Введение
В данной статье рассмотрена практика внедрения системы внутренних аудитов, а именно – аудитов первой стороны (аудитов собственной системы менеджмента в организации).
Проведение внутреннего аудита в организации – это сложный, но очень важный процесс, который позволяет оценить соответствие системы менеджмента установленным требованиям, выявить риски и усовершенствовать процессы. Внутренний аудит требует систематического подхода, знаний принципов проведения аудитов и понимания бизнес-процессов, которые необходимо проверить [2, 5].
В России законодательно не определены порядок и правила проведения аудитов систем менеджмента. В нашей стране установлены только требования к проведению проверки финансовой отчетности (ФЗ от 30.12.2008 N 307-ФЗ «Об аудиторской деятельности») [6].
Общепризнанная мировая практика проведения аудитов систем менеджмента представлена в международном стандарте ISO 19011:2018 «Руководство по проведению аудита систем менеджмента» / ГОСТ Р ИСО 19011-2021 «Руководство по проведению аудита систем менеджмента» [1, 3]. Этот стандарт обеспечивает руководящие указания для организаций всех типов и размеров и для аудита различных областей.
Согласно ISO 19011-2018, аудит – это систематический, независимый и документированный процесс получения свидетельств аудита и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита [1].
Действия по внедрению внутреннего аудита
Для успешного внедрения системы внутреннего аудита в организации рекомендуется выполнить действия, представленные на рисунке 1.
Рисунок 1 – Действия по внедрению внутреннего аудита
Обучение группы внутренних аудиторов (рис.1). Внутренние аудиторы должны пройти специальную подготовку и обладать компетентностью. Как минимум, необходимо обучить одного человека или пригласить стороннего специалиста. При определении количества внутренних аудиторов рекомендуется учесть деятельность организации; сложность и количество проверяемых процессов/подразделений; количество критериев, по которым будет проводиться проверка. Сотрудники, получившие базовую подготовку в области проведения аудитов, должны в дальнейшем совершенствовать свои знания, квалификацию и опыт.
Определение и назначение руководителя группы внутренних аудитов (рис.1). Например, руководителя аудиторской группы можно назначить Приказом. Руководителем аудиторской группы обычно назначается самый опытный аудитор. Если в организации всего один аудитор, то он берет на себя функции руководителя группы.
Разработка процедуры по внутреннему аудиту (рис.1). В процедуре будут определены основные принципы, цели и порядок проведения внутренних аудитов организации. В процедуре рекомендуется определить формы документов, которые в дальнейшем будут заполняться (например, форму программы аудитов, планов, отчета по итогу аудита, отчета по несоответствиям и корректирующим действиям).
Разработка годовой программы и планов проведения внутренних аудитов (рис.1). При разработке программы аудита необходимо учитывать масштаб, характер, внешние и внутренние факторы организации. Программа аудита может содержать: наименование объекта аудита; область аудита; цель и задачи аудита; дату начала и продолжительность; календарный график работ аудиторской группы; список должностных лиц, которым должны быть направлены копии отчета об аудите. После разработки программы аудита и определения ресурсов начинается выполнение программы (оперативное планирование и координация деятельности программы аудита).
Формирование аудиторской группы для проведения внутреннего аудита (рис.1). Внутренние аудиты в организации должны проводиться специально подготовленными сотрудниками из состава группы внутренних аудиторов. Один из принципов проведения аудитов – принцип независимости, т.е. аудитор не должен ни быть ответственным за ту деятельность, которую следует проверять, ни работать в подчинении человека, ответственного за область проверки. В начале конкретного аудита необходимо сформировать аудиторскую группу с учетом необходимого уровня компетентности для достижения целей аудита в рамках определенной области.
Подготовка рабочих документов внутреннего аудита (рис.1). Рабочими документами могут быть, например, вопросники, чек-листы, контрольные листы. При подготовке к аудиту команда аудиторов должна сформировать контрольный лист аудита по проверке процессов, документированной информации и т.д. Данный чек-лист аудита служит руководством во время проведения аудита, показывая, все ли установленные требования рассмотрены.
Осуществление предварительного взаимодействия с аудируемым подразделением/процессом (рис.1). Информацию о факте проведения аудита рекомендуется довести до проверяемых подразделений и сотрудников минимум за 7 рабочих дней до начала аудита (анонсируемый аудит).
Проведение аудитов согласно разработанной программе и планам (рис.1). Проведение аудитов включает проведение вводного совещания; сбор и проверку информации в подразделении/процессе; подготовку предварительных результатов; проведение итогового совещания. При проведении аудита необходимо обратить внимание на методы сбора информации (опросы, наблюдения за деятельностью, проверка документации). Предметом обзора могут служить такие документы, как: отчеты, спецификации, схемы, записи. Во время проведения аудита сотрудники проверяемого подразделения/процесса обязаны предоставлять все затребованные и имеющие отношение к проверке документы.
Составление отчета согласно разработанным формам (рис.1). Контрольный лист аудита, заполняемый в процессе аудита, может является отчетом по внутреннему аудиту. Но организация может выбрать другую форму отчета.
Проведение анализа результатов аудитов, разработка рекомендаций и корректирующих действий (рис.1). Результаты аудита в обязательном порядке рассматриваются на заключительном собрании. Необходимо проанализировать результаты аудитов, выявить те области аудита, где произошло ухудшение, выяснить причины ухудшения совместно с руководителем проверяемого процесса или подразделения. Далее разрабатываются корректирующие действия, определяются сроки выполнения и ответственные.
Осуществление мониторинга выполнения корректирующих действий (рис.1). Необходимо выстроить систему контроля эффективности корректирующих действий.
Проведение анализа выполнения годовой программы аудитов (рис.1). В обязательном порядке необходимо проанализировать эффективность системы внутренних аудитов.
Определение возможности для улучшения процесса внутреннего аудита (рис.1). В конце цикла проведения серии внутренних аудитов в организации производится анализ эффективности системы внутренних аудитов и определяются возможности для улучшения процесса аудита. На основе этого анализа вносятся необходимые корректировки и улучшения в систему аудита.
Факторы, усложняющие проведение внутреннего аудита
На рисунке 2 представлены основные факторы, которые могут вызывать сложности при проведении внутреннего аудита.
Рисунок 2 – Основные факторы, усложняющие проведение внутреннего аудита
Один из важнейших факторов – это отсутствие поддержки со стороны руководства (рис.2). Согласно требованиям международных стандартов [1, 4] на системы менеджмента, высшее руководство организации должно демонстрировать свое лидерство и приверженность в отношении системы менеджмента, включая обеспечение доступности необходимых для системы менеджмента ресурсов. Например, внутренний аудит требует наличия компетентных аудиторов, времени для проведения проверки и обработки информации и др.
Сложность данных и системы – это ещё один фактор, который может оказать влияние на проведение внутреннего аудита, является (рис.2). Если организация имеет сложную структуру или проводит внутренние аудиты по нескольким критериям (например, проверяет соответствие требованиям сразу нескольким международным стандартам), то это может затруднить доступ к необходимым данным и их анализ. Необходимость сопоставления информации из разных источников требует дополнительных усилий и может усложнить процесс аудита.
Существенный фактор, усложняющий проведение внутреннего аудита – это отсутствие своевременного доступа к сооружениям, документам и персоналу (рис.2). Очень важно иметь доступ к соответствующим документам, персоналу, процедурам и политикам, чтобы полноценно оценить деятельность организации.
Следующий фактор, который может вызвать сложности в процессе аудита, это сопротивление со стороны сотрудников организации (рис.2). Некоторые сотрудники воспринимают внутреннего аудита как контролера (агрессора), а несоответствия как критику своей работы. Это может привести к сопротивлению со стороны представителей организации и затруднениям в получении необходимой информации.
Значительно осложняет проведение аудита осуществление аудита без использования программных решений (рис.2). На сегодняшний день во многих организациях планирование, проведение аудитов и контроль за выполнением корректирующих действий осуществляется с помощью таблиц в Excel. Осуществление аудитов без использования программных решений требует очень много времени и других ресурсов, а также часто приводит к ошибкам в работе: системным (например, ошибки в алгоритме проведения аудита, ошибки при формулировке вопросов, ошибки в справочной базе, ошибки при создании программы) и случайным (например, потеря данных при заведении информации сотрудником – человеческий фактор; технический сбой; ошибки в расчетах и др.). Одним из решений, которое позволит автоматизировать процесс аудита, повысив его эффективность и качество, является облачное программное решение GRAIT Audit – продукт, созданный с учётом лучших мировых практик и передового опыта проведения аудитов [3]. Данный IT-продукт разработан организацией ГРЭЙТ (GRAIT) ®, которая является дочерней организацией ИнтерКонсалт.
Заключение
Чтобы справиться со сложностями проведения аудита рекомендуется установить четкие цели аудита; выделять достаточные ресурсы и обеспечить подготовку аудиторов; разработать программу и планы аудитов, учитывающие все сложности и особенности организации; взаимодействовать с сотрудниками и объяснить им цель и преимущества внутреннего аудита; постоянно обмениваться информацией с руководством и сотрудниками организации; применять адаптивный подход и гибко реагировать на изменения внутренней среды; использовать программные средства для проведения аудита.
Следуя этим рекомендациям, можно обеспечить более эффективное проведение внутреннего аудита в организации. Правильно спланированный и реализованный аудит поможет организации оптимизировать свою работу, повысить эффективность и снизить риски, что будет способствовать устойчивому успеху организации.
Список литературы
- ISO 19011:2018 «Руководящие указания по проведению аудитов систем менеджмента» [Электронный ресурс]. – URL: https://www.iso.org/obp/ui/en/#iso:std:iso:19011:ed-3:v1:en
- ISO/IEC 17021-1:2015 «Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента Часть 1. Требования» [Электронный ресурс]. – URL: https://standartgost.ru/g/ISO/IEC_17021-1:2015
- Аудиты и управление несоответствиями [Электронный ресурс]. – URL: https://grait.ru/product/audit/ . – Загл. с экрана.
- ГОСТ Р ИСО 19011-2021 «Руководящие указания по проведению аудитов систем менеджмента» [Электронный ресурс]. – URL: https://standartgost.ru/g/ГОСТ_Р_ИСО_19011-2021
- Дзедик В.А., Езрахович А. Создание и аудит систем менеджмента качества в соответствии с международным стандартом ISO 9001:2015. – Волгоград: ПринТерра-Дизайн, 2015. – 300 с.
- Федеральный закон от 30.12.2008 N 307-ФЗ (ред. от 30.12.2021) «Об аудиторской деятельности» (с изм. и доп., вступ. в силу с 01.01.2022) [Электронный ресурс]. – URL: https://legalacts.ru/doc/federalnyi-zakon-ot-30122008-n-307-fz-ob/