Главная » Разное

Способы проведения аудита процесса

Содержание
  1. Методика проведения аудита системы внутреннего контроля бизнес-процесса
  2. 1. Планирование проверки
  3. 2. Выполнение проверки
  4. 3. Формирование отчета, завершение проверки
  5. Список литературы
  6. quality .eup.ru
  7. Вероятно, самый старый в рунете сайт о менеджменте качества
  8. Аудит процессов и методы его проведения

Методика проведения аудита системы внутреннего контроля бизнес-процесса

Цель данной статьи – показать возможность совершенствования методики проведения аудита системы внутреннего контроля бизнес-процесса компании путем разработки технологии аудита и предоставления практических рекомендаций по проведению внутренней аудиторской проверки.

Результаты данной работы могут быть полезны широкому кругу лиц: от внутренних аудиторов – для использования ее в качестве пособия – до руководителей компаний, заинтересованных в проведении оценки системы внутреннего контроля бизнес-процессов.

Современные тенденции в деятельности компании связаны с повышением роли и значимости внутреннего контроля для достижения целей компании. Руководители крупных компаний начинают понимать, что успех в бизнесе возможен только при наличии четко выстроенной и эффективной системы внутреннего контроля.

Внутренний аудит ставит перед собой цель – оценить эффективность системы внутреннего контроля компании, но следует отметить, что реализация данной цели является очень трудоемким и ресурсозатратным процессом. Поэтому часто аудиторы оценивают СВК отдельных бизнес-процессов либо компаний.

Оценка СВК осуществляется в соответствии с моделью COSO IC [7]. При проведении аудита системы внутреннего контроля осуществляется комплексная оценка всех элементов, составляющих данную систему:

  1. компонентов СВК (контрольная среда, оценка рисков, контрольные процедуры, информация и коммуникация, мониторинг);
  2. целей, достижение которых контролируется (операционные цели, цели в сфере подготовки отчетности, цели в области соблюдения законодательства);
  3. четырех организационных уровней (уровень функции (бизнес-процесса), уровень операционной единицы (подразделения), уровень дивизиона (направления бизнеса), уровень организации (группы)).

В соответствии с моделью, обновленной в 2013 г., выделются 17 принципов, которые помогают наиболее полно охватить всю систему внутреннего контроля (см. рис. 1).

Рис. 1. Краткие формулировки принципов системы внутреннего контроля

Таким образом, при аудите СВК бизнес-процесса оценивается эффективность всей СВК в целом и каждого элемента СВК в частности.

Что касается методики проведения аудита СВК, то в настоящее время не существует единой методики проведения данного вида аудита. Это неудивительно, так как внутренний аудит, в первую очередь, направлен на совершенствование деятельности компании. То есть компания имеет возможность создать собственную методику аудита, которая будет наиболее полно соответствовать специфике деятельности компании.

С другой стороны, не стоит полагать, что не существует некой базы, на которой строятся методики компаний. В теории и на практике встречаются некоторые общие подходы к аудиту СВК. Например:

  • Международные профессиональные стандарты внутреннего аудита определяют общие принципы проведения аудиторской проверки [5];
  • Международные стандарты аудита 1 и стандарт PCAOB 2 (в частности, аудиторский стандарт № 5 «Проведение аудита внутреннего контроля над финансовой отчетностью, интегрированный в общий аудит финансовой отчетности») [8];
  • Методика проведения внутренней аудиторской проверки, описанная в статье И.А. Красновой «Методика проведения внутренней аудиторской проверки эффективности системы внутреннего контроля бизнес-процессов» [3];
  • Альтернативная методика аудита СВК, наиболее часто применяемая в банковском секторе, представленная в статье Н.М. Заварихина, Ю.В. Потехиной «Методология и методика внутреннего аудита в коммерческих банках» [2] и мн. др.

Проанализировав существующие методики проведения аудита, а также международные стандарты аудита, предлагаем выделить следующие основные этапы проведения аудита системы внутреннего контроля (рис. 2).

Рис.2. Схема проведения аудита системы внутреннего контроля бизнес-процесса.

Рассмотрим основные элементы методики проведения аудита СВК.

1. Планирование проверки

Планирование проверки является одним из основных этапов. Процесс планирования проверки включает в себя анализ информации, формирование задания на аудит (определение целей процесса, присущих рисков, целей проверки, объема работ, плана-графика проверки), направление уведомления, проведение совещания с владельцем процесса.

При проведении планирования следует обратить внимание на следующие моменты.

  • Проведение интервью с потребителями бизнес-процесса позволит больше узнать о рисках процесса.
  • Идентификация целей бизнес-процесса поможет использование KPI/КПЭ (при их наличии в компании), положений о структурных подразделениях, целевых показателей из информации к оперативным совещаниям.
  • Для формирования присущих рисков можно использовать карты рисков, предыдущие отчеты внутренних аудиторов. Чтобы определить присущие риски, необходимо ответить на вопросы:
    • Что может помешать процессу достичь цели?
    • Какие факторы влияют на эффективность процесса?
    • Где возможно в процессе неэффективное использование ресурсов?
    • Какие факторы или события могут привести к ухудшению или замедлению процесса.
  • Чтобы аудируемые лица могли оптимально спланировать время, уведомление о проверке корректно направлять не менее чем за 10 рабочих дней до выхода на объект. Следует указать в уведомлении название проверки, дать краткий обзор рамок проверки и целей, указать продолжительность, контакты руководителя проверки и членов аудиторской команды, что позволит владельцу процесса назначить ответственных лиц, знающих процесс, эффективнее спланировать время.
  • Не следует пренебрегать проведением встречи «Открытие проекта» с владельцем процесса. Данная встреча имеет принципиальное значение для утверждения рамок и целей проверки, подтверждения позитивных, длительных отношений между аудиторами и заказчиками.
  • Планирование проверки должно занимать 20–30 % времени самой проверки. Чем качественнее планирование, тем эффективнее будет результат. Как сказал Авраам Линкольн, Президент США: «Если бы у меня было 8 часов на то, чтобы срубить дерево, 6 часов я бы потратил на затачивание топора».

2. Выполнение проверки

Под выполнением проверки подразумевается описание бизнес-процесса, анализ целей процесса, определение рисков и контрольных процедур, оценка дизайна и тестирование операционной эффективности контрольных процедур.

Основные практические рекомендации по выполнению проверки заключаются в следующем.

  • Проведение анализа целей аудируемого процесса даст представление о существенных недостатках СВК процесса. Анализ целей можно провести на соответствие формулировок критериям SMART, определить соотношение долгосрочных, среднесрочных и краткосрочных целей, соотношение целей аудируемого подразделения и корпоративного центра.
  • Одним из эффективных способов подтверждения дизайна контрольных процедур является метод прослеживаемых операций / walk throught. Для этого нужно выбрать конкретные операции или документы и проследить их путь от начала до конца процесса.
  • Дизайн контрольной процедуры – это совокупность элементов, составляющих контрольную процедуру: покрытие риска контролем, место выполнения контроля, исполнитель контроля, информация и ресурсы, условия выполнения, объем контроля, метод контроля, свидетельства контроля, регламент контроля.

Для оценки дизайна контроля необходимо установить связь между бизнес-целями и рисками, рисками и контрольными процедурами, отвечающими на соответствующий риск. Дизайн контрольной процедуры не эффективен, если контроль отсутствует, контроль не закрывает риск полностью (остаточный риск выше допустимого), присутствует конфликт разграничения полномочий.

Наличие контрольных процедур, для которых отсутствуют конкретные риски, целесообразно анализировать дополнительно. Возможно, контрольная процедура избыточна. Соотношение один риск – одна контрольная процедура не обязательно оптимально: одна контрольная процедура может покрывать несколько рисков.

  • Тестирование операционной эффективности связано с ответами на вопросы:
    • Как применялась контрольная процедура?
    • Постоянство, с которым она применялась в течение периода проверки?
    • Кем (или посредством чего) она применялась?

    Для проведения тестирования необходимо определить тип тестирования (наблюдение, опрос, изучение, воспроизведение). Для получения более высокой степени уверенности рекомендуется проводить тестирование одной и той же процедуры, используя различные типы тестирования.
    Определение периода времени для выбора тестирования зависит:

    • от наличия предположений о наличии несоответствий;
    • тестирования данного контроля в предыдущих периодах/отчетах;
    • размера периода тестирования (квартал, год и т.д.);
    • частоты осуществления контрольных процедур (ежедневно, ежемесячно, ежеквартально и т.д.);
    • контрольной среды.

    Определение размера тестирования (выборки) зависит:

    • от размера генеральной совокупности;
    • числа отклонений, которые могут возникнуть;
    • оценки риска наличия неэффективного контроля.
  • При определении выборки важно проверить генеральную совокупность на однородность, полноту и корректность. Использование статистических методов формирования выборки позволит распространить полученные результаты на всю генеральную совокупность.
  • Поскольку результаты тестов являются одним из важнейших элементов формирования аудиторского отчета, все тесты необходимо документировать надлежащим образом. Рабочие бумаги должны содержать достаточные доказательства для обоснования наблюдений СВА и/или обоснования сильных сторон бизнес-процесса (в случае, если по результатам внутренней аудиторской проверки недостатки или возможности улучшения системы внутреннего контроля бизнес-процесса не выявлены). При этом в рабочих бумагах должна отражаться только та информация, которая необходима для обоснования.

Все ссылки должны быть проставлены правильно: документация должна позволять переходить по ссылкам от наблюдений к обосновывающим их рабочим бумагам и, если потребуется, к первичным документам.

3. Формирование отчета, завершение проверки

На данном этапе формируется вывод об эффективности системы внутреннего контроля. Для формирования вывода об эффективности СВК необходимо провести оценку каждого компонента модели COSO по всем целям.

Для оценки бизнес-процесса группы компаний требуется оценить бизнес-процесс в каждой компании и сделать общий вывод. Если же группа компаний поделена на дивизионы по продуктовому признаку, то достаточно оценить бизнес-процесс в одной компании дивизиона.

Основные практические рекомендации по написанию отчета:

  • Отчет по внутренней аудиторской проверке содержит две части: вводную и основную.
    Во вводной части «Аудиторского отчета» представляется общая информация о проверке, как то:
    • цель, объект и предметы проверки;
    • состав аудиторской группы, сроки проведения проверки.

    Описательная часть «Аудиторского отчета» является наиболее объемным и информативным блоком, содержащим все результаты аудита.

  • Обычно окончательная версия «Аудиторского отчета» представляется: заказчику аудита – лицу, инициировавшему данную проверку; владельцу аудируемого бизнес-процесса; другим заинтересованным пользователям на усмотрение руководителя СВА компании.
  • Не следует пренебрегать проведением совещания «Закрытие проекта» с владельцем процесса. Целью данной встречи является обсуждение сильных и слабых сторон системы внутреннего контроля, обсуждение выполненных или планируемых корректирующих мероприятий по результатам внутренней аудиторской проверки.

Внутренний аудит системы внутреннего контроля в настоящее время является предметом дискуссий между учеными и практиками в данной сфере. Практическая значимость данной статьи заключается в том, чтобы показать, что наличие методики проведения проверки позволяет облегчить процесс аудита системы внутреннего контроля и повысить его эффективность. Разработанная и описанная в данной статье методика не обязательно является догмой, которой должны следовать все компании. Каждая компания вправе создавать и применять собственную методику.

Список литературы

1. Брайан Хок, Карл Берч. CIA. Дипломированный внутренний аудитор. Кн.: в 4 ч. М.: НОСК international, 2008.

2. Заварихина Н.М., Потехина Ю.В. Методология и методика внутреннего аудита в коммерческих банках // Аудит и финансовый анализ. 2005. № 4. С. 208.

3. Краснова И.А. Методика проведения внутренней аудиторской проверки эффективности системы внутреннего контроля бизнес-процессов// Акционерное общество: вопросы корпоративного управления. 2006. №7.

4. Крышкин О. Настольная книга по внутреннему аудиту: Риски и бизнес-процессы. М.: АЛЬПИНА ПАБЛИШЕР, 2013.

5. Международные профессиональные стандарты внутреннего аудита (ред. от 01.01.2013).

6. Институт внутренних аудиторов.

7. COSO Internal Control 2013. Integrated Framework.

1 Международные стандарты аудита подлежат применению на территории Российской Федерации согласно Постановлению Правительства Российской Федерации от 11.06.2015 № 576.

2 Комитет по надзору за отчетностью открытых акционерных компаний (орган по надзору за правильностью учета и отчетности в компаниях, чьи акции торгуются на бирже; должен следить за тем, чтобы не было манипулирования информацией и инвесторов не вводили в заблуждение; создан после принятия Закона Сарбейнса-Оксли). – Прим. авт.

© Интернет-проект «Корпоративный менеджмент», 1998–2021

Источник

quality .eup.ru

Вероятно, самый старый в рунете сайт о менеджменте качества

Потребители обращаются к вам не за тем, чтобы получить урок корпоративной политики, а за помощью. Если вы им не поможете, поможет кто-то другой. (Джеффри Гитомер)

Аудит процессов и методы его проведения

Аудит процессов 1 привлекает пристальное внимание, но не все в полной мере получают пользу от этого мероприятия. При этом, с одной стороны, поскольку не существует общепризнанного стандарта на проведение аудита процессов, любой может утверждать, что он его проводит. С другой — использование таких методов аудита процессов, как пошаговое прослеживание, не ограничено только сферой аудита процессов или систем менеджмента, основанных на процессах. А в результате это не может не обратить на себя внимания.

Что такое аудит процесса? Несколько лет назад автор выступал с докладом об аудите процессов, и представитель одной крупной корпорации заявил, что у них уже несколько лет проводятся аудиты процессов. На просьбу описать методы, которые применяют при этом аудиторы, он ответил, что в конце производственной цепочки они измеряют длину, диаметр, вес и другие характеристики образцов готовой продукции, и на основании полученных результатов принимают или отклоняют партию.

Вы тоже понимаете под аудитом процесса именно это? Следует надеяться, что нет, так как описанное больше всего похоже на приемочный контроль или аудит продукции или услуги.

Немного позже представитель другой крупной корпорации рассказал о том, что их аудиторы также проводят аудиты процессов, и при этом не используют какие-либо контрольные перечни вопросов (чек-листы). Он прислал документ, который применялся для проведения аудита одного из процессов в их корпорации. Документ действительно назывался не «Чек-лист», а «Перечень нормативных и отраслевых требований», касающихся данного процесса. Однако нет никаких сомнений, что это фактически и был чек-лист.

Таким образом, возникает вопрос, является ли проверка процесса на соответствие набору требований или элементов аудитом процесса? Скорее всего, нет, потому что большинство стандартов и нормативных требований не учитывают динамического характера процесса.

Когда критериями аудита являются конкретные требования стандарта, верификации подлежат только они. При этом хорошо известно, что требования стандарта включают:

создание документированных процедур;

анализ заказов, поступающих от потребителя и т. д. и т. п.

Однако подобный перечень не содержит, например, оценку входов, которые должны затем преобразовываться в выходы. Определение процесса с точки зрения качества, приведенное в стандарте ISO 9000 или глоссарии Американского общества качества (ASQ), равно как и определение процесса, представленное в общих словарях, отражают динамическую природу процессов, и именно это имеет наибольшее значение при проведении аудита процесса.

Приведем определение процесса, которое автор использовал на протяжении более 15 лет: «Процесс — это серия шагов, которые ведут к желаемому результату». Данное определение может показаться не таким выразительным, как определение, приведенное в стандарте ISO 9000, но на самом деле далеко не все процессы приводят к превращениям входа в выход. Например, в сфере услуг многие из них являются лишь действиями по приему оплаты, оценке, информированию, передаче персоналом смен или перемещению сотрудников с одного рабочего места на другое.

Конечно, многие требования стандарта ISO 9001 и нормативных документов действительно связаны с определенными видами деятельности или процессами — такими, как идентификация, проведение контроля и испытаний, документирование, проектирование и разработка и т. д. Некоторые могут назвать аудит этих отдельных элементов системы аудитом процесса, но такой аудит является просто частью общего аудита системы менеджмента качества на соответствие требованиям стандарта или нормативным требованиям.

Для организаций характерно разрабатывать планы аудитов на основе элементов/требований стандарта. Некоторые даже объединяют это с проверкой соблюдения нормативных требований, но повторим еще раз: они проводят аудит лишь ограниченной части процесса.

Нам следует поаплодировать лишь тем организациям, которые проводят аудит разделов стандарта в последовательности реализуемых процессов, анализируя при этом взаимосвязи между требованиями. Ведь проведение аудитов процессов на основе процессных методов принесет дополнительную пользу по сравнению с простой проверкой соблюдения нормативных и других внешних требований.

Исходя из своего названия, аудит процессов — это проверка соответствия процесса согласованным требованиям. Он включает проверку соответствия операций или методов установленным инструкциям или требованиям стандартов — продолжительности операции, точности, температуре, давлению, составу, чувствительности, силе тока, составу смеси и т. д. В ходе аудита процесса оцениваются соответствие этим требованиям стандартов и результативность разработанных инструкций. Аудит может охватывать специальные процессы, такие, как разогрев, пайка, гальванопокрытие, покрытие изолирующими материалами и сварка.

В процессе аудита исследуются также ресурсы (оборудование, материалы и люди), используемые для трансформации входов в выходы, производственная среда, применяемые методы (процедуры и инструкции), а также различные измеряемые показатели, характеризующие функционирование процесса. В ходе аудита процесса проверяются адекватность и эффективность методов управления процессом, установленных в процедурах, рабочих инструкциях, блок-схемах и спецификациях.

Аудит процесса — это оценка последовательно осуществляемых шагов и взаимосвязей с другими процессами в рамках системы. Он подразумевает анализ действий по превращению входов в выходы. Один из коллег автора связывал аудит процесса с анализом соответствующих конкретных действий, например, со штамповкой, ходом химической реакции, нарезкой и т. д.

Аудит процесса — это оценка шагов и деятельности, которые трансформируют входы в выходы. В этом его особая ценность, поскольку он нацелен на производственный цикл и общие результаты, а не на отдельные требования/показатели.

На рис. 1 приведена модель процесса, на которой отражены входы, выходы и последовательные шаги. В некоторых моделях процесса показывают также петлю обратной связи, необходимую для управления процессом.

Аудит процесса обычно проводят, используя два способа.

Аудит, ориентированный на элементы/требования. При проведении аудита процесса или системы по элементам проверяют их соответствие требованиям. Ценность этого метода заключается в его прямой связи с требованиями лицензии, контракта или нормативных документов.

Аудит процесса по элементам обеспечивает уверенность в том, что люди знают соответствующие требования, а организация их выполняет. Такой аудит помогает подготовить работников к внешним аудитам, поскольку в обоих случаях применяются одни и те же критерии.

Аудит процесса по элементам обеспечивает также состояние готовности к выявлению и обеспечению соответствия многочисленным внешним требованиям. Это инструмент менеджмента для поддержания соответствия требованиям профессиональной безопасности, здоровья сотрудников и окружающей среды, а также требованиям к качеству.

Аудит, основанный на процессном подходе. При аудите процесса или системы на основе процессного подхода осуществляется проверка соответствия установленной последовательности шагов — от входа до выхода. При этом аудиторы используют такие простые инструменты, как блок-схемы, карты процессов или поточные диаграммы.

На диаграмме процесса (см. рис. 1) прямоугольники внутри круга могут представлять в совокупности блок-схему последовательно осуществляемых шагов. При ее описании обычно определяют входы, исполнителей, осуществляемые действия или шаги, измеряемые показатели и выходы. Аудитор, как правило, получает эту информацию из процедуры или блок-схемы, предоставляемой организацией.

Процессы можно описать, используя хорошо известный набор компонентов (рис. 2):

сотрудники, участвующие в реализации заказа;

методы контроля и мониторинга;

Применение этих компонентов служит гарантией того, что все аспекты процесса будут оценены, что помогает при разработке его блок-схемы. Эти же компоненты (называемые еще «группы причин») используются для построения причинно-следственных диаграмм, или диаграмм «рыбий скелет» для анализа причин возникающих проблем.

Для объединения компонентов процесса и требований стандарта часто используют древовидную диаграмму (рис. 3), называющуюся так из-за наличия разветвлений. Есть и другой инструмент — диаграмма «Черепаха» (рис. 4), которая связывает диаграмму процесса с компонентами процесса. Она похожа на черепаху с головой, хвостом и четырьмя ногами.

При проведении аудита процесса аудитор должен также применять цикл PDCA, который является хорошим инструментом для проверки того, можно ли управлять процессом без письменных процедур или для этого обязательно нужно разрабатывать соответствующие документированные процедуры. Аудиторы определяют, знают ли сотрудники, как выполнять действие, установлены ли способы определения приемлемости результата и какие предпринимаются меры, когда выход оказывается неправильным? Типично задаваемые вопросы приведены на рис. 5.

Использование указанных приемов — естественный мостик для перехода от аудита, ориентированного на элементы/требования к аудиту, основанному на процессном подходе. При этом в ходе сбора соответствующих свидетельств аудиторы будут выявлять проблемы, представляющие ценность для менеджеров.

Аудиторы должны выявлять наличие тех показателей функционирования процесса, которые сдерживают усилия по улучшению. К ним, в частности, относятся:

отклонения от заданных значений;

перемещения на чрезмерно длинные расстояния.

Показатели результативности и эффективности процесса следует соотносить с программами улучшения, такими как «Бережливое производство» или «Шесть сигм».

Большинство организаций до сих пор проводят аудит процесса или группы процессов по элементам или разделам требований и недооценивают выгоды процессных методов аудита, которые добавляют ценность, поскольку позволяют оценить, как протекает процесс, как осуществляется управление им, какие имеются риски и насколько процесс обеспечивает достижение желаемых целей. Аудиторы и менеджеры выиграют, если будут использовать указанные методы для повышения результативности управления процессами.

По материалам статьи J.P. Russell,
Process Auditing and Techniques,
Quality Progress, June 2006
подготовил В. Алексеев

1 См.: Горбунов А.В. Аудит процессов или аудит подразделений? // ММК. — 2007. — № 1. — С. 15-18. — Прим. ред.

Источник

Читайте также:  Способ наклонного горизонтального бурения
Оцените статью
Разные способы
© 2024 Разные способы.
Внимание! Информация, опубликованная на сайте, носит исключительно ознакомительный характер и не является рекомендацией к применению.