Presentatie KKT 29 mei 2012 def

Report
Welkom
Kwaliteitskring Twente
Inleiding Risk Based Auditing
In de praktijk
Rob de Leur
Namens ORBEDO
Programma op Hoofdlijnen
• Theoretisch kader
• Interne audits (ISO19011)
• Risicomanagement (ISO31000)
• Enquête resultaten
• Risk Based Auditing – de praktijk –
• Workshop – zelf ervaren -
Theoretisch kader
ISO19011 - 2011 (I)
ISO19011 is dé internationale norm voor het auditen van managementsystemen.
De meest opvallende wijzigingen
• Nu van toepassing is op het auditen van alle typen managementsystemen, zoals
die voor arbomanagement, voedselveiligheid en informatiebeveiliging
• Meer nadruk op het auditprogramma (betere aansluiting van auditing op de
risico’s en prioriteiten van de organisatie en het vergroten van de betrokkenheid
van de top)
• Focus van audits op die activiteiten en onderdelen van de organisatie waar risico's
spelen
• Nieuw als methode: auditen op afstand (‘remote auditing')
• Meer aandacht voor het vertrouwelijkheid - het correct omgaan met gevoelige of
vertrouwelijke informatie bij de uitvoering van audits (nieuw principe)
Theoretisch kader
ISO19011 - 2011 (II)
Theoretisch kader
Risicomanagement (I)
Theoretisch kader
Risicomanagement (II)
Theoretisch kader
Risicomanagement (III)
Enquête resultaten (I)
Anonieme enquête onder 50 gecertificeerde organisaties
(management en interne auditoren)
1.
2.
3.
4.
5.
6.
Is er in de organisatie draagvlak voor de interne audit?
Management
80% ja
12% redelijk 8% te weinig
Interne auditoren
32% ja
24% redelijk 44 % te weinig
Zijn de interne auditoren ‘up to the job’?
Management
80% ja
12% redelijk 8% te weinig
Interne auditoren
32% ja
24% redelijk 44 % te weinig
Zijn de interne audits voldoende gericht op risico’s?
Management
12% ja
24% redelijk 64 % te weinig
Interne auditoren
8 % ja
32 % redelijk 60 % te weinig
Is er voldoende tijd om een interne audit goed voor te bereiden?
Management
62% ja
22% redelijk 16 % te weinig
Interne auditoren
6 % ja
36 % redelijk 58 % te weinig
Wordt er tijdens de interviews voldoende doorgevraagd?
Management
18% ja
28 % redelijk 54 % te weinig
Interne auditoren
66 % ja
17 % redelijk 17 % te weinig
Geeft het resultaat van een interne audit voldoende mogelijkheden om echt te verbeteren?
Management
16% ja
38 % redelijk 46 % te weinig
Interne auditoren
21 % ja
26 % redelijk 53 % te weinig
Enquête resultaten (II)
Losse opmerkingen gegeven bij enquête
•
•
•
•
•
•
•
•
•
'Het moet van ISO en daarom doen we het, maar het kost wel tijd'.
Onvoldoende draagvlak om van interne audits een effectief managementtool te maken.
De interne audit is het kindje van de kwaliteitsmanager
Het houden van een interne audit vele malen moeilijker is dan het houden van een externe
audit.
Kwaliteitsmanagers willen vaak meer interne audits houden, dan strikt noodzakelijk is.
De leiding daarentegen vindt al snel dat er te vaak beslag gelegd wordt op kostbare tijd en is
daarom geneigd het aantal te houden interne audits te minimaliseren.
Te vaak gaan auditoren onvoorbereid een interne audit ingaan (idem: externe auditoren)
Zolang er geen voldoende ervaring is, wordt een interne audit zowel door de auditor als de
auditee ervaren als een examen.
Rapportages te vaak gericht op correctief niveau, terwijl hiermee de interne audit a.h.w.
verkocht kan worden (managementinformatie)
Risk Based Auditing
De praktijk
Samenhang componenten
Maatregelen
Oorzaken
Duidelijke
afspraken
maken
Teveel
bezoekers
tegelijk
toelaten
Veiligheids
procedures
opstellen
en
uitvoeren
Te weinig
veiligheidsvoorzieningen
getroffen
Evaluatie
uitvoeren &
aanbevelingen laten
doen
Negeren
van eerder
gesignaleer
de
incidenten
Gebeurtenis
Geen
adequate
hulpverlening
kunnen
bieden
tijdens
evenement
Gevolgen
Maatregelen
Ontstaan
van
incidenten
Beleggingsplan
Voorzieningen
treffen
Claims van
slachtoffers
Verzekeren
Imagoschade
Verbeteringen
kenbaar
maken. Juiste
communicatie
Basisprincipes
Gebeurtenis
(afwijking)
Oorzaak
(proces)
Risk Based
Gevolgen
Auditing
(risico’s)
Risico
Identificatie
Impact
Risicogebieden Proces A-B-C-D
(Imago,veiligheid, juridisch…)
Risico
identificatie
Proces A
ORBEDO ©
Contract
Prijslijst
Classificatie
Test
Hoog
• Proces A
• Proces B
Gemiddeld
• Proces C
•
Laag
• Proces D
• Proces E
Integratie Risicomanagement
& Interne audit
• Proces
risicoprofielen
toekennen
Audit planning
Audit
voorbereiding
• Latente
procesrisico’s
vaststellen
• procesrisico’s
vaststellen
Audit
rapportage
• Procesrisico’s
wegen
Audit
uitvoering
Procesrisicoprofielen (I)
Welke processen kunnen in potentie de organisatie
de meeste schade toebrengen?
1. Processen identificeren
• Scope
• Soort
• Niveau
2. Methode kiezen
• Wegingsfactoren
Proces risicoprofielen (II)
Proces identificeren
Scope
Soort
• Organisatiebreed
• Organisatorische
eenheid
• Produkt
• ………..
• Management,
ondersteunend
en primair
• Klantgerelateerd
• ……………..
Niveau
•
•
•
•
Hoofdproces
Subproces
Werkinstructie
……………
Proces risicoprofielen (III)
Methode kiezen
Risicogebieden
• Grofmazig
• Stabiel
Succesfactoren
• Verfijnder
• Afhankelijk
van niveau vrij
stabiel
Doelstellingen
• Toegesneden
• Aan
verandering
onderhevig
Methode bepaalt deelnemers
Risico-analyse
• Detail
• Aan
verandering
onderhevig
Proces risicoprofielen (IV)
Succesfactoren
Risicogebieden
Beschikbaarheid
Imago
Betrouwbaarheid
Veiligheid
Kennis
Juridisch
Actuele prijslijst
Methoden
met voorbeelden
Doelstellingen
20 % meer personeel
10% minder uitval
2 nieuwe produkten
Risico-analyse
Impact analyse
Dreigingen analyse
Proces Risicoprofielen (IV)
Wegingsfactoren voorbeelden
1. Imago (risicogebied)
Hoog:
kans op landelijke negatieve publiciteit
Gemiddeld:
Kans op regionale negatieve publiciteit
Laag:
Kans op lokale negatieve publiciteit
2. 10 % minder uitval (doelstelling)
Hoog:
Heeft grote impact op de realisatie
Gemiddeld:
Heeft invloed op de realisatie
Laag:
Heeft nauwelijks invloed op de realisatie
3. Betrouwbaarheid (succesfactoren)
Hoog:
Bepaalt in grote mate de succesfactor
Gemiddeld:
Bepaalt in enige mate de succesfactor
Laag:
Bepaalt nauwelijks de succesfactor
4. Impact analyse (risico-analyse)
Hoog:
De impact is zeer groot
Gemiddeld:
De impact is aanzienlijk
Laag:
De impact is laag
Proces Risicoprofielen (V)
Beleid maken t.a.v. risicoprofilering
Bv. Vanaf 3 * H bij score: Hoog risicovol
Tot
4 * L bij score: Laag risicovol
Resultaat
1. Geïdentificeerde en gesorteerde processen
• Ondersteunende processen:
• Aanname personeel
• Functioneringsgesprekken
• Archivering
• …………………
2. Processen voorzien van risicoprofiel
• Hoog risicovolle processen
• Gemiddeld risicovolle processen
• Laag risicovolle processen
• ………………..
AO / Risico identificatie
Inhuur
Werving & Selectie
Auditscope
Risico identificatie
Personeel toewijzing
Materiaal
Financiën
Kwaliteit
Beschikbaarheid
Kwaliteit van…...
Offerte
Ontwerp
Testen
Oplevering
Rapportage
• Geconstateerde gebeurtenis
• Achterliggende oorzaken (processen)
• Gevolgen
• Risico’s concreet benoemen
• Risiconiveau aangeven (optioneel)
Van correctief naar corrigerend
Van gegevens naar managementinformatie
Succesfactoren
•
•
•
•
•
•
Draagvlak en betrokkenheid vanuit leiding
Gekwalificeerde interne auditoren
AO ingericht o.b.v. risicomanagement
Voldoende tijd voor de voorbereiding
Adequate communicatie
Adequate opvolging
Zelf ervaren
•
•
•
•
Groepen vormen
Processen classificeren
Risico identificatie
Plenaire recapitulatie

similar documents