Цифровизация СМК
Цифровизация СМК

Автоматизация аудитов и наблюдений систем менеджмента с помощью информационных технологий позволяет повысить эффективность и качество процесса, уменьшить рутину и своевременно предоставлять руководству организации и другим стейкхолдерам (заинтересованным лицам) информацию для принятия правильных управленческих решений. В статье будут рассмотрены текущие проблемы компаний при проведении аудитов и сборе наблюдений систем менеджмента, а также собраны наиболее значимые пользовательские и функциональные требования для ПО автоматизации.

Предмет автоматизации

Аудит – это систематический, независимый и документированный процесс получения свидетельств аудита и их объективного оценивания для определения степени соответствия критериям аудита (ISO 19011:2018 / ГОСТ Р ИСО 19011-2021). Речь идет и о внутренних аудитах, называемых «аудитами первой стороны», проводятся обычно самой организацией, так и о внешних аудитах, так называемых «аудитах второй стороны» от потребителей и «аудитах третьей стороны», проводятся внешними независимыми аудиторскими организациями.

Цель аудита состоит в сборе объективных свидетельств, которые позволят выявить несоответствия в процессах, продуктах (услугах) и др., что служит основой для улучшения системы менеджмента.

Процесс проведения аудита основан на соблюдении принципов, необходимых для получения объективных, достоверных и независимых заключений аудита:

a) Честность: основа профессионализма;

b) Беспристрастное представление: обязательство представлять правдивые и точные отчеты;

c) Должная профессиональная осмотрительность: прилежание и обдуманность решений при проведении аудита;

d) Конфиденциальность: защита информации;

e) Независимость: основа беспристрастности аудита и объективности заключений аудита;

f) Подход, основанный на свидетельстве, рациональный метод достижения надежных и воспроизводимых заключений аудита в систематическом процессе аудита;

g) Риск-ориентированный подход: подход, учитывающий риски и возможности.

Разумеется, поддержание этих принципов всегда будет на сотрудниках, ответственных за поддержание систем менеджмента в Компании. Тем не менее, есть несколько составляющих, в которых автоматизация могла бы помочь и облегчить деятельность этих сотрудников. Например, принцип независимости – аудитор не должен иметь обязательств по тем процессам, которые он аудирует и не должен находиться в прямом подчинении руководителя аудируемого подразделения – контроль за этим можно переложить на систему, она просто не позволит назначить на аудит подразделения того аудитора, который находится в этом подразделении.

Еще один принцип – подтверждение сделанных выводов по результату аудита различными свидетельствами. В ходе проведения аудита система позволит прикладывать к свидетельствам аудита различные документы, фотографии, видео и т.д., также есть возможность указать просмотренные в ходе аудита документы и записи.

Наиболее часто встречающиеся проблемы при проведении аудитов, которые могли быть решены цифровизацией данных процессов.

Проблемы эффективности процессов СМ:

  • Процедуры планирования и проведения аудита разнятся от подразделения к подразделению и не стандартизированы на уровне Компании

Проблемы оперативности реагирования:

  • Длительные согласования по электронной почте или в бумажном виде не успевают за изменениями в окружающей среде Компании

  • Результаты проведения аудита доводятся до конечных исполнителей через почту / в бумажном виде

  • Зачастую согласование отчета об аудите затягивается ввиду включения в него анализа, КД и коррекции зафиксированных наблюдений

Проблемы планирования и Проблемы управления ресурсами:

  • Отслеживание доступных ресурсов производится на бумаге, нет инструмента оперативного ознакомления с текущей занятостью сотрудников на аудите

Проблемы контроля исполнительской дисциплины:

  • Отслеживание выполнения поставленных задач производится вручную

  • Отсутствует дополнительное автоматическое информирование о задачах и напоминания о необходимости их выполнения

Проблемы управления данными и проблемы аналитики:

  • Сбор разрозненных и хранящихся в разных местах данных для дальнейшей аналитики сильно затруднен

Проблемы оперативного реагирования – согласования планов, графиков, программ аудитов по электронной почте часто затягивается, замечания согласующих теряются, версии документов не контролируются, в результате, когда получается итоговый результат, он уже становится не актуальным. Еще одна немаловажная проблема – это проблема контроля исполнительской дисциплины – сейчас ответственному за программу аудитов приходится вручную отслеживать сроки и само выполнение мероприятий, относящихся к аудиту (в том числе, контролировать загрузку ресурсов), каким-то образом заставлять исполнителей, фиксировать нарушения выполнения заданий.

Сложности при сборе статистики и аналитики. Все данные хранятся в бумажном виде или в виде отдельных файлов, которые не являются структурированной информацией, а скорее являются разрозненной информацией, которую сложно собирать, сложно анализировать, на ее основе сложно делать выводы.

Автоматизация процессов по управлению систем менеджмента в целом, а также управление аудитами в частности должно решить указанные проблемы.

Пользовательские и функциональные требования к аудитам

Давайте рассмотрим, какие требования можно предъявлять к функциональным блокам Планирования и проведения Аудитов.

Формирование программы аудитов с возможностью указания периода действия программы.

  1. Организация процесса формирования, согласования и утверждения программы аудитов с последующим отображением «твердой копии» (утвержденный и подписанный документ) посредством встроенного в Систему просмотрщика документов или с возможностью загрузки документа на локальный ПК пользователя для просмотра, с отображением интерактивной Программы аудитов в интерфейсе Системы.

  2. Возможность быстрого перехода между утвержденной программой аудитов и аудитами, которые проводятся в рамках данной программы.

  3. Формирование изменений к программе аудитов по аналогии с процессом формирования исходной программы.

  4. В рамках согласования и утверждения программы у согласующих и утверждающего должна быть возможность добавления замечаний к каждому добавленному в программу аудиту. У разработчика программы должна быть возможность указания ответов на замечания (неограниченное количество) и указания статуса отработки оставленного замечания (принято, принято частично, отклонено). По замечаниям, по которым не было достигнуто согласие между согласующими и разработчиком, должна быть возможность эскалации рассмотрения замечания на уполномоченное лицо.

Отображение аудитов в виде списка аудитов, в виде календаря аудитов, в виде диаграммы Ганта с интерфейсной подсветкой планируемых, проводящихся и завершенных аудитов, возможность настройки цветов подсветки.

Отдельной задачей стоит ведение базы аудиторов и их квалификации.

  1. Возможность указания пройденных обучений аудитора с приложением сертификатов об обучении (как ограниченных по сроку действия, так и бессрочных).

  2. Возможность указания доступной степени участия аудитора (руководитель группы по аудиту, аудитор, стажер, технический эксперт) в аудитах в зависимости от вида аудита (внутренний, корпоративный, внешний).

  3. Возможность указания статуса аудитора (активен / не активен) для дальнейшей возможности или невозможности его привлечения для проведения аудитов.

  4. Автоматическое формирование интерактивного списка аудитов, в которых аудитор принимал участие.

  5. Представление интерактивного списка утвержденных реестров аудиторов, в которые включен данный аудитор.

  6. Предоставление информации об аудиторах в интерфейсе Системы с возможностью поиска аудиторов по различным параметрам.

Формирование реестра аудиторов с возможностью указания периода действия реестра.

  1. Организация процесса формирования, согласования и утверждения реестра аудиторов с последующим отображением «твердой копии» (утвержденный и подписанный документ) посредством встроенного в Систему просмотрщика документов или с возможностью загрузки документа на локальный ПК пользователя для просмотра, с отображением интерактивного реестра аудитов в интерфейсе Системы.

  2. Формирование изменений к реестру аудиторов по аналогии с процессом формирования исходного реестра. При инициации процесса внесения изменений в реестр Система должна отобразить ответственному сотруднику, формирующему изменения к реестру, те изменения, которые произошли в базе аудиторов по сравнению с состоянием базы аудиторов на момент формирования предыдущей версии реестра, с учетом возможности добавления тех или иных аудиторов в текущее изменение к реестру.

  3. В рамках согласования и утверждения реестра у согласующих и утверждающего должна быть возможность добавления замечаний к каждому добавленному в реестр аудитору. У разработчика реестра должна быть возможность указания ответов на замечания (неограниченное количество) и указания статуса отработки оставленного замечания (принято, принято частично, отклонено).

Формирование критериев аудита на основе справочника стандартов, по которым проводятся аудиты.

  1. Возможность изменения справочника стандартов (добавление новых стандартов, корректировка существующих, удаление существующих) без привлечения разработчика Системы.

  2. Возможность указания внутренних документов, на соответствие требованиям которых будут проводиться аудиты.

  3. Формирование как интегрированных критериев (объединяющих в себе требования нескольких стандартов), так и единичных критериев (т.е. содержащих в себе требование одного стандарта).

  4. Организация связи между критерием и конкретным подразделением организационной структуры, а также одновременная привязка к нескольким подразделениям.

  5. Создание обязательных и необязательных для аудита критериев.

Формирование опросников для аудитов. Организация связи между вопросами и критериями аудита, возможность указания нескольких вопросов для одного и того же критерия аудита.

Создание внеплановых аудитов (аудитов, которые не будут включены в Программу аудитов), автоматизация их жизненного цикла.

Планирование каждого конкретного аудита

  1. Формирование группы аудиторов для аудита. В Системе должно быть запрещено привлечение на аудит аудиторов, работающих в аудируемых подразделениях.

  2. Формирование и согласование плана проведения аудита в интерактивной форме. План аудита должен содержать:

  • критерии аудита (обязательные критерии должны добавляться в план автоматически без возможности их удаления из плана);

  • ответственных аудиторов, назначенных для проверки соответствующих критериев;

  • вопросы опросника для проведения аудита, связанные с выбранными критериями для данного аудита;

  • мероприятия аудита;

  • наблюдения, результативность отработки которых требуется проверить в рамках проведения данного аудита.

При согласовании плана аудита у утверждающих лиц должна быть возможность добавления замечаний к каждому критерию, вопросу, мероприятию и несоответствию к оценке результативности, добавленным в план. У разработчика плана должна быть возможность указания ответов на замечания (неограниченное количество) и указания статуса отработки оставленного замечания (принято, принято частично, отклонено).

3.   Возможность загрузки на локальный ПК пользователя «твердой копии» плана аудита.

Проведение аудитов

1. Формирование журналов аудиторов:

  • Журнал должен формироваться для каждого участника группы аудиторов с возможностью фиксации свидетельств аудита (неклассифицированные факты/события) и наблюдений аудита (классифицированные факты/события – несоответствия, рекомендации, соответствия и т.д.).

  • Возможность прикрепления файлов любых расширений и размеров к фиксируемым свидетельствам и наблюдениям аудита.

  • Возможность проведения оценки результативности отработки несоответствий (добавленных к оценке результативности в рамках данного аудита) независимо каждым из аудиторов.

У руководителя группы по аудиту должна быть возможность замены аудитора на другого в случае необходимости (при этом ограничения о недопустимости привлечения аудиторов из аудируемых подразделений или не включенных в утвержденный реестр аудиторов и о необходимости привлечения аудиторов с соответствующими степенями участия должны сохраняться).

2.  Выполнение мероприятий плана аудита:

  • По каждому мероприятию из плана аудита должна быть автоматически создана задача на указанного ответственного исполнителя в момент наступления даты и время планового старта выполнения мероприятия.

3.  Формирование отчета об аудите:

  • Автоматическая консолидация наблюдений из всех журналов аудиторов в итоговый отчет об аудите с возможностью редактирования данного отчета руководителем группы по аудиту на этапе формирования отчета.

  • Указание итогового решения по результативности отработки несоответствий, добавленных к оценке в рамках аудита.

  • Указание итогового заключения руководителя группы по аудиту.

  • Организация процесса согласования и утверждения интерактивного отчета об аудите с возможностью добавления замечаний к каждому зафиксированному наблюдению в отчете и к итоговому заключению. У разработчика отчета должна быть возможность указания ответов на замечания (неограниченное количество) и указания статуса отработки оставленного замечания (принято, принято частично, отклонено). По замечаниям, по которым не было достигнуто согласие между согласующими и разработчиком, должна быть возможность эскалации рассмотрения замечания на уполномоченное лицо.

  • Возможность выгрузки данного отчета в виде «твердой копии» по заранее заданной форме.

Автоматическое создание наблюдений, утвержденных в рамках отчета об аудите, в базе наблюдений и инициация процессов по отработке данных наблюдений. Быстрый переход между списком наблюдений в отчете об аудите и информации об отработке каждого из указанных наблюдений.

Организация поиска аудитов по различным критериям.

Требования к функциональному блоку работы с Наблюдениями (Несоответствия, Рекомендации, Соответствия, Сильные стороны)

Автоматизация различных жизненных циклов наблюдений в зависимости от вида наблюдения (несоответствие, рекомендация, соответствие, сильная сторона).

Автоматическое (из других подсистем Системы) и ручное создание наблюдений.

Проведение анализа несоответствия.

  1. Автоматическое назначение ответственного за рассмотрение несоответствия по заранее заданным правилам, возможность делегирования.

  2. Определение корневых причин возникновения несоответствия по методологии «5 Почему».

  3. Связывание перекрестными ссылками анализируемого несоответствия с аналогичными несоответствиями. Автоматическая подборка предполагаемых аналогичных несоответствий.

Разработка, согласование и утверждение интерактивных планов по несоответствию:

  1. Формирование плана корректирующих действий, его независимое (от плана коррекции) согласование. Возможность отказаться от проведения корректирующих действий, решение должно быть согласовано.

  2. Формирование плана коррекции, его независимое (от плана корректирующих действий) согласование. Возможность отказаться от проведения коррекции, решение должно быть согласовано.

  3. Возможность оставления замечаний к каждому конкретному мероприятию планов в рамках их согласования. У разработчика плана должна быть возможность указания ответов на замечания (неограниченное количество) и указания статуса отработки оставленного замечания (принято, принято частично, отклонено).

Реализация мероприятий планов по несоответствию

  1. Назначение задач по каждому мероприятию планов (для каждого мероприятия предусмотрен свой ответственный исполнитель, плановый срок выполнения и ответственный за проверку реализации).

  2. Возможность формирования изменений к планам по несоответствию, изменения должны проходить согласование, к запросу на изменение должна быть возможность приложить файлы (документы), подтверждающие необходимость изменения плана.

  3. Возможность прикрепления файловых свидетельств выполнения мероприятий планов по несоответствию (для сохранения в Системе должны поддерживаться любые форматы файлов) и оставления комментария исполнителя.

  4. Возможность назначения ответственного за проверку каждого из мероприятий планов по несоответствию с опцией прикрепления файлов о результате проверки и оставления комментария проверяющего лица. Возможность направления мероприятия на доработку.

  5. Представление истории изменений планов мероприятий по несоответствию и выполнения мероприятий в интерактивном формате.

Проведение оценки результативности отработанного несоответствия, перекрестная ссылочная связь с наблюдениями, подтверждающими результативность или нерезультативность отработки оцениваемого несоответствия. Возможность оценки результативности отработки несоответствия в рамках проведения аудита.

Разработка, согласование и утверждение интерактивного плана по рекомендации. Возможность оставления замечаний к каждому конкретному мероприятию плана в рамках их согласования. У разработчика плана должна быть возможность указания ответов на замечания (неограниченное количество) и указания статуса отработки оставленного замечания (принято, принято частично, отклонено).

Реализация мероприятий плана по рекомендации

  1. Назначение задач по каждому мероприятию плана (для каждого мероприятия предусмотрен свой ответственный исполнитель, плановый срок выполнения и ответственный за проверку реализации).

  2. Возможность формирования изменений к плану по рекомендации, изменения должны проходить согласование, к запросу на изменение должна быть возможность приложить файлы (документы), подтверждающие необходимость изменения плана.

  3. Возможность прикрепления файловых свидетельств выполнения мероприятий плана по рекомендации (для сохранения в Системе должны поддерживаться любые форматы файлов) и оставления комментария исполнителя.

  4. Возможность назначения ответственного за проверку каждого из мероприятий плана по рекомендации с опцией прикрепления файлов о результате проверки и оставления комментария проверяющего лица. Возможность направления мероприятия на доработку.

  5. Представление истории изменений плана мероприятий по рекомендации и выполнения мероприятий в интерактивном формате.

Возможность пользователям осуществлять поиск наблюдений по атрибутам наблюдений и связанных с ними объектов в интерфейсе Системы с последующей выгрузкой полученной информации из Системы по заранее заданной форме.

Заключение

Таким образом, требования к автоматизации аудитов и наблюдений являются основополагающими в цифровой трансформации систем менеджмента на предприятии. Формализация данного вопроса поможет найти «правильную» информационную систему или подрядчика для разработки собственной системы с нуля.

В ближайшем будущем потребность в использовании инструментов автоматизации процедур систем менеджмента будет только увеличиваться, поэтому компаниям необходимо озаботиться об их внедрении уже сегодня. Бизнес-среда становится более сложной, более конкурентной, требования внешних регуляторов более жесткими, соответственно общая автоматизация и информационная безопасность – более востребованными. Будут расти требования и к проведению аудитов и фиксации наблюдений. Инструменты автоматизации помогут быстрого, качественного и адекватно текущим потребностям компании вести аудиты, что станет одним из конкурентных преимуществ.

Комментарии (2)


  1. avf48
    24.05.2024 18:25
    +1

    Автоматизировать Аудит только по 19011 не по фэншую... Без реестра процессов и объектов предприятия (по 57193/15288, 15504итд) Планирование и КиПД, будут иметь "отвлечённый" от бизнеса характер.

    сухпаёк инженера СМК

    К тому же, у Инженера по управлению Качеством, аудит занимает не так много времени. Управление процедурами/стандартами (включая пересмотр) куда более проблемная вещь. Да и применять стат методы в экселе проблематично...

    60% несоответствий, к гадалке не ходи, будут по 7.5.3 Управление документированной информацией (9001)... ну или может где то есть актуальные ДИ и ПСП))) тогда 50%...

    стат методы ук

    ПС: Без человеческого или ГОСТовского описания архитектуры ИС, заниматься автоматизацией СМК невозможно, с другой стороны, для СБ аудит, а те предоставление документов и данных, это Ад с организацией доступов.... так что, только ИСМ, только хардкор! (9001+19011+27001 идр)


  1. VitoArzi
    24.05.2024 18:25
    +1

    Видимо, автор решил проверить на адекватность ТЗ, пришедшее от кулибина из отдела СМК госудаственного уралмаша:

    1. Постановку задачи делал человек, который не видит BigPicture, соответственно идет попытка решить частный случай глобальной задачи, отсюда проистекают все дальнейшие проблемы и замечания.

    2. То что называется "аудитами СМК" на самом деле называется аудитом процессов, частным случаем которых является финансовый и юридический аудит различных видов (финансовый, налоговый, контролей, дьюдил).

    3. Аудит делается на основе риск ориентированного подхода, для которого должны быть задействованы как минимум два понятия: перечень рисков и размер выборки. Об этом ни слова.

    4. Аудит делится на 2 глобальных вида: внутрений и внешний. Основное отличие - перечень рисков и его источник. Для внутреннего - это накопленная база компании на основе описания бизнес-процессов, для внешнего - накопленный опты аудитора.

    5. План аудита - план аудита рисков.

    6. Автор попытался смешать коней и людей, а именно следующие системы:

      BPM, PM, управления рисками и т.п..

    7. Все решают описанные обычными офисами пакетами, просто нужно все грамотной структурировать. "Журнал" аудита ВСЕ ведут просто в Экселе. Мне так не нравится. Мне очень нравилось работать 25 лет назад в одной из компаний BIg4 в специально настроенной базе LotusNotes под этоу задачу. Но разработку такой базы даже на lowcode может позволить себе только Big4 и условный УВЗ.

    8. Самый простой и дешевый способ решения боли заказчика нанять вместо "специалиста СМК", опытного Директора по внутреннему аудиту с западным образованием, который все грамотно организует и структурирует.