Требования о необходимости проведения внутреннего аудита есть во многих стандартах на системы менеджмента. Соответственно, компании накопили достаточно большой опыт по данной теме. Практически в любой процедуре внутреннего аудита мы найдем стандартный подход, который включает следующие этапы: планирование, подготовка (изучение документации), проведение аудита, составление отчета, определение и выполнение необходимых действий по коррекции и корректирующих действий, верификация запланированных действий. Но очень редко автор видел в действующих процедурах упоминания о предупреждающих действиях. Как термин «предупреждающие действия» в процедуре может быть, но анализ отчетов по внутреннему аудиту показывает, что предупреждающих действий по результатам аудитов практически нет.

Одна их возможных причин подобной ситуации - таковы требования стандартов ISO. Например, если внимательно почитать стандарт ISO 9001:2008 (пункт 8.2.2), то можно понять, что по результатам аудита должны осуществляться коррекция и корректирующие действия. А это прямое указание на то, что аудитор имеет дело только с фактическими несоответствиями. Это и правильно, и не правильно.

Но жизнь идет, многое меняется, меняется и отношение к внутреннему аудиту. Есть, конечно, неизменная часть внутреннего аудита, если можно так сказать – «обязательная программа». Она задана целями аудита, которые приведены в пункте 8.2.2 стандарта
ISO 9001:2008:
«а) соответствует ли СМК запланированным мероприятиям, требованиям данного международного стандарта и требованиям к СМК, установленным организацией, а также
б) результативно ли внедрена СМК и поддерживается ли она в рабочем состоянии».

Примечание: хотя здесь и далее говорится об аудите системы менеджмента качества, но рассматриваемая тема актуальна и для аудита других систем менеджмента: системы экологического менеджмента, системы охраны здоровья и обеспечения безопасности труда, интегрированных систем менеджмента.

Конечно, вышеуказанные цели являются обязательными, но никто и ничто не запрещает организациям устанавливать дополнительные цели и задачи для внутренних аудитов.

В любом случае у внутреннего аудита два основных направления: оценка соответствия и поиск областей для улучшения. Причем, по мнению автора, акцент необходимо смещать в сторону поиска областей для улучшения (особенно для организаций, где система менеджмента внедрена и функционирует длительный период времени).

Была надежда на то, что в версии ISO 9001:2015 изменятся требования раздела по внутреннему аудиту, но ожидания не оправдались - в ISO/DIS 9001:2014 в разделе 9.2 также говорится только о проведении коррекции и корректирующих действий.

Давно назрела необходимость того, что при внутреннем аудите нужно проводить оценку и фиксировать не только фактические несоответствия, но и ПОТЕНЦИАЛЬНЫЕ! А выявить потенциальные несоответствия весьма затруднительно, если не применять методологию оценки рисков. Риск-ориентированный аудит – вот одно из направлений развития внутреннего аудита. Для этого руководители и внутренние аудиторы должны знать и применять методику оценки рисков в своей практической деятельности. Методик разных много, но практически все основаны на оценке вероятности возникновения и тяжести последствий от возможного нежелательного события (потенциального несоответствия).

В стандарте ISO 9004:2009 говорится, что «проведение внутренних аудитов является результативным способом выявления проблем, рисков и несоответствий, а также мониторинга хода работ по устранению ранее выявленных несоответствий (с которыми следует разбираться на основе анализа коренных причин и разработки и реализации планов корректирующих и предупреждающих действий)». И еще в этом же документе: «Внутренние аудиты могут также быть направлены на выявление передового опыта, который может быть использован в других направлениях деятельности организации, а также на выявление потенциала улучшений».

В ISO/DIS 9001:2014 говорится: «Настоящий международный стандарт делает риск-ориентированное мышление более ярко выраженным и включает его в требования, относящиеся к разработке, внедрению, обеспечению функционирования и постоянному улучшению системы менеджмента качества».

Предлагаемый путь проведения аудита в случае применения методики анализа рисков (в дополнение к оценке соответствия): владелец процесса (руководитель подразделения) выявляет потенциальные несоответствия, оценивает риски (с составлением протокола), планирует и осуществляет действия в целях снижения рисков. Задача аудитора при поведении риск-ориентированного аудита – найти ответы на вопросы:

• учтены ли возможные потенциальные несоответствия;
• в полном ли объеме указаны возможные последствия;
• правильно ли проведена оценка тяжести последствий;
• определена ли причина потенциального несоответствия;
• правильно ли проведена оценка вероятности возникновения потенциального несоответствия;
• запланированы ли мероприятия для снижения риска (не приемлемого);
• достаточно ли мероприятий для снижения риска;
• выполнены ли запланированные мероприятия;
• результативны ли выполненные мероприятия;
• учтены ли результативные мероприятия по снижению рисков в стандартах, процедурах, инструкциях и т.п.

В результате такого аудита совместно с владельцем процесса могут быть выявлены потенциальные несоответствия и необходимые предупреждающие действия.

Для понимания принципиальных отличий обычного аудита и риск-ориентированного предлагается рассмотреть такую простую ситуацию: аудитор приходит на склад готовой продукции и видит картину – вся площадь склада заставлена готовой продукцией, причем в три ряда высотой (что является максимально допустимым по ТУ на продукцию), но места свободного нет. При обычном аудите: несоответствий нет, аудитор уходит.В случае рискориентированного аудита: аудитор в этом случае понимает - существует вероятность (причем достаточно большая), что следующая партия продукции, которая придет на склад, будет размещаться с нарушением требований по высоте штабелирования. Возможные последствия – часть продукции может оказаться не годной. Тяжесть последствий в этом случае может быть оценена как средняя (возникнут финансовые потери). Риск в этом случае может быть классифицирован как не приемлемый. Поэтому в отчете по аудиту будет зафиксировано ПОТЕНЦИАЛЬНОЕ несоответствие и возможные последствия, например:

Понятно, что корни этой проблемы могут лежать не в деятельности самого склада, поэтому предупреждающие действия может планировать не начальник склада, а руководители других подразделений (или совместно). Кроме того, аудитор не ограничится фиксацией потенциального несоответствия, а возьмет на заметку и спланирует в ближайшее время провести аудит процесса планирования (почему столько много продукции произведено?) и процесса сбыта (почему столько много продукции не отправлено потребителям?).

Другая ситуация. При аудите деятельности по входному контролю аудитор проверил его выполнение на конкретном примере – сырье марки XYZ (партия123). Входной контроль проведен в полном соответствии с инструкцией. При просмотре сопроводительной документации выяснилось, что гарантийный срок хранения сырья - 6 месяцев. На момент приемки у сырья был остаточной срок хранения 2-а месяца (из 6-ти возможных), то есть эту партию сырья можно (и нужно) использовать в производстве в течение ближайших двух месяцев.

При обычном аудите: несоответствий нет, аудитор уходит. При рискориентированном аудите: аудитор понимает - существует вероятность, что данную партию сырья можно не успеть переработать в течение 2-х месяцев. Возможно, это закончится утилизацией сырья (и финансовыми потерями). Аудитор зафиксирует, например, такое потенциальное несоответствие:

При этом, аудитор спланирует провести аудит процесса закупок и попытается выяснить: почему закуплено сырье с малым остаточным сроком. Тогда может «появиться на свет» рекомендация аудитора в отчете или предупреждающее действие по результатам аудита: установить в процедуре закупок минимально допустимый остаточный срок использования сырья и материалов (на момент закупки) – например, не менее 75 % от общего гарантийного срока хранения (использования).

Автор является безусловным сторонником второго (риск-ориентированного) подхода при проведении внутреннего аудита. Но в этом случае существенно повышаются требования к квалификации аудиторов и увеличивается время на подготовку и проведение аудита. Кроме того, внедрение риск-ориентированного аудита задача общая и задача не простая. Только изменить деятельность аудиторов – не достаточно, нужно участие всех руководителей, повсеместное распространение методики оценки рисков и «добрая» воля первых лиц организации. А сложная это задача потому, что отношение к потенциальным несоответствиям и предупреждающим действиям пока «очень осторожное» (самое мягкое, что можно сказать по ситуации). Очень трудно инициировать планирование и выполнение мероприятий, когда еще ничего не случилось. Ну не случилось же еще ничего (не взорвалось), зачем время и деньги тратить! К сожалению, с таким подходом к потенциальным проблемам нередко приходится сталкиваться автору и как аудитору, и как консультанту.

Как быть и что делать: ответ простой – внедрять методологию оценки рисков на подсознательный уровень. Только реализовать это не так просто, и быстро не получится. Легко (хотя это относительно) можно увидеть несоответствие, которое есть фактически. Гораздо сложнее увидеть возможное несоответствие. Еще сложнее убедить, что это потенциальное несоответствие нужно устранять (вернее его причину)…

Кстати, применять методику оценки рисков (часть методики), можно не только к потенциальным несоответствиям, но и к фактическим. Об этом говорится и в
ISO/DIS 9001:2014 в разделе, регламентирующем порядок проведения корректирующих действий: необходимо провести оценку последствий выявленного несоответствия. Не нужно ждать 2015 года (когда, мы надеемся, будет принята новая редакция стандарта ISO 9001), можно и нужно уже сейчас применять этот подход.

Но те организации, которые внедряют OHSAS 18001 «Системы менеджмента охраны здоровья и обеспечения безопасности труда. Требования», они уже знакомы с оценкой рисков при проведении корректирующих и предупреждающих действий, потому что в разделе 4.5.3.2 «Несоответствия, корректирующие и предупреждающие действия» стандарт требует: «В тех случаях, когда корректирующие и предупреждающие действия выявляют новые или измененные опасности или потребности в новых или измененных средствах и методах управления, процедура должна требовать, чтобы предлагаемые действия до своего внедрения подверглись процедуре анализа рисков.

Любое корректирующее или предупреждающее действие, предпринимаемое для исключения причин фактического или потенциального несоответствия, должно соответствовать значимости проблем и быть соразмерно оцененным рискам для ОЗиОБТ».

Поэтому, даже в случае выявления только фактических несоответствий в рамках проведения внутреннего аудита систем менеджмента, можно предложить такой подход к ведению записей:

Примечание: в разделе «Коррекция и корректирующие действия» может вноситься информация о сроках, об ответственных за выполнение, о результативности.

В рамках консультирования все больше выявляется примеров, когда руководителей (особенно высшее руководство) интересует не сами выявленные несоответствия (какие и сколько), а последствия от выявленных несоответствий (и фактические, и возможные). Генеральному директору (или техническому директору), например, не очень интересно вникать в то, что в каком-то цехе был несвоевременно откорректирован технологический процесс. Но его очень заинтересует то, к чему это уже привело (например, к изготовлению N штук продукции, которая не в полном объеме соответствует измененным требованиям). А также, к чему это может привести (к доработке продукции, невозможности поставить продукцию потребителю в установленные сроки, возврату от потребителей, штрафным санкциям – нужное подчеркнуть). Поэтому при формулировании несоответствий в отчетах, которые идут «на верх» рекомендуется давать следующую информацию:

А если еще про деньги (про затраты на устранение несоответствий и их последствий) не забыть, то это будет очень полезная информация для руководителей.

Такой подход, кроме того, позволит правильно проранжировать выявленные несоответствия, и разделить их на «значительные» и «не значительные» несоответствия, правильно определить последовательность их устранения.

И в завершении попытаюсь ответить на несколько любимых наших вопросов. «Зачем все это нужно?». Нередко специалисты и руководители рассуждают о том, что часто не хватает времени сделать правильно и с первой попытки, но потом всегда найдется время (и ресурсы) на устранение возникших проблем (переделать работу). Рекомендую подсчитать, что дешевле: устранять последствия возникшего несоответствия или предупредить его появление? Думаю, что в результате расчетов можно получить достаточное количество аргументов для внедрения методики оценки рисков в целом и риск-ориентированного аудита в частности.

«Что делать?» (чтобы внедрить риск-ориентированный подход при проведении внутреннего аудита систем менеджмента). Предлагаемая программа действий:

• определить «правила игры» - разработать процедуру оценки рисков с учетом особенностей организации (каждая организация сама определяет величину «приемлемого» риска);
• провести обучение руководителей и специалистов методике оценки рисков (нужно еще научить руководителей и специалистов «видеть» потенциальные проблемы (несоответствия));
• провести оценку рисков для различных процессов, запланировать и реализовать необходимые действия;
• изменить процедуру внутреннего аудита;
• подготовить аудиторов к работе по новой процедуре (необходимо также оценить остаточность ресурсов для проведения аудита, потому что на проведение риск-ориентированного аудита нужно больше времени);
• провести пилотный аудит по новой процедуре и широко рассмотреть результаты (в состав информации для рассмотрения необходимо в обязательном порядке включить информацию о том, сколько финансовых потерь могло бы возникнуть в организации, если бы не было выявлено (и не было устранено) потенциальное несоответствие).

Не исключая деятельности по оценке соответствия необходимо смещать акцент в сторону поиска областей для улучшения, поиска потенциальных несоответствий.

Будущее – за риск-ориентированным аудитом!