что такое аудит смк
Внутренний аудит СМК банка и анализ со стороны руководства
Роман Исаев
Эксперт по организационному развитию и процессному управлению
Партнёр ГК «Современные технологии управления»
Руководитель проектов организационно-корпоративного развития
Профессиональный бизнес-тренер и специалист по Business Studio
Автор 10 книг и более 40 публикаций в журналах
Автор и разработчик моделей и решений для системы Business Studio, которые на протяжении многих лет активно внедряются и используются в организациях России и СНГ
Заключительная статья цикла, посвященного функционированию системы менеджмента качества (СМК) в коммерческом банке (начало см.: ММК, 2010, № 11–12 «Типовая система менеджмента качества коммерческого банка и ее архитектура», часть 1 и часть 2). В серии статей данного цикла детально рассмотрены процессы (этапы) развития СМК: планирование и построение СМК (см.: ММК, 2011, № 1), управление каждым процессом СМК (см.: ММК, 2011, № 2), внутренний аудит СМК, анализ СМК со стороны руководства банка, а также приведены практические примеры и рекомендации из опыта различных банков. Автор демонстрирует, как обеспечить стабильное и эффективное функционирование СМК в банке на протяжении длительного периода времени.
Внутренний аудит СМК банка
Аудит — систематический, независимый и документированный процесс получения свидетельств аудита и объективной их оценки в целях установления степени выполнения критериев аудита [1].
Объектом аудита может быть: СМК (верхний уровень), процесс, подразделение, информационная система и др.
Модель данного процесса приведена на схеме 1.
Схема 1. Внутренний аудит СМК
При проведении внутреннего аудита СМК банка рекомендуется использовать стандарт ISO 19011 «Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента».
Шаблоны документов, которые необходимы для проведения аудита СМК банка и аудита процессов банка, приведены в [2].
Поскольку архитектура СМК состоит из двух уровней (см. схемы 2 и 3, ММК, 2011, № 1, с. 6–7), то и внутренний аудит СМК включает два соответствующих этапа, а также общий этап «Подготовка к аудиту»:
Рассмотрим эти этапы более подробно.
1. Подготовка к аудиту
Предполагает следующие процедуры и действия.
Разработка, согласование и утверждение программы внутренних аудитов. В данном документе указывается перечень всех видов аудитов с наименованиями (на ближайший год). Для каждого аудита указывается: перечень объектов аудита, Ф.И.О. руководителя аудита, срок проведения аудита.
Формирование и обучение (при необходимости) группы внутренних аудиторов банка. Параллельно с разработкой программы аудитов определяется потребность в аудиторах, формируется и обучается (при необходимости) группа аудиторов, назначаются аудиторы для каждой процессной команды, назначаются аудиторы для аудита СМК верхнего уровня, утверждается главный аудитор.
Подготовка и издание приказа о проведении внутренних аудитов. Приказом по банку утверждаются программа аудитов, состав группы аудиторов и их обязанности, обязанности членов процессных команд, руководителей подразделений и сотрудников банка при проведении аудитов.
Подготовка материалов по внутреннему аудиту.
Разработка единого для аудита процесса.
— это таблица, которая используется аудитором для проверки выполнения установленных требований. Фрагмент (три столбца таблицы) для аудита процесса приведен в табл. 1.
состоит из шести столбцов:
Таблица 1. для аудита процесса (фрагмент)
Единый для аудита процесса необходим для того, чтобы все процессные команды и аудиторы проводили аудит процессов по одним и тем же требованиям.
Рассылка документации по внутреннему аудиту процессным командам. Включает все документы, разработанные в предыдущих процедурах.
2. Аудит СМК (верхнего уровня)
Состоит из следующих процедур и действий.
Разработка и плана для аудита СМК(верхнего уровня). Образец (фрагмент) для аудита СМК (верхнего уровня) представлен в табл. 2.
Таблица 2. для внутреннего аудита СМК (верхний уровень)
В нем перечислены общие требования к компонентам СМК (верхнего уровня). Данные требования должны быть детализированы и дополнены требованиями стандарта ISO 9001 (можно сказать, цитатами из данного стандарта) и собственными требованиями банка.
Например, требование «1.1. Перечень (полнота) документации — соответствие требованиям ISO 9001» детализируется на требования разд. 4.2 стандарта ISO 9001 «Требования к документации», где указан состав необходимой документации:
«Документация системы менеджмента качества должна включать в себя:
На основе разрабатывается план аудита СМК.
План аудита состоит из пяти столбцов:
Аудитор выбирает из требования и в плане прописывает, когда, как и с помощью кого он будет их проверять.
Например, чтобы проверить требование «1.2. Актуальность документации» аудитор назначает несколько интервью с сотрудниками банка, ответственными за данные документы, и записывает это в план.
Подготовка отчета по результатам внутреннего аудита СМК (верхнего уровня). В отчете по результатам внутреннего аудита СМК объединяются все заполненные в порядке следования требований. Указывается общее число выявленных несоответствий, выводы и заключения.
Разработка корректирующих и предупреждающих действий по результатам аудита.
Выполнение оперативных корректирующих и предупреждающих действий.
Наиболее срочные и важные действия выполняются сразу после разработки. Действия, требующие привлечения значительных трудовых и финансовых ресурсов, выполняются в течение следующего периода функционирования СМК.
3. Аудит процесса
Правила проведения аудита процесса схожи с правилами аудита СМК (верхнего уровня), только объектом аудита становится процесс. Поэтому приведем перечень процедур и действий без дополнительных комментариев.
Чтобы аудит процесса выполнялся процессной командой методически правильно и эффективно, в нее должен входить квалифицированный аудитор от службы качества.
Итак, процессная команда при проведении аудита:
Например, в одном банке функционировал вполне нормальный и рентабельный процесс «Зарплатные проекты». Однако в результате проведенного аудита было выявлено много несоответствий. Некоторые из них даже не были известны владельцу и функциональным менеджерам процесса. Устранение несоответствий позволило вдвойне повысить показатели результативности и качества процесса.
Получение и агрегация отчетов по аудитам процессов от процессных команд. Отчеты по результатам всех аудитов должны быть собраны воедино для дальнейшей работы с ними.
Анализ СМК со стороны руководства банка
Модель подпроцесса «Анализ системы менеджмента качества со стороны руководства банка» приведена на схеме 2.
Схема 2. Анализ СМК со стороны руководства банка
Процесс запускается согласно установленной в банке периодичности (как минимум, два раза в год) либо по решению руководства банка. Руководство сбором и подготовкой информации для анализа СМК, выработкой планов по улучшению СМК осуществляет директор по качеству. Ответственный исполнитель работ в рамках подготовки анализа СМК — начальник отдела СМК. Ответственные за процесс анализа СМК в рамках процессов — процессные команды (владелец процесса).
Поскольку архитектура СМК состоит из двух уровней (см. схемы 2 и 3, ММК, 2011, № 1, с. 6–7), то и анализ СМК со стороны руководства имеет две составляющие:
Отметим, что анализ СМК со стороны руководства банка так же, как и внутренний аудит СМК банка, рекомендуется проводить с помощью программных продуктов класса (например, Business Studio). Они позволяют хранить всю информацию и документы по СМК, интегрировать (устанавливать и поддерживать взаимосвязи) с другими компонентами СМК (процессы, подразделения, цели и показатели, проекты), автоматически формировать документы СМК, которые получаются на выходах процессов (отчеты, протоколы, записи и др.).
Более подробная информация об использовании данных программных продуктов при выполнении всех процессов/этапов функционирования СМК банка представлена в [4].
Процесс состоит из следующих процедур и действий.
Рассылка информации и запросов процессным командам. Процессные команды должны провести анализ и аудит своих процессов, подготовить и передать в службу качества сводный отчет по процессу. У процессных команд может запрашиваться дополнительная информация по процессу, которая не входит в сводный отчет.
Получение, проверка и агрегация сводных отчетов по процессам от процессных команд. Все отчеты должны быть проверены, затем объединены в единый отчет по процессам.
Подготовка и агрегация отчетов по верхнему уровню СМК включают отчеты:
Более подробная информация о данных отчетах, а также их образцы представлены в [2].
Разработка отчета о функционировании и результативности СМК. Данный отчет включает в качестве приложений отчеты по верхнему уровню СМК, сводные отчеты по процессам. Он должен содержать выводы и заключения о функционировании и результативности СМК (каждого компонента) за прошедший период.
Разработка корректирующих и предупреждающих действий. Корректирующие и предупреждающие действия разрабатываются службой качества как для процессных команд, так и для верхнего уровня СМК.
Рассылка приглашений на совещание, отчета и планов высшему руководству банка (выполняется службой качества).
Предварительное изучение отчета, планов, подготовка замечаний и предложений. Руководство банка (комитет по процессам и качеству) должны ознакомиться со всеми документами и передать в службу качества свои замечания и предложения.
Сбор и обработка замечаний и предложений от членов комитета по процессам и качеству (выполняется службой качества).
Организация комитета, вынесение итоговой версии отчета и планов на заседание комитета (выполняется службой качества).
Подготовка, выступление с докладом и презентацией отчета. Директор по качеству на заседании комитета по процессам и качеству делает доклад о функционировании и результативности СМК за прошедший период, проводит презентации подготовленных отчетов и планов.
Обсуждение и утверждение отчета, планов и решений. При обсуждении отчета и планов на заседании комитета по процессам и качеству для них фиксируются необходимые корректировки и дополнения. На основе отчетов и планов комитет должен оценить результативность и качество каждого компонента СМК (в соответствии с архитектурой — см. схемы 2 и 3, ММК, 2011, № 1, с. 6–7). Могут быть следующие решения/оценки:
В процессе совещания составляется протокол анализа системы менеджмента качества со стороны руководства, в котором указывается принятое решение по каждому рассмотренному комитетом документу/компоненту СМК.
Оформление и рассылка протокола участникам совещания (выполняется службой качества).
Корректировка и утверждение планов по результатам анализа СМК со стороны руководства (выполняется службой качества).
Например, в одном банке руководство после изучения всех отчетов СМК осталось настолько довольно прозрачностью и эффективностью подконтрольной им деятельности, что выделило службе качества три отдельных просторных кабинета, оборудованных «по последнему слову техники», рядом с кабинетом председателя правления банка.
Заключение
Итак, секрет стабильного и эффективного функционирования СМК банка на протяжении длительного времени заключается в строгом соблюдении описанных в настоящей работе процессов и процедур, а также в использовании типовых и лучших практик в области менеджмента качества (например, типовая система менеджмента качества банка [2]).
Таким образом, СМК банка будет готова к повторной успешной сертификации и сможет постоянно приносить банку как финансовый (увеличение прибыли, снижение расходов на некачественные процессы), так и нефинансовый эффект (повышение репутации, лояльности клиентов).
Список использованной литературы
Опубликовано по материалам:
Журнал Методы менеджмента качества № 3, 2011
Что такое аудит смк
ГОСТ Р ИСО 19011-2003
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
РУКОВОДЯЩИЕ УКАЗАНИЯ ПО АУДИТУ СИСТЕМ МЕНЕДЖМЕНТА КАЧЕСТВА
И/ИЛИ СИСТЕМ ЭКОЛОГИЧЕСКОГО МЕНЕДЖМЕНТА
Guidelines for quality and/or environmental management systems auditing
Дата введения 2004-04-01
1 РАЗРАБОТАН Всероссийским научно-исследовательским институтом сертификации (ВНИИС) Госстандарта России
ВНЕСЕН Научно-техническим управлением Госстандарта России
3 Настоящий стандарт представляет собой полный идентичный текст международного стандарта ИСО 19011:2002 «Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента», за исключением введения, раздела 2 и примечаний 1 и 2 к таблице 1
ВНЕСЕНА поправка, опубликованная в ИУС N 5, 2007 год
Поправка внесена изготовителем базы данных
Введение
Международные стандарты ИСО серий 9000 и 14000 придают особое значение аудитам как методу менеджмента для обеспечения мониторинга и верификации результативности внедрения политики организации в области качества и/или экологического менеджмента. Аудиты являются также существенной частью деятельности по оценке соответствия при сертификации/регистрации, оценке поставщиков, инспекционном контроле.
Настоящий стандарт содержит руководящие указания по управлению программами аудита, проведению внутренних или внешних аудитов систем менеджмента качества и/или систем экологического менеджмента, а также по компетентности и оценке аудиторов (экспертов). Стандарт предназначен для потенциальных пользователей, включая аудиторов (экспертов); организаций, внедряющих системы менеджмента качества и экологического менеджмента; организаций, в которых необходимо провести аудиты систем менеджмента качества и/или систем экологического менеджмента согласно договорам организаций, участвующих в сертификации или в обучении аудиторов (экспертов), а также для использования при сертификации/регистрации систем менеджмента; аккредитации или стандартизации в области оценки соответствия.
Указания настоящего стандарта являются гибкими. Использование этих указаний может быть различным в зависимости от размера, вида деятельности, сложности проверяемых организаций, а также целей и области аудита. В выделенных рамках представлены дополнительные указания или примеры по конкретным вопросам в виде практических рекомендаций. В некоторых случаях они направлены на поддержку использования настоящего стандарта на малых предприятиях.
При совместном внедрении систем менеджмента качества и экологического менеджмента пользователь настоящего стандарта сам решает вопрос о проведении раздельных аудитов или комплексного аудита.
Пользователь может рассматривать применение или распространение руководящих указаний настоящего стандарта к другим видам аудитов, включая аудиты других систем менеджмента.
Настоящий стандарт содержит только общие указания, однако пользователи могут использовать их для разработки своих собственных требований, связанных с аудитом.
Руководящие указания настоящего стандарта могут быть полезны для лиц или организаций, заинтересованных в мониторинге соответствия требованиям, например требованиям технических условий на продукцию, законов или регламентов.
Стандарт ИСО 19011 был разработан совместно Техническим комитетом ИСО/ТК 176 «Менеджмент качества и обеспечение качества» (подкомитетом ПК 3, Вспомогательные технологии) и Техническим комитетом ИСО/ТК 207 «Экологический менеджмент» (подкомитетом ПК 2 «Экологический аудит и экологические оценки»).
На сегодняшний день понятийный аппарат на русском языке по системам менеджмента окончательно не сформирован и в ряде случаев для одних и тех же понятий в различных документах используют разные термины.
Например, для одного и того же понятия используют термины «управление окружающей средой» (ГОСТ Р ИСО 14001-98), «менеджмент охраны окружающей среды» (ГОСТ Р ИСО 9000-2001) и «экологический менеджмент». В настоящем стандарте предлагается использовать термин «экологический менеджмент», как более соответствующий смыслу термина «environmental management».
В отличие от рекомендуемого ИСО 19011-2002 среднего образования для аудиторов в настоящем стандарте рекомендовано, соответственно, высшее образование.
1 Область применения
Настоящий стандарт содержит руководящие указания по принципам аудита, управлению программами аудита, проведению аудитов систем менеджмента качества и систем экологического менеджмента, а также по компетентности аудиторов для проведения этих аудитов.
Настоящий стандарт предназначен для организаций, которым необходимо проводить внутренние и/или внешние аудиты систем менеджмента качества и/или систем экологического менеджмента или управлять программами аудита.
Рекомендации настоящего стандарта можно применять и к другим видам аудитов при условии, что особое внимание будет уделено определению компетентности членов аудиторской группы.
2 Нормативные ссылки
В настоящем стандарте использованы ссылки на следующие стандарты:
3 Термины и определения
В настоящем документе используются термины по ГОСТ Р ИСО 9000 и ГОСТ Р ИСО 14050, если они не заменены терминами и определениями, приведенными ниже.
Термин, определяемый в каком-либо другом месте настоящего раздела, выделен полужирным шрифтом. За ним в скобках следует его порядковый номер. Такой термин может быть заменен его собственным определением.
1 Внутренние аудиты, называемые «аудитами первой стороны», проводит для внутренних целей сама организация или от ее имени. Результаты внутреннего аудита могут служить основанием для декларации о соответствии. Во многих случаях, особенно на малых предприятиях, независимость при аудите демонстрируют отсутствием ответственности за деятельность, которая подвергается аудиту.
2 Внешние аудиты включают аудиты, называемые «аудитами второй стороны» и «аудитами третьей стороны». Аудиты второй стороны проводят стороны, заинтересованные в деятельности организации, например потребители или другие лица от их имени. Аудиты третьей стороны проводят внешние независимые организации, которые проводят сертификацию или регистрацию на соответствие требованиям ИСО 9001 или ИСО 14001.
3 Аудит систем менеджмента качества и экологического менеджмента, проводимый одновременно, называют комплексным аудитом.
4 Если аудит проверяемой организации проводят одновременно две или несколько организаций, такой аудит называют совместным.
3.2 критерии аудита (audit criteria): Совокупность политики, процедур или требований.
3.3 свидетельства аудита (audit evidence): Записи, изложение фактов или другая информация, которые имеют отношение к критериям аудита (3.2) и могут быть проверены.
3.5 заключение по результатам аудита (audit conclusion): Выходные данные аудита (3.1), представленные аудиторской группой (3.9) после рассмотрения целей аудита и всех выводов аудита (3.4).
3.6 заказчик аудита (audit client): Организация или лицо, заказавшие аудит (3.1).
3.7 проверяемая организация (auditee): Организация, подвергающаяся аудиту.
1 Одного из аудиторов в аудиторской группе, как правило, назначают руководителем группы.
2 Аудиторская группа может включать стажеров.
3.10 технический эксперт (technical expert): Лицо, предоставляющее аудиторской группе (3.9) свои знания или опыт по специальному вопросу.
1 Знания или опыт по специальному вопросу могут быть отнесены к организации, процессу или деятельности, подвергаемым аудиту (3.1), а также к вопросам языка или культуры.
2 Технический эксперт не участвует в аудиторской группе в качестве аудитора (3.8).
3.11 программа аудита (audit programme): Совокупность одного или нескольких аудитов (3.1), запланированных на конкретный период времени и направленных на достижение конкретной цели.
3.12 план аудита (audit plan): Описание деятельности и мероприятий по проведению аудита (3.1).
3.13 область аудита (audit scope): Содержание и границы аудита (3.1).
3.14 компетентность (copmetence): Проявленные личные качества и выраженная способность применять свои знания и навыки.
4 Принципы проведения аудита
Принципы проведения аудита делают аудит результативным и надежным методом поддержания политики руководства и контроля, обеспечивая информацией, на основе которой организация может улучшать свои характеристики, а также являются предпосылкой для объективных заключений по результатам аудита.
К принципам проведения аудита относят:
Существенными при аудите являются ответственность, неподкупность, умение хранить тайну и осмотрительность;
Выводы аудитов, заключения по результатам аудита и записи отражают правдиво и точно деятельность по аудиту. Неразрешенные проблемы или разногласия между аудиторской группой и проверяемой организацией отражают в отчетах (актах);
Профессиональная осмотрительность аудиторов соответствует важности выполняемого задания и доверительности со стороны заказчиков и других заинтересованных сторон. Важным фактором является необходимая компетентность;
Аудиторы независимы в своей деятельности и свободны от предубеждений и конфликтов интересов. Аудиторы сохраняют объективное мнение во время всего процесса аудита с целью обеспечения того, что в основе выводов и заключений находятся только свидетельства аудита;
Свидетельство аудита основано на выборках существующей информации, поскольку аудит осуществляется в ограниченный период времени и с ограниченными ресурсами. Соответствующее использование выборок тесно связано с доверием, с которым относятся к заключениям по результатам аудита.
Как проводится аудит СМК на предприятии
Внедрение системы менеджмента качества на предприятии состоит из серии обязательных этапов. Первый и потому наиболее важный из них – аудит СМК.
Что такое?
Аудит СМК (он же аудит качества) – это процедура периодической систематической проверки соответствия техпроцессов, действующих на предприятии, установленным стандартам, как внешним (к примеру, международному ИСО 9001), так и внутренним.
Проверка обязательно должна быть независимой и документируемой. При этом документация ведется не только по каждому этапу, документально должны быть представлены также:
Независимость достигается различными способами, в зависимости от того, как проводится аудит СМК на предприятии, а точнее, кем он осуществляется. Он может быть:
Существует также так называемый аудит второй стороны. Во время него поставщики или субподрядчики проверяются основной организацией или от ее имени.
Основная цель аудита СМК, как было сказано в определении – установить, насколько соответствуют или не соответствуют фактические технологические процессы, выпускаемые продукты или оказываемые компанией услуги установленным требованиям. Основными требованиями в данном случае выступает регламент стандарта ISO 9001:2015, однако в отдельных случаях также может проверяться соответствие государственным регламентам и внутренним стандартам.
Основная цель достигается через постепенное достижение промежуточных целей, в частности, определения:
Выявленные расхождения используются в качестве основы для дальнейшей деятельности, в частности, для разработки и внедрения новой СМК и повышения эффективности работы предприятия.
Как проводится аудит СМК на предприятии
Проверка, как правило, состоит из 3 основных этапов.
Предварительная проверка документации
Аудитор запрашивает полный комплект основной действующей документации, которую он проверяет в полном объеме. Если ранее проводились другие проверки, вместе с документацией могут быть запрошены их результаты, где особое внимание уделяется ранее выявленным расхождениям и принятым мерам по их исправлению.
При необходимости на этом этапе (особенно если проверка осуществляется второй или третьей стороной) аудитор подписывает соглашение о неразглашении.
Проверка на месте
Непосредственное посещение предприятия аудитором или комиссией, знакомство с основными этапами работы и конкретными техническими процессами и достижение промежуточных и основной цели.
Процедура также делится на дополнительные этапы:
Составление отчета
Проведение аудита СМК на предприятии завершается составлением аудитором итогового отчета, в котором выделяются:
Итоговый отчет направляется в организацию. После ознакомления с ним в компании проводятся работы по устранению недочетов, по завершении которых руководитель компании информирует аудитора о возможности проведения заключительной контрольной инспекции. В ее результате аудитор проверяет результаты и в случае реального устранения несоответствий делает отметки в итоговом отчете.