Внутренний аудит СМК банка
Аудит — систематический, независимый и документированный процесс получения свидетельств аудита и объективной их оценки в целях установления степени выполнения критериев аудита [1].
Объектом аудита может быть: СМК (верхний уровень), процесс, подразделение, информационная система и др.
Модель данного процесса приведена на схеме 1.
При проведении внутреннего аудита СМК банка рекомендуется использовать стандарт ISO 19011 «Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента».
Шаблоны документов, которые необходимы для проведения аудита СМК банка и аудита процессов банка, приведены в [2].
Поскольку архитектура СМК состоит из двух уровней, то и внутренний аудит СМК включает два соответствующих этапа, а также общий этап «Подготовка к аудиту»:
1. Подготовка к аудиту. Исполнитель: служба качества.
2. Внутренний аудит СМК (верхнего уровня). Исполнитель: служба качества.
3. Аудит процесса. Исполнитель: процессная команда.
Рассмотрим эти этапы более подробно.
1. Подготовка к аудиту
Предполагает следующие процедуры и действия.
Разработка, согласование и утверждение программы внутренних аудитов
В данном документе указывается перечень всех видов аудитов с наименованиями (на ближайший год). Для каждого аудита указывается: перечень объектов аудита, Ф.И.О. руководителя аудита, срок проведения аудита.
Формирование и обучение (при необходимости) группы внутренних аудиторов банка Параллельно с разработкой программы аудитов определяется потребность в аудиторах, формируется и обучается (при необходимости) группа аудиторов, назначаются аудиторы для каждой процессной команды, назначаются аудиторы для аудита СМК верхнего уровня, утверждается главный аудитор.
Подготовка и издание приказа о проведении внутренних аудитов
Приказом по банку утверждаются программа аудитов, состав группы аудиторов и их обязанности, обязанности членов процессных команд, руководителей подразделений и сотрудников банка при проведении аудитов.
Подготовка учебно-методических материалов по внутреннему аудиту
Разработка единого чек-листа для аудита процесса
Чек-лист — это таблица, которая используется аудитором для проверки выполнения установленных требований. Фрагмент чек-листа (три столбца таблицы) для аудита процесса приведен в табл. 1.
Чек-лист состоит из шести столбцов:
Единый чек-лист для аудита процесса необходим для того, чтобы все процессные команды и аудиторы проводили аудит процессов по одним и тем же требованиям.
Рассылка документации по внутреннему аудиту процессным командам
Включает все документы, разработанные в предыдущих процедурах.
2. Аудит СМК (верхнего уровня)
Состоит из следующих процедур и действий
Разработка чек-листа и плана для аудита СМК(верхнего уровня)
Образец чек-листа (фрагмент) для аудита СМК (верхнего уровня) представлен в табл. 2.
В нем перечислены общие требования к компонентам СМК (верхнего уровня). Данные требования должны быть детализированы и дополнены требованиями стандарта ISO 9001 (можно сказать, цитатами из данного стандарта) и собственными требованиями банка.
План аудита состоит из пяти столбцов:
Аудитор оценивает выполнение каждого требования из чек-листа с помощью выбранного способа оценки (опрашивает сотрудников банка, изучает документацию, наблюдает за деятельностью банка). Затем ставит отметку о соответствии/несоответствии и указывает свидетельства, которые это подтверждают [4].
Подготовка отчета по результатам внутреннего аудита СМК (верхнего уровня)
В отчете по результатам внутреннего аудита СМК объединяются все заполненные чек-листы в порядке следования требований. Указывается общее число выявленных несоответствий, выводы и заключения.
Разработка корректирующих и предупреждающих действий по результатам аудита
Выполнение оперативных корректирующих и предупреждающих действий
Наиболее срочные и важные действия выполняются сразу после разработки. Действия, требующие привлечения значительных трудовых и финансовых ресурсов, выполняются в течение следующего периода функционирования СМК.
3. Аудит процесса
Правила проведения аудита процесса схожи с правилами аудита СМК (верхнего уровня), только объектом аудита становится процесс. Поэтому приведем перечень процедур и действий без дополнительных комментариев.
Чтобы аудит процесса выполнялся процессной командой методически правильно и эффективно, в нее должен входить квалифицированный аудитор от службы качества.
Итак, процессная команда при проведении аудита:
Получение и агрегация отчетов по аудитам процессов от процессных команд
Отчеты по результатам всех аудитов должны быть собраны воедино для дальнейшей работы с ними.
Анализ СМК со стороны руководства банка
Модель данного подпроцесса приведена на схеме 2.
Процесс запускается согласно установленной в банке периодичности (как минимум, два раза в год) либо по решению руководства банка. Руководство сбором и подготовкой информации для анализа СМК, выработкой планов по улучшению СМК осуществляет директор по качеству. Ответственный исполнитель работ в рамках подготовки анализа СМК — начальник отдела СМК. Ответственные за процесс анализа СМК в рамках процессов — процессные команды (владелец процесса).
Поскольку архитектура СМК состоит из двух уровней, то и анализ СМК со стороны руководства имеет две составляющие:
Более подробная информация об использовании данных программных продуктов при выполнении всех процессов/этапов функционирования СМК банка представлена в [4].
Процесс состоит из следующих процедур и действий.
Рассылка информации и запросов процессным командам
Процессные команды должны провести анализ и аудит своих процессов, подготовить и передать в службу качества сводный отчет по процессу. У процессных команд может запрашиваться дополнительная информация по процессу, которая не входит в сводный отчет.
Получение, проверка и агрегация сводных отчетов по процессам от процессных команд
Все отчеты должны быть проверены, затем объединены в единый отчет по процессам.
Подготовка и агрегация отчетов по верхнему уровню СМК
включают отчеты:
Разработка отчета о функционировании и результативности СМК
Данный отчет включает в качестве приложений отчеты по верхнему уровню СМК, сводные отчеты по процессам. Он должен содержать выводы и заключения о функционировании и результативности СМК (каждого компонента) за прошедший период.
Разработка корректирующих и предупреждающих действий
Корректирующие и предупреждающие действия разрабатываются службой качества как для процессных команд, так и для верхнего уровня СМК.
Рассылка приглашений на совещание, отчета и планов высшему руководству банка (выполняется службой качества).
Предварительное изучение отчета, планов, подготовка замечаний и предложений Руководство банка (комитет по процессам и качеству) должны ознакомиться со всеми документами и передать в службу качества свои замечания и предложения.
Сбор и обработка замечаний и предложений от членов комитета по процессам и качеству (выполняется службой качества).
Организация комитета, вынесение итоговой версии отчета и планов на заседание комитета (выполняется службой качества).
Подготовка, выступление с докладом и презентацией отчета
Директор по качеству на заседании комитета по процессам и качеству делает доклад о функционировании и результативности СМК за прошедший период, проводит презентации подготовленных отчетов и планов.
Обсуждение и утверждение отчета, планов и решений
При обсуждении отчета и планов на заседании комитета по процессам и качеству для них фиксируются необходимые корректировки и дополнения. На основе отчетов и планов комитет должен оценить результативность и качество каждого компонента СМК. Могут быть следующие решения/оценки:
Оформление и рассылка протокола участникам совещания (выполняется службой качества)
Корректировка и утверждение планов по результатам анализа СМК со стороны руководства (выполняется службой качества).
Заключение
Итак, секрет стабильного и эффективного функционирования СМК банка на протяжении длительного времени заключается в строгом соблюдении описанных в настоящей работе процессов и процедур, а также в использовании типовых и лучших практик в области менеджмента качества (например, типовая система менеджмента качества банка [2]).
Таким образом, СМК банка будет готова к повторной успешной сертификации и сможет постоянно приносить банку как финансовый (увеличение прибыли, снижение расходов на некачественные процессы), так и нефинансовый эффект (повышение репутации, лояльности клиентов).
Источники информации
1. ISO 9000:2005. Системы менеджмента качества. Основные положения и словарь.
2. Типовая система менеджмента качества коммерческого банка (в составе комплексной типовой бизнес-модели коммерческого банка).
3. ISO 9001:2008. Системы менеджмента качества. Требования.
4. Исаев Р.А. Банковский менеджмент и бизнес-инжиниринг. – М.: ИНФРА-М, 2011. – 400 с.: ил.
_________________________________
Исаев Роман
Эксперт по бизнес-инжинирингу и управлению в банковской сфере
Член Координационного комитета Ассоциации Российских Банков (АРБ)
по стандартам качества банковской деятельности
Аудит — систематический, независимый и документированный процесс получения свидетельств аудита и объективной их оценки в целях установления степени выполнения критериев аудита [1].
Объектом аудита может быть: СМК (верхний уровень), процесс, подразделение, информационная система и др.
Модель данного процесса приведена на схеме 1.
Схема 1. Внутренний аудит СМК
При проведении внутреннего аудита СМК банка рекомендуется использовать стандарт ISO 19011 «Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента».
Шаблоны документов, которые необходимы для проведения аудита СМК банка и аудита процессов банка, приведены в [2].
Поскольку архитектура СМК состоит из двух уровней, то и внутренний аудит СМК включает два соответствующих этапа, а также общий этап «Подготовка к аудиту»:
1. Подготовка к аудиту. Исполнитель: служба качества.
2. Внутренний аудит СМК (верхнего уровня). Исполнитель: служба качества.
3. Аудит процесса. Исполнитель: процессная команда.
Рассмотрим эти этапы более подробно.
1. Подготовка к аудиту
Предполагает следующие процедуры и действия.
Разработка, согласование и утверждение программы внутренних аудитов
В данном документе указывается перечень всех видов аудитов с наименованиями (на ближайший год). Для каждого аудита указывается: перечень объектов аудита, Ф.И.О. руководителя аудита, срок проведения аудита.
Формирование и обучение (при необходимости) группы внутренних аудиторов банка Параллельно с разработкой программы аудитов определяется потребность в аудиторах, формируется и обучается (при необходимости) группа аудиторов, назначаются аудиторы для каждой процессной команды, назначаются аудиторы для аудита СМК верхнего уровня, утверждается главный аудитор.
Подготовка и издание приказа о проведении внутренних аудитов
Приказом по банку утверждаются программа аудитов, состав группы аудиторов и их обязанности, обязанности членов процессных команд, руководителей подразделений и сотрудников банка при проведении аудитов.
Подготовка учебно-методических материалов по внутреннему аудиту
Разработка единого чек-листа для аудита процесса
Чек-лист — это таблица, которая используется аудитором для проверки выполнения установленных требований. Фрагмент чек-листа (три столбца таблицы) для аудита процесса приведен в табл. 1.
Чек-лист состоит из шести столбцов:
- номер строки;
- проверяемое требование;
- уточняющие вопросы (при необходимости);
- способ оценки выполнения требования (изучение документации, наблюдение, опрос и др.);
- отметка о соответствии/несоответствии;
- свидетельство аудита (запись и комментарии аудитора).
Таблица 1. Чек-лист для аудита процесса (фрагмент)
Единый чек-лист для аудита процесса необходим для того, чтобы все процессные команды и аудиторы проводили аудит процессов по одним и тем же требованиям.
Рассылка документации по внутреннему аудиту процессным командам
Включает все документы, разработанные в предыдущих процедурах.
2. Аудит СМК (верхнего уровня)
Состоит из следующих процедур и действий
Разработка чек-листа и плана для аудита СМК(верхнего уровня)
Образец чек-листа (фрагмент) для аудита СМК (верхнего уровня) представлен в табл. 2.
Таблица 2. Чек-лист для внутреннего аудита СМК (верхний уровень)
В нем перечислены общие требования к компонентам СМК (верхнего уровня). Данные требования должны быть детализированы и дополнены требованиями стандарта ISO 9001 (можно сказать, цитатами из данного стандарта) и собственными требованиями банка.
Например, требование «1.1. Перечень (полнота) документации — соответствие требованиям ISO 9001» детализируется на требования разд. 4.2 стандарта ISO 9001 «Требования к документации», где указан состав необходимой документации:На основе чек-листа разрабатывается план аудита СМК
«Документация системы менеджмента качества должна включать в себя:
a) документально оформленные заявления о политике и целях в области качества;
b) руководство по качеству…» [3].
План аудита состоит из пяти столбцов:
- номер строки;
- номер чек-листа либо раздел (группа проверяемых требований) чек-листа;
- Ф.И.О. аудитора;
- дата и время проверки;
- Ф.И.О. и должность ответственного от членов процессной команды/исполнителей процесса.
Например, чтобы проверить требование «1.2. Актуальность документации» аудитор назначает несколько интервью с сотрудниками банка, ответственными за данные документы, и записывает это в план.Проведение аудита СМК (верхнего уровня) согласно плану и заполнение чек-листа
Аудитор оценивает выполнение каждого требования из чек-листа с помощью выбранного способа оценки (опрашивает сотрудников банка, изучает документацию, наблюдает за деятельностью банка). Затем ставит отметку о соответствии/несоответствии и указывает свидетельства, которые это подтверждают [4].
Подготовка отчета по результатам внутреннего аудита СМК (верхнего уровня)
В отчете по результатам внутреннего аудита СМК объединяются все заполненные чек-листы в порядке следования требований. Указывается общее число выявленных несоответствий, выводы и заключения.
Разработка корректирующих и предупреждающих действий по результатам аудита
Выполнение оперативных корректирующих и предупреждающих действий
Наиболее срочные и важные действия выполняются сразу после разработки. Действия, требующие привлечения значительных трудовых и финансовых ресурсов, выполняются в течение следующего периода функционирования СМК.
3. Аудит процесса
Правила проведения аудита процесса схожи с правилами аудита СМК (верхнего уровня), только объектом аудита становится процесс. Поэтому приведем перечень процедур и действий без дополнительных комментариев.
Чтобы аудит процесса выполнялся процессной командой методически правильно и эффективно, в нее должен входить квалифицированный аудитор от службы качества.
Итак, процессная команда при проведении аудита:
- знакомится с документацией по внутреннему аудиту;
- разрабатывает план аудита процесса;
- проводит аудит процесса согласно плану и заполняет чек-лист;
- подготавливает отчет по результатам аудита процесса и передает его в службу качества;
- разрабатывает корректирующие и предупреждающие действия по результатам аудита;
- выполняет оперативные корректирующие и предупреждающие действия.
Получение и агрегация отчетов по аудитам процессов от процессных команд
Отчеты по результатам всех аудитов должны быть собраны воедино для дальнейшей работы с ними.
Анализ СМК со стороны руководства банка
Модель данного подпроцесса приведена на схеме 2.
Схема 2. Анализ СМК со стороны руководства банка
Процесс запускается согласно установленной в банке периодичности (как минимум, два раза в год) либо по решению руководства банка. Руководство сбором и подготовкой информации для анализа СМК, выработкой планов по улучшению СМК осуществляет директор по качеству. Ответственный исполнитель работ в рамках подготовки анализа СМК — начальник отдела СМК. Ответственные за процесс анализа СМК в рамках процессов — процессные команды (владелец процесса).
Поскольку архитектура СМК состоит из двух уровней, то и анализ СМК со стороны руководства имеет две составляющие:
- подготовка процессными командами и анализ руководством (комитетом по процессам и качеству) сводных отчетов по всем процессам СМК;
- подготовка службой качества и анализ руководством (комитетом по процессам и качеству) отчетов по верхнему уровню СМК.
Более подробная информация об использовании данных программных продуктов при выполнении всех процессов/этапов функционирования СМК банка представлена в [4].
Процесс состоит из следующих процедур и действий.
Рассылка информации и запросов процессным командам
Процессные команды должны провести анализ и аудит своих процессов, подготовить и передать в службу качества сводный отчет по процессу. У процессных команд может запрашиваться дополнительная информация по процессу, которая не входит в сводный отчет.
Получение, проверка и агрегация сводных отчетов по процессам от процессных команд
Все отчеты должны быть проверены, затем объединены в единый отчет по процессам.
Подготовка и агрегация отчетов по верхнему уровню СМК
включают отчеты:
- по результатам внутреннего аудита СМК;
- о реализации корректирующих/предупреждающих действий для верхнего уровня СМК;
- по анализу претензий клиентов (сводный);
- по реализации плана разработки, актуализации и улучшения СМК;
- о выполнении действий, утвержденных по результатам предыдущего анализа СМК со стороны руководства;
- по анализу факторов внешней и внутренней среды, изменений, существенно влияющих на СМК банка.
Разработка отчета о функционировании и результативности СМК
Данный отчет включает в качестве приложений отчеты по верхнему уровню СМК, сводные отчеты по процессам. Он должен содержать выводы и заключения о функционировании и результативности СМК (каждого компонента) за прошедший период.
Разработка корректирующих и предупреждающих действий
Корректирующие и предупреждающие действия разрабатываются службой качества как для процессных команд, так и для верхнего уровня СМК.
Рассылка приглашений на совещание, отчета и планов высшему руководству банка (выполняется службой качества).
Предварительное изучение отчета, планов, подготовка замечаний и предложений Руководство банка (комитет по процессам и качеству) должны ознакомиться со всеми документами и передать в службу качества свои замечания и предложения.
Сбор и обработка замечаний и предложений от членов комитета по процессам и качеству (выполняется службой качества).
Организация комитета, вынесение итоговой версии отчета и планов на заседание комитета (выполняется службой качества).
Подготовка, выступление с докладом и презентацией отчета
Директор по качеству на заседании комитета по процессам и качеству делает доклад о функционировании и результативности СМК за прошедший период, проводит презентации подготовленных отчетов и планов.
Обсуждение и утверждение отчета, планов и решений
При обсуждении отчета и планов на заседании комитета по процессам и качеству для них фиксируются необходимые корректировки и дополнения. На основе отчетов и планов комитет должен оценить результативность и качество каждого компонента СМК. Могут быть следующие решения/оценки:
- отлично. Достигнуты все запланированные результаты. Отсутствовали сбои, ошибки, несоответствия. Компонент не требует улучшения и корректирующих действий;
- удовлетворительно. Достигнуты не все запланированные результаты. Были незначительные сбои, ошибки, несоответствия. Требуются некоторые улучшения и корректирующие действия;
- неудовлетворительно. Запланированные результаты не достигнуты. Были значительные сбои, ошибки, несоответствия. Требуются значительные изменения.
Оформление и рассылка протокола участникам совещания (выполняется службой качества)
Корректировка и утверждение планов по результатам анализа СМК со стороны руководства (выполняется службой качества).
Например, в одном банке руководство после изучения всех отчетов СМК осталось настолько довольно прозрачностью и эффективностью подконтрольной им деятельности, что выделило службе качества три отдельных просторных кабинета, оборудованных «по последнему слову техники», рядом с кабинетом председателя правления банка.
Заключение
Итак, секрет стабильного и эффективного функционирования СМК банка на протяжении длительного времени заключается в строгом соблюдении описанных в настоящей работе процессов и процедур, а также в использовании типовых и лучших практик в области менеджмента качества (например, типовая система менеджмента качества банка [2]).
Таким образом, СМК банка будет готова к повторной успешной сертификации и сможет постоянно приносить банку как финансовый (увеличение прибыли, снижение расходов на некачественные процессы), так и нефинансовый эффект (повышение репутации, лояльности клиентов).
Источники информации
1. ISO 9000:2005. Системы менеджмента качества. Основные положения и словарь.
2. Типовая система менеджмента качества коммерческого банка (в составе комплексной типовой бизнес-модели коммерческого банка).
3. ISO 9001:2008. Системы менеджмента качества. Требования.
4. Исаев Р.А. Банковский менеджмент и бизнес-инжиниринг. – М.: ИНФРА-М, 2011. – 400 с.: ил.
_________________________________
Исаев Роман
Эксперт по бизнес-инжинирингу и управлению в банковской сфере
Член Координационного комитета Ассоциации Российских Банков (АРБ)
по стандартам качества банковской деятельности
