Отчет о внутренних аудитах СМК

08.07.2020
Комментариев нет

Аудит СМК — цели и источники информации

Аудит системы менеджмента качества (СМК) — это систематический процесс получения сведений о функционировании СМК и ее соответствии критериям, установленным действующими стандартами.

Аудит СМК может быть:

  • внешним — проверка проводится сотрудниками сторонних специализированных организаций;
  • внутренним — проверка проводится сотрудниками службы качества аудируемого предприятия (подробности о службе внутреннего аудита вы найдете ).

Внутренний аудит системы менеджмента качества проводится с целью:

  • своевременного выявления проблем и несоответствий в функционирующей на предприятии СМК;
  • определения причин возникновения таких несоответствий и разработки методов их устранения;
  • проверки эффективности корректирующих действий, выполненных по итогам ранее завершенных проверок;
  • подготовки к внешнему аудиту для получения сертификата соответствия ИСО 9001 и другим стандартам.

Источниками информации в ходе такой проверки могут быть:

  • личные беседы с работниками аудируемых подразделений предприятия;
  • результаты самостоятельного наблюдения аудиторов за деятельностью работников, состоянием их рабочих мест, условиями труда и пр.;
  • информация, полученная от потребителей по обратной связи;
  • внутренние документы подразделения (отчеты, контракты, инструкции, калькуляции, конструкторская и технологическая документация и пр.);
  • отчеты о проведенных аудитах и выполненных по их итогам корректировках, составленные ранее.

Принципы проведения внутреннего аудита СМК

Принципы проведения внутренних аудитов зафиксированы в ГОСТ Р ИСО 19011-2012. К ним относятся:

  • беспристрастность: аудитор должен объективно оценивать полученные сведения и документы, формировать правдивые и точные отчеты;
  • конфиденциальность: аудитор должен сохранять полученную им информацию в тайне от третьих лиц;
  • профессиональная осмотрительность: аудитор должен быть прилежным, применять имеющиеся у него профессиональные знания по отношению к объекту проверки;
  • независимость: аудитор должен самостоятельно принимать решения на основании полученных им сведений и не изменять их из-за стороннего влияния заинтересованных лиц;
  • подход, основанный на свидетельстве: в связи с ограниченной продолжительностью времени, в течение которого должна быть проведена проверка, аудитор должен использовать выборки определенной информации с целью получения сведений о функционировании СМК в целом;
  • целостность: деятельность аудитора должна соответствовать одновременно всем перечисленным выше принципам.

Порядок проведения внутреннего аудита СМК — пошаговая инструкция

Процедура проведения внутренней проверки включает несколько стадий, идущих в следующем порядке:

  1. Анализ деятельности компании.
  2. Подготовка программы.
  3. Разработка плана аудита.
  4. Открытая встреча.
  5. Проведение аудита.
  6. Обсуждение результатов аудита, закрывающая встреча.
  7. Подготовка заключения аудита.
  8. Закрытие аудита, исправление недостатков.

Анализ деятельности компании

В первую очередь необходимо сделать анализ того предмета, по которому будет проведен аудит. Для этого нужно найти аудитора, который даст понять, сколько будет длится проверка, как именно она будет проводиться, с участием каких специалистов. Данный этап имеет важнейшее значение, и позволяет правильно подготовить программу аудита в дальнейшем.

Подготовка программы

Чтобы проверка была проведена правильно, аудитор должен подготовить все рабочие документы, а также перечень вопросов, которые будут заданы. При этом решающую роль играет документация СМК предприятия. На основе документации и анализа деятельности фирмы будет подготовлена программа, согласно которой будет проводиться проверка.

Разработка плана аудита

Итак, программа составлена, и теперь вы знаете, что именно нужно проверить и изучить, сколько аудиторов потребуется для этого, и примерное количество времени. На этом этапе нужно распределить время на каждый этап, и подготовить четкий план действий.

Открытая встреча

Начинается аудит всегда с начальной всречи. Именно на этом этапе достигаются заключительные договоренности о времени каждого этапа проверки. Это поможет руководителю фирмы ознакомиться с планом аудита и оптимизировать его проведение.

Проведение аудита

Аудитор выполняет шаги плана. Он задает нужные вопросы, документирует информацию, разбирается, соответствует компания требованиям СМК или нет.

Обсуждение результатов аудита, закрывающая встреча

После проведения аудита проверяющий обозначает несоответствия, которые были выявлены. Аудируемый может задать вопросы для понимания заключения, и прояснить для себя основные моменты.

Подготовка заключения аудита

Заключение оформляется в отчет и передается заказчику. Отчет может быть как напечатан, так и подготовлен в электронной форме. Он содержит перечень всех выявленных несоответствий.

Закрытие аудита, исправление недостатков

Несоответствия необходимо устранить. Для этого устанавливаются сроки и выполняются действия по исправлению недостатков. После этого аудит закрывается.

Программа аудита

Программа внутреннего аудита — это документ, содержащий сведения об аудитах, которые должны быть проведены на предприятии в течение определенного периода времени (как правило, полугода или года). Его разработкой занимается представитель службы качества предприятия, обладающий полномочиями по проведению проверок в его подразделениях.

В программе внутреннего аудита СМК указываются:

  • цели аудита;
  • проверяемые процессы (виды деятельности подразделения);
  • проверяемые подразделения;
  • критерии аудита;
  • время (как правило, указывается месяц) проведения;
  • Ф. И. О. аудитора.

Документ утверждает руководитель предприятия (генеральный директор, главный инженер и пр.). После этого руководитель службы качества формирует планы-графики проведения конкретных аудитов и согласовывает их с руководством подразделений, в отношении которых будет проводиться проверка.

Содержание и пример плана внутреннего аудита СМК

Руководитель аудиторской группы должен подготовить план аудита и ознакомить с ним проверяемое подразделение. Этот документ содержит следующую информацию:

  • цели проведения проверки;
  • критерии, по которым проводится аудит, а также перечень проверяемых документов;
  • область аудита (проверяемое подразделение, в том числе протекающие в нем организационные и функциональные процессы);
  • указание даты и места проведения проверки;
  • роли и ответственность членов аудиторской группы и сопровождающих их лиц.

Документ утверждается руководителем предприятия, подразделения которого подвергаются проверке. В ходе аудита план может быть скорректирован руководителем аудиторской группы. Пример плана проведения внутреннего аудита может выглядеть так:

УТВЕРЖДАЮ

Более полную информацию по теме вы можете найти в КонсультантПлюс.
Полный и бесплатный доступ к системе на 2 дня.

Представитель руководства СМК

АО «ФТОРОПЛАСТ»

(подпись) /Мальченков Е. А./

__ __ ____ года

План внутреннего аудита

Основание для проверки: программа внутреннего аудита системы менеджмента качества на ____ год.

Объект проверки: управление ресурсами для мониторинга и измерений, метрологическое обеспечение.

Аудируемое подразделение: инструментально-заготовительный цех.

Сроки проведения проверки: __ __ ___ года – __ __ ___ года

Критерии аудита (обозначение документов или их разделов): п. 7.1.5 ГОСТ Р ИСО 9001-2012, СТО СМК 7.021-2017.

Цель аудита: проверка и оценка соответствия установленным требованиям.

Руководитель аудиторской группы: Евсеева Ю. Н.

Аудиторы: Артемов Е. П., Клинкова А. С.

Дата представления отчета: __ __ ____ года.

Список должностных лиц, которым должны быть представлены копии отчета: представитель руководства по СМК, руководитель инструментально-заготовительного цеха.

Подписи:

Руководитель аудиторской группы:

(подпись) /Ю. Н. Евсеева/ __ __ ____ года

Аудиторы:

(подпись) /Е. П. Артемов/ __ __ ____ года

Подпишитесь на рассылку

(подпись) /А. С. Клинкова/ __ __ ____ года

Контрольный лист как основной инструмент аудитора

Основным рабочим документом аудитора является контрольный лист. Он представляет собой заранее составленный систематизированный перечень вопросов, ответы на которые позволят проверяющему получить полную и актуальную информацию о функционировании СМК в подразделениях.

Существующие стандарты не содержат конкретной формы этого документа, поэтому аудитор может подготовить его самостоятельно. Важно, чтобы форма контрольного листа позволяла вносить в него сведения, полученные в ходе аудита, и использовать их в процессе последующего анализа.

Цель использования данного документа — напоминание аудитору об информации, которую он должен получить, и фактах, которые должны быть исследованы в ходе проведения проверки. Кроме того, применение такого листа позволит аудитору оценить объем предстоящих работ, правильно распределить их во времени и закончить проверку в соответствии с заданными сроками.

Использование заранее подготовленных контрольных листов не должно оказывать влияния на проведение аудита. В том случае, когда ход проверки изменяется (например, если в процессе ее осуществления аудитор выявил подлежащие исследованию факты, проверка которых не была запланирована), в контрольные листы должны быть внесены соответствующие корректировки.

Рабочие документы и записи стоит сохранять до конца аудита. Если в них содержится информация, имеющая статус конфиденциальной, необходимо обеспечить им надлежащий уровень защиты от несанкционированного доступа.

Работа с несоответствиями, выявленными по итогам внутреннего аудита

Все несоответствия, выявленные по итогам проверки, должны быть задокументированы. Эта процедура предусматривает:

  • обнаружение, идентификацию и регистрацию несоответствий;
  • классификацию несоответствий по степени их значимости;
  • составление протоколов несоответствий.

В протоколе о несоответствии указываются:

  • время и место его обнаружения;
  • содержание и значимость несоответствия;
  • ссылка на нарушение определенного пункта стандарта предприятия или ГОСТа, выступающего в качестве критерия аудита.

Протокол несоответствия является источником информации для последующей разработки корректирующих и предупреждающих действий, позволяющих устранить выявленные недостатки.

Примеры несоответствий при внутреннем аудите СМК

Перечень несоответствий, которые могут быть выявлены в процессе внутреннего аудита, является обширным, т. к. характеристики любого процесса, протекающего в организации, могут полностью или частично не отвечать заданным стандартом критериям.

Приведем перечень основных критериев и наиболее часто встречающихся несоответствий им:

  1. Ответственность руководства:
  • не выполняется анализ СМК со стороны руководства;
  • не доводятся до сведения работников политика и цели предприятия в области качества;
  • отсутствует матрица распределения ответственности между сотрудниками.
  1. СМК:
  • отсутствует руководство по качеству;
  • не зафиксированы документально процедуры СМК;
  • не осуществляется процедура планирования качества.
  1. Управление документацией:
  • не реализуется процедура управления документацией;
  • не установлен перечень документации и данных, подлежащих управлению;
  • не выполняется процедура изменения документов и данных.
  1. Управление продукцией, поставляемой потребителям:
  • не выполняется процедура управления продукцией, поставляемой потребителям;
  • не является мотивированным отсутствие таких процедур.
  1. Управление несоответствующей продукцией:
  • не осуществляется управление несоответствующей продукцией;
  • отсутствует или находится в неподходящем месте изолятор брака;
  • не осуществляется управление несоответствующей продукцией, находящейся в изоляторе.
  1. Подготовка кадров:
  • не документируются процедуры подбора и обучения персонала;
  • в рабочей документации отдела кадров отсутствуют планы по повышению квалификации.

Содержание и пример отчета по внутреннему аудиту СМК

После окончания внутреннего аудита руководитель аудиторской группы составляет отчет по итогам проделанной работы.

Составление отчета об аудите обеспечивает:

  1. Наглядность результатов проведенной проверки.
  2. Возможность обобщения и анализа результатов всех аудитов, проведенных согласно действующей программе.
  3. Упрощение процедуры подготовки и реализации корректирующих действий.

Форма такого отчета действующими стандартами не регламентирована, поэтому он может различаться, в зависимости от предприятия. В общем же виде отчет может выглядеть следующим образом:

УТВЕРЖДАЮ

Представитель руководства СМК

АО «ФТОРОПЛАСТ»

(подпись) /Е. А. Мальченков/

__ __ ____ года

Отчет о результатах проведения внутреннего аудита

Регистрационный № 21 от __ __ ____ года

Наименование процесса или вида деятельности: управление ресурсами для мониторинга и измерений, метрологическое обеспечение.

Наименование аудируемого подразделения: инструментально-заготовительный цех.

Дата аудита:__ __ ____ года – __ __ ____ года.

Критерии аудита (обозначение документа или его разделов): п. 7.1.5 ГОСТ Р ИСО 9001-2012, СТО СМК 7.021-2017.

Цель внутреннего аудита: проверка и оценка соответствия установленным требованиям.

Руководитель аудиторской группы: Евсеева Ю. Н.

Аудиторы: Артемов Е. П., Клинкова А. С.

Результаты проверки

Объем выполнения аудита: полный.

Количество обнаруженных несоответствий: 0

Заключение по результатам аудита

Деятельность проверяемых подразделений соответствует установленным требованиям. Корректирующие действия не требуются.

Руководитель аудиторской группы:

(подпись) /Ю. Н. Евсеева/)

***

Итак, внутренние аудиты являются одним из главных инструментов оценки эффективности функционирования СМК. Проведение таких проверок позволяет руководству выявить несоответствия критериям аудита, заданным существующими стандартами, а также подготовиться к прохождению внешней проверки, проводимой в рамках сертификации производства. Проведение проверки осуществляется в соответствии с существующей программой аудитов на основании подготовленного руководителем аудиторской группы плана аудита. По итогам проверки составляется отчет об аудите, который содержит сведения о выявленных несоответствиях и (при их наличии) рекомендуемых корректирующих мероприятиях, направленных на их устранение.

Еще больше материалов по теме в рубрике: «Аудит».

Из измерений получается количество, из количества — цифры, из цифр — сравнение, а из сравнений — победа. (Сун Цу)

Руководство аудитом

ЭТАПЫ АУДИТА

Аудиты (проверки качества) — деятельность дорогостоящая, если рассматривать ее с позиций затрат времени и работы людей; она требует планирования, выполнения и отчетности. Кроме того, проверка выполнения корректирующих действий может потребовать повторного участия, как аудитора, так и проверяемой стороны. Выполнение аудита мешает и производственному процессу — аудитор отвлекает работников вопросами, а вводное и заключительное собрания отнимают ценное время у руководства.

Поэтому, очень важно выполнить аудит (проверку качества) должным образом от начала до конца. Золотое правило гласит, что аудит никогда не должен быть сюрпризом. Даты его проведения необходимо предварительно согласовать по договоренности обеих сторон. Аудит, проводимый внезапно, не дает никаких преимуществ и имеет только негативный характер. Внезапный аудит может препятствовать производственному процессу на его важнейших этапах, причиняя существенные финансовые убытки. Проведение аудита без предварительного согласия совершенно отчетливо подразумевает одно:

«Мы хотим поймать вас с поличным!».

Существует ряд конкретных этапов для последовательного выполнения:

1. Сбор информации.

2. Планирование и подготовка.

3. Вводное собрание.

4. Аудит.

5. Заключительное совещание.

6. Надзорный аудит.

Чтобы лучше понять важность правильной подготовки к аудиту, достаточно сказать, что подготовка обычно отнимает 40% всего времени, отведенного для аудита. Подготовка включает два этапа. К ним относится деятельность руководителей программой аудита, а также время, затраченное аудиторами на сбор информации, анализ документации, планирование и подготовку. Непосредственно проведение аудита охватывает этапы 3, 4 и 5 и обычно занимает примерно 40% общего времени. Отчетность (регулярно выполняется во время аудита) и надзорная деятельность составляют, как правило, 10% общего времени.

Аудит планируется и выполняется по просьбе и в интересах клиента. Именно клиент выбирает аудитора или группу аудиторов для проведения аудита. Когда аудитор или группа аудиторов проводят аудит, вся ответственность возлагается на ведущего аудитора. Ведущий аудитор регистрирует пожелания клиента, кроме того, он следит за соблюдением методик, принятых у клиента.

СБОР ИНФОРМАЦИИ

Прежде, чем приступить к сбору всей необходимой информации, которая потребуется для проверки, вы должны выяснить у клиента:

1. Информацию об организации, в которой проводится аудит.

2. Причины проведения аудита.

3. Объем аудита.

4. Критерии аудита.

В сертификационной деятельности аудиты проводятся на основании контракта между органом по сертификации и организацией. Большая часть информации, необходимой для планирования аудита, будет доступна в процессе анализа контракта. Также руководители программы аудита согласуют даты проведения аудита с руководством проверяемой стороны. Таким образом, при аудитах третьей стороны, краткая информация, которой владеет ведущий аудитор, включает:

1. Даты.

2. Продолжительность.

3. Состав группы и количество аудиторов в группе.

После определения вышеперечисленных данных аудитор может начать сбор информации, необходимой для эффективного выполнения аудита.

Объем аудита определяет следующие границы аудита:

• Участки, подлежащие проверке.

• Структурные подразделения организации, в которых проводится аудит.

• Продукцию, входящую в проверяемую систему.

Критерии аудита могут присутствовать в:

• Стандарте.

• Условиях контракта.

• Документации системы качества.

• Программах качества.

• Прочей документации.

Получив от клиента краткую информацию, необходимую для планирования и подготовки аудита, далее ведущий аудитор должен собрать следующие сведения о проверяемой организации:

1. Виды деятельности организации.

2. Сложность процессов.

3. Размеры организации.

4. Любая информация о степени готовности, например:

• Существующие одобрения, полученные от 2-ой или 3-ей стороны.

• Представление организации о том, насколько аспекты, подлежащие проверке в ходе аудита, соответствуют конкретным требованиям к качеству или требованиям стандартов.

5. По возможности, следует заблаговременно ознакомиться с Руководством по качеству или его эквивалентом. Если это невозможно, эти документы должны быть предоставлены в начале аудита для проверки их адекватности и планирования вариантов сбора объективных доказательств.

Все вышеприведенное может быть выяснено по телефону, письмом, анкетой (вопросником), при ознакомительном визите или любым другим способом общения. Возможно сочетание нескольких способов сразу.

Ведущим аудиторам, занимающимся подготовкой аудита, настоятельно рекомендуется рассмотреть возможность организации визитов на предварительном этапе. Подобные визиты позволяют собрать дополнительную информацию и предоставляют аудитору реальный доступ в организацию для оценки ее размеров и сложности структуры. Такие посещения помогают установить взаимоотношения с руководством проверяемой стороны и развеять страхи по поводу проведения аудита и составления отчетов. Предварительные визиты также дают прекрасную возможность предотвратить ряд проблем, которые могут возникнуть в ходе аудита — этому способствует открытое обсуждение таких проблем с представителями руководства и приглашение к взаимному сотрудничеству. Представитель руководства может в дальнейшем обсудить эти вопросы с другими руководителями, что, безусловно, поможет более успешному продвижению аудита.

Наиболее сложная ситуация возникает, когда система качества проверяемой организации не документирована (неформальна). Аудитор в таком случае должен выяснить тем или иным способом (обычно при помощи расспроса) как функционирует система, как осуществляется управление и контроль. Вероятно, в организации существует какая-либо документация относительно системы качества, например, организационные схемы, формы или просто инструкции. Предварительное изучение в таких случаях должно быть более тщательным, а по итогам изучения аудиторам рекомендуется подготовить подробные контрольные листы.

Аудитор должен избегать поспешных выводов о том, что неформальная система неэффективна — очень часто бывает наоборот.

ПЛАНИРОВАНИЕ И ПОДГОТОВКА

Собрав все необходимую информацию, далее, ведущий аудитор должен осуществить подготовку к аудиту. Необходимо выполнить следующие работы:

1. Определить объем работ и необходимого времени — в зависимости от размеров и сложности аудита — не забывайте, что аудит стоит денег, поэтому не следует растягивать аудит во времени. Количество человеко-дней для проведения аудита можно подсчитать, исходя из руководящих указаний, изданных IAF (International Accreditation Forum). Эти руководящие указания можно найти в документе ЕА-7/01, изданном Европейским Обществом по Аккредитации (European Cooperation for Accreditation):

2. Подобрать людей в группу, принимая во внимание следующее:

a) Беспристрастность.

b) Профессиональные знания и умения.

c) Продвижение по службе.

d) Потребность в обучении.

e) Совместимость (способность к совместной работе).

f) Приемлемость для проверяемой организации.

g) Возможность данного лица участвовать в аудите.

h) Знание языка, на котором проводится аудит.

3. Заблаговременно определить даты, приемлемые для обеих сторон. (При проведении сертификационных аудитов даты обычно согласовываются руководством программы аудита).

4. Выбрать подход. Аудит может планироваться, как серия горизонтальных или вертикальных проверок или, как комбинация этих двух подходов. Стоит заметить, что планирование аудита таким образом менее эффективно с точки зрения времени и ресурсов. Кроме того, это может вызвать раздражение у проверяемой стороны, поскольку в проверке структурных подразделений могут принимать участие разные аудиторы.

5. Разработать план аудита, назначив конкретные задания аудиторам группы. Избегайте жестких рамок и завышенных требований. Полезно составлять планы работы на первую и вторую половины дня. При планировании руководитель группы должен учесть работу всех смен.

6. Подготовьте рабочие документы:

• Контрольные листы

• Формы

• Стандарты

• Руководящие указания, и т.п.

7. Известите проверяемую сторону и направьте в ее адрес:

• План проведения аудита

• Расписание

• Матричную таблицу

• Контрольные листы

Опыт показывает, что до начала аудита желательно направить проверяемой стороне максимум информации. Это поможет устранить возможные опасения и создаст атмосферу сотрудничества. Некоторые аудиторы опасаются, что предварительная рассылка контрольных листов проверяемой стороне позволит последней «подготовиться» к аудиту. И что же? Любые внесенные улучшения лишь усовершенствуют систему.

8. Сообщить аудиторам группы:

• Масштаб аудита, цели и методы.

• Даты и продолжительность.

• Подробный план.

• Матричную таблицу.

• Индивидуальные задания и график.

• Результаты анализа со стороны руководства.

• Логистику (транспорт, размещение, питание, и т.п.).

• Иные имеющиеся требования.

9. Убедиться, что группа полностью подготовлена.

10. Получить всю необходимую для анализа документацию. Может потребоваться специальная проверка.

11. Информировать проверяемую сторону о необходимости проведения вводного собрания, предоставления бытовых удобств, транспорта и встречающего.

12. Выполнить все необходимые мероприятия в области логистики:

• Переездов и размещения.

• Рабочих мест в офисе.

• Переводчиков.

СОБРАНИЯ, ПРОВОДИМЫЕ В ХОДЕ АУДИТА

В процессе аудита ведущий аудитор должен провести ряд собраний, чтобы убедиться в плановом продвижении работ. Это:

• Вводное собрание.

• Заключительное совещание.

• Совместные встречи группы

• Периодические встречи с представителем руководства.

Все эти собрания проводятся под руководством ведущего аудитора. Ведущий аудитор должен быть готов к этой роли, предварительно обдумав план размещения присутствующих, список имен и фамилий и повестку собрания.

Вводное собрание

Основная цель вводного собрания — представить аудиторов группы и сообщить базовые правила работы. Ведущему аудитору необходимо рассмотреть множество вопросов, и привычка иметь под рукой готовую повестку дня, безусловно, обеспечит успех встречи и рассмотрение всех запланированных вопросов. Ведущий аудитор должен:

1. Представить группу.

2. Поблагодарить руководство проверяемой стороны от лица своей организации за приглашение провести аудит.

3. Подтвердить имеющиеся причины проведения аудита и его масштаб. (Следует перечислить виды деятельности и структурные подразделения, подробности и глубину аудита). Эту информацию следует предоставить заблаговременно, вместе с планом проведения аудита в письменном виде.

4. Подтвердить критерии (стандарт или иное), на основании которых проводится аудит.

5. Определите: что, будет выполняться, когда и кем. Хотя программа аудита и предоставлена заранее, необходим ее краткий обзор и уточнение, не появилось ли каких-либо изменений в последний момент.

6. Разъясните, что аудит основан на выборочной проверке.

7. Сообщите проверяемой стороне, что вся информация, полученная в ходе аудита, будет рассматриваться как конфиденциальная.

8. Разъясните, как им образом будут представлены результаты аудита.

9. Разъясните, что такое несоответствия, как они классифицируются, и каким образом о них будет сообщаться.

10. Согласуйте статус документации системы качества проверяемой стороны до начала аудита.

11. Проверьте, инструктированы ли сопровождающие и готовы ли они начать работу.

12. Сообщите о сроках совместных встреч группы, в том числе о подробностях встреч с представителями проверяемой организации.

13. Проверьте, осведомлен ли персонал проверяемой организации о проведении аудита.

14. Подтвердите информацию об обеспечении (офис, питание, и т.д.).

15. Объясните вопросы, связанные с конфиденциальностью.

16. Договоритесь, при необходимости, о предоставлении плана предприятия или организуйте деловую поездку для членов группы.

17. Объясните необходимость периодических встреч и совместных встреч группы.

18. Объясните необходимость заключительного совещания, его детали, дату и цель.

19. Ответьте на вопросы, касающиеся аудита. К cведению:

a) Руководитель группы председательствует на собрании и руководит им. Это необходимо делать вежливо, тактично и дипломатично.

b) После вводного собрания группа собирается для личной встречи, чтобы обсудить программу совместных встреч (группы аудиторов) и получить последний инструктаж от руководителя группы. Возможно обсудить наблюдения, сделанные в ходе осмотра предприятия и вводного собрания.

Совместные встречи группы

Совместные встречи группы должны проводиться довольно часто, чтобы аудиторы были постоянно уверены в том, что аудит выполняется полностью в запланированном объеме. На таких встречах можно суммировать все обнаруженные недостатки, рассмотреть и проанализировать несоответствия. Как правило, самое удобное время для таких встреч — обеденный перерыв или время, ближе к концу рабочего дня. Нужно отметить, что длительное отсутствие аудиторов из-за таких встреч нежелательно.

Периодические встречи

Это — встречи, которые проводятся с участием представителя руководства и других лиц руководящего состава проверяемой стороны для анализа наблюдений и несоответствий, выявленных в ходе аудита, а также для определения и согласования корректирующих действий. В ходе длительных аудитов такие встречи должны проводиться, как минимум, раз в день, как правило, ближе к окончанию аудита. Последняя встреча проводится до заключительного совещания с тем, чтобы обсудить последние замечания, и, по возможности, согласовать корректирующие действия.

Хорошей практикой является сообщение об обнаруженных несоответствиях по мере продвижения аудита. В таком случае у проверяемой стороны появляется возможность выполнить, где возможно, корректирующие действия в ходе аудита. Такой подход значительно увеличивает вероятность того, что аудитор сможет дать рекомендации сразу по завершении аудита. Естественно, что не все корректирующие действия можно выполнить -в ходе проведения аудита; эффективное внедрение некоторых из них требует времени. Подобное общение сторон в ходе аудита, безусловно, способствует созданию духа сотрудничества.

Дополнительный плюс предварительного (до заключительного совещания) информирования о выявленных несоответствиях и согласованных корректирующих действиях состоит в том, что заключительная встреча пройдет без излишних проблем и длительных дискуссий.

Заключительное совещание

Как правило, заключительное совещание проводится в конце аудита, но также оно может состояться, если обнаруживается существенное несоответствие. На заключительном совещании присутствуют все те, кто был на вводном собрании, правда это не всегда возможно.

Перед заключительным совещанием группа встречается для:

1. Выступления каждого члена группы со своими индивидуальными наблюдениями.

2. Совместной оценки и проверки выводов.

3. Определения последующих действий, как результата всего обнаруженного. Другими словами, только ведущий аудитор решает о том, какие рекомендации необходимо представить руководству проверяемой стороны, но при этом аудитору следует ознакомиться с мнением группы. Руководитель группы сообщает руководству проверяемой стороны о принятых рекомендациях, которые в случае проведения аудита второй стороны могут быть следующими:

• решение о возможности заключения контракта;

• решение включить или исключить организацию из перечня одобренных поставщиков,

или, при аудите третьей стороны:

• рекомендации сертификации системы качества организации (начальный аудит);

• рекомендации о продлении срока действия сертификации (надзорный аудит).

4. Составления отчета.

Заключительное совещание проводится под председательством руководителя группы. На этом совещании руководству проверяемой стороны сообщаются результаты аудита, и определяется необходимость проведения надзорных аудитов. Аудиторы должны предоставить всесторонний отчет о результатах аудита, не ограничиваясь перечислением несоответствий. Все положительные наблюдения стоит отметить.

Проведение совещания должно включать следующее:

1. Благодарность проверяемой организации за оказанное содействие в работе.

2. Краткое заключение по объему аудита.

3. Разъяснение причины, цели аудита и метода, который был использован.

4. Подтверждение масштаба сертификации при проведении начального аудита.

5. Повторное представление группы аудиторов.

6. Заявление о том, что аудит проводился на основе выборки, и, соответственно, выявлены не все несоответствия.

7. Повторное разъяснение вопросов, связанных с конфиденциальностью.

8. Просьбу о том, что все вопросы и обсуждения следует перенести на конец собрания.

9. Сообщение каждого члена группы по его участку аудита. Только факты.

10. Подведение общих итогов и заключение, которое руководитель группы будет рекомендовать своей собственной фирме. Рекомендации следует процитировать.

11. Приглашение представителей проверяемого предприятия принять участие в обсуждении любых специфичных моментов.

12. Согласование сроков окончания корректирующих действий.

13. Объяснение, где это применимо, действий по надзору и правил использования логотипа сертифицирующей организации.

14. Предоставление всех индивидуальных отчетов о несоответствиях и итогового отчета. Если это рукописный вариант (иногда это бывает необходимо) — за ним должна незамедлительно последовать печатная копия.

Последней задачей для руководителя группы является подготовка отчета для своей организации, содержащего дополнительную информацию, которая может оказать помощь при проверке выполнения корректирующих действий и для последующих аудитов. ЭТОТ ОТЧЕТ КОНФИДЕНЦИАЛЕН.

АУДИТ

В зависимости от того, было ли получено Руководство по качеству от проверяемой организации до начала аудита или нет, один аудитор из группы начнет проводить аудит на адекватность, а другие члены группы приступят к аудиту на соответствие.

При проведении аудита члены группы ответственны за:

1. Проведение аудита в полном объеме.

2. Составление отчетов о несоответствиях только на основе достаточных и точных объективных доказательств.

3. Регулярное участие в совместных встречах группы.

4. Плановое проведение аудита, включая использование необходимых ресурсов.

5. Информирование представителя проверяемой стороны о всех существенных несоответствиях и их возможных последствиях.

ПРОВЕРКА ВЫПОЛНЕНИЯ КОРРЕКТИРУЮЩИХ ДЕЙСТВИЙ

После истечения согласованного срока руководителю группы аудита следует проверить выполнение корректирующих действий, чтобы проконтролировать, что корректирующие действия предприняты, что они оказались и будут оставаться эффективными в будущем, что они надлежащим образом документированы и доведены до всех заинтересованных сторон. Затем отчет должен быть соответствующим образом подписан.

Никакой аудит не может считаться завершенным, если вышеуказанные действия не были выполнены с удовлетворительным итогом. Важно во время аудита договориться по поводу соответствующих корректирующих действий. В равной степени важно решить вопрос о разумных временных рамках для окончания этих действий.

По достижению срока завершения корректирующих действий аудитор (или назначенное им заменяющее лицо) должен убедиться, что эти действия выполнены. Если этого не произошло, он должен выяснить причину невыполнения и принять меры для ускорения процесса. Крайне важно убедиться в правильности выполненного действия, чтобы его итоги способствовали повышению эффективности и работоспособности системы в будущем. Этот момент очень трудно проверить с большой точностью, но, работники, испытавшие на себе результаты этих корректирующих действий, будут точно знать, стала ли их работа легче или наоборот — сложнее в результате этого действия, а также и то, необходимо ли вообще это действие.

Частью задачи руководителя группы аудита является проверка выполнения корректирующих действий после истечения согласованного срока. Если это по каким-то причинам не сделано, руководитель группы должен привлечь внимание высшего руководства к этому факту.

Пока не будет проведена проверка выполнения корректирующих действий и их эффективность, вся работа по аудиту может представлять собой не более, чем пустую трату денег и времени.

ЗАКЛЮЧЕНИЕ

Хотя общие принципы проведения аудита относятся ко всем видам аудита, аудит второй и третьей стороны потребует от аудитора демонстрации всех своих качеств в более напряженной и стрессовой обстановке. Он является более официальным, и аудитору следует помнить, что он представляет свою организацию и поэтому должен проявить себя профессионально со всех сторон, как своим внешним видом, так и действиями.

О вашей организации будут судить по качеству вашей работы.

Также на сайте:
Сертификация ISO 9000
Сертификация по ISO9001:2000

РАЗРАБОТКА ИНСТРУМЕНТАРИЯ АУДИТА ИНФОРМАЦИОННЫХ СИСТЕМ

А.Ю. Харитонов, студент

Д.Н. Филимонов, студент

Р.Е. Полевач, студент

М.В. Черняев, студент

Сибирский федеральный университет

(Россия, г. Красноярск)

Аннотация. В данной работе рассматривается практика разработки инструментария аудита информационных систем. Говорится о понятии «аудит информационных систем», который позволяет предотвращать негативные явления в деятельности информационной системы, анализировать и прогнозировать состояние данной системы, а также управлять рисками в ИС. Дается оценка проведению аудита ИС и анализируются его преимущества, причины. В связи с возросшей популярностью проведения аудита ИС, изучение данной проблемы представляет научный и практический интерес. В данной работе поднимаются важные проблемы, такие как: практика разработки инструментария аудита информационных систем, проведение этого аудита. В статье ставится задача теоретического рассмотрения всех аспектов создания инструментария для проведения аудита ИС.

Ключевые слова: информационные системы, аудит, анализ, оптимизация, управление.

В настоящее время все большее количество ИТ-компаний использует аудит информационных систем. Это напрямую показывает, что все стремятся к совершенствованию своих производственных процессов, чем вызывают увеличение популярности своего продукта, прибыли, получаемой от него. Но для начала разберём понятие «аудит».

Аудит информационной системы (далее ИС) — системный процесс получения и оценки объективных данных о текущем состоянии ИС, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенному критерию и предоставляющий результаты заказчику.

Обращение к инструментарию аудита информационных технологий позволяет: получить свежие и конкретные сведения о работе ИС (обнаружить причины недостаточной эффективности внедрённой ИС); проверить соответствие ИС ряду требований, меняющихся со временем; сравнить эффективность работы с другими лидирующими компаниями в этой сфере; спрогнозировать поведение ИС при корректировке ин-

формационных потоков (числа пользователей, объема данных); предоставить обоснованные решения, помогающие повысить продуктивность (приобретение оборудования, совершенствование внедренной системы, замена); дать рекомендации, направленные на повышение продуктивности отделов компании, оптимизацию вложений в технологии, а также разработать мероприятия, улучшающие качественный уровень сервиса ИС .

Этапы проведения аудита ИС:

1. Постановка задач аудита ИС;

2. Первое обследование ИС и полное подробное описание программного и аппаратного обеспечения компании;

3. Оценка состояния в ИТ-сфере, выявление проблем и возможных рисков;

4. Исследование технологии обработки и защиты данных;

5. Оценка угроз и уязвимостей в ИС;

6. Разработка конкретных предложений и рекомендаций по улучшению компонентов ИС;

7. Подготовка и предоставление подробного отчета по выполненной работе с данной ИС.

Применение информационных систем в ходе аудита позволяет выполнить следующие основные процедуры:

1. Проверка операций и остатков по счетам в компьютерной базе данных;

2. Проведение аналитических процедур с целью выявления отклонений в компьютерной базе данных;

3. Тестирование базы данных объектов аудита;

4. Тестирование информационного, математического, программного и технического обеспечения объекта аудита.

Преимущества ИС с аудитом:

1. Независимая оценка актуального состояния информационных систем;

2. Экономия расходов на информационные системы способом нахождения неиспользуемых или скрытых ИТ-ресурсов;

3. Выявление узких мест информационных систем, влияющих на стабильность работы;

4. Оценка мероприятий по модернизации информационных систем, включая оценку бюджета;

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

5. Уменьшение значения недополученной прибыли за счёт минимизации простоев всех информационных систем заказчика.

В настоящее время актуальность аудита резко возросла. Это связано с увеличением зависимости организаций от информации и ИС. Рынок полон аппаратно-программным обеспечением, многие организации в связи с разными причинами (наиболее нейтральная из которых — устаревание оборудования и программного обеспечения) видят неправильность своих вложений в информационные системы и стараются найти пути решения данной проблемы. Решения может быть два: первое — полная замена ИС, что повлечет за собой большое вложение капитала, второе -модернизация ИС. Последний вариант решения этой проблемы — менее затратный, но открывающий новые проблемы, например, что оставить из имеющихся

аппаратно-программных средств, как сделать так, чтобы новые и старые ИС были совместимы.

Наиболее важная причина проведения аудита заключается в том, что при модернизации, а также внедрении новых технологий, их потенциал полностью реализовать себя не сможет. А аудит ИС позволяет добиться максимальной отдачи от средств, вложенных в создание и обслуживание ИС. Для обеспечения наибольшей эффективности работы аудитора необходимо ее сочетание с применением новейших технических средств, программного обеспечения и использование компьютерной обработки данных для осуществления контроля деятельности предприятия.

Кроме того, возросла уязвимость ИС за счет повышения сложности элементов этой ИС, увеличения строк кода программного обеспечения, новых технологий хранения и передачи данных.

Спектр угроз расширился. Это обусловлено следующими причинами:

1. Передача информации по сетям общего пользования;

2. «Информационная война» конкурирующих организаций;

3. Высокая текучка кадров с низким уровнем порядочности.

В связи с большими объемами бухгалтерских и управленческих данных при проведении аудита будет не просто обойтись без использования новейших компьютерных систем. В ходе выбора автоматизированной информационной системы аудита необходимо достичь такого соотношения, чтобы затраты на внедрение технологий и получением максимальной выгоды были оптимальными.

В мире накоплен колоссальный опыт. Он обобщен известной организаций ISACA (Information Systems and Control Associations, www.isaca.org) и сформирован в виде соответствующих нормативов и методик под общим названием COBIT (Control Objectives for Information and related Technologies).

Сам же аудит заключается в: изучении текущего состояния и планов развития информационных технологий на

конкретном предприятии; сравнении результатов с тем, как должны работать информационные системы в идеальном (оптимальном) состоянии (то есть с соответствующими стандартами в данной области); выработке рекомендаций для данного предприятия — что необходимо сделать, чтобы максимально приблизиться к указанным стандартам .

Практика проведения аудита ИС:

На этапе подготовки и подписания исходно-разрешительной документации определяются границы проведения аудита, которые определяются с помощью критических точек ИС, в которых чаще всего происходят проблемные ситуации; на основе результатов предварительного аудита всей ИС проводится углубленный аудит обнаруженных проблем.

В это же время собирается команда проведения данного аудита, назначаются ответственные лица со стороны заказчика, создается и согласовывается необходимая документация.

После этого проводится сбор информации о текущем состоянии ИС с помощью CoBiT, объекты контроля которого получают информацию обо всех нюансах функционирования ИС как в двоичной, так и в развернутой форме. Детальность информации определяется на этапе разработки исходно-разрешительной документации.

Проведение анализа — одна из самых ответственных частей проведения аудита ИС. Использование не актуальных, устаревших данных не допустимо, для этого и нужен углубленный сбор информации, уточнение данных. Требования к проведению анализа создаются на этапе сбора информации. Разные методики, по которым можно осуществлять анализ информации, описаны в стандарте CoBiT, но если их недостаточно, то также можно использовать разрешенные ISACA разработки других компаний.

Базой для выработки рекомендаций являются результаты проведенного анализа. Эти рекомендации после согласования с Заказчиком должны быть проверены на выполнимость и актуальность с учетом рисков внедрения.

Контроль выполнения рекомендаций — этап, без которого нельзя обойтись, требует отслеживания представителями консалтинговой компании хода выполнения данных рекомендаций.

Регулярное проведения аудита ИС гарантирует стабильность функционирования ИС, поэтому создание план-графика предстоящих проверок является из результатов профессионального аудита .

Результаты аудита ИС организации можно разделить на три группы:

1. Организационные — планирование, управление, документооборот функционирования ИС.

2. Технические — сбои, ошибки, оптимизация работы элементов ИС, непрерывное обслуживание, создание инфраструктуры и т. д.

3. Методологические — подходы к решению проблемных ситуаций, управлению и контролю, общая упорядоченность и структуризация.

Аудит ИС позволит создать следующие документы:

1. долгосрочный план развития

2. политика безопасности ИС организации

3. методология работы и доводки ИС организации

4. план восстановления ИС в чрезвычайной ситуации

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Аудит ИС можно назвать обязательной процедурой для каждой ИТ-компании, ведь именно он является безусловным помощником для руководителя в сфере анализа работы ИС, т.к. помогает выявить ее слабые стороны и предложить конкретные способы решения по оптимизации ее работы .

Библиографический список

3. Евдокимов И.В. Адаптация стандартов программных средств к проектам в области информационных технологий // Труды Братского государственного университета. Серия: Экономика и управление. 2010. Т. 2. С. 97-101.

DEVELOPMENT OF INSTRUMENTATION OF AUDIT OF INFORMATION