NS-EN ISO 19011:2011

Transkript

1 NS-EN ISO 19011:2011 Retningslinjer for revisjon av styringssystemer En kort gjennomgang Hva er nytt Hva er som før Innhold av standarden Spørsmål Marit P. Finsnes, NFKR, QMCe Torolf Paulshus, NFKR

2 Godkjent november 2011 som ny ISO På norsk fra februar 2012 Selges fra Standard Norge

3 Hva er nytt 1? Standarden gjelder nå for alle ledelsessystemer Kvalitet, miljø, sikkerhet, IT sikkerhet, HS Det er nå akseptert å benytte kommunikasjonsteknologi, dvs. videokonferanser, telefonkonferanser e.l. for å gjennomføre revisjoner (ref. B1, applying audit methods) Det er mer fokus på ulike risiko for ikke å få utført en revisjon korrekt Risiko for å ha uklare mål, manglende kompetanse, utilstrekkelige risikoanalysemetoder m.m. Det er 2 nye Tillegg; A. Fag-spesifikk kunnskap og ferdigheter hos revisorer B. Egen veiledning for revisorer som planlegger og utfører revisjoner (on-site/remote, dokumentgjennomgang, forberede sjekklister, stikkprøver, vurdering av stikkprøver, veiledning for besøk og observasjoner, intervjuer, registrering av revisjonsfunn)

4 Hva er nytt 2? Den har gjennomgått en generell opprydding i struktur og innhold, og blitt mer generisk Det er nå akseptert å benytte kommunikasjonsteknologi, dvs. videokonferanser, telefonkonferanser e.l. for å gjennomføre revisjoner (ref. B1, applying audit methods) Det er mer fokus på ulike risiko for ikke å få utført en revisjon korrekt Risiko for å ha uklare mål, manglende kompetanse, utilstrekkelige risikoanalysemetoder m.m.

5 Hva er nytt 3? Standarden (som er en guide!) kan forenkle integrerte revisjoner Sier hva som kan gjøres, men spesifiserer ikke hvordan Risikobasert revisjon introduseres, dvs. Prioriter revisjoner etter viktigheten for styringssystemet Revisjonsprogrammet bør baseres på ledelsens prioriteringer og risiko for organisasjonen Vi vil fortsatt ha ulike kravstander (ISO 9001, OHSAS 18001, ISO 27001, ISO 20001, ISO 16949, AS ) Det er opp til oss å integrere flere styringssystemer i en revisjon Revisjonsprosessen er identisk uansett styringssystem NS-ISO 31000:2009 Risikostyring, prinsipper og retningslinjer, gir felles tilnærming til risikoledelse og kan være et hjelpemiddel i forhold til risikobasert revisjon

6 Hva er som tidligere? Standarden er veldig lik 2002 versjonen Standarden har fortsatt samme hovedstruktur, 4. Prinsipper for revisjon 5. Ledelse av revisjonsprogram 6. Revisjonsaktiviteter 7. Kompetanse og evaluering av revisorer

7 STRUKTUR INNHOLD...samme struktur.. ISO 19011:2002 ISO 19011:2011

8 1. OMFANG litt utvidet... Standarden gjelder nå for revisjon av alle ledelsessystemer Kvalitet, miljø, sikkerhet, IT sikkerhet, HS Den er koordinert med ISO 17021:2011 Conformity assessment. Requirements for bodies providing audit and certification of management systems. Bl.a. krav til revisorer som skal gjennomføre 3. parts revisjoner.

9 3. TERMER OG DEFINISJONER Flere nye begreper er definert Observer/observatør person who accompanies the audit team but does not audit An observer is not a part of the audit team and does not influence or interfere with the conduct of th audit An observer can be from the auditee, a regulator or other interested party who witnesses the audit Guide/ledsager person appointed by the client to assist the audit team Risk/risiko effect of uncertainity on objectives/virkningen av usikkerhet knyttet til mål Kompetanse begrepet er utvidet

10 4. Revisjonsprinsipper Følgende prinsipper skal legges til grunn ved revisjon; Integritet tidligere kalt etisk adferd (dette er grunnlaget for å være profesjonell) Rettferdig presentasjon - sannferdig, nøyaktig, objektiv, til riktig tid, klar og komplett Nødvendig faglig omtanke fornuftige vurderinger i aller situasjoner Konfidensialitet klassifiser informasjon, sensitiv, konfidensiell osv. Uavhengighet Fremgangsmåte basert på beviser De resterende kapitler er basert på prinsippene over

11 5. Ledelse av revisjonsprogrammet Følger en prosessflyt Etablering av mål for programmet Etablering av programmet, krav til kompetanse, evaluering av risiko Hvilken risiko har vi for å sette feil mål, feil omfang, ressursmangel osv. Implementering bl.a. skal hver enkelt revisjoner ha en hensikt og klare mål Beskriver forhold som må tas i betraktning når to eller flere styringssystemer skal revideres samtidig Overvåking av revisjonsprogrammet Evaluering og forbedring av revisjonsprogrammet Beslutt revisjonsmetode(r) Guide finnes i Annex B «On-site» og/eller «remote», grad av menneskelig involvering må planlegges

12 Prosessflyt for revisjonsprogram

13 6. Revisjonsaktiviteter Figur 2. gir en oversikt over typiske revisjonsaktiviteter, mer detaljert enn i ISO 19011:2002, men i hovedsak det samme Start revisjonen Forbered revisjonsaktiviteter Gjennomfør revisjonsaktiviteter Utarbeide og distribuer revisjonsrapporten Fullfør revisjonen Gjennomfør oppfølging

14 ISO 6. Revisjonsaktiviteter 19011:2011 ISO 19011:2011 ISO 19011:2002 Veldig lik, men noe rydding i struktur og innhold

15 7. Kompetanse og vurdering av revisorer Begrepet «kompetanse» er endret Competence = ability to apply knowledge and skills to achieve intended results Organisasjonen må selv bestemme hvilken kompetanse som er nødvendig for å oppnå ønskede resultater (utdannelse, arbeidserfaring, opplæring og revisjonserfaring) Tillit til at revisjonsprosessen innfrir målene avhenger av revisorenes kompetanse Personlige egenskaper Kunnskaper og ferdigheter Fagspesifikk kunnskap Evaluering og vedlikehold av kompetansen

16 Personlige egenskaper som en revisor bør besitte er utvidet, tillegg er; Vilje til å opptre ansvarlig og etisk selv om det kan medføre konfrontasjoner Godt organisert, kunne prioritere, jobbe effektivt Åpen for forbedringer, lære av situasjoner Sensitiv vedr. kulturer, observere og respektere kulturelle tradisjoner hos den reviderte Lagspiller, jobbe godt med andre i revisjonslaget. Generelle kunnskaper og ferdigheter hos revisorer er i hovedsak som før. Tillegg er bl.a. Forstå typer av risiko forbundet med revisjon Juridiske krav innen revidert fagområde Anvendelse av forretningsspesifikke metoder og teknikker, prosesser Prinsipper for risikostyring, metoder og teknikker

17 7. Kompetanse og vurdering av revisorer - evaluering Evaluering av revisorers kompetanse bør inkludere 4 trinn; Beslutning om nødvendig kompetanse for revisorer som skal gjennomføre revisjonsprogrammet Etablering av vurderingskriterier Velg passende vurderingsmetode Gjennomfør vurderingen

18 Tillegg A Veiledning om og illustrerende eksempler på disiplinspesifikke kunnskaper og ferdigheter hos revisorer A1: Generelt A2:...innenfor styring av transportsikkerhet A3:...innenfor miljøstyring A4:...innenfor kvalitetsstyring A5:...innenfor dokumentasjonsforvaltning A6:...innenfor styring av robusthet, sikkerhet, beredskap og kontinuitet A7:...innenfor styring av informasjonssikkerhet A8:...innenfor styring av arbeidsmiljø

19 Tillegg B Ytterligere veiledning for revisorer for planlegging og utførelse av revisjoner B1: Anvendelse av revisjonsmetode «on-site/remote audit, human interaction/no human interaction» Intervjuer, observasjoner, databaser, web-sider B2: Utførelse av dokumentgjennomgåelse Komplett, riktig, oppdatert, konsistent Sjekklister/ forberende spørsmål tilknyttet dokumentasjon B3: Stikkprøvetaking B4: Utarbeidelse av arbeidsdokumenter On-site revisjon praktisk veiledning B5: Valg av informasjonskilder B6: Veiledning om besøk på den reviderte partens lokalitet B7: Utførelse av intervjuer B8: Revisjonsfunn

20 B.7: Intervjuteknikk i revisjonssammenheng Intervjuer er den mest anvendte teknikken for datainnsamling under revisjoner Gode intervjuer er derfor grunnleggende for å få til et godt revisjonsresultat Et intervju skal være godt planlagt, ha et mål og en hensikt «Det er intervjupersonen som er hovedpersonen under et intervju. Det er intervjupersonen som skal levere innhold. Du som intervjuer skal føre. I så måte likner intervjuet en dans, en argentisk tango. Du som intervjuer bestemmer startpunktet, tempoet du skal holde, hvor du skal stanse opp for å få intervjupersonen til å gjøre sine figurer, hvor lenge dere skal danse og hvor dere skal stoppe» Sitat fra «Veileder i intervjuteknikk for Riksrevisjoen».

21 Kulturelle og sosiale aspekter hos den reviderte må forstås av revisjonslaget Revisjonsledere bør kunne balansere styrker og svakheter hos den enkelte revisor i revisjonslaget, samt utvikle et harmonisk samarbeid Vurderingsmetodene er det samme som før (tabell 1) Registreringer fra utdannelse, praksis, revisjonserfaring Feedback, undersøkelser, klager, prestasjonsvurderinger Intervjuer Observasjoner, rollespill, observere revisjoner Testing, muntlige og skriftlige eksamener Gjennomgåelse etter revisjon, revisjonsrapporten

22 Generelt det legges mer vekt på kulturelle og sosiale forhold, det å forstå konteksten (alle sammenhenger og relasjoner) er viktig for å kunne gjennomføre en vellykket revisjon! Ulike revisorer bør under de samme omstendighetene komme fram til samme konklusjoner!

23 Spørsmål Slektskap med ISO 17021:2011 Conformity assessment Requirements for bodies providing audit and certification of management systems? Bruk av IT verktøy som støtte før, under og etter revisjon? Passer standarden for små organisasjoner? Mange og store krav til revisor For mye om styring av revisjonsprosessen pluss krav til revisorer framfor hvordan gjennomføre revisjon? Hva med finansrevisjon, operasjonell revisjon, risikobasert revisjon?