вторник, 25 октября 2011 г.

Внутренний аудит СМК банка и анализ со стороны руководства

Внутренний аудит СМК банка
Аудит — систематический, независимый и документированный процесс получения свидетельств аудита и объективной их оценки в целях установления степени выполнения критериев аудита [1].
Объектом аудита может быть: СМК (верхний уровень), процесс, подразделение, информационная система и др.
Модель данного процесса приведена на схеме 1.
Схема 1. Внутренний аудит СМК

При проведении внутреннего аудита СМК банка рекомендуется использовать стандарт ISO 19011 «Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента».
Шаблоны документов, которые необходимы для проведения аудита СМК банка и аудита процессов банка, приведены в [2].
Поскольку архитектура СМК состоит из двух уровней, то и внутренний аудит СМК включает два соответствующих этапа, а также общий этап «Подготовка к аудиту»:
1. Подготовка к аудиту. Исполнитель: служба качества.
2. Внутренний аудит СМК (верхнего уровня). Исполнитель: служба качества.
3. Аудит процесса. Исполнитель: процессная команда.
Рассмотрим эти этапы более подробно.



1. Подготовка к аудиту 
Предполагает следующие процедуры и действия.
Разработка, согласование и утверждение программы внутренних аудитов
В данном документе указывается перечень всех видов аудитов с наименованиями (на ближайший год). Для каждого аудита указывается: перечень объектов аудита, Ф.И.О. руководителя аудита, срок проведения аудита.

Формирование и обучение (при необходимости) группы внутренних аудиторов банка Параллельно с разработкой программы аудитов определяется потребность в аудиторах, формируется и обучается (при необходимости) группа аудиторов, назначаются аудиторы для каждой процессной команды, назначаются аудиторы для аудита СМК верхнего уровня, утверждается главный аудитор.

Подготовка и издание приказа о проведении внутренних аудитов
Приказом по банку утверждаются программа аудитов, состав группы аудиторов и их обязанности, обязанности членов процессных команд, руководителей подразделений и сотрудников банка при проведении аудитов.

Подготовка учебно-методических материалов по внутреннему аудиту

Разработка единого чек-листа для аудита процесса
Чек-лист — это таблица, которая используется аудитором для проверки выполнения установленных требований. Фрагмент чек-листа (три столбца таблицы) для аудита процесса приведен в табл. 1.
Чек-лист состоит из шести столбцов:
  • номер строки;
  • проверяемое требование;
  • уточняющие вопросы (при необходимости);
  • способ оценки выполнения требования (изучение документации, наблюдение, опрос и др.);
  • отметка о соответствии/несоответствии;
  • свидетельство аудита (запись и комментарии аудитора).
Таблица 1. Чек-лист для аудита процесса (фрагмент)

Единый чек-лист для аудита процесса необходим для того, чтобы все процессные команды и аудиторы проводили аудит процессов по одним и тем же требованиям.

Рассылка документации по внутреннему аудиту процессным командам
Включает все документы, разработанные в предыдущих процедурах.

2. Аудит СМК (верхнего уровня)
Состоит из следующих процедур и действий
Разработка чек-листа и плана для аудита СМК(верхнего уровня)
Образец чек-листа (фрагмент) для аудита СМК (верхнего уровня) представлен в табл. 2.

Таблица 2. Чек-лист для внутреннего аудита СМК (верхний уровень)

В нем перечислены общие требования к компонентам СМК (верхнего уровня). Данные требования должны быть детализированы и дополнены требованиями стандарта ISO 9001 (можно сказать, цитатами из данного стандарта) и собственными требованиями банка.
Например, требование «1.1. Перечень (полнота) документации — соответствие требованиям ISO 9001» детализируется на требования разд. 4.2 стандарта ISO 9001 «Требования к документации», где указан состав необходимой документации:
«Документация системы менеджмента качества должна включать в себя:
a) документально оформленные заявления о политике и целях в области качества;
b) руководство по качеству…» [3].
На основе чек-листа разрабатывается план аудита СМК
План аудита состоит из пяти столбцов:
  • номер строки;
  • номер чек-листа либо раздел (группа проверяемых требований) чек-листа;
  • Ф.И.О. аудитора;
  • дата и время проверки;
  • Ф.И.О. и должность ответственного от членов процессной команды/исполнителей процесса.
Аудитор выбирает из чек-листа требования и в плане прописывает, когда, как и с помощью кого он будет их проверять.
Например, чтобы проверить требование «1.2. Актуальность документации» аудитор назначает несколько интервью с сотрудниками банка, ответственными за данные документы, и записывает это в план.
Проведение аудита СМК (верхнего уровня) согласно плану и заполнение чек-листа
Аудитор оценивает выполнение каждого требования из чек-листа с помощью выбранного способа оценки (опрашивает сотрудников банка, изучает документацию, наблюдает за деятельностью банка). Затем ставит отметку о соответствии/несоответствии и указывает свидетельства, которые это подтверждают [4].

Подготовка отчета по результатам внутреннего аудита СМК (верхнего уровня)
В отчете по результатам внутреннего аудита СМК объединяются все заполненные чек-листы в порядке следования требований. Указывается общее число выявленных несоответствий, выводы и заключения.

Разработка корректирующих и предупреждающих действий по результатам аудита

Выполнение оперативных корректирующих и предупреждающих действий
Наиболее срочные и важные действия выполняются сразу после разработки. Действия, требующие привлечения значительных трудовых и финансовых ресурсов, выполняются в течение следующего периода функционирования СМК.

3. Аудит процесса
Правила проведения аудита процесса схожи с правилами аудита СМК (верхнего уровня), только объектом аудита становится процесс. Поэтому приведем перечень процедур и действий без дополнительных комментариев.
Чтобы аудит процесса выполнялся процессной командой методически правильно и эффективно, в нее должен входить квалифицированный аудитор от службы качества.
Итак, процессная команда при проведении аудита:
  • знакомится с документацией по внутреннему аудиту;
  • разрабатывает план аудита процесса;
  • проводит аудит процесса согласно плану и заполняет чек-лист;
  • подготавливает отчет по результатам аудита процесса и передает его в службу качества;
  • разрабатывает корректирующие и предупреждающие действия по результатам аудита;
  • выполняет оперативные корректирующие и предупреждающие действия.
Например, в одном банке функционировал вполне нормальный и рентабельный процесс «Зарплатные проекты». Однако в результате проведенного аудита было выявлено много несоответствий. Некоторые из них даже не были известны владельцу и функциональным менеджерам процесса. Устранение несоответствий позволило вдвойне повысить показатели результативности и качества процесса.

Получение и агрегация отчетов по аудитам процессов от процессных команд
Отчеты по результатам всех аудитов должны быть собраны воедино для дальнейшей работы с ними.

Анализ СМК со стороны руководства банка
Модель данного подпроцесса приведена на схеме 2.
Схема 2. Анализ СМК со стороны руководства банка

Процесс запускается согласно установленной в банке периодичности (как минимум, два раза в год) либо по решению руководства банка. Руководство сбором и подготовкой информации для анализа СМК, выработкой планов по улучшению СМК осуществляет директор по качеству. Ответственный исполнитель работ в рамках подготовки анализа СМК — начальник отдела СМК. Ответственные за процесс анализа СМК в рамках процессов — процессные команды (владелец процесса).
Поскольку архитектура СМК состоит из двух уровней, то и анализ СМК со стороны руководства имеет две составляющие:
  • подготовка процессными командами и анализ руководством (комитетом по процессам и качеству) сводных отчетов по всем процессам СМК;
  • подготовка службой качества и анализ руководством (комитетом по процессам и качеству) отчетов по верхнему уровню СМК.
Отметим, что анализ СМК со стороны руководства банка так же, как и внутренний аудит СМК банка, рекомендуется проводить с помощью программных продуктов класса «Бизнес-моделирование» (например, Business Studio). Они позволяют хранить всю информацию и документы по СМК, интегрировать (устанавливать и поддерживать взаимосвязи) с другими компонентами СМК (процессы, подразделения, цели и показатели, проекты), автоматически формировать документы СМК, которые получаются на выходах процессов (отчеты, протоколы, записи и др.).
Более подробная информация об использовании данных программных продуктов при выполнении всех процессов/этапов функционирования СМК банка представлена в [4].

Процесс состоит из следующих процедур и действий.
Рассылка информации и запросов процессным командам
Процессные команды должны провести анализ и аудит своих процессов, подготовить и передать в службу качества сводный отчет по процессу. У процессных команд может запрашиваться дополнительная информация по процессу, которая не входит в сводный отчет.

Получение, проверка и агрегация сводных отчетов по процессам от процессных команд
Все отчеты должны быть проверены, затем объединены в единый отчет по процессам.

Подготовка и агрегация отчетов по верхнему уровню СМК
включают отчеты:
  • по результатам внутреннего аудита СМК;
  • о реализации корректирующих/предупреждающих действий для верхнего уровня СМК;
  • по анализу претензий клиентов (сводный);
  • по реализации плана разработки, актуализации и улучшения СМК;
  • о выполнении действий, утвержденных по результатам предыдущего анализа СМК со стороны руководства;
  • по анализу факторов внешней и внутренней среды, изменений, существенно влияющих на СМК банка.
Более подробная информация о данных отчетах, а также их образцы представлены в [2].

Разработка отчета о функционировании и результативности СМК
Данный отчет включает в качестве приложений отчеты по верхнему уровню СМК, сводные отчеты по процессам. Он должен содержать выводы и заключения о функционировании и результативности СМК (каждого компонента) за прошедший период.

Разработка корректирующих и предупреждающих действий
Корректирующие и предупреждающие действия разрабатываются службой качества как для процессных команд, так и для верхнего уровня СМК.

Рассылка приглашений на совещание, отчета и планов высшему руководству банка (выполняется службой качества).

Предварительное изучение отчета, планов, подготовка замечаний и предложений Руководство банка (комитет по процессам и качеству) должны ознакомиться со всеми документами и передать в службу качества свои замечания и предложения.

Сбор и обработка замечаний и предложений от членов комитета по процессам и качеству (выполняется службой качества).

Организация комитета, вынесение итоговой версии отчета и планов на заседание комитета (выполняется службой качества).

Подготовка, выступление с докладом и презентацией отчета
Директор по качеству на заседании комитета по процессам и качеству делает доклад о функционировании и результативности СМК за прошедший период, проводит презентации подготовленных отчетов и планов.

Обсуждение и утверждение отчета, планов и решений
При обсуждении отчета и планов на заседании комитета по процессам и качеству для них фиксируются необходимые корректировки и дополнения. На основе отчетов и планов комитет должен оценить результативность и качество каждого компонента СМК. Могут быть следующие решения/оценки:
  • отлично. Достигнуты все запланированные результаты. Отсутствовали сбои, ошибки, несоответствия. Компонент не требует улучшения и корректирующих действий;
  • удовлетворительно. Достигнуты не все запланированные результаты. Были незначительные сбои, ошибки, несоответствия. Требуются некоторые улучшения и корректирующие действия;
  • неудовлетворительно. Запланированные результаты не достигнуты. Были значительные сбои, ошибки, несоответствия. Требуются значительные изменения.
В процессе совещания составляется протокол анализа СМК со стороны руководства, в котором указывается принятое решение по каждому рассмотренному комитетом документу/компоненту СМК.

Оформление и рассылка протокола участникам совещания (выполняется службой качества)

Корректировка и утверждение планов по результатам анализа СМК со стороны руководства (выполняется службой качества).
Например, в одном банке руководство после изучения всех отчетов СМК осталось настолько довольно прозрачностью и эффективностью подконтрольной им деятельности, что выделило службе качества три отдельных просторных кабинета, оборудованных «по последнему слову техники», рядом с кабинетом председателя правления банка.

Заключение
Итак, секрет стабильного и эффективного функционирования СМК банка на протяжении длительного времени заключается в строгом соблюдении описанных в настоящей работе процессов и процедур, а также в использовании типовых и лучших практик в области менеджмента качества (например, типовая система менеджмента качества банка [2]).
Таким образом, СМК банка будет готова к повторной успешной сертификации и сможет постоянно приносить банку как финансовый (увеличение прибыли, снижение расходов на некачественные процессы), так и нефинансовый эффект (повышение репутации, лояльности клиентов).

Источники информации
1. ISO 9000:2005. Системы менеджмента качества. Основные положения и словарь.
2. Типовая система менеджмента качества коммерческого банка (в составе комплексной типовой бизнес-модели коммерческого банка).
3. ISO 9001:2008. Системы менеджмента качества. Требования.
4. Исаев Р.А. Банковский  менеджмент и бизнес-инжиниринг. – М.: ИНФРА-М, 2011. – 400 с.: ил.

_________________________________
Исаев Роман
Эксперт по бизнес-инжинирингу и управлению в банковской сфере
Член Координационного комитета Ассоциации Российских Банков (АРБ)
по стандартам качества банковской деятельности