По материалам: IAASB
Вспомогательное руководство в помощь с внедрением нового стандарта по управлению качеством услуг ISQM 1 получилось очень объемным – объемнее, чем сам стандарт. В предыдущий раз подробно была рассмотрена его структура. Первой и, вероятно, самой важной компонентой в ней идет оценка организационных рисков – вот о ней сегодня и поговорим.
Оценка организационных рисков
Почему вообще зашла речь об оценке организационных рисков, к тому же эта компонента стоит под первым номером (хотя в предыдущий раз отмечалось, что они все взаимозависимы, и однозначной последовательности в этой системе нет)? Потому что одним из ключевых отличий ISQM 1 от стандарта-предшественника ISQC 1 является риск-ориентированность подхода к управлению качеством.
Риски - как фокус внимания: они могут возникать с учетом характера и обстоятельств вокруг организации и выполняемых ею заданий, и риски влияют на ответные действия организации. Риск-ориентированность позволяет учитывать специфику любой профессиональной организации и условий, в которых она оказалось. Что важнее, она также обеспечивает эффективность, позволяя сосредоточиться на том, что действительно важно в данных обстоятельствах.
Определение целей по качеству
ISQM 1 требует от организаций отлаженного процесса оценки рисков, задачей которого является определение целей по качеству, далее идентификация и оценка рисков для качества, далее разработка и внедрение мер реагирования на риски для качества. Последним блоком в этой цепочке идет калибровка - определение необходимости добавления/коррекции целей по качеству, рисков для качества или мер реагирования. Это целиком логично с учетом интегрированного, непрерывного, притом проактивного характера нового подхода: источником информации для корректировок целей по качеству, рисков для качества и ответных действий может быть уже сама сформированная и функционирующая система управления качеством - например, информационные данные, поступившие по итогам мониторинга и предпринятых мер реагирования.
В параграфе А41 можно ознакомиться с примерами различных информационных источников, внутренних и внешних, данные из которых могут использоваться в оценке организационных рисков. В качестве одного из, наверное, тысяч возможных примеров можно привести выход новых предписаний национального регулятора аудиторской деятельности: это наверняка заставит внести коррективы, определив новые цели по качеству. А параграф 39 более полезен с точки зрения масштабирования требований: там речь идет о том, как могут отличаться процессы оценки организационных рисков у организаций в зависимости от сложности их деятельности.
Цели по качеству на “макро-” и “микроуровне”
Этот момент тоже следует растолковать подробнее, потому что возможна путаница. Система управления качеством тогда эффективна, когда выполнены поставленные перед ней задачи (они, напоминаем, оговорены в параграфе 14: “обеспечение разумной уверенности организации в том, что она сама и ее персонал выполняют свои профессиональные обязанности в соответствии с профессиональными стандартами и требованиями нормативно-правового регулирования, проводят задания в соответствии с ними, а заключения по итогу проведенных заданий адекватно учитывают обстоятельства”). Иначе говоря, в этом параграфе ISQM 1 сформулирована общая задача системы управления качеством, определяемая руководством организации.
На более низком уровне эта общая задача разбивается уже на специфические цели по качеству для шести из восьми компонент системы управления качеством (проведение заданий, требования профессиональной этики, руководство и лидерство, принятие новых клиентов и продолжение отношений с прежними, ресурсы, информация и коммуникации). Кто-то обратит внимание, что еще две компоненты системы управления качеством в списке отсутствуют - все верно, тут нет первого и последнего, определения организационных рисков, а также мониторинга и реагирования, ведь и то, и другое является процессом с оговоренными в стандарте четкими требованиями.
Распределение целей по качеству по основным компонентам системы управления качеством позволяет организации более точно оценивать риски для качества и фокусировать внимание на более конкретных вещах, которые необходимо сделать. При этом никто не запрещает заниматься определением не только целей, но и “подцелей” по качеству, если это необходимо для более четкого управления качеством, например, в аудиторском подразделении, налоговом подразделении, и так далее. Кроме того - в отдельных, не очень распространенных обстоятельствах, может быть оправдано определение дополнительных целей по качеству, поскольку того требуют обстоятельства. Авторы стандарта не считают, что такое будет встречаться сплошь и рядом, но пример, когда это возможно, приведен в параграфе А42.
Коллективным образом все цели по качеству определяют задачи, стоящие перед системой управления качеством, о которых идет речь в параграфе 14. Это подразумевает взаимозависимость всех разбросанных по основным компонентам целей по качеству, т.е. возможность их пересечения и взаимного влияния - цели по качеству в информации и коммуникациях, для примера, будут связаны с целями по качеству в требованиях профессиональной этики.
Определение и оценка рисков для качества
Оценка организационных рисков – многоступенчатый процесс, состоящий из четырех последовательных шагов. Следом за определением целей по качеству, логично предположить, идет оценка рисков на пути достижения заявленных целей – что может пойти не так, и как на это потом реагировать.
При этом, хотя могут быть самые разные риски, способные негативно повлиять на способность организации реализовать цели по качеству, не все они автоматом относятся к рискам для качества, как определяет их ISQM 1: с точки зрения оценивающей риски организации, рассматривать их все и проектировать адекватные ответные меры по каждому просто непрактично. Основной акцент ставится на рисках, представляющих наибольшую угрозу достижению целей по качеству.
Чтобы отсеять малозначимые риски для качества, ISQM 1 оперирует определением, оговаривающим выполнение двух критериев. Выполнены ли оба критерия, организация определяет на основе своего профессионального суждения:
- Риск имеет достаточную вероятность материализации;
- Риск с достаточной вероятностью может на индивидуальной основе или в сочетании с другими рисками негативно повлиять на достижение одной или нескольких целей по качеству*.
*Даже если речь идет о подцелях по качеству, которые, как отмечалось ранее, вполне допустимы в стандарте, решения относительно существенности риска будут приниматься на уровне именно целей по качеству. Вполне может быть, что риск существенный в плане достижения подцели, но не цели - тогда он не рассматривается в качестве риска для качества
В ISQM 1 оговорен формальный процесс для определения и оценки рисков для качества, который состоит из следующих основных этапов:
- Определение условий, событий, обстоятельств, действий или их отсутствия (бездействия), способных негативно повлиять на достижение целей по качеству (что означает “негативно” – тоже придется как-то оговорить). Риск – это, по сути своей, то, как именно на достижение целей по качеству способны повлиять все перечисленные условия, события и так далее;
- Определение и оценка рисков для качества. Подразумевается принятие в расчет рисков, соответствующих двум перечисленным выше критериям - т.е. обладающих достаточной вероятностью материализации (что считаться “достаточной” - вопрос профессионального суждения) и способностью с достаточной вероятностью оказать негативное** влияние на достижение целей по качеству, индивидуально или в сочетании с другими рисками;
- Итоговая оценка рисков для качества является результатом сочетания предыдущих двух действий, то есть оценки вероятности их возникновения и степени влияния на достижение одной или нескольких целей по качеству.
** Негативно влиять риски способны по-разному. В параграфе А48 содержатся примеры факторов, определяющих степень влияния риска на цели по качеству (как часто возникают определенные события, как долго они оказывают эффект в случае своего возникновения, способна ли организация реагировать в течение периода воздействия, и так далее).
Пример
По условиям, речь идет о небольшой профессиональной организации с ограниченным числом лиц, подходящих на роль руководителя задания.
- Определение риска: то, что команда на задании не станет подвергать сомнению поведение своего руководства под страхом увольнения, а сами руководители заданий не продемонстрируют достаточной приверженности поставленным целям по качеству.
- Оценка риска: профессиональная организация принимает во внимание тот факт, что из-за исходных условий вероятность материализации данного риска достаточно большая. Далее, раз это так, профессиональная организация проверяет, может ли это оказать негативное влияние на достижение целей по качеству (безусловно, потому что риск прямо к этому относится), и в какой степени.
Условия, события, обстоятельства, действия или бездействие
Что представляют собой они, стандарт ISQM 1 также подробно объясняет в параграфе 25(а). Стандарт подразумевает, что все эти условия, события, обстоятельства, действия или бездействие необходимо для начала понимать, далее - принимать в расчет (то есть думать над тем, как они потенциально способны оказать негативное влияние на цели по качеству), а далее, уже на основе этого - определять, есть ли риск, который можно отнести к категории рисков по качеству. Впрочем, приведенный в параграфе список условий, обстоятельств, событий, действий или их отсутствия не является исчерпывающим.
В параграфе А46 приведены примеры того, как именно профессиональным организациям делать это на практике. Вот несколько примеров таких “условий, событий, обстоятельств...” и принятия их в расчет:
- Сложность операционных характеристик самой организации. Тут важно понимать и принимать в расчет такие ее характеристики как размер, географическое расположение, корпоративная структура, степень концентрации бизнеса в отдельных регионах, характеристики и доступность ее ресурсов, и так далее. Пример возможного риска для качества: из-за разветвленной структуры географических локаций сообщение между офисами организации затруднено, из-за чего могут быть сложности с последовательностью применения системы управления качеством на всех организационных уровнях.
- Особенности управления и лидерства. Необходимо понимать, как структура корпоративного управления, продолжительность пребывания членов управляющего совета на своей должности, особенности распределения полномочий и т.п. вещи способны мотивировать или, наоборот, демотивировать персонал. Пример уже приводился выше: организация имеет небольшой размер, а власть концентрирована в руках меньшинства, из-за чего подвергать сомнению и оценивать действия руководителей проверки на соответствие стандартам профессиональной этики не принято иначе как про себя, из-за боязни потерять свое место;
- Ресурсы организации. Для примера, человеческие ресурсы. То, откуда пришли эти люди, какой у них прошлый опыт и образование - все это будет иметь влияние. Технологические ресурсы - еще один пример, поскольку они определяют эффективность контрольных процедур.
Событий, условий, обстоятельств, действий или их отсутствия может быть множество, но хорошая новость в том, что документировать все подряд не требуется. Если уж речь идет о документировании рисков для качества, достаточно включить в описание причины проведения оценки. Зато иногда может быть полезно фиксировать аналитические процессы определения целей по качеству, далее определения и оценки рисков для качества и разработки ответных мер, просто чтобы отслеживать историю принятых решений в отношении действующей в организации системы управления качеством. Вообще же, о требованиях к документированию будет далее сказано отдельно.
Разработка и внедрение ответных мер
Стандарт требует от профессиональных организаций проектировать и внедрять меры в ответ на риски для качества, способные уменьшить вероятность их реализации и, таким образом, не позволить им помешать достижению целей по качеству. Итоговый вариант ответных мер будет определяться базовыми причинами проведения оценки того или иного риска для качества, что иллюстрируется следующими примерами.
Есть описанный выше риск, что персонал организации (предположим, осуществляющие проверку специалисты на задании) умолчат о своем разногласии с руководителем задания. Этот риск можно минимизировать определенными политиками, но они точно не должны привлекать к участию тех же самых руководителей, про которых идет речь. Причиной для оценки в данном случае стало конкретное обстоятельство, а именно - расхождение во мнениях руководителя проверки со своими подчиненными и особая ситуация со взаимоотношениями в коллективе.
Другой пример: пандемия коронавируса как причина. Из-за вызванного ею локдауна создаются риски для достижения поставленных целей по качеству вследствие ослабления контроля при удаленных режимах проверки. Как и всегда, тут причина также будет определять способ реагирования: применявшиеся до сих пор в офисной работе методы контроля уже не работают на “удаленке”, как их ни усиливай, поэтому придется придумать что-то новое.
Все ответные действия можно описать с позиции их характера, времени действия и охвата. Каждая из этих трех характеристик зависит от факторов, которые определенно стоит учитывать разрабатывающей меры реагирования профессиональной организации.
Характер ответных мер:
- Упредительный, реактивный, или и то, и другое?
- Будет ли более эффективным технологический вариант реагирования (с применением современных технологий)?
- Какие ресурсы понадобятся (специализированные знания, определенная информация, что-то еще)?
- Кто будет отвечать за применение ответных действий, и как именно (на уровне всей организации, или только на уровне задания)?
Время действия:
- Непрерывный характер действия, или же периодическое “лечение”?
- Если второй вариант применения, как часто нужно это делать, чтобы мера оказалась эффективной?
Охват
- Нужно ли применять данную меру в отношении всех аналогичных событий, к которым она может иметь отношение, или же только в отношении данного конкретного события (иллюстрация: в аудиторских проверках вообще, или только в каких-то определенных аудиторских проверках)?
Еще один важный фактор - достаточность ответной меры. Вполне может быть, что мера неплохая, но сама по себе еще не достаточна для минимизации риска для качества, а должна применяться в комбинации с другими ответными мерами. По аналогии, организация может спроектировать одну меру или одну комбинацию ответных мер, которые будут подходить для минимизации сразу нескольких рисков для качества.
Еще один частный случай - когда реализация одной меры является основой другой меры в отношении риска, относящегося, возможно, совсем к другой компоненте. Пример: нужны ли вообще ответные меры в отношении объектов интеллектуальной собственности как используемых в профессиональной организации ресурсов, будет определяться фактом применения мер в отношении рисков, связанных с продолжением отношений с клиентом или принятием нового клиента. Очевидно, в своей работе команда планирует использовать именно эти объекты интеллектуальной собственности, но если не будет клиента, не будет и проверки.
В параграфе 34 ISQM 1 есть и конкретные примеры ответных мер, которые организации уже обязаны*** применять. В отличие от прямо оговоренных в стандарте целей по качеству, названные меры воздействия в ответ на риск не являются сами по себе исчерпывающими, и нельзя делать допущение, что их самих по себе достаточно. Поэтому от профессиональных организаций ожидают разработки дополнительных мер, которые дополнят собой те, что прямо названы в 34-м параграфе.
***Впрочем, по-прежнему есть еще параграф 17, где сказано, что если какое-то положение стандарта для данной конкретной организации не актуально, применять его не нужно
Масштабируемость ответных мер
Не секрет, что у малых профессиональных организаций и у крупных профессиональных организаций могут быть свои собственные риски (в том числе для качества), а значит, и меры реагирования будут отличаться. С другой стороны, немало примеров рисков для качества универсальной природы, которые хотя бы иногда касаются и тех, и этих. В этом случае меры реагирования будут, в принципе, схожими, просто отличаться масштабом, продолжительностью, да и самой природой.
Как пример, если есть риск, что качество пострадает от действий и поведения руководства небольшой профессиональной организации, которая только недавно пришла в бизнес и имеет один-единственный офис, здесь достаточно будет организовать независимые обучающие тренинги для руководства и проводить периодические анонимные опросы среди сотрудников компании, дабы понять, имеют ли они эффект. С другой стороны, в случае крупной разветвленной сети представительств, к тому же в разных географических локациях, понадобится вполне конкретный и обязательный для ознакомления всеми корпоративный Кодекс этики и эффективные механизмы коммуникаций, пронизывающие всю организационную структуру.
Определение свидетельств в пользу необходимости добавления/модификации целей по качеству, рисков для качества или ответных мер
Все, что было сделано на предыдущих трех основных этапах - это упражнение, как можно догадаться, не на один раз, потому что результаты проделанной работы могут меняться вследствие:
- Изменения характера и обстоятельств вокруг организации или конкретного задания;
- Действий, предпринимаемых в целях устранения фактически обнаруженных недочетов в системе управления качеством.
Какие-то цели по качеству могут стать неактуальными, какие-то - наоборот, требоваться в дополнение к уже использующимся. По-прежнему допустимым является определение подцелей по качеству, если это считает нужным организация. При этом, если речь идет о целях по качеству, которые определены в стандарте в качестве обязательных, их убирать или модифицировать нельзя (разве что они просто не актуальны, и тогда применяется оговоренное параграфом 17 исключение).
С рисками ситуация вполне понятна с точки зрения самой логики: разумеется, далеко не все из них сохраняются продолжительное время, по природе своей они могут быть изменчивы. А раз так, требуется подстройка и ответные действия (в виде модификации применяющихся мер, добавления новых, устранения прежних). Четко оговоренные в стандарте ответные меры обязаны применяться в любом случае, но у организации есть некоторая свобода в определении того, как именно проектировать и применять оговоренные в ISQM 1 меры.
Стандарт не содержит указаний насчет того, как часто проводить переоценку действующих целей по качеству, рисков для качества и ответных мер, но общая установка такова, что это нужно делать проактивно в связи со случающимися изменениями, способными повлиять на систему управления качеством - либо уже по факту обнаруженных недочетов в ней. В ISQM 1 оговорены два основных (отнюдь не взаимоисключающих) механизма, с помощью которых организация определяет необходимость дополнения / внесения модификаций в оговоренные цели по качеству, риски для качества или ответные меры:
- У нее есть четко задокументированные политики и процедуры, составляющие часть системы анализа рисков, с помощью которых можно выявить свидетельства в пользу необходимости добавления/модификации целей по качеству, рисков для качества или ответных мер. Примером в прошлом году стала пандемия коронавируса, которая, в свете перехода многих проверок на непривычный удаленный режим работы, явно выявила необходимость определения новых рисков для качества и мер по их нейтрализации;
- В организации отлажена система мониторинга и реагирования, которая выявляет недочеты системы управления качеством, относящиеся к целям по качеству, рискам для качества, либо же ответным мерам. Тут может быть, например, такая ситуация: обнаружилось, что электронная аудиторская документация не была загружена на корпоративный сервер по причине перебоев с электроэнергией, в результате чего оказалась, по факту, утерянной. В ответ руководство решает приобрести запасные генераторы на случай повторения таких перебоев с электроэнергией в будущем, дабы обеспечивать непрерывную загрузку важных данных на сервер.