Download - Welkom Kwaliteitskring Twente Inleiding Risk Based Auditing In de praktijk Rob de Leur Namens ORBEDO
Welkom
Kwaliteitskring Twente
Inleiding Risk Based Auditing
In de praktijk
Rob de Leur
Namens ORBEDO
Programma op Hoofdlijnen
• Theoretisch kader• Interne audits (ISO19011)
• Risicomanagement (ISO31000)
• Enquête resultaten
• Risk Based Auditing – de praktijk –
• Workshop – zelf ervaren -
Theoretisch kaderISO19011 - 2011 (I)
ISO19011 is dé internationale norm voor het auditen van managementsystemen.
De meest opvallende wijzigingen• Nu van toepassing is op het auditen van alle typen managementsystemen, zoals
die voor arbomanagement, voedselveiligheid en informatiebeveiliging• Meer nadruk op het auditprogramma (betere aansluiting van auditing op de
risico’s en prioriteiten van de organisatie en het vergroten van de betrokkenheid van de top)
• Focus van audits op die activiteiten en onderdelen van de organisatie waar risico's spelen
• Nieuw als methode: auditen op afstand (‘remote auditing')• Meer aandacht voor het vertrouwelijkheid - het correct omgaan met gevoelige of
vertrouwelijke informatie bij de uitvoering van audits (nieuw principe)
Theoretisch kaderISO19011 - 2011 (II)
Theoretisch kaderRisicomanagement (I)
Theoretisch kaderRisicomanagement (II)
Theoretisch kaderRisicomanagement (III)
Enquête resultaten (I)
Anonieme enquête onder 50 gecertificeerde organisaties (management en interne auditoren)
1. Is er in de organisatie draagvlak voor de interne audit?Management 80% ja 12% redelijk 8% te weinigInterne auditoren 32% ja 24% redelijk 44 % te weinig
2. Zijn de interne auditoren ‘up to the job’?Management 80% ja 12% redelijk 8% te weinigInterne auditoren 32% ja 24% redelijk 44 % te weinig
3. Zijn de interne audits voldoende gericht op risico’s?Management 12% ja 24% redelijk 64 % te weinig
Interne auditoren 8 % ja 32 % redelijk 60 % te weinig4. Is er voldoende tijd om een interne audit goed voor te bereiden?
Management 62% ja 22% redelijk 16 % te weinigInterne auditoren 6 % ja 36 % redelijk 58 % te weinig
5. Wordt er tijdens de interviews voldoende doorgevraagd?Management 18% ja 28 % redelijk 54 % te weinigInterne auditoren 66 % ja 17 % redelijk 17 % te weinig
6. Geeft het resultaat van een interne audit voldoende mogelijkheden om echt te verbeteren?Management 16% ja 38 % redelijk 46 % te weinigInterne auditoren 21 % ja 26 % redelijk 53 % te weinig
Enquête resultaten (II)
Losse opmerkingen gegeven bij enquête
• 'Het moet van ISO en daarom doen we het, maar het kost wel tijd'.• Onvoldoende draagvlak om van interne audits een effectief managementtool te maken. • De interne audit is het kindje van de kwaliteitsmanager • Het houden van een interne audit vele malen moeilijker is dan het houden van een externe
audit. • Kwaliteitsmanagers willen vaak meer interne audits houden, dan strikt noodzakelijk is. • De leiding daarentegen vindt al snel dat er te vaak beslag gelegd wordt op kostbare tijd en is
daarom geneigd het aantal te houden interne audits te minimaliseren. • Te vaak gaan auditoren onvoorbereid een interne audit ingaan (idem: externe auditoren)• Zolang er geen voldoende ervaring is, wordt een interne audit zowel door de auditor als de auditee ervaren als een examen. • Rapportages te vaak gericht op correctief niveau, terwijl hiermee de interne audit a.h.w.
verkocht kan worden (managementinformatie)
Risk Based Auditing
De praktijk
Samenhang componenten
Geen adequate hulpver-lening kunnen bieden tijdens evenement
GebeurtenisOorzaken MaatregelenGevolgenMaatregelen
Teveel bezoekers
tegelijk toelaten
Te weinig veiligheids-
voorzie-ningen
getroffen
Negeren van eerder gesignaleer
de incidenten
Ontstaan van
incidenten
Claims van slachtoffers
Imagoschade
Duidelijke afspraken
maken
Veiligheidsprocedures opstellen
en uitvoeren
Evaluatie uitvoeren &
aanbeve-lingen laten
doen
BeleggingsplanVoorzieningen
treffen
Verzekeren
Verbeteringen kenbaar
maken. Juiste communicatie
Risk BasedAuditing
Identificatie
Classificatie
Risicoidentificatie
RisicoImpact
Proces A
Contrac
t
Prijslijs
tTest
Gebeurtenis (afwijking)
Oorzaak(proces)
Gevolgen(risico’s)
• Proces A• Proces BHoog
• Proces C•
Gemiddeld
• Proces D• Proces ELaag
Risicogebieden Proces A-B-C-D(Imago,veiligheid, juridisch…)
Basisprincipes
ORBEDO ©
Integratie Risicomanagement& Interne audit
• Proces risicoprofielen toekennen
Audit planning
Procesrisicoprofielen (I)
Welke processen kunnen in potentie de organisatie de meeste schade toebrengen?
1. Processen identificeren • Scope• Soort• Niveau
2. Methode kiezen• Wegingsfactoren
Proces risicoprofielen (II)
Proces identificeren
Scope•Organisatiebreed• Organisatorische eenheid•Produkt•………..
Soort•Management, ondersteunend en primair•Klantgerelateerd•……………..
Niveau•Hoofdproces• Subproces•Werkinstructie•……………
Proces risicoprofielen (III)
Methode kiezen
Risicogebieden
•Grofmazig• Stabiel
Succesfactoren
•Verfijnder•Afhankelijk van niveau vrij stabiel
Doelstellingen
•Toegesneden• Aan verandering onderhevig
Risico-analyse
•Detail•Aan verandering onderhevig
Methode bepaalt deelnemers
Proces risicoprofielen (IV)
Doelstellingen20 % meer personeel10% minder uitval2 nieuwe produkten
Risico-analyseImpact analyseDreigingen analyse
Methodenmet voorbeelden
Proces Risicoprofielen (IV)
Wegingsfactoren voorbeelden1. Imago (risicogebied)
Hoog: kans op landelijke negatieve publiciteitGemiddeld: Kans op regionale negatieve publiciteitLaag: Kans op lokale negatieve publiciteit
2. 10 % minder uitval (doelstelling)Hoog: Heeft grote impact op de realisatieGemiddeld: Heeft invloed op de realisatieLaag: Heeft nauwelijks invloed op de realisatie
3. Betrouwbaarheid (succesfactoren)Hoog: Bepaalt in grote mate de succesfactorGemiddeld: Bepaalt in enige mate de succesfactorLaag: Bepaalt nauwelijks de succesfactor
4. Impact analyse (risico-analyse)Hoog: De impact is zeer grootGemiddeld: De impact is aanzienlijk Laag: De impact is laag
Proces Risicoprofielen (V)
Beleid maken t.a.v. risicoprofilering
Bv. Vanaf 3 * H bij score: Hoog risicovolTot 4 * L bij score: Laag risicovol
Resultaat1. Geïdentificeerde en gesorteerde processen
• Ondersteunende processen:• Aanname personeel• Functioneringsgesprekken• Archivering• …………………
2. Processen voorzien van risicoprofiel• Hoog risicovolle processen• Gemiddeld risicovolle processen• Laag risicovolle processen• ………………..
Personeel toewijzing Materiaal
Kwaliteit
Beschikbaarheid
Financiën
Werving & SelectieInhuur Auditscope
Risico identificatie
Kwaliteit
van…...
Offerte
Ontwerp
Testen
Oplevering
AO / Risico identificatie
Rapportage
• Geconstateerde gebeurtenis
• Achterliggende oorzaken (processen)
• Gevolgen• Risico’s concreet benoemen
• Risiconiveau aangeven (optioneel)
Van correctief naar corrigerend
Van gegevens naar managementinformatie
Succesfactoren
• Draagvlak en betrokkenheid vanuit leiding• Gekwalificeerde interne auditoren• AO ingericht o.b.v. risicomanagement• Voldoende tijd voor de voorbereiding• Adequate communicatie• Adequate opvolging
Zelf ervaren
• Groepen vormen• Processen classificeren• Risico identificatie• Plenaire recapitulatie