предвид контекста на организацията лицето, което отговаря за управлението на програмата определя рисковете и възможностите за постигане на целите на програмата.

Рисковете могат да бъдат свързани с:

• планирането на одитите – грешки при определяне на броя, продължителността, местонахождението и периода на провеждане на одитите;
• подбора на екипа за одит – липса на достатъчна компетентност, независимост;
• обмена на информация – неефикасни канали за обмен на информация;
• ресурсите – липса на достатъчно време, подходящо оборудване, технически и комуникационни средства;
• документирана информация – липса на достъп и адекватна защита на информацията;
• наблюдение на програмата – липса на ефикасно наблюдение и анализ на резултатите от изпълнение на програмата.

Възможностите могат да бъдат свързани с:

• провеждане на няколко одита в рамките на едно посещение;
• намаляване на времето и разстоянието за пътуване до местоположение;
• обучения за повишаване на компетентността на одитори.

В зависимост от определените рискове и възможности се планира необходимостта от ресурси за тяхното овладяване. Освен тях, лицето което управлява програмата за одите планира необходимостта от ресурси за изпълнение на програмата. Ресурсите могат да бъдат свързани както с осигуряване на необходимите финансови средства, така и с осигуряване на време, оборудване, лични предпазни средства, информационни и комуникационни технологии, знания.