Годовая программа внутренних аудитов пример

Международные профессиональные стандарты внутреннего аудита (МПСВА) требуют формирования риск-ориентированного плана внутреннего аудита, в частности, на основании формализованной оценки рисков, проводимой не реже, чем один раз в год.

Каноничный подход.

Безусловно каноничным подходом можно назвать подход, который основан на существующей оценке рисков. На этом сайте есть вполне себе пример условного предприятия, на котором я и покажу подходы к формированию плана работы внутреннего аудита на год.

Итак, есть реестр рисков с рассчитанными математическими ожиданиями текущего и остаточного риска. Начать нужно с ранжирования рисков для внутреннего аудита.

Первое, что нужно определить – по какому из математических ожиданий нужно отранжировать риски. Мое мнение – нужно ранжировать по текущему. Логика примерно следующая: менеджмент всегда будет настаивать на том, что «да, у нас сейчас всё плохо (ну, или всё хорошо), но в ближайшем будущем «заколосицца» (ну, или станет «еще лучше»)».

Коллизия аудита — как должна формироваться программа внутренних аудитов СМК?

Как показывает практика, ближайшее будущее не всегда наступает быстро (в конце концов, продолжительность человеческой жизни ничтожна с точки зрения времени существования вселенной, и в этом масштабе ближайшее будущее – это и 100 лет). Поэтому план проверок составлен исходя из текущего математического ожидания. Но теоретически я допускаю ситуацию, когда план аудитов составляется исходя как из математического ожидания остаточных рисков, так и из изменения дельты между матожиданием текущего и остаточного риска. Логика последнего – аудит эффективности прилагаемых менеджментом усилий

Второе, что нужно определить – аудитопригодны либо неаудитопригодны мероприятия по управлению рисками из программы. Ну, например, можем ли мы проверить, куда пошла взятка руководителю ИФНС по крупнейшим налогоплательщикам? Как-то сомневаюсь, что он/она расписку даст.

С другой стороны, любая выдача наличных на любое «стимулирование» (включая продажи) – это, скорее всего, не менее 50% прилипания к рукам передающего менеджера. А владельца бизнеса тоже не пошлешь передавать… Поэтому проверить можно только путем личной передачи, на что аудитор согласиться не должен (хотя бы из соображений, представленных в УК РФ).

Другой пример: «активная работа по формированию «карманного» профсоюза». Мы должны повесить человеку вывеску «Председатель карманного профсоюза»? И будет ли он во всем «карманным»? В общем, управление некоторыми рисками практически невозможно проанализировать. Поэтому я предлагаю отказываться от включения в план аудитов мероприятий, аудитопригодность которых вызывает сомнения.

Третье, что нужно сделать – это оценить новизну потенциальных находок в рамках каких-нибудь плановых аудитов. Например, все знают, что с качеством (персоналом, ремонтами, оперативным учетом, логистикой и т.п.) у нас откровенно плохо. Знает владелец, знает совет директоров, знает менеджмент, знают исполнители.

Из года в год пишутся мероприятия, что-то выполняется, лучше не становится. Нужно ли проводить аудит? Ну, вроде как да (подход-то риск-ориентированный, а риски значимы). А зачем? Потратить четверть человекогода для констатации всем давно известных фактов, при этом находящихся под личным контролем владельца?

Разработка программы внутренних аудитов. Что необходимо учитывать?

Да, можно систематизировать проблемы, обеспечить новый (четырнадцатый по номеру рассматриваемого доклада) взгляд и т.п. Но совсем уж новизна вряд ли будет. В общем, очень целесообразно оценить плановые аудиты при формировании программы на основании риск-ориентированного подхода с точки зрения интересности для всех.

Перейдем к непосредственно планированию. В ниже приведенной таблице остаточные (ожидаемые на конец года) риски отсортированы по математическому ожиданию. В пример не включены риски, которые лежат ниже линии толерантности (10% от EBITDA, или 100 млн. руб.). Но это не значит, что с ними не нужно работать (работа по многим из них целесообразна, 100 млн. руб. неплохо даже для большого предприятия).

Наименование риска

Мероприятие

М тек (млн. руб.)

Возможный аудит для годового плана

Источник: svk4u.ru

Внутренний аудит СМК — системы менеджмента качества. Пошаговая инструкция

Внутренний аудит СМК проводится на предприятиях, деятельность которых осуществляется в соответствии с правилами внедренной на них системы менеджмента качества. В этой статье вы найдете информацию о том, в каком порядке проводятся такие аудиты, а также ознакомитесь с перечнем рабочей документации, используемой аудитором в ходе проверки.

• Аудит СМК — цели и источники информации
• Принципы проведения внутреннего аудита СМК
• Порядок проведения внутреннего аудита СМК — пошаговая инструкция
• Анализ деятельности компании
• Подготовка программы
• Разработка плана аудита
• Открытая встреча
• Проведение аудита
• Обсуждение результатов аудита, закрывающая встреча
• Подготовка заключения аудита
• Закрытие аудита, исправление недостатков
• Программа аудита
• Содержание и пример плана внутреннего аудита СМК
• Контрольный лист как основной инструмент аудитора
• Работа с несоответствиями, выявленными по итогам внутреннего аудита
• Примеры несоответствий при внутреннем аудите СМК
• Содержание и пример отчета по внутреннему аудиту СМК

Аудит СМК — цели и источники информации

Аудит системы менеджмента качества (СМК) — это систематический процесс получения сведений о функционировании СМК и ее соответствии критериям, установленным действующими стандартами.

Аудит СМК может быть:

• внешним — проверка проводится сотрудниками сторонних специализированных организаций;
• внутренним — проверка проводится сотрудниками службы качества аудируемого предприятия (подробности о службе внутреннего аудита вы найдете здесь).

Внутренний аудит системы менеджмента качества проводится с целью:

• своевременного выявления проблем и несоответствий в функционирующей на предприятии СМК;
• определения причин возникновения таких несоответствий и разработки методов их устранения;
• проверки эффективности корректирующих действий, выполненных по итогам ранее завершенных проверок;
• подготовки к внешнему аудиту для получения сертификата соответствия ИСО 9001 и другим стандартам.

Источниками информации в ходе такой проверки могут быть:

• личные беседы с работниками аудируемых подразделений предприятия;
• результаты самостоятельного наблюдения аудиторов за деятельностью работников, состоянием их рабочих мест, условиями труда и пр.;
• информация, полученная от потребителей по обратной связи;
• внутренние документы подразделения (отчеты, контракты, инструкции, калькуляции, конструкторская и технологическая документация и пр.);
• отчеты о проведенных аудитах и выполненных по их итогам корректировках, составленные ранее.

Принципы проведения внутреннего аудита СМК

Принципы проведения внутренних аудитов зафиксированы в ГОСТ Р ИСО 19011-2012. К ним относятся:

• беспристрастность: аудитор должен объективно оценивать полученные сведения и документы, формировать правдивые и точные отчеты;
• конфиденциальность: аудитор должен сохранять полученную им информацию в тайне от третьих лиц;
• профессиональная осмотрительность: аудитор должен быть прилежным, применять имеющиеся у него профессиональные знания по отношению к объекту проверки;
• независимость: аудитор должен самостоятельно принимать решения на основании полученных им сведений и не изменять их из-за стороннего влияния заинтересованных лиц;
• подход, основанный на свидетельстве: в связи с ограниченной продолжительностью времени, в течение которого должна быть проведена проверка, аудитор должен использовать выборки определенной информации с целью получения сведений о функционировании СМК в целом;
• целостность: деятельность аудитора должна соответствовать одновременно всем перечисленным выше принципам.

Порядок проведения внутреннего аудита СМК — пошаговая инструкция

Процедура проведения внутренней проверки включает несколько стадий, идущих в следующем порядке:

1. Анализ деятельности компании.
2. Подготовка программы.
3. Разработка плана аудита.
4. Открытая встреча.
5. Проведение аудита.
6. Обсуждение результатов аудита, закрывающая встреча.
7. Подготовка заключения аудита.
8. Закрытие аудита, исправление недостатков.

Анализ деятельности компании

Внутренний аудит и внутренний контроль — есть ли разница

В первую очередь необходимо сделать анализ того предмета, по которому будет проведен аудит. Для этого нужно найти аудитора, который даст понять, сколько будет длится проверка, как именно она будет проводиться, с участием каких специалистов. Данный этап имеет важнейшее значение, и позволяет правильно подготовить программу аудита в дальнейшем.

Подготовка программы

Чтобы проверка была проведена правильно, аудитор должен подготовить все рабочие документы, а также перечень вопросов, которые будут заданы. При этом решающую роль играет документация СМК предприятия. На основе документации и анализа деятельности фирмы будет подготовлена программа, согласно которой будет проводиться проверка.

Разработка плана аудита

Итак, программа составлена, и теперь вы знаете, что именно нужно проверить и изучить, сколько аудиторов потребуется для этого, и примерное количество времени. На этом этапе нужно распределить время на каждый этап, и подготовить четкий план действий.

Открытая встреча

Начинается аудит всегда с начальной всречи. Именно на этом этапе достигаются заключительные договоренности о времени каждого этапа проверки. Это поможет руководителю фирмы ознакомиться с планом аудита и оптимизировать его проведение.

Проведение аудита

Аудитор выполняет шаги плана. Он задает нужные вопросы, документирует информацию, разбирается, соответствует компания требованиям СМК или нет.

Обсуждение результатов аудита, закрывающая встреча

После проведения аудита проверяющий обозначает несоответствия, которые были выявлены. Аудируемый может задать вопросы для понимания заключения, и прояснить для себя основные моменты.

Подготовка заключения аудита

Заключение оформляется в отчет и передается заказчику. Отчет может быть как напечатан, так и подготовлен в электронной форме. Он содержит перечень всех выявленных несоответствий.

Закрытие аудита, исправление недостатков

Несоответствия необходимо устранить. Для этого устанавливаются сроки и выполняются действия по исправлению недостатков. После этого аудит закрывается.

Программа аудита

Программа внутреннего аудита — это документ, содержащий сведения об аудитах, которые должны быть проведены на предприятии в течение определенного периода времени (как правило, полугода или года). Его разработкой занимается представитель службы качества предприятия, обладающий полномочиями по проведению проверок в его подразделениях.

В программе внутреннего аудита СМК указываются:

• цели аудита;
• проверяемые процессы (виды деятельности подразделения);
• проверяемые подразделения;
• критерии аудита;
• время (как правило, указывается месяц) проведения;
• Ф. И. О. аудитора.

Документ утверждает руководитель предприятия (генеральный директор, главный инженер и пр.). После этого руководитель службы качества формирует планы-графики проведения конкретных аудитов и согласовывает их с руководством подразделений, в отношении которых будет проводиться проверка.

Руководитель аудиторской группы должен подготовить план аудита и ознакомить с ним проверяемое подразделение. Этот документ содержит следующую информацию:

• цели проведения проверки;
• критерии, по которым проводится аудит, а также перечень проверяемых документов;
• область аудита (проверяемое подразделение, в том числе протекающие в нем организационные и функциональные процессы);
• указание даты и места проведения проверки;
• роли и ответственность членов аудиторской группы и сопровождающих их лиц.

Документ утверждается руководителем предприятия, подразделения которого подвергаются проверке. В ходе аудита план может быть скорректирован руководителем аудиторской группы. Пример плана проведения внутреннего аудита может выглядеть так:

Представитель руководства СМК

(подпись) /Мальченков Е. А./

__ __ ____ года

План внутреннего аудита

Основание для проверки: программа внутреннего аудита системы менеджмента качества на ____ год.

Объект проверки: управление ресурсами для мониторинга и измерений, метрологическое обеспечение.

Аудируемое подразделение: инструментально-заготовительный цех.

Сроки проведения проверки: __ __ ___ года – __ __ ___ года

Критерии аудита (обозначение документов или их разделов): п. 7.1.5 ГОСТ Р ИСО 9001-2012, СТО СМК 7.021-2017.

Цель аудита: проверка и оценка соответствия установленным требованиям.

Руководитель аудиторской группы: Евсеева Ю. Н.

Аудиторы: Артемов Е. П., Клинкова А. С.

Дата представления отчета: __ __ ____ года.

Список должностных лиц, которым должны быть представлены копии отчета: представитель руководства по СМК, руководитель инструментально-заготовительного цеха.

Руководитель аудиторской группы:

(подпись) /Ю. Н. Евсеева/ __ __ ____ года

(подпись) /Е. П. Артемов/ __ __ ____ года

(подпись) /А. С. Клинкова/ __ __ ____ года

Контрольный лист как основной инструмент аудитора

Основным рабочим документом аудитора является контрольный лист. Он представляет собой заранее составленный систематизированный перечень вопросов, ответы на которые позволят проверяющему получить полную и актуальную информацию о функционировании СМК в подразделениях.

Существующие стандарты не содержат конкретной формы этого документа, поэтому аудитор может подготовить его самостоятельно. Важно, чтобы форма контрольного листа позволяла вносить в него сведения, полученные в ходе аудита, и использовать их в процессе последующего анализа.

Цель использования данного документа — напоминание аудитору об информации, которую он должен получить, и фактах, которые должны быть исследованы в ходе проведения проверки. Кроме того, применение такого листа позволит аудитору оценить объем предстоящих работ, правильно распределить их во времени и закончить проверку в соответствии с заданными сроками.

Использование заранее подготовленных контрольных листов не должно оказывать влияния на проведение аудита. В том случае, когда ход проверки изменяется (например, если в процессе ее осуществления аудитор выявил подлежащие исследованию факты, проверка которых не была запланирована), в контрольные листы должны быть внесены соответствующие корректировки.

Рабочие документы и записи стоит сохранять до конца аудита. Если в них содержится информация, имеющая статус конфиденциальной, необходимо обеспечить им надлежащий уровень защиты от несанкционированного доступа.

Работа с несоответствиями, выявленными по итогам внутреннего аудита

Все несоответствия, выявленные по итогам проверки, должны быть задокументированы. Эта процедура предусматривает:

• обнаружение, идентификацию и регистрацию несоответствий;
• классификацию несоответствий по степени их значимости;
• составление протоколов несоответствий.

В протоколе о несоответствии указываются:

Протокол несоответствия является источником информации для последующей разработки корректирующих и предупреждающих действий, позволяющих устранить выявленные недостатки.

Примеры несоответствий при внутреннем аудите СМК

Перечень несоответствий, которые могут быть выявлены в процессе внутреннего аудита, является обширным, т. к. характеристики любого процесса, протекающего в организации, могут полностью или частично не отвечать заданным стандартом критериям.

Приведем перечень основных критериев и наиболее часто встречающихся несоответствий им:

1. Ответственность руководства:

• не выполняется анализ СМК со стороны руководства;
• не доводятся до сведения работников политика и цели предприятия в области качества;
• отсутствует матрица распределения ответственности между сотрудниками.

1. СМК:

• отсутствует руководство по качеству;
• не зафиксированы документально процедуры СМК;
• не осуществляется процедура планирования качества.

1. Управление документацией:

• не реализуется процедура управления документацией;
• не установлен перечень документации и данных, подлежащих управлению;
• не выполняется процедура изменения документов и данных.

1. Управление продукцией, поставляемой потребителям:

• не выполняется процедура управления продукцией, поставляемой потребителям;
• не является мотивированным отсутствие таких процедур.

1. Управление несоответствующей продукцией:

• не осуществляется управление несоответствующей продукцией;
• отсутствует или находится в неподходящем месте изолятор брака;
• не осуществляется управление несоответствующей продукцией, находящейся в изоляторе.

1. Подготовка кадров:

• не документируются процедуры подбора и обучения персонала;
• в рабочей документации отдела кадров отсутствуют планы по повышению квалификации.

После окончания внутреннего аудита руководитель аудиторской группы составляет отчет по итогам проделанной работы.

Составление отчета об аудите обеспечивает:

1. Наглядность результатов проведенной проверки.
2. Возможность обобщения и анализа результатов всех аудитов, проведенных согласно действующей программе.
3. Упрощение процедуры подготовки и реализации корректирующих действий.

Форма такого отчета действующими стандартами не регламентирована, поэтому он может различаться, в зависимости от предприятия. В общем же виде отчет может выглядеть следующим образом:

Представитель руководства СМК

Источник: xn--h1apee0d.xn--p1ai

Планирование работы службы внутреннего аудита

Риск-ориентированное планирование системного внутреннего контроля в соответствии с международными подходами базируется на трех процедурах (рис. 6.1).

Рис. 6.1. Алгоритм риск-ориентированного планирования внутреннего аудита

Процесс риск-ориентированного планирования подразделяется на следующие этапы:

I — предварительное планирование;

II — формирование общего плана проверки;

III — формирование программы проверки;

IV — согласование общего плана проверки с заказчиком по выбранным направлениям и существенности выявляемых внутренними аудиторами потенциальных отклонений от отчетных данных.

Рассмотрим сущность каждого из вышеперечисленных этапов применительно к внутреннему аудиту.

Этап «Предварительное планирование» предполагает разработку общей стратегии и конкретного подхода к ожидаемому характеру, срокам проведения и объему осуществляемых процедур. Оно способствует тому, чтобы в процессе ревизии наиболее значимым ее областям было уделено самое серьезное внимание, были бы максимально выявлены существенные проблемы, а сама проверка была бы проведена своевременно и с минимально возможными затратами.

В процессе этого этапа особое внимание обращается на регламентированные цели ревизуемых объектов и показатели, характеризующие их выполнение; изучаются нормативные документы, внутренние политики, регламенты и т.д., анализируются изменения в организационной структуре, произошедшие в исследуемом периоде.

Этап «Предварительное планирование» включает в себя:

• предварительный сбор и анализ информации об объекте;

• • оценку уровня надежности СВК;
• • формирование предложений по составу группы.

Оценка уровня надежности СВК на этом этапе планирования дается руководителем аудиторской группы. Он оценивает уровень надежности СВК как низкий, если:

• • СВК не может быть признана действенной в связи с отсутствием документов, подтверждающих ее наличие;
• • отсутствует необходимая информация, позволяющая оценить результаты работы СВК.

В этом случае руководитель аудиторской группы фиксирует отсутствие у проверяемого объекта системного внутреннего контроля, что снижает степень доверия к информационным материалам, предоставляемым аудиторской группе и, соответственно, повышает уровень аудиторского риска.

Для качественной разработки общего плана проверки принципиально важным является знание руководителем аудиторской группы особенностей деятельности проверяемого объекта и его высокий профессионализм.

Этап «Составление программы проверки». Программа проверки формируется после составления общего плана и оформляется документально.

Она определяет с учетом рисков характер, временные рамки, объем запланированных процедур, временные затраты на их проведение и является для внутреннего аудитора набором инструкций, а для руководителя группы — средством контроля качества выполненной работы. В программах целесообразно установить процедуры сбора, анализа, оценки и документирования информации, распределить обязанности между членами аудиторской группы, установить временные затраты на выполнение этих процедур. Этим документом детализируются задания общего плана проверки. В отличие от его содержания, определяющего направления проверки, в программе должно быть достаточно конкретно описано, что и как следует проверять, на что обращать внимание, с чем сопоставлять и т.д. Этот документ не должен позволять двойных трактовок его позиций.

Программы внутреннего аудита могут быть классифицированы в зависимости от видов ревизуемых объектов по типам.

• 1. Стандартная программа — используется при проведении типовых проверок.
• 2. Адаптированная программа — используется при изменении целей типовой проверки, вызванных изменениями уровней рисков изучаемого объекта.
• 3. Специальная программа — разрабатывается для проведения аудита ранее не исследуемых объектов.

Наличие стандартных программ значительно уменьшает трудоемкость этапа разработки документации при планировании проверки.

Планирование, как и каждый этап аудита, документируется. Рассмотрим документы, которые используются на этапе планирования и могут быть разработаны на предприятии.

Основным документом, который использует руководитель службы, является годовая программа, которая утверждается руководителем компании [1] . Программа должна разрабатываться с учетом статуса и значимости видов деятельности и процессов.

Форма внутреннего регламента [2] «Годовая программа внутреннего аудита» может иметь следующий вид (табл. 6.1).

Формат документа «Годовая программа внутреннего аудита»

Объект (вид деятельности, процесс)

Источник: bstudy.net