Дополнительные указания по проведению аудита
Определение объекта и целей аудита производит Руководитель аудита на основании «Регламента выполнения бизнес-процесса» либо по решению вышестоящего руководителя.
Решение о проведении аудита оформляется распоряжением, в котором указываются:
1) причины аудита (плановый или внеплановый);
2) объект и цели аудита;
3) создание группы для проведения аудита и ее состав;
4) назначение Руководителя аудита;
5) срок разработки и утверждения программы аудита.
В зависимости от установленных объекта и целей аудита в группу аудиторов могут быть включены сотрудники Компании, не входящие в состав рабочей группы проекта, а также, внешние специалисты и консультанты. Один из наиболее подготовленных и квалифицированных аудиторов, назначается руководителем аудита.
Примечание: В случае, если область аудита затрагивает информацию, которая носит конфиденциальный характер, Заказчик, Владелец или Руководитель проекта могут потребовать составления внешними и внутренними аудиторами соглашения о неразглашении конфиденциальной информации, полученной в ходе аудита.
Планирование и организация работ по проведению аудита
Руководитель аудита на основании полученной предварительной информации составляет программу и календарный план аудита. Программа аудита должна включать:
§ цели и область аудита;
§ список аудиторов, внутренних и внешних экспертов;
§ места проведения аудита;
§ требуемое время и продолжительность проведения каждого из этапов (календарный план аудита);
§ требования по конфиденциальности, если таковые предъявляются.
Предварительное ознакомление с бизнес-процессом организовывает Заказчик. Он представляет назначенного руководителя аудита руководству проверяемого бизнес-процесса (подразделения) на предварительном совещании.
Целью предварительного совещания является:
§ представление группы, проводящей аудит, руководству проверяемого бизнес-процесса (подразделения);
§ обзор области деятельности проверяемого бизнес-процесса (подразделения, организации) и целей аудита;
§ краткое изложение методов и процедур, которые будут использоваться при проведении аудита;
§ ознакомление руководства проверяемого бизнес-процесса (подразделения, организации) с программой аудита и установление официальных каналов связи между группой, проводящей аудит, и проверяемым бизнес-процессом;
§ подтверждение наличия ресурсов и нормативных документов, необходимых для аудиторов;
§ подтверждение времени и дат заключительного и промежуточных совещаний, если такие нужны;
§ выяснение всех неясных деталей программы аудита.
Программа аудита может быть доведена до сведения руководства проверяемого бизнес-процесса в общих чертах. Конкретные детали и список вопросов могут быть доведены до сведения интервьюируемых лиц только в ходе аудита, если их преждевременное раскрытие может помешать объективному сбору информации.
Если владелец проверяемого бизнес-процесса возражает против каких либо пунктов программы аудита, то такие возражения должны быть немедленно доведены до сведения руководителя аудита и, при необходимости Заказчика или руководителей Компании. Они должны быть разрешены между руководителями аудита и проверяемого бизнес-процесса (подразделения) до начала проведения аудита.
Сбор и анализ документов по бизнес-процессу организовывает Руководитель аудита при участии руководителей проверяемого бизнес-процесса (подразделения). На этом этапе Руководитель аудита организовывает получение необходимой внешней информации и документации. При необходимости, для этого могут быть подключены руководители других подразделений организации.
Документы, необходимые аудиторам для проведения аудита и подготовки отчета могут включать:
§ перечни вопросов используемых для оценки соответствия бизнес-процесса заданным требованиям;
§ формы для регистрации результатов аудита;
§ нормативные документы, применяемые для регламентирования деятельности бизнес-процесса (Компании, подразделения).
Подготовку к проведению аудита организовывает назначенный Руководитель аудита. Подготовка включает в себя подбор и разработку комплекта документов, необходимых аудиторам для проведения аудита, документального оформления первичной информации и отчета о результатах. Комплект документов может включать в себя:
§ перечни контрольных вопросов, используемых для оценки проверяемого бизнес-процесса (организации, подразделения), обычно они подготавливаются аудитором, предназначенным для проверки данного конкретного элемента бизнес-процесса;
§ формы для регистрации фактического материала при проведении интервью, наблюдений, анализа документации и информации о степени удовлетворенности потребителей выходов проверяемого бизнес-процесса и конечных потребителей;
Рабочие документы должны быть составлены таким образом, чтобы не ограничивать проведение дополнительных проверок, необходимость которых может выявиться на основании информации, полученной в ходе аудита.
Руководитель аудита должен обеспечить сохранность рабочих документов, содержащих конфиденциальную информацию.
Сбор информации о бизнес-процессе осуществляют аудиторы в ходе проведения аудита. Сбор информации производится путем опроса, анализа документов и наблюдения за деятельность бизнес-процесса. Признаки, указывающие на возможность несоответствия элемента бизнес-процесса, требованиям, изложенным в документах, описывающих и регламентирующих бизнес-процесс, должны быть зафиксированы, если они представляются существенными, даже в том случае, когда они не входят в перечень контрольных вопросов. Сведения, собранные в результате опросов, должны проверяться сравнением со сведениями на ту же тему получаемыми из других независимых источников, таких как, информация полученная из внешних организаций, способных оценить степень удовлетворенности потребителя.
Все наблюдения, сделанные в ходе проведения аудита, должны быть задокументированы.
В ходе проведения аудита, Руководитель аудита может, с одобрения Заказчика и руководства проверяемого бизнес-процесса (подразделения), вносить изменения в распределение обязанностей между членами группы аудиторов и план аудита, если это необходимо для обеспечения оптимального достижения целей аудита.
Если цели аудита покажутся недостижимыми, то Руководитель аудита должен сообщить причины Заказчику и руководству проверяемого бизнес-процесса (организации, подразделения).
Анализ полученных документов и подготовку отчета организовывает Руководитель аудита. После проверки всех видов деятельности бизнес-процесса (подразделения) группа аудиторов должна рассмотреть свои наблюдения, чтобы решить, какие из них должны быть представлены как несоответствия установленным требованиям. Группа аудиторов затем должна обеспечить четкость оформления наблюдений и подтверждение доказательствами. Несоответствия должны быть идентифицированы на языке конкретных требований настоящего документа, Законов РФ, Инструкций и Приказов, на основе которых производится проверка деятельности бизнес-процесса (подразделения). Наблюдения должны быть рассмотрены руководителем аудита совместно с руководством проверяемого бизнес-процесса (подразделения). О всех наблюдениях несоответствий руководство проверяемого бизнес-процесса (подразделения) должно быть поставлено в известность.
В конце проверки перед подготовкой отчета по аудиту группа аудиторов должна провести совещание с руководством проверяемого бизнес-процесса (подразделения) и лицами ответственными за соответствующие функции и элементы бизнес-процесса. Основная цель этого совещания - представить наблюдения, сделанные при проведении аудита, руководству проверяемого бизнес-процесса в такой форме, чтобы оно ясно представляло себе результаты аудита.
Руководитель аудита должен представить результаты аудита в порядке их значимости с точки зрения достижения целей бизнес-процессом (подразделением, Компанией). Руководитель аудита должен представить выводы группы аудиторов относительно эффективности проверяемого бизнес-процесса и обеспечения им достижения целей. Протокол заключительного совещания должен быть сохранен и приобщен к отчету об аудите.
Результаты аудита бизнес-процесса оформляются в виде отчета. Сдачу отчета Заказчику производит Руководитель аудита в сроки указанные в утвержденной программе аудита. Заказчик рассматривает представленный отчет и утверждает его или возвращает руководителю аудита на доработку.
Примечание: Для снижения вероятности доработок отчета и обеспечения полноценного выполнения программы аудита, целесообразно в ходе проведения аудита устраивать промежуточные совещания с руководителями проверяемого бизнес-процесса (подразделения). На этих совещаниях Руководитель аудита докладывает о ходе аудита, обнаруженных несоответствиях и проблемах. По результатам этих совещаний может быть принято решение о прекращении аудита, если количество обнаруженных несоответствий слишком велико или со стороны руководства проверяемого бизнес-процесса (подразделения) создано противодействие, не позволяющее достичь целей аудита.
Если Заказчик удовлетворен результатами аудита, то он утверждает отчет по аудиту.
Требования к анализу качества и эффективности работ по проведению аудита бизнес-процесса
Оценку качества и эффективности работ по проведению аудита бизнес-процесса проводит Руководитель аудита. Результаты оценки оформляются им в виде отчета и содержат:
1) анализ «план/факт» по исполнению программы и календарного плана работ по проведению аудита;
2) рекомендации по устранению несоответствий, обнаруженных в ходе проведения аудита, и возможных улучшениях в организации бизнес-процесса (Компании, подразделения);
3) оценку степени удовлетворенности потребителя (Заказчика) результатами аудита;
В случаях несогласования или не утверждения отчета по аудиту, Заказчик аудита проводит совещание с участием Владельца бизнес-процесса и Руководителем аудита. На этом совещании принимается решение о результатах и эффективности аудита бизнес-процесса.
Руководитель проекта и Владелец бизнес-процесса выясняют причины отклонений выявленных в ходе аудита и зафиксированных в отчете по аудиту и разрабатывают мероприятия по улучшению.