ОАО «ИНТЕЛЛЕКТ ТЕЛЕКОМ»
т
Внутренний аудит СМК
и его особенности в организациях связи
А.Ю. МХИТАРЯН,
младший научный сотрудник НИИ «Интерэкомс»
удит качества — систематический, независимый и документированный процесс получения свидетельств проверки и объективного их оценивания для установления степени выполнения согласованных критериев аудита. Аудит СМК предназначен для оценки соответствия системы в целом или ее отдельных частей установленным требованиям и результативности ее функционирования. Нормативной основой для аудита являются стандарты ИСО на СМК и соответствующая документация организации.
В соответствии с методом проведения различаются внутренний и внешний аудиты.
Внешний аудит включает в себя так называемый «аудит второй стороной», который проводится заинтересованными в деятельности организации сторонами, например, потребителями или другими лицами от их имени, или «аудитом третьей стороной» (проводится органом, который признан независимым от первой и второй сторон в рассматриваемом вопросе).
Внутренний аудит («аудит, проводимый первой стороной») проводится обычно самой организацией или физическим лицом от ее имени для внутренних целей. Независимость внутреннего аудита может быть продемонстрирована освобождением ответственности за проверяемую деятельность.
Внутренний аудит как постоянная деятельность в СМК складывается из конкретных аудитов, осуществляемых в рамках определенных заданий и называемых аудиторскими проверками или просто проверками.
Век Качества < 3
Аудит системы менеджмента качества является инструментом управления, значение которого многими не понимается или недооценивается, но который может быть исключительно эффективным. Чтобы понять это, достаточно задуматься о том, как руководство получает информацию. Как правило, оно полагается на доклады менеджеров, которые склонны сообщать хорошие новости и утаивать плохие. Поэтому состояние дел в компании руководитель видит зачастую в хорошем свете.
Таким образом, правдивую картину того, что реально происходит на предприятии, руководитель может узнать лишь по результатам собственных проверок или по отчетам независимых аудиторов
Чем эффективнее функционирует внутренний аудит систем менеджмента, тем больше вероятность успешного прохождения внешнего аудита.
Основные задачи аудита
Согласно требованиям стандарта ИСО 9001, внутренние аудиты являются обязательной процедурой. Задача аудита — сбор доказательств, подтвержденных фактами, которые позволят сделать вывод о состоянии СМК, основанном на достоверной информации. Цель аудита — проверка эффективности программ управления, осуществляемых руководством. Философия программ обеспечения качества основывается на предотвращении проблем прежде, чем они обнаруживаются. А там, где проблемы уже есть, особое значение приобретают раннее выявление проблемы, ее глубина и поиск коренной причины.
Проведение аудита качества обеспечивает руководство обратной связью, основанной на фактах, давая ему возможность принимать обоснованные решения. Аудит должен быть выгодным для службы, которая проверяется.
Конкретные цели аудита:
^ определение соответствия услуг (продукции) своему назначению; ^ выявление наличия и применения соответствующих письменных процедур;
^ строгое соблюдение нормативных и законодательных требований; ^ выявление недостатков в услугах (продукции) или системах управления;
^ выполнение технических условий; ^ получение положительного результата от корректирующих воздействий;
^ сбор информации для идентификации и снижения рисков;
^ отслеживание эффективного и неэффективного применения ресурсов организации;
^ определение методов улучшений.
Философия аудита основывается на следующем: аудиторы должны обнаруживать факты, а не просто фиксировать ошибки и проверки не должны проводиться скрытно. Эффективность и полнота аудита сильно зависят от квалификации и опыта аудитора. Проверяемый — это неформальный потребитель аудита. Услуги, предоставляемые проверяемой организацией, завершаются отчетом об аудите, предназначенном прежде всего для целей улучшения.
Внимание аудита должно быть сосредоточено на наиболее важных областях деятельности организации и, в первую очередь, на его заведомо слабых местах. Стандарт ИСО требует наличия документированной процедуры внутреннего аудита, в которой должны быть определены и установлены критерии оценок при аудите, области распространения проверок, частота и методы ее проведения. Критерии, частота и методы аудита должны быть установлены в процедуре по его проведению, а область распространения — в документах, устанавливающих порядок проведения аудита в каждом конкретном случае.
Принципы и программа аудита
Существуют восемь организационных принципов внутреннего аудита. ^ принцип единообразия — каждая аудиторская проверка осуществляется по единой официально установленной процедуре;
^ принцип системности — планирование и проведение аудиторских проверок по различным видам деятельности и процессам осуществляется с учетом установ-
партнер номера
ленной их структурной взаимосвязи в системах менеджмента; ^ принцип документированное™ -проведение каждой аудиторской проверки определенным образом документируется для обеспечения сохранности и сравнимости информации о фактическом состоянии объекта;
^ принцип предупредительности -каждая аудиторская проверка планируется, а персонал проверяемого подразделения заранее уведомляется о цели, объекте, критериях, времени и методах проведения аудиторской проверки; ^ принцип регулярности - аудиторские проверки проводятся с определенной периодичностью с тем, чтобы все процессы системы и все подразделения были объектом постоянного анализа и оценивания со стороны руководства; ^ принцип доказательности - процедуры, используемые в аудиторских проверках, должны обеспечивать надежность заключений по их результатам;
^ принцип открытости - результаты каждой аудиторской проверки носят открытый характер, то есть являются доступными для ознакомления любым сотрудником проверенного подразделения; Организация должна проводить аудиторские проверки периодически в запланированное время. С этой целью составляется Программа аудита (годовая или на какой-то другой период времени), которая разрабатывается руководителем службы внутреннего аудита и утверждается уполномоченным представителем руководства по качеству.
Программа аудита составляется с учетом статуса и значимости процессов и видов деятельности, реализуемых в системах менеджмента, а также результатов предыдущих проверок.
Аудит должен всегда проводиться независимыми аудиторами, а его результаты отражаться в отчетах и докладываться руководству. Независимость означает, что аудитор не имеет права проверять то подразделение, в котором он работает. Необходимо, чтобы отчеты содержали выводы по результатам проведения аудита. Эти выводы должны быть доложены руководству, которое затем на их основе принимает решения по разрешению выявленных при аудите проблем.
При проведении проверок применяются вопросники (контрольные листы), а о проведенной проверке аудиторы обязаны составлять подробные отчеты. Руководство обязано предпринимать в разумные сроки необходимые действия на основе выводов аудиторов. После их принятия следует оценить эффективность корректирующих действий. Поэтому, для того что-
бы иметь возможность проверить, все ли корректирующие действия выполнены и принесли должный эффект, аудиторы должны знакомиться с результатами предыдущих аудитов.
Аудиты в соответствии с целями можно сгруппировать следующим образом:
^ аудит услуг/продукции;
^ аудит процесса/процедур;
^ аудит СМК.
Аудит услуг (продукции) — это проверка отдельно предоставляемой услуги (отдельно взятого образца продукции) для определения того, насколько она удовлетворяет требованиям по качеству. В ходе аудита услуг анализируется процесс ее предоставления.
В качестве исходной информации для аудита услуг и формирования плана их улучшения используются следующие данные:
^ фактически достигнутые результаты предоставления услуг по сравнению с определенными целевыми значениями параметров обслуживания;
^удовлетворенность потребителей услуг;
^ загруженность ресурсов, используемых для предоставления услуг; ^ тенденции в предоставлении услуг; ^ значительные отклонения от согласованных значений параметров в предоставлении услуг (например, низкий уровень фактически достигнутых результатов предоставления услуг по сравнению с запланированными и др.).
ние процесса с методическими или рабочими указаниями, спецификациями, определение степени соответствия). Процесс аудитов не ограничивается лишь проверкой производства продукции или оказания услуг - он охватывает все этапы деятельности, как, например, заключение договора, выбор поставщиков и т.п.
Программа аудита процессов управления услугами должна быть спланирована с учетом состояния и важности как процессов управления услугами и областей, подлежащих аудиту, так и результатов предыдущих аудитов. В процедуре проведения внутреннего аудита должны быть определены критерии, область действия, частота и методы проведения аудита. Выбор аудиторов и проведение ими проверок должны гарантировать объективность и беспристрастность их действий. Аудиторы не должны проводить проверку своей собственной работы по управлению услугами.
Цель проведения анализа, оценки и аудита управления услугами должна быть зарегистрирована вместе с их результатами и описаниями каких-либо корректирующих действий. Любые существенные несоответствия (или области, вызывающие подозрение), выявленные в результате аудита, должны быть доведены до сведения соответствующих сторон.
Аудит СМК - анализ результативности системы менеджмента качества и ее соответствия требованиям стандарта ИСО 9001 или других стандартов. Оценка соответствия может быть сведена в таблицу.
Оценка соответствия СМК требованиям ИСО 9001
При определении периодичности проведения внутреннего аудита среди прочих факторов, необходимо учитывать величины рисков, связанных с процессами управления услугами, частоту их наступления и историю связанных с ними проблем. Внутренний аудит и проверки должны планироваться, квалифицированно выполняться и регистрироваться.
Аудит процесса/процедуры - это проверка их качества (например, сопоставле-
Подготовительный этап
Говоря о качественном проведении аудита, особое внимание необходимо уделить составлению и использованию контрольных листов. Под контрольным листом следует понимать инструмент (своеобразную памятку), позволяющий аудитору помнить об информации, которую он должен получить, и о том, что фактически должно быть проверено в ходе аудита. Контрольный
Май-июнь 2009 г.
лист нельзя использовать как список вопросов, которые задаются проверяемому персоналу, и в нем не делаются отметки о полученных ответах.
Для подготовки аудита следует заполнить контрольный лист. Существует много разных вариантов контрольного листа, каждый из которых используется для конкретной, отдельно взятой ситуации.
Контрольные листы должны готовиться с использованием процедур и других специфических документов СМК, чтобы аудитор мог с их помощью получить необходимую информацию и обратить внимание на контрольные точки.
В контрольных листах аудитором могут фиксироваться:
^ подробные данные интервьюируемого лица;
^ наименование и характеристика оборудования;
^ пункты стандарта;
^ документы, которые проверяются, и т.д.
Таким образом, грамотно составленные и заполненные контрольные листы могут стать документальным дополнением к отчету об аудите. Еще одно важное преимущество контрольного листа - возможность правильно организовать время проведения аудита. При подготовке контрольного листа аудитор может предположить, сколько времени потребуется на то, чтобы проанализировать различные проблемы. Это позволяет достаточно точно планировать аудит. Потом, при проведении самой проверки, можно управлять ее темпом и вносить необходимые корректировки.
В зависимости от объема работы и специфики проверяемого объекта аудит может проводиться единственным аудитором или группой проверяющих, но всю ответственность всегда будет нести ведущий аудитор.
Деятельность внутренних аудиторов может считаться эффективной только в случае, если результаты проверок способствуют улучшению отдельных процессов и СМК в целом. А это может быть достигнуто лишь тогда, когда специалисты, проводящие проверки, выступают и как аудиторы, и как эксперты. Эксперт-аудитор должен быть способен выявлять причинно-следственные связи при поиске решений по устранению обнаруженных или предотвращению потенциальных несоответствий. Иначе говоря, внутренний эксперт-аудитор должен знать не только то, как проводить аудиторские проверки, но и каким образом анализировать полученные свидетельства для достижения наилучших результатов.
Приготовления к аудиту обычно требуют приблизительно 40% време-
Век Качества N° 3
ни, отведенного для него. В эту стадию включаются сбор информации, планирование и подготовка. Сюда относятся действия, предпринимаемые руководством программы аудита, а также время, затраченное аудиторами на сбор информации, анализ документов, планирование и подготовку. Вторая стадия (выполнение аудита) охватывает сам аудит, заключительное совещание и последующие действия, и она обычно требует приблизительно 40% всего времени. Составление отчетов (ведется непрерывно в ходе аудита) и последующие действия требуют по 10% времени.
Перед тем как приступить к сбору всей необходимой информации, требуемой для аудита, проверяющий должен получить от руководителя программы аудитов информацию о причине и объеме аудита. Как только это будет установлено, аудитор может начинать сбор информации, необходимой для обеспечения результативности аудита.
Объем аудита определяет границы проверки с учетом подразделений и частей организации, которые должны быть охвачены аудитом.
Получив краткую информацию от руководителя программы для планирования и подготовки аудита, проверяющий или ведущий аудитор должен установить следующую информацию о проверяемом подразделении: его размер, виды деятельности, сложность операций. Все это может быть выяснено до аудита по телефону, письмом, анкетой (вопросником), в ознакомительном визите или любым другим способом общения. Возможно сочетание нескольких способов сразу.
Аудиторам рекомендуется рассмотреть возможность посещения организации до аудита. Такое посещение позволит собрать намного больше информации и физически оценить размер и сложность подразделения. Это дает возможность установить связь с руководством подразделения, объяснить все об аудите и устранить естественные опасения, объясняя порядок выполнения аудита и составления отчетов. Посещение подразделения до аудита также поможет избежать многих проблем, которые могут возникнуть в ходе аудита (решается в процессе открытого обсуждения этих проблем с руководителем подразделения и в сотрудничестве с ним). Такое предварительное посещение в случае внутренних аудитов почти всегда возможно и рекомендуется, даже если проверяемый и аудитор уже знают друг друга.
После сбора всей необходимой информации ведущий аудитор несет ответственность за подготовку к проверке. Должны быть выполнены следующие процедуры:
^ определение объема работы и времени, которое потребуется; ^ заблаговременное установление даты, приемлемой для проверяемых и аудиторов и извещение их об этом;
^ определение подхода;
^ подготовка плана аудита;
^ подготовка рабочих документов: контрольные листы, формы, стандарты, руководящие указания и пр.;
^ извещение проверяемого - направление плана аудита, графика, матричного плана, контрольных листов.
Процесс аудита, составление отчета
В ходе проверки ведущий аудитор должен провести множество совещаний для гарантии того, что аудит идет согласно плану. Они будут включать: вводное и заключительное совещания, а также обсуждения внутри группы. Руководитель группы (ведущий аудитор), действующий в роли председателя, должен управлять всеми этими процессами.
Главная цель вводного совещания состоит в том, чтобы представить группу и установить основные правила.
Обсуждения по взаимодействию группы необходимо проводить для гарантии того, что объем аудита охвачен полностью. На этих встречах также сопоставляются результаты и анализируются несоответствия.
Заключительное совещание проводится в конце аудита. На нем обычно присутствуют те, кто был на вводном обсуждении. До заключительного совещания аудитор должен удостовериться, что он/они подготовлены, чтобы сообщить о результатах руководству подразделения. Все отчеты о несоответствиях должны быть составлены до заключительного обсуждения.
Заключительное совещание проводится под председательством руководителя группы для сообщения о результатах аудита руководству проверяемого подразделения, а также определения любых последующих действий. Аудиторы должны сообщать о результатах проверки полностью, а не ограничивать отчет лишь несоответствиями. Все положительные наблюдения должны быть также представлены.
В ходе аудита руководитель группы несет ответственность за обеспечение полноты его проведения, гарантию того, что отчеты о несоответствиях основаны на полноценных объективных доказательствах и сформулированы четко и кратко. Он также отвечает за регулярность проведения совещаний группы, плановое проведение аудита, включая при
необходимости перераспределение ресурсов.
После истечения согласованного срока руководителю группы аудита следует сделать «последующий» визит или проанализировать представленные документированные доказательства для того, чтобы проверить, выполнены ли корректирующие действия; убедиться, что они оказались эффективными и останутся такими же в будущем; что они были надлежащим образом документированы и доведены до всех заинтересованных сторон. Затем отчет должен быть подписан.
Никакой аудит не может считаться законченным, а тем более эффективным, если не были выполнены указанные действия с удовлетворительным итогом. Важно во время аудита согласовать соответствующие корректирующие действия. В равной степени важно решить вопрос о разумных временных рамках для окончания этих действий.
По достижению срока завершения корректирующих действий аудитор должен убедиться, что они выполнены, а если этого не произошло, - выяснить причину и принять меры к тому, чтобы вопрос был решен. Но еще важнее убедиться в правильности выполненных действий, поскольку в нужное время трудно будет проверить это с большей точностью.
Частью задач руководителя группы аудиторов является выполнение «последующих действий» (после аудита) по истечении согласованного срока для проверки эффективного выполнения корректирующих действий. Если они по каким-то причинам не выполнены, руководитель группы должен привлечь внимание высшего руководства к этому факту.
До тех пор пока не будут проведены надлежащие последующие действия и не будет проверена эффективность корректирующих действий, вся работа по аудиту может представлять собой не более чем пустую трату денег и времени.
Во время аудита возможны случаи обнаружения несоответствий (невыполнения требований (ГОСТ Р ИСО 9001)). Под несущественными несоответствиями понимается единичное небольшое отклонение от установленных требований, под существенными несоответствиями -невыполнение любого из пунктов стандарта ИСО 9001 или других критериев аудита. Классификация несоответствий зависит от того, насколько систематическим было несоблюдение требований и как оно влияет на качество. Например, несколько небольших отклонений от требований, выявленных на предприятии, могут рассматриваться как существенное несоответствие,
и в этом случае будет оформлен один отчет о несоответствии, в частности, когда определена их общая причина.
Информация о несоответствиях, а также об отмеченных аудитором положительных моментах, занесенных в отчет, сообщается руководителю проверяемого подразделения. Но прежде чем аудитор составит отчет о несоответствиях, он должен быть абсолютно уверен, что несоблюдение действительно имело место.
Обычно предприятия используют определенную форму отчета о несоответствии, приводимую в процедуре о внутреннем аудите. Бывают случаи, когда не используют никаких определенных форм, и несоответствия просто регистрируются в рамках полного отчета об аудите вместе с записями всех других наблюдений.
При составлении отчета о несоответствии следует предусмотреть отличительный номер, поля для записей аудитором деталей обнаруженного несоответствия, корректирующих действий, а также для подтверждения аудитором того, что действие выполнено вовремя.
Отчет должен быть основан на объективном доказательстве за счет соответствующих ссылок (номера: работы, продукта, чертежа, бирки, заказа; ссылка на отгрузку и т.д.). Объективным доказательством может быть, например, основанная на фактах демонстрация различий: между руководством по качеству и связанными процедурами и между процедурами и реальным выполнением процесса и пр.
В зависимости от конкретного случая необходимо будет указывать/объяснять требование стандарта или приводить критерии аудита, которые были нарушены.
После выявления несоответствий и назначения корректирующих действий важно проконтролировать выполнение этих действий (для устранения причины обнаруженного несоответствия или другой нежелательной ситуации. Корректирующее действие выполняется для предотвращения повторения, тогда как предупреждающее действие - для исключения возникновения).
Для организации эффективной деятельности организации
Главная задача аудита — вклад в постоянное улучшение процессов менеджмента качества, которое является неизменной целью организации и средством успешного функционирования на рынке. Аудиторы не могут оставаться в стороне от этой деятельности и должны понимать, что их работа рассматривается именно через призму получения
выгоды организацией, руководство которой будет использовать предоставленные отчеты для последующего анализа системы.
Результаты аудита можно и нужно использовать в качестве рекомендаций по улучшению процессов и всей системы в целом.
В настоящее время внутренний контроль (аудит) в той или иной форме существует в каждой организации, однако внутренний контроль в организации связи не всегда обеспечивает достоверную и объективную информацию о состоянии деятельности организации, что не может служить основой для принятия надлежащих управленческих решений.
В связи с этим проведение на постоянной основе внутреннего аудита СМК становится одним из ключевых инструментов управления, системы контроля и управления телекоммуникационной организацией.
Внутренние аудиты СМК должны стать обязательной процедурой для организации эффективной деятельности организации связи, так как их цель - проверка эффективности программ управления, предотвращение сбоев в деятельности.
Аудит СМК в организации связи должен включать оценку качества услуг, удовлетворенность, лояльность потребителей и заведомо основываться на отражении сильных и слабых сторон деятельности организации.
Качество и эффективность внутреннего аудита полностью зависят от профессионализма проверяющих и применяемых инструментов управления. Поэтому важно на каждом предприятии иметь подготовленных специалистов.
Периодичность аудита во многом зависит от величины рисков, связанных с процессами управления услугами на конкурентном рынке.
Алгоритм проведения внутреннего аудита можно представить в виде следующей последовательности этапов: подготовительный этап, согласование критериев аудита, сбор документированных доказательств, классификация несоответствий, определение корректирующих действий, проверка их реализации, отчет по результатам аудита. ^
Литература
1. ГОСТ Р ИСО 9001:2008.
2. ГОСТ Р 19011-2003.
3. КО/1ЕС 20000:2005.
4. Настольная книга внутреннего аудитора. - С-Пб.: «Издательский дом «Измайловский», 2003.
5. Аудит и новый стандарт ИСО 19011. - М.: НТК «Трек», 2002.
6. Руководство по применению стандарта ИСО 9001:2000 в сфере услуг. - М., 2002.
Май-июнь 2009 г.