Внутренний аудит как проводить: Внутренний аудит на предприятии. Проведение, организация

Содержание

Внутренний аудит на предприятии. Проведение, организация

Содержание страницы

Внутренний аудит применяется в большинстве крупных компаний. Он нужен для предотвращения появления существенных недочетов. Проводится в соответствии с заданным алгоритмом.

Как организовать проведение внутреннего кадрового аудита и оформить итоги в организации?

Что собой представляет внутренний аудит

Внутренний аудит представляет собой проверку деятельности компании, которая проводится в интересах собственника. Процедура осуществляется на основании регламента, составленного самой фирмой. В процессе проверяются документы, проводится опрос сотрудников.

Вопрос: В чем основные отличия функционала службы внутреннего контроля и службы внутреннего аудита?
Посмотреть ответ

Основные задачи

Рассмотрим задачи внутреннего аудита фирмы:

  • Организация эффективной финансово-хозяйственной деятельности.
  • Налаживание продуктивного взаимодействия с контрагентами.
  • Предупреждение появления существенных нарушений.
  • Снижение количества убытков.
  • Обеспечение соответствия деятельности закону.
  • Проверка достоверности информации, изложенной в документах.

Внутренний аудит нужен, прежде всего, руководителю компании. Результаты проверки помогут оптимизировать производство.

Вопрос: В каком случае целесообразно принятие решения о вынесении функции внутреннего аудита на аутсорсинг?
Посмотреть ответ

Законодательная база

Работа специалистов, осуществляющих внутренний аудит, должна соответствовать международным (МСВА) и отечественным стандартам. Она регламентируется ФЗ №307 «О деятельности аудитора». Кроме того, проверка не должна противоречить этим нормам:

  • ФЗ №115 «О противодействии отмыванию преступных доходов» от 7 августа 2001 года.
  • ФЗ №273 «О противодействии коррупции» от 25 декабря 2008 года.

Стандарты внутреннего аудита должны также содержаться во внутренних документах компании.

Что проверяется в процессе внутреннего аудита

Проведение внутреннего аудита предполагает комплексный подход. То есть осуществляется проверка всех аспектов деятельности предприятия. В частности, это:

  • Ведение учета ОС, нематериальных активов, кассовых операций, финансовых итогов, капитала и прочего.
  • Операции по валютным, расчетным и прочим счетам, расчетам с контрагентами, страховыми компаниями.
  • Состояние ОС, документальное оформление средств, правильность начисления амортизации, исполнение плана ремонтных работ.

Аудитор также должен удостовериться в информационной безопасности. Проверяется обработка информации в компании, действующая информационная система, наличие коммерческих тайн. Специалист проводит аудит системы защиты сведений.

Разновидности внутреннего аудита

Существуют различные виды внутреннего аудита. Проверка подразделяется на типы в зависимости от задач, поставленных перед аудитором. Существуют следующие его разновидности:

  • Проверка системы управления.
  • Организационно-технический контроль.
  • Контрольный аудит основных направлений деятельности.
  • Проверка на соответствие работы внутренним и законодательным нормам.
  • Установление целесообразности деятельности должностных лиц.

Все рассматриваемые разновидности аудита обязательными не являются. Проводятся они по инициативе руководителя.

Документальное сопровождение аудита

В рамках проверки нужно обязательно составить ряд документов. В обратном случае аудит не будет правомерным.

Издание приказа об аудите

Проверка осуществляется на основании приказа руководителя. Этот документ устанавливает следующие аспекты работы:

  • Даты проведения проверки.
  • Сотрудники, которые будут заниматься аудитом.
  • Условия для проведения внутреннего аудита.
  • Контроль над работой аудитора.

В приказе должны содержаться четкие указания относительно начала аудита.

Чек-лист

В рамках аудита проводится контроль множества сфер. Выполняется много операций, последовательность которых нужно соблюдать. Для соблюдения алгоритма рекомендуется составлять чек-лист. Он включает в себя список контрольных вопросов. Не существует законов, регламентирующих составление этого документа. Чек-лист заполняется в соответствии с пожеланиями руководителя. Он позволяет решить эти задачи:

  • Правильное планирование контрольного мероприятия, соответствующее закону.
  • Исполнение промежуточного и выборочного контроля деятельности аудитора.
  • Осуществление всех основных этапов процедуры.
  • Облегчение работы аудитора.
  • Возможность проведения комплексной и целостной процедуры.

Составлять чек-лист можно на основании положений ФЗ №307 «Об аудиторской деятельности» от 30 декабря 2008 года.

Этапы проведения внутреннего аудита

Внутренний аудит можно подразделить на три этапа:

  1. Подготовка. Включает в себя издание приказа, составление чек-листа.
  2. Рабочий. В рамках его проводится проверка документации на предмет соответствия нормам закона, опросы сотрудников и руководящего состава.
  3. Итоговый. Составляется заключение, в котором прописываются результаты процедуры.

Каждый из этих этапов имеет свое значение. К примеру, если не будет проведена адекватная подготовка, процедура в дальнейшем станет не такой эффективной.

Инструменты внутреннего аудита

Составляющие внутренней проверки зависят от нужд компании. К примеру, это могут быть следующие инструменты:

  • Проверка правильности составления смет, проектов и планов.
  • Анализ имеющихся заказов на поставку сырья.
  • Проверка исполнения договоров поставки.
  • Установление фактического списания материалов в производство.
  • Установление правильности расчетов, проверка отражения их итогов в учете себестоимости товаров.
  • Проверка счетов-фактур.
  • Проверка правомерности начисления амортизации.
  • Исполнение контроля за движением средств.
  • Своевременное отражение в бухучете всех хозяйственных операций.
  • Установление правильности расчетов с контрагентами.

Этот перечень может быть дополнен. Характер дополнений определяется спецификой деятельности компаний.

Аудиторы в ходе своей работы используют самые различные инструменты. К примеру, если проверяются счета-фактуры, актуален следующий порядок контроля:

  • Установление верности ведения книги продаж и покупок.
  • Анализ счетов-фактур на предмет наличия пропущенных номеров.
  • Контроль над внесением всех проводок в Главную книгу.
  • Проверка верности счетов покупателей.
  • Сверка сведений аналитического и синтетического учета.
  • Сверка дат выполняемых операций с датами, указанными в счетах-фактурах.

Проверка движения материальных ценностей проводится посредством инвентаризации. К этой процедуре нужно подготовиться. Подготовка включает в себя эти этапы:

  • Составление списка материалов, которые подлежат инвентаризации.
  • Формирование инвентаризационной комиссии.
  • Получение расписки о том, что все документы, касающиеся МПЗ, находятся в бухгалтерии.

Анализ верности начисления амортизации выполняется на основании документов. В перечень бумаг, подлежащих аудиту, входят инвентарные карточки. Аудитор также может проводить перерасчет.

Результаты внутреннего аудита

Результаты аудита фиксируются в отчете. В нем прописывается эта информация:

  • Перечень проверенных документов и областей деятельности.
  • Выявленные недочеты.
  • Рекомендации по исправлению недочетов.
  • Лицо, которое проводило аудит.

Отчеты об аудите должны быть сохранены. Они могут сравниваться между собой для того, чтобы проанализировать динамику деятельности компании. На основании отчетов производится работа по исправлению обнаруженных недочетов.

К СВЕДЕНИЮ! Не каждый сотрудник может участвовать в аудите. Желательно, чтобы у специалиста было соответствующее образование. Получить все необходимые знания можно на специализированных курсах.

Пошаговая инструкция для проведения внутреннего аудита на пищевом производстве

Внутренние аудиты  – проверки, которые проводятся самой организацией. Это ключевой управленческий инструмент для оценки соответствия системы менеджмента стандарту. Если вы являетесь руководителем и имеете отношение к качеству в компании, вам пригодится наш гайд.

Для реализации проверки нужно выполнить определенные шаги:

  1. Разработать программу внутреннего аудита, чек-листы, утвердить процедуру;

  2. Запланировать внутренний аудит;

  3. Сформировать команды внутренних аудиторов под задачу;

  4. Провести аудит;

  5. Выпустить отчет;

  6. Получить список корректирующих и предупреждающих действий для дальнейшего контроля. 

Рассмотрим аудит поэтапно и отметим самые важные моменты. Основной акцент будет на внутреннем аудите пищевого производства, однако методику можно назвать универсальной: добавив отраслевую специфику, ее можно использовать почти в любой сфере деятельности. 

Разрабатываем документацию 

Внутренний аудит начинается с разработки процедуры, которая должна содержать как минимум:

  • область применения;

  • термины и определения;

  • нормативные ссылки;

  • информацию об ответственных лицах;

  • программу внутреннего аудита;

  • план внутреннего аудита;

  • метод оценки внутренних аудиторов;

  • чек-лист;

  • требования к отчету и плану корректирующих мероприятий;

  • порядок согласования результатов аудита;

  • мониторинг выполнения плана корректирующих мероприятий. 

Программу обычно составляют на год, в ней планируют проведение аудитов. В программу аудитов включают в том числе цели, объекты аудита, процедуры, методы, критерии, ресурсы, включая командировочные расходы, а также информацию о том, кто будет проводить проверку, где и когда. 

Как часто проводить внутренние плановые аудиты, руководство компании решает самостоятельно. Иногда одного раза в год бывает достаточно, но все зависит от сферы деятельности и потенциальных рисков.

Обязательно следует прописать в процедуре основания для внеплановых внутренних аудитов, например, такие как: 

  • регулярные проблемы с качеством продукции;

  • претензии потребителей;

  • изменения в технологии производства; 

  • изменения в плане  ХАССП .

Создать чек-листы для аудиторов можно, например, на основании стандартов и внутренних процедур, а также  КПЭ . Для каждого процесса сделайте отдельный чек-лист, предусмотрите в нем места для указания даты, команды аудита и подписи проверяемого.

Обычно в чек-лист аудита по пищевой безопасности включают вопросы по темам:

  • ХАССП;

  • Анализ рисков;

  • Санитарная программа;

  • Борьба с вредителями;

  • Контроль  опасностей ;

  • Прослеживаемость и отзыв товара;

  • Проверка поставщиков;

  • Хорошие производственные практики;

  • Работа с жалобами потребителей;

  • Приемка, хранение и отгрузка ингредиентов и продукции;

  • Обучение;

  • Профилактическое обслуживание оборудования;

  • Соблюдение параметров производства и рецептур;

  • Лабораторные исследования продукции;

  • Мониторинг окружающей среды и др.

Формируем команды

Заранее подумайте, как будет проводиться оценка внутренних аудиторов, каковы будут критерии принятия решений. Оценку проводите перед каждым внутренним аудитом и документируйте ее так, как установили в процедуре «Внутренний аудит», например, в баллах. 

При оценке нужно учесть личные и профессиональные качества и навыки внутреннего аудитора. Среди личных качеств могут быть:

  • наблюдательность; 

  • этичность;

  • доброжелательность;

  • организационные навыки;

  • умение слушать.

Среди профессиональных:

  • пройденное обучение;

  • сертификаты;

  • опыт участия в предыдущих внутренних аудитах;

  • опыт работы по требуемому направлению;

  • репутация сотрудника;

  • отсутствие взысканий. 

Можно оценить и soft skills. Например, ответив на вопросы:

  • может ли аудитор сделать так, чтобы проверяемые захотели ему помочь;

  • признает ли он свои ошибки, как только их обнаруживает.

Оцените объективность, беспристрастность и независимость аудиторов от процесса или деятельности, подлежащей аудиту. Например, сотрудник не должен проверять подразделение, в котором работает или ранее  работал . 

Если проверку проводят сразу несколько аудиторов, назначьте руководителя проверки. Выбрать его можно, исходя из количества набранных баллов при оценке аудиторов. 

Организационные вопросы 

План внутреннего аудита составляется непосредственно перед аудитом. Он основывается на программе аудита, а также информации, предоставленной проверяемым подразделением. План должен способствовать наилучшей координации, соблюдению последовательности и сроков выполнения работ. Он содержит подробную информацию о том, кто будет в группе по аудиту, о разделении обязанностей, времени для аудита каждого подразделения или процесса, применяемых методах проверки. 

Аудит может быть объявленным или необъявленным. В первом случае аудируемое подразделение заранее предупреждают о дате проведения аудита, чаще компании применяют метод формального письменного уведомления. 

Уведомите проверяемого об  объеме аудита и плане его проведения : какие люди в каком отделе и в какое время будут задействованы. Уточните, что на вводном и заключительном собрании очень желательно присутствие руководства. 

Что касается необъявленного аудита, то в нем есть смысл, если оценка системы внутреннего контроля или системы управления рисками входит в основной функционал аудиторов либо если высоки риски злоупотреблений, халатного отношения, мошенничества.

Необъявленный аудит не нужен, если функция аудита – это скорее поиск улучшений, чем оценка рисков и контролей 

Необъявленные аудиты часто воспринимаются негативнее, чем объявленные, но достоверность результатов такого аудита может быть гораздо выше, ведь аудиторов не ждут и можно оценить реальное состояние дел. Кроме того, такая практика держит в тонусе работников. 

Если было принято решение о проведении необъявленного внутреннего аудита, позаботьтесь о том, чтобы информация о его проведении не утекла раньше времени. Например:

  • план необъявленных аудитов должен знать только руководитель подразделения внутреннего аудита, а аудитору сообщайте о том, какое подразделение он проверяет, непосредственно перед проверкой;

  • если необходима командировка, покупайте билет самостоятельно, а не через компанию. Командировочное удостоверение оформляйте уже  по факту . 

Проверка и отчет

Обязательно начните аудит с проведения вводного собрания, на котором:

  • объясните, что внутренний аудит будет проверять и по каким стандартам/требованиям;

  • напомните, как в соответствии с процедурой будут категоризированы риски. Например: критическое несоответствие; несоответствие; соответствие или возможность для улучшения;

  • сообщите, кто будет задействован в процессе и когда;

  • определите, какие инструменты будут применять аудиторы. Например: анализ документации, осмотр производства, опрос персонала;

  • уточните, в какие сроки необходимо будет составить и реализовать план корректирующих и предупреждающих мероприятий; 

  • обсудите запрос документов и данных, которые могут понадобиться при проведении аудита; 

  • не забудьте уточнить, что у вас нет цели найти виновных или несоответствия, а наоборот, цель – собрать свидетельства того, что система работает.

Теперь переходим к самой проверке.

Подробно записывайте все увиденное и услышанное. При просмотре документации записывайте подробности: название документа, ссылку, дату выпуска и так далее. Опрашивая персонал, документируйте имя сотрудника, должность и отдел. Когда осматриваете производство и иные процессы или помещения, записывайте или делайте подробные фото того, что было фактически замечено. К примеру, используемое оборудование, его состояние, даты последнего обслуживания. Все это понадобится при написании отчета.

Помните: проводя аудит, вы собираете информацию, а не предоставляете ее.

Во время интервью большую часть времени должен говорить проверяемый: хорошей целью будет 80/20% в пользу аудируемого 

Несколько советов:

  • Все участники аудита должны сотрудничать для достижения целей аудита.

  • Аудиторам нужно соблюдать те же правила техники безопасности и производственные практики, что и другим сотрудникам.

  • Сопровождающие аудитора не должны отвечать на все вопросы. Например, если аудитор спрашивает сотрудника, ответственного за мойку инвентаря, о правилах его работы, на вопрос должен ответить именно ответственный за мойку.

  • Не забудьте проверить действия по результатам предыдущего внутреннего аудита: были ли предприняты корректирующие меры, и если да, то какова их эффективность.

По итогам аудита важно получить подтверждение того, что:

  1.  процесс документирован;

  2. результаты деятельности компании измеряются;

  3. компания может доказать, что работает в соответствии с регламентами и инструкциями;

  4. персонал понимает свою роль. 

На заключительном собрании поблагодарите проверяемых за их помощь во время внутреннего аудита. Объясните, что внутренний аудит основан на выборке и что это срез ситуации в данный момент. Напомните, что любые вопросы приветствуются. 

Еще раз уточните объем и цели аудита, чтобы удостовериться, что все понимают, что было проверено.

Дайте общее резюме своих выводов во время аудита. Это возможность обобщить свои мысли и дать обратную связь по тем областям, в которых система работает хорошо. Этот совет поможет избавить людей от стереотипа, что аудит – это поиск несоответствий. После можно обсудить и выявленные проблемы: выслушайте любые высказанные замечания и вопросы. Несоответствия, которые не принимаются, должны быть изучены дополнительно, и вам нужно попытаться достичь соглашения и убедиться в достаточной обоснованности своих выводов. Если соглашения достичь не удалось, информацию о наличии несоответствия и разногласиях надо довести до  менеджера по качеству . 

Наконец, аудитор должен поблагодарить проверяемых за их сотрудничество во время аудита и проинформировать их о том, когда будет подготовлен аудиторский отчет, а также о сроках предоставления плана корректирующих мероприятий.

После завершения проверки сформируйте отчет по внутреннему аудиту. Он должен быть написан просто и понятно. Представьте, что его читает человек, далекий от тематики аудита: отчет не должен вызывать у него вопросов. Согласуйте его, утвердите и направьте аудируемым.

В установленные сроки получите от аудируемого подразделения план корректирующих мероприятий с указанием ответственного и планируемой даты выполнения. Согласуйте и отслеживайте выполнение.

Результат внутреннего аудита и программы корректирующих мероприятий являются фундаментальным элементом для процесса анализа со стороны руководства, а также важным инструментом для снижения рисков.


А.Сонин «Зачем компании нужен внутренний аудит?» — Теория внутреннего аудита

Алексей Сонин, дипломированный внутренний аудитор,
президент российского Института внутренних аудиторов

Одним из наиболее действенных инструментов выявления возможностей для повышения эффективности бизнеса и, следовательно, одним из конкурентных преимуществ компании может стать внутренний аудит.
Еще до недавних пор внутренний аудит в компании во многих случаях играл роль «золушки», которая выполняет нелегкую и не всегда чистую работу и которую, по большому счету, никто не любит. Но постепенно подобное отношение чудесным образом изменилось. Сегодня внутренний аудит — в моде, и многие руководители и собственники хотели бы внедрить его у себя в компаниях, часто не вполне осознавая огромный потенциал, которым тот обладает. Между тем перед внутренним аудитом ставятся все более масштабные задачи, повышаются требования к нему самому и, соответственно, растет нагрузка на внутренних аудиторов. В некоторых случаях к внутреннему аудиту начинают относиться как к палочке-выручалочке, которая все сможет и все исправит.
Что же такое внутренний аудит и чем он может быть полезен компании? Дать ответы на эти вопросы — цель предлагаемой вашему вниманию статьи.

Почему внутренний аудит привлек внимание

Внутренний аудит, являясь понятием не новым, привлек к себе особое внимание в начале третьего тысячелетия. Растущий интерес к внутреннему аудиту в мире обусловлен, по нашему мнению, рядом факторов.

Во-первых, внутренний аудит является одним из немногих доступных на данный момент и в то же время недооцененных ресурсов, правильное использование которых может повысить эффективность компании.

Во-вторых, череда громких корпоративных скандалов, прокатившихся по США и Западной Европе, дала основания считать, что институт внешнего аудита может давать серьезные сбои, вследствие которых терпят банкротства даже крупнейшие компании.

В-третьих, наличие в компании хорошего корпоративного управления, одним из неотъемлемых звеньев которого становится внутренний аудит, является положительным сигналом для потенциальных инвесторов и кредиторов и повышает инвестиционную привлекательность компании.

В российских условиях к вышеназванным добавляется еще ряд факторов. Прежде всего, это желание (которое, как правило, вызвано острой необходимостью) собственников и менеджмента упорядочить структуру и организацию бизнес-процессов, что может привести к существенной экономии средств компании. Кроме того, наличие в компании внутреннего аудита становится весьма актуальным для собственников-менеджеров компаний, которые отходят от непосредственного ведения дел, передавая бразды правления в руки профессиональных менеджеров. И, наконец, планы выхода в краткосрочной или среднесрочной перспективе на международные рынки капитала диктуют компаниям необходимость создания служб внутреннего аудита. (Правила крупнейших фондовых бирж (Нью-Йоркской, Лондонской) предусматривают наличие в компании внутреннего аудита как обязательное условие внесения ценных бумаг компании в котировальные списки биржи.)

Понятие внутреннего аудита

Приведем определение, которое дает внутреннему аудиту международный Институт внутренних аудиторов (The Institute of Internal Auditors): «Внутренний аудит есть деятельность по предоставлению независимых и объективных гарантий и консультаций, направленных на совершенствование деятельности организации. Внутренний аудит помогает организации достичь поставленных целей, используя систематизированный и последовательный подход к оценке и повышению эффективности процессов управления рисками, контроля и корпоративного управления». Определение охватывает основные характеристики внутреннего аудита, на которых мы сейчас кратко остановимся.

  1. Независимость и объективность. Прежде всего, сама профессия внутреннего аудитора основывается на двух фундаментальных качествах — независимости и объективности. Независимость в данном случае является понятием организационным и определяется в значительной степени уровнем подчиненности службы внутреннего аудита в компании. Под объективностью понимается индивидуальное качество внутреннего аудитора, заключающееся в том, насколько тот беспристрастен в своих оценках и выводах.
  2. Совершенствование деятельности организации. Целью внутреннего аудита, как следует из определения, является совершенствование деятельности организации. Подчеркнем — не выявить нарушения и ошибки для последующих оргвыводов и наказания виновных, не написать отчет на несколько десятков страниц с сотней трудновыполнимых рекомендаций, а увидеть и оценить риски, слабые стороны в работе организации и дать рекомендации, направленные на улучшение и повышение эффективности систем и процессов.
  3. Предоставление гарантий1 и консультаций. Сущность деятельности внутреннего аудита заключается в предоставлении гарантий (англ. assurance) и консультаций (англ. consulting) заказчикам (клиентам) внутреннего аудита. При этом сфера предоставления гарантий и консультаций за последние годы существенно расширилась и включает на сегодняшний день следующие области: управление рисками, внутренний контроль, корпоративное управление.
    Предоставление гарантий, в данном случае, есть объективный анализ аудиторских доказательств с целью осуществления независимой оценки и выражения мнения о надежности и эффективности систем, процессов, операций. Основное отличие консультирования от предоставления гарантий заключается в том, что в первом случае характер и объем работы аудитора определяются клиентом.

Различия между двумя видами деятельности — предоставлением гарантий и консультированием — приведены в таблице.

Гарантии (Assurance) Консультирование (Consulting)
  • отношения «заказчик-аудитор-аудируемый»
  • заказчик — совет директоров, высшее исполнительное руководство
  • оценка надежности и эффективности систем управления рисками, контроля, корпоративного управления
  • характер и объем работы определяет аудитор
  • аудиторское мнение в форме формального отчета
  • обязательный контроль за исполнением рекомендаций
  • отношения «клиент-аудитор»
  • клиент — линейное (операционное) руководство (как правило)
  • содействие в повышении эффективности деятельности, оценка новых систем и процедур с точки зрения возможных рисков
  • характер и объем работы определяет клиент
  • рекомендации в виде отчета или другом виде по соглашению с клиентом
  • контроль за исполнением рекомендаций не обязателен (его необходимость определяется клиентом)

Для собственников в лице совета директоров более важна деятельность внутреннего аудита по предоставлению гарантий. С точки зрения линейного руководства, наибольшая ценность внутреннего аудита заключается в возможности получить консультации по вопросам повышения эффективности бизнес-процессов, за которые линейное руководство несет ответственность. Высшее исполнительное руководство заинтересовано как в том, чтобы внутренний аудит содействовал линейному руководству в выполнении его функций, так и в том, чтобы внутренний аудит помогал контролировать деятельность линейного руководства

Сегодня идут интенсивные дискуссии на тему, какое соотношение должно быть между временем, которое внутренний аудит уделяет деятельности по предоставлению гарантий и деятельности по предоставлению консультаций. Некоторые представители профессии ратуют за «абсолютную чистоту», предполагая, что основная ценность внутреннего аудита заключается именно в предоставлении объективных гарантий и поэтому консультации должны занимать минимальное время в графике работы аудиторов. Ведь чем больше внутренний аудит занят консультационной работой, тем в общем случае больше потенциальная угроза объективности внутреннего аудита — проекты и области, где внутренний аудитор сегодня участвовал в качестве консультанта, подлежат проверке внутренним аудитором завтра. Сторонники другой точки зрения утверждают, что внутренний аудит может быть наиболее полезен для компании именно на этапе изменения и/или внедрения систем/процедур, поскольку для компании в целом потенциальные выгоды от такого участия внутренних аудиторов в качестве консультантов все же превышают риск снижения объективности результатов работы внутренних аудиторов в будущем. Тем более что есть достаточно много способов нивелировать данное отрицательное влияние на объективность внутренних аудиторов.

Поскольку основной задачей внутреннего аудита, на наш взгляд, является предоставление объективных гарантий (которые возникают в результате тех самых проверок, хотя «проверка» не самое удачное слово в лексиконе внутреннего аудитора), следует быть предельно аккуратным в вопросе увеличения относительной доли консультационной работы, чтобы избежать отрицательного влияния на последующую объективность внутреннего аудита.

Практика различных компаний в этом плане очень сильно отличается. В иностранных компаниях, до недавних пор, наблюдалась тенденция роста значимости внутреннего аудитора как консультанта. В данный момент можно говорить о примерном соотношении 80/20, когда 80% времени, отведенного на аудиторские задания, приходится на деятельность по предоставлению гарантий и 20% — на консультационную работу2. Однако после громких корпоративных скандалов последнего времени растет убеждение, что ценность внутреннего аудита для компании заключается именно в предоставлении объективных гарантий.

Роль внутреннего аудита в компании

Насколько внутренний аудит нужен собственникам бизнеса? Чем внутренний аудит может быть полезен менеджерам компании?

Решение о том, необходим ли в компании внутренний аудит, принимают собственники и высшее исполнительное руководство компании. Определяется это решение многими факторами, к которым, прежде всего, относятся: разделение функции владения и управления бизнесом; размеры и структурная разветвленность компании; уровень рисков, присущих деятельности компании.

В тех случаях, когда собственники бизнеса являются менеджерами компании и сами полностью контролируют все аспекты бизнеса, в наличии функции внутреннего аудита может не быть надобности. Однако с ростом размеров компании и повышением сложности процессов управления у собственников-менеджеров может сложиться иллюзия контроля, когда создается впечатление, что бизнес не сильно меняется и все стороны деятельности компании находятся под контролем; но на самом деле у руководства уже не хватает физической возможности контролировать ситуацию во всей полноте. И тогда внутренний аудит может оказаться весьма полезен.

Отметим, что в Европе и США совмещение функций владения и управления бизнесом характерно для малого и отчасти среднего бизнеса. В крупных и многих средних компаниях существует разделение данных функций (эта объективная тенденция начинает прослеживаться и в российских компаниях), когда собственники занимаются вопросами определения стратегии и направлений развития компании, не вникая в повседневные детали ведения дел, а для управления компанией нанимают профессиональных менеджеров. Но каким бы профессиональным ни был менеджмент, для собственников актуальным становится вопрос контроля за состоянием дел в компании («доверяй, но проверяй»). И в этом случае одним из действенных инструментов контроля может стать внутренний аудит.

Внутренний аудит необходим не только собственникам, но и менеджменту компании. Задача менеджеров — управлять бизнесом, достигая поставленных целей наиболее эффективным образом. Успешность выполнения этой задачи зависит в значительной степени от двух факторов: 1) обладает ли менеджер информацией, необходимой для принятия правильных управленческих решений; 2) существует ли эффективная система контроля выполнения принятых решений.

Сами менеджеры, для которых управление бизнесом является частью повседневной работы, не всегда способны объективно оценить ситуацию. Даже если менеджер считает, что эффективно контролирует все процессы, у него, как правило, нет времени и специфических навыков для сбора и структурирования соответствующей информации. Внутренний аудит, по сути своей работы, обладает информацией по всем аспектам деятельности компании и инструментарием для обобщения и анализа данных, поэтому тесное взаимодействие с внутренним аудитом повышает эффективность принятия решений менеджментом. Именно внутренний аудит является тем объективным источником информации, помогающим менеджеру по-новому, «не замыленным глазом» посмотреть на вещи и оценить качество выполнения принятых управленческих решений.

Но возникает вопрос: нужен ли собственникам и менеджменту компании именно внутренний аудит или более полезными являются функции, которые в российских компаниях традиционно выполняют службы внутреннего контроля (СВК) и контрольно-ревизионные управления (КРУ). (Заметим, что в современной практике западных компаний наибольшее распространение получили службы внутреннего аудита; службы внутреннего контроля встречаются значительно реже; и вовсе не распространены аналоги контрольно-ревизионных управлений.)

Сколько и какие органы контроля иметь в компании — определяется потребностью собственников и менеджмента. Немалую роль в принятии решения играет состояние контрольной среды в компании и, если говорить более широко, уровень развития корпоративной культуры. Если системы внутреннего контроля и управления рисками не выстроены или работают неэффективно, поле деятельности для внутреннего аудита очень сильно сужается, поскольку задача внутреннего аудита — оценить эффективность этих систем. В данном случае первоочередной задачей для менеджмента компании является проектирование и внедрение системы контроля — этим в российских компаниях традиционно занимаются службы внутреннего контроля.

Поскольку построение системы внутреннего контроля есть процесс трудоемкий и длительный, объективной необходимостью на определенном этапе (пока не выстроена эффективная система контроля) является наличие в компании отдельного подразделения — контрольно-ревизионного управления. (КРУ приобретает особую значимость, если у руководства компании нет возможности или желания строить эффективную систему контроля и создавать высокоразвитую корпоративную культуру.) В данном случае КРУ будет фокусироваться на выявлении ошибок и злоупотреблений, выполняя роль корпоративного полицейского в «чистом виде». Но следует помнить, что ревизионная деятельность, по своей сути, направлена на ретроспективу, т. е. на уже произошедшие события и их последствия. Внутренний аудит ориентирован на перспективу, т. е. на анализ будущих событий, которые могут неблагоприятным образом сказаться на деятельности отдельных подразделений и/или компании в целом. Иначе говоря, ревизия оценивает последствия уже материализовавшихся рисков, в то время как внутренний аудит оценивает возможность и предлагает пути снижения рисков и/или негативных эффектов их воздействия. Наличие в компании контрольно-ревизионного управления ни в коей мере не означает ненадобности во внутреннем аудите — все определяется тем, на каком этапе своего развития находится компания и в каком направлении, с точки зрения внутренней корпоративной культуры, компания будет двигаться.

Следует также отметить, что решение о необходимости внутреннего аудита не должно определяться наличием у компании внешнего аудитора, поскольку внешний и внутренний аудиты выполняют разные функции.

Во-первых, внешний аудит традиционно занимается подтверждением достоверности финансовой отчетности компании и фокусируется на операциях и событиях, могущих оказать материальное воздействие на финансовую отчетность компании. Внутренний аудит направлен, прежде всего, на оценку существующих систем контроля и управления рисками компании и фокусируется на операциях и событиях, препятствующих эффективному достижению компанией поставленных целей. (Заметим, однако, что последние изменения в законодательстве некоторых стран (прежде всего, США) делают оценку надежности системы контроля за финансово-бухгалтерской отчетностью компаний задачей такой же значимой для внешнего аудита, как и подтверждение достоверности отчетности.)

Во-вторых, внешний аудит, в рамках оказания аудиторских услуг, не делает оценку экономической обоснованности управленческих решений и эффективности деятельности подразделений компании, что обычно является одной из задач аудита внутреннего.

В-третьих, внешний аудит служит, в первую очередь, интересам внешних заинтересованных сторон — потенциальных инвесторов, кредиторов и др., в то время как внутренний аудит служит, прежде всего, интересам советов директоров и менеджеров компании.

Подчеркнем, что эффективный внутренний аудит может снизить затраты компании на внешний аудит (если внешний аудитор будет иметь возможность полагаться на результаты работы внутреннего аудита, что сократит объем аудиторских процедур, выполняемых внешним аудитором), но не может отменить необходимость внешнего аудита для компании. Важно также учесть, что не рекомендуется пользоваться услугами внешнего аудитора компании для проведения внутренних аудитов, поскольку подобное совмещение может привести к конфликту интересов внешнего аудитора. В законодательстве некоторых стран такое совмещение запрещено (например, закон Сарбейнса-Оксли в США).

Таким образом, наличие эффективного внутреннего аудита становится критичным для успешного развития компании в условиях быстрых изменений внешней среды, повышения сложности процессов управления, разделения функций владения и управления бизнесом. Насколько при этом внутренний аудит будет полезным для компании, зависит в значительной степени от того, какие задачи будут перед ним поставлены.

Какие задачи решает внутренний аудит

Современный внутренний аудит способен и должен выполнять разнообразные и масштабные задачи. Во-первых, оценивает систему внутреннего контроля в части достоверности информации, соблюдения законодательства, сохранности активов, эффективности и результативности деятельности отдельных операционных и структурных подразделений. Во-вторых, проводит анализ и оценку эффективности системы управления рисками и предлагает методы снижения рисков. В-третьих, оценивает соответствие системы корпоративного управления компании принципам корпоративного управления.

Одним из важнейших направлений деятельности внутреннего аудита становится аудит информационных систем (информационных технологий). Высокая уязвимость компаний в этой области была не раз продемонстрирована в последние годы и, как показывают многочисленные опросы, безопасность информационных систем вызывает сегодня наибольшую озабоченность у руководства иностранных компаний.

Внутренний аудит может многое, но не является универсальным решением всех проблем компании. Например: 1) внутренний аудит не может ликвидировать или идентифицировать все случаи человеческих ошибок или злоупотреблений, но может минимизировать их вероятность и увеличить вероятность их скорого обнаружения посредством аудита систем/процедур; 2) внутренний аудит не может аудировать каждый бизнес-процесс каждый год, но может оптимизировать выбор проверяемых областей/подразделений на основе проведения предварительного риск-анализа; 3) внутренний аудит не должен разрабатывать процедуры для подразделений/отделов компании, поскольку это отрицательно влияет на независимость внутреннего аудита, но может анализировать процедуры, разработанные другими подразделениями/отделами, на предмет их эффективности в рамках системы внутреннего контроля компании.

Хотелось бы заметить, что во многих случаях исполнительное руководство склонно рассматривать внутренний аудит как ресурс, решающий управленческие задачи по построению системы контроля. Это не может не вызывать опасений по поводу объективности внутреннего аудита, поскольку в этом случае внутренним аудиторам предстоит фактически оценивать то, что они сами разрабатывают и внедряют. Подчеркнем еще раз, что построение системы внутреннего контроля не является задачей внутреннего аудита, а является прямой и непосредственной задачей менеджмента. Внутренний аудит может оказывать консультационную поддержку на этапе разработки систем/процедур и этим приносить неоценимую пользу компании, но не должен нести ответственность за создание и поддержание системы контроля.

Сегодня происходит трансформация внутреннего аудита в инструмент оценки рисков, наблюдается смещение акцентов от оценки отдельных операций к оценке рисков в деятельности организации в целом. Какие задачи решает внутренний аудит в области управления рисками?

Во-первых, внутренние аудиторы в ходе различных видов аудитов предоставляют аудиторские рекомендации, позволяющие предотвратить риск или снизить его до приемлемого уровня. Во-вторых, внутренние аудиторы проводят оценку надежности и эффективности системы управления рисками. В-третьих, внутренние аудиторы, при соблюдении определенных условий, могут помогать менеджменту в разработке и внедрении системы управления рисками компании. Однако здесь, как и в случае с системой внутреннего контроля, следует иметь в виду, что анализ и управление рисками — это задача менеджмента компании, в решении которой внутренний аудит оказывает менеджменту содействие.

Подытоживая, отметим, что для внутреннего аудита на сегодняшний день складываются благоприятные условия, чтобы продемонстрировать свои широкие возможности и доказать свою необходимость как для собственников, так и для менеджмента компаний. А у собственников и менеджмента компаний может появиться мощный инструмент повышения эффективности бизнеса.




  1. Следует обратить внимание, что слово «гарантия» в русском языке имеет несколько иной смысл.
  2. По нашим оценкам, в российских компаниях это соотношение составляет 95/5.

13 шагов внутреннего аудита СМК с ISO 19011

Источник: статья написана Марком Хаммаром, который является сертифицированным в ASQ (American Society for Quality, – ред.) менеджером по качеству и деловому совершенству. В сфере качества эксперт работает с 1994 года. За годы работы М. Хаммар получил практический опыт в проведении аудитов, улучшении процессов и написании процедур в области систем менеджмента качества (СМК, – ред.) и систем экологического менеджмента (СЭМ, – ред.). Автор работал со стандартами ISO 9001, AS 9100 и ISO 14001.

Как можно сделать внутренние аудиты более эффективными? Используя методику, включающую 13 шагов из стандарта ISO 19011, вы можете организовать внутренние проверки на тех же, пользующихся авторитетом, инструментах, которыми пользуются и сами органы по сертификации, которые проводят аудиты соответствия систем менеджмента качества (СМК, – ред.) по ISO 9001. ISO 19011 также затрагивает принципы аудита, компетентность аудитора, подготовку программы аудита, но тут, в этой статье, я сосредоточусь только на 13 шагах проведения эффективной внутренней проверки.

13 ключевых шагов проведения внутреннего аудита

Необходимые действия, перечисляющиеся в ISO 19011, представляют собой сами процессы, которые нужно выполнить в рамках внутреннего аудита соответствия ISO 9001. Этот формализованный подход поможет сделать внутренний аудит эффективным и пригодным для вашей специфики. Благодаря ISO 19011 можно добиться согласованности и целенаправленности системы внутренних аудитов вашей системы качества. Стандарт ISO 19011 и шаги, которые он предлагает, не представляют собой обязательные требования (особенно это касается малых компаний, которые могут и пропустить некоторые шаги). ISO 19011 – свод «лучших практик» по осуществлению аудита. Ниже предлагаю вашему вниманию потоковую диаграмму процессов реализации внутреннего аудита:

  1. Инициируйте аудит. Чтобы начать аудит, аудитор должен связаться по этому поводу с владельцем процесса, подвергающемся аудиту и определить уместность аудита. Гораздо лучше ответить на вопрос, готовы ли на самом деле вам предоставить свидетельства, достаточные для аудита, чем пытаться застать объект аудита, что называется, врасплох.
  2. Проанализируйте документы. Затем надо проанализировать предоставленную документацию по процессам, которые являются объектом аудита. Это даст возможность составить представление о необходимом объеме аудита: займет ли он весь день или только час. Данная информация имеет критическое значение на следующем шаге.
  3. Создайте план аудита. Цель первичного анализа документации перед, непосредственно, самим аудитом состоит в том, чтобы определить: что будет подвергнуто аудиту, кто будет проводить аудит, в какое время он будет проходить, и работа каких специалистов будет оцениваться. На этом этапе вы решаете, как распределяется необходимый объем работ, если в вашем распоряжении больше одного аудитора. Среди прочего, нужно ответить на вопрос о том, сколько времени будет уделено каждому процессу в рамках аудита.
  4. Распределите работу между аудиторами в соответствии с планом. Аудиты большого объема могут осуществляться более, чем одним проверяющим, каждый из них способен брать на себя больше, чем один процесс. Таким образом, вы сможете сократить время, в которое процедуры аудита препятствуют производственным процессам, важным для компании. Например, может быть целесообразно задействовать трех аудиторов в течение одного дня, а не одного специалиста в течение трех дней.
  5. Подготовьте рабочую документацию. Назначенный на аудит аудитор готовит рабочую документацию, призванную зафиксировать, что именно планируется удостоверить в ходе проверки, какие вопросы планируется задать, что ожидается в качестве свидетельств аудита. Большую роль в формулировании всего этого может сыграть документация СМК предприятия и сам норматив ISO 9001.
  6. Определите последовательность действий при аудите. Следующий шаг – расписать последовательность необходимых действий, начиная от первоначальной открывающей встречи представителей органа по сертификации и представителей аудитируемой структуры и до получения результатов аудита и его выводов. Если планирование на этом этапе было реализовано верно, это может существенно облегчить во всех смыслах протекание проверки. В некоторых случаях аудит большого объема начинают с анализа предыдущих внутренних аудитов и проведенных по их результатам корректирующих действий. Это дает ценную информацию об уже обнаруженных уязвимостях системы менеджмента качества. А иногда в завершении аудита следует анализ документированных записей и записей по обучению, так как процессные аудиты, которые идентифицируют записи, подлежащие проверке, облегчают эту задачу.
  7. Проведение открывающей встречи аудита. Сам аудит стартует с открывающей встречи. Данная встреча позволяет гарантировать, что проверка не является неожиданностью для проверяемой стороны и не имеет целью выискать ошибку, а скорее удостоверить соответствие. Дополнительная «тонкая настройка» распределения времени может быть произведена именно тут, на этапе открывающей встречи. В целом, встреча позволяет всем участникам понять объем и границы конкретной предстоящей аудиторской проверки.
  8. Проанализируйте документы и распространите необходимую информацию. После встречи, все документы, которые были представлены аудитируемой стороной в ходе нее, должны быть проанализированы на предмет информации, которая ранее была недоступна. В качестве примера, почему это важно, можно привести улучшение в каком-нибудь процессе, которое было внесено на пробной основе, но так и не документировалось. Общее правило состоит в том, что нужно поддерживать эффективную коммуникацию в ходе всего аудита, по мере развития событий без перерывов (иногда используются руководства по проведению аудита, особенно в случае внешней проверки).
  9. Реализация аудита. Этот шаг обычно мыслится как сам аудит. Аудитор задает вопросы, собирает записи и выносит наблюдения, которые демонстрируют соответствие или несоответствие процессов требованиям СМК. Опять же, важно помнить, что аудитор делает свою работу не для того, чтобы позлорадствовать над ошибкой и выискивать промахи, а чтобы определить соответствие/несоответствие процессов.
  10. Наработка заключений аудита, подготовка выводов. После того, как оценка на соответствие завершена, аудитору нужно представить свои выводы. Если все, что удалось установить это то, что система менеджмента качества соответствует стандарту, то ничего не нужно, но если стало известно о каких-либо несоответствиях, то требуется разработать корректирующие действия. Также важно отметить в процессах хорошие практики, дающие позитивный результат, как и обнаружить недостатки. Некоторые компании предпочитают использовать внутренний аудит еще и как средство идентификации возможностей по улучшению. (OFI – Opportunities for improvement, – ред.). Обнаруженные потенциальные возможности можно использовать к выгоде компании, если это сочли нужным.
  11. Представьте выводы. В стандартном случае находки аудитора в ходе внутренней проверки представляют в ходе закрывающей встречи аудита, чтобы владелец процесса, подвергнутого проверке, имел возможность понять заключения аудитора и задать возникшие вопросы. На встрече он получает шанс и прояснить что-то, что не было понято аудитором, вследствие чего возникли недоразумения.
  12. Формальная рассылка отчета о проведении внутреннего аудита. Окончательно утвержденные замечания аудита оформляются в отчет о проведении проверки. Отчет дает возможность всем заинтересованным лицам разобраться в требуемых действиях, этот документ также предоставляет информацию для записей о проведении аудита.
  13. Сопровождение последующих действий / корректирующие действия. Возможно, самая важная часть аудита. Нужно удостовериться, что предприняты действия по замечаниям и несоответствиям, чтобы закрыть аудит. Без сопровождения может оказаться, что цели аудита были не достигнуты и при следующей проверке будут обнаружены те же самые проблемы.
Почему использование ISO 19011 для планирования внутреннего аудита – хорошая идея

Для аудита СМК очень важно определить, что не пропущено ничего важного. Например, не упущен вопрос знаний, которыми должен располагать аудитор для проверки конкретного объекта или вопрос планирования аудита. Использование проверенного, известного метода может существенно упростить задачу. ISO 19011 предоставляет такой метод.

Перевод: сотрудник «Единый Стандарт» Валентин Рахманов.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Проведение внутреннего аудита СМК

Согласно требованиям международного стандарта ISO 9001 одним из обязательных этапов разработки, внедрения и успешного функционирования системы менеджмента качества является регулярное проведение внутренних аудитов. Целью внутренних проверок является не наказание, а выявление возможностей улучшения. Поэтому информация аудитору должна подаваться без искажений. Анализироваться им беспристрастно, а рекомендации подаваться в доброжелательной форме.

Внутренний аудит проводится по предварительно разработанному и согласованному плану, обычно в форме опроса начальников отделов. Объем проверки — документация в структурных подразделениях, фактическое выполнение изложенных в документации требований.

Внедрение СМК по стандарту ISO 9001 — достаточно сложная процедура. С течением времени возникает необходимость:

  • контролировать ход процессов;
  • отслеживать занятость подразделений;
  • производить оценку качества и сроков;
  • фиксировать и обрабатывать большой объем информации, необходимой при проведении внутренних и внешних аудитов.

Наша компания внедрила СМК достаточно давно, в 2007-м году. За прошедшие годы мы неоднократно проходили инспекционные и ресертификационные аудиты. Также регулярно проводили внутренние аудиты. С течением времени мы остро почувствовали необходимость использования какого-либо автоматизированного инструмента для учета наших процессов. Чтобы они были учтены, оценены, посчитаны и отслеживался ход исполнения каждого из них. Чтобы можно было видеть, имеются ли нарушения в сроках и отклонения в качестве.

В целях автоматизации мы стали использовать АИС «Мониторинг процессов СМК». В этой программе предусмотрено:

  • ведение журнала заявок потребителей;
  • оценка сроков и качества выполнения заявок;
  • анализ работы подразделений компании.

Внедрение автоматизации позволило нам:

  • вести количественный учет процессов для улучшения результативности СМК;
  • увеличить возможности анализа со стороны руководства;
  • отразить степень удовлетворенности потребителей;
  • проводить измерение процессов и их мониторинг;
  • своевременно принимать решения о корректирующих и предупреждающих действиях с целью постоянного улучшения.

Наш менеджер СМК имеет простой инструмент для текущего мониторинга внедрения ИСО в компании. При проведении внутреннего аудита хорошим подспорьем являются графические и табличные отчеты, предусмотренные в системе. В частности, по оценке сроков и качества выполнения.

Сформированные системой отчетные формы перед выводом на печать в дополнительном редактировании не нуждаются, так как выполнены в виде таблиц с соблюдением стандартных требований к оформлению.

Компаниям, внедряющим систему менеджмента качества, рекомендуем обратить внимание на этот продукт, так как он, помимо уже названного, позволит организовать:

  • хранение и доступ к записям;
  • сбор данных по рекламациям и несоответствию продукции в ходе производства;
  • анализ удовлетворенности потребителей;
  • контроль исполнительской дисциплины.

Желающие могут ознакомиться с демоверсией АИС «Мониторинг процессов СМК». Обратите внимание, по этой же ссылке есть возможность скачать инструкцию по запуску демоверсии, в ней указан логин и пароль для входа в программу. Если функционала покажется недостаточно, предлагаем обсудить его расширение. Напишите нам [email protected] или позвоните +7(7212)505085.

Еще больше информации по тегам…

Организации, проводящие внутренний аудит | Холд-Инвест-Аудит

Организации, проводящие внутренний аудит стали особенно востребованы в последнее время. И все чаще в компаниях создаются отделы, которые занимаются проверкой внутренней бухгалтерской отчетности. Внутренний финансовый аудит направлен на повышение эффективности деятельности организации, выявление недочетов и ошибок в документации для их устранения, изучение вопроса распределения ресурсов. Кроме того, внутренний аудит – это инструмент контроля качества работы персонала и способ оценки эффективности менеджмента.

Как провести внутренний аудит: цели, задачи

Согласно федеральному закону «О бухгалтерском учете» от 06.12.2011 (статья 19), с начала 2013 года все экономические субъекты обязаны осуществлять проверку хоздеятельности. Проведение внутреннего контроля направлено на получение объективной, независимой оценки эксперта для улучшения деятельности компании.

Цель такой проверки – оценить риски, разработать меры по их предотвращению, увеличить рентабельность бизнеса, улучшить систему контроля и учета. Она позволит владельцам компании получить объективное мнение о положении предприятия на рынке, перспективах его развития.

Независимо от целей, задачи проверки:

  • анализ систем контроля для определения эффективности работы всех разделов;
  • создание системы управления рисками, анализ ее деятельности, создание мероприятий для их предотвращения;
  • контроль соблюдения принципов управления.

В последнее время в стране есть тренд разделения функций владельца и руководителей компании. Совет директоров создает стратегию развития предприятия и дает распоряжения управляющим. Чтобы следить за соответствием рабочего процесса общей стратегии компании, владельцы нанимают экспертов для проведения аудита.

Отвечая на вопрос, кто имеет право проводить внутренний аудит, стоит выделить, что это могут быть и собственные специалисты компании, и приглашенные независимые эксперты. Для них в свободной форме составляется чек-лист, в котором описываются все вопросы и пункты, требующие детального изучения специалистом. Этот документ позволит избежать ошибок, упростить аудиторскую деятельность, а также:

  • разработать детальный план действий в соответствии с действующими законами;
  • провести экспертизу комплексно, целостно;
  • провести промежуточный, выборочный контроль.

Составление чек-листа регламентируется Федеральным законом №307 от 30.12.2008 г. «Об аудиторской деятельности».

Внутренний аудит СМК: особенности

Система менеджмента качества или СМК – важный элемент системы управления предприятием, который предназначен для контроля, повышения стабильности и эффективности работы компании, обеспечения высокого качества выпускаемых товаров или услуг, минимизации затрат.

Согласно СМК, документы и отчеты должны выглядеть таким образом:

  • требования по качеству;
  • политика, задачи по качеству услуг или товаров;
  • необходимые разрешения о ведении предпринимательской деятельности;
  • регламент проведения работ на производстве;
  • комментарии по качеству.

Проверка СМК не регулируется федеральными законами. Поэтому особых требований к экспертам нет. Хотя для этих целей рекомендуется заказать услуги независимого специалиста, состоящего в СРО. Сделать это можно в «Холд-Инвест-Аудит». Эксперты компании оперативно выполнят проверку и подготовят отчет о проведенном внутреннем аудите, в котором будут указаны выявленные недочеты и даны рекомендации по их устранению.

Часто задаваемые вопросы

Мы постарались собрать самые актуальные вопросы и надеемся, что Вы найдете полезную информацию. На вопросы слушателей отвечает эксперт по качеству Петрова Марина Евгеньевна.

Какие организации имеют право проводить внешний аудит системы менеджмента качества?

Только органы добровольной сертификации, зарегистрированные в ФАТРИМ и имеющие свидетельство о регистрации, а также внесенные в единый реестр ФАТРИМ.

Как часто проводится внутренний аудит? Внешний аудит?

Внутренний аудит проводится, согласно программе аудитов, не чаще одного раза в год в каждом подразделении. Внешний — не реже одного раза в год. Также внешний и внутренний аудит должен исходить из проверки пунктов ИСО 9001, все пункты должны быть проверены хотя бы один раз в год.

Кто может привлекаться в качестве технических экспертов при проведении внешнего аудита?

По правилам сертификации – техническими экспертами могут быть специалисты, имеющие опыт работы в конкретной области и имеющие профильное  образование. Но в случае с образовательными учреждениями достаточно и обычных экспертов в области СМ, которые будут работать непосредственно с конкретными представителями по СМ проверяемой организации.

Обязательна ли сертификация СМК в случаях введения новых международных стандартов?

При внедрении новых стандартов, и замене действующий стандартов ИСО выпускается приказ ФАТРИМ об отмене стандартов, и там указываются сроки действия выданных до этого сертификатов.  До срока действия организациям можно не проходить сертификацию на новую версию стандарта.

Необходимо ли подтверждать сертификацию образовательного учреждения? Если да, то, как это будет происходить?

Подтверждение действия описывается в правилах системы добровольной сертификации , которые также основываются на стандарте ГОСТ Р 40.003.2008. Подтверждение соответствия СМ ГОСТ подтверждается ежегодно (инспекционный контроль), а так же каждые три года – это ресертификация организации.

При проведении внешнего аудита даются ли рекомендации для улучшения в работе образовательного учреждения?

Обязательно. С приходом новой версии стандарта ИСО 9001-2008, были так же изменены правила оформления отчетов по аудиту организации, куда было внесена  рекомендация о согласовании корректирующих действий для несоответствий. То есть после вынесения несоответствия по пунктам ИСО, внешний аудитор должен согласовать и дать свою оценку будущем коррекциям.

Предполагается ли в будущем обязательное проведение сертификации системы качества?

По закону данная сертификация является необязательной и в будущем она может быть только рекомендована потребителями. Допустим, пример с атомными станциями. На предприятиях, которые являются поставщиками атомных станций, обязательно должна быть внедрена и поддерживаться СМ.

Сколько человек должно быть в аудиторской группе при внутреннем аудите?

Тут нет конкретных рамок. Рекомендовано: главный аудитор и два аудитора. Также обязательное присутствие представителя по СМ  данного проверяемого подразделения.

Как часто проводится внутренний аудит?

Внутренний, согласно программе аудитов, не чаще одного раза в год в каждом подразделении. Внешний — не реже одного раза в год. Так же внешний и внутренний аудит должен исходить из проверки пунктов ИСО 9001, все пункты должны быть проверены хотя бы один раз в год.

Внутренний аудит проводит служба качества образовательного учреждения. А если её нет, то кто входит в состав аудиторской группы?

Организация в соответствии с требованиями стандарта обязана создать службу качества. В организациях с небольшим количеством сотрудников можно не создавать отдельное подразделение. В таком случае необходимо распределить обязанности по разработки и поддержанию СМ, при необходимости эти обязанности включаются в должностные инструкции, это распространяется и на проверку СМ (аудит).

При каких условиях внешний аудит может быть прекращен?

Есть четкие правила к прекращению аудита, они указаны в ГОСТ Р 40.003-2008, а также в правилах СДС конкретного органа по сертификации. В основном прекращения аудита возможно при обнаружении критических несоответствий в работе СМ.

Каким образом может быть мотивирован человек, которому делегируют права и полномочия процессного управления?

Владелец процесс изначально является руководителем из высшего звена. Главная мотивация владельца процесса – это повышение результативности и эффективности работы его процесса. Философия ИСО направлена на улучшение качества работы процессов организации и уже как следствие повышения прибыли организации, отсюда следует уже и денежная мотивация команды СМК в виде повышения ЗП и премий.

Так же в организациях обычно существует денежная мотивация представителей, аудиторов  и владельцев процесса в виде премий и доплат.

Какую конкретную функцию выполняет отдел маркетинга и трудоустройства в СМК?

Отдел маркетинга – прямая работа с потребителем – процесс удовлетворенности и привлечения потребителя.

Отдел трудоустройства – если это отдел кадров – это процесс управления персоналом.

Может ли иметь место в образовательном учреждении самостоятельная аналитическая служба, занимающаяся систематическим мониторингом качества знаний?

Конечно. В принципе это и будет служба качества .

Возможно ли использовать руководителя структурного подразделения в качестве внутреннего аудитора в случае аудита другого структурного подразделения?

При назначении аудитора должны выполнятся некоторые этически условия. Аудитор не может проверять свою деятельность, аудитор не должен быть заинтересованной стороной. Поэтому, как раз аудитор и должен быть из другого подразделения, и совсем не обязательно быть его руководителем. Но аудитор должен обязательно пройти подготовку и специальное обучение по СМК.

Каким образом мотивировать труд внутреннего аудитора?

В основном мотивация премирования и социальные льготы.

Каким образом возможно осуществлять внутренний аудит при отсутствии времени и необходимых ресурсов?

Программа аудита организации согласовывается заранее, а также согласовываются планы проверки подразделений с  руководителями, поэтому не должно быть проблем с внутренними аудитами в организации.

8 шагов к проведению внутреннего аудита — процветающий малый бизнес

Внутренние аудиты помогают организациям достигать корпоративных целей, следя за согласованностью внутренней деловой практики.

Цель внутреннего аудита — обеспечить соблюдение организационных политик и процедур и предупредить руководство о пробелах в соблюдении политик.

Процесс внутреннего аудита может выполняться с использованием внутренних ресурсов или может быть передан внешнему стороннему поставщику.

У аутсорсинга этой функции есть свои преимущества и недостатки.

Тем не менее, обеспечение последовательного проведения аудита может помочь организациям управлять производительностью и обеспечивать стабильное качество продукции.

Выполнение внутреннего аудита может занять много времени, и для этого процесса необходимо выделить ресурсы.

Аудит можно проводить ежедневно, еженедельно, ежемесячно или ежегодно. Некоторые отделы могут нуждаться в аудите чаще, чем другие.

8 шагов к проведению внутреннего аудита

1.Определение областей, требующих аудита

Определите отделы, которые работают с использованием политик и процедур, разработанных организацией или регулирующими органами.

Сюда могут входить такие сложные области, как производственные процессы, или такие простые, как процедуры бухгалтерского учета.

Составьте список каждой области и функций области, которые требуют рассмотрения.

2. Определите, как часто необходимо проводить аудит

В некоторых областях может потребоваться только ежегодная проверка, в то время как в некоторых отделах может потребоваться более частая проверка.

Например, для производственного процесса может потребоваться ежедневный аудит в целях контроля качества, а для отдела кадров может потребоваться только ежегодный аудит записей и процессов.

3. Создать календарь аудита

Структурированный и систематический подход к процессу аудита может помочь обеспечить выполнение функции.

И, как и любая другая бизнес-цель, аудит должен быть интегрирован в корпоративные цели.

Планирование аудитов в бизнес-календаре гарантирует их последовательное выполнение.

4. Уведомление отделов о плановых проверках

Это просто вежливость — уведомить отделы о проведении аудита, чтобы у них были готовы необходимые документы и материалы для рецензента.

Внезапный аудит следует проводить только при подозрении на неэтичную или незаконную деятельность.

Руководители отделов не должны чувствовать угрозу со стороны аудитора, но рассматривать их как ценный ресурс, который поможет им лучше управлять своей областью.

5. Будьте готовы

Аудитор должен прийти подготовленным с пониманием политик и процедур и списком элементов, которые будут проверены.

Например, аудит отдела кадров может быть сосредоточен на файлах сотрудников и соблюдении требований формы I-9.

Чем лучше подготовлен аудитор, тем эффективнее будет процесс и тем меньше времени простоя будет в проверяемой области.

6. Опрос пользователей

Аудитор должен опросить сотрудников и попросить их объяснить свой рабочий процесс.

Сравните процесс, как его объяснил сотрудник, с тем, что написано в политике.

На этом этапе необходимо получить представление о компетенции сотрудников и определить области, требующие дополнительного обучения.

7. Результаты документа

Документируйте результаты и любые практические различия в том, как написаны политики, когда политики соблюдаются, а когда нет.

Сюда также может входить другая информация, полученная в ходе собеседования.Опять же, цель состоит в том, чтобы выявить пробелы в соблюдении требований и найти способ восполнить этот пробел.

8. Отчет о результатах

Создайте удобный для чтения отчет об аудите. Эти отчеты должны быть рассмотрены высшим руководством, и должен быть разработан план улучшения для областей, в которых есть пробелы в соответствии практике.

Использование модели FOCUS PDCA может помочь упростить структурированный процесс реализации этого типа улучшения.

О чем еще подумать

  • При рассмотрении политик и процедур важно подумать о том, отвечают ли письменные политики потребностям клиентов и повышают ценность организации.
  • Политика и процедуры должны быть сосредоточены на постоянном совершенствовании того, как выполняется работа.
  • Существует ли здоровая командная среда, поддерживающая соблюдение политик и процедур? Неэффективная команда может повлиять на соблюдение процедур.
  • Политики и процедуры следует пересматривать ежегодно, чтобы гарантировать, что политики отражают меняющуюся бизнес-среду.

Успех бизнеса зависит от его способности создавать продукты и услуги, отвечающие потребностям клиентов, и предоставлять эти продукты и услуги точно, без ошибок и без ошибок.

Политики и процедуры — это то, как организации поддерживают эффективные и действенные методы, поддерживающие качество продуктов и услуг. Внутренние аудиты — это один из инструментов, который организации используют для обеспечения того, чтобы их продукты и услуги поставлялись правильно, с первого раза и каждый раз.

Как часто вы проверяете свою внутреннюю деловую практику?

Значение внутреннего аудита (и как его проводить)

В сегодняшнюю цифровую эпоху внешние аудиты соответствия и сторонние аттестации (например,g., SOC 2) становятся все более важными при принятии решений о покупке B2B. Они не только обеспечивают объективную стороннюю проверку состояния безопасности/соответствия поставщика, но и предоставляют полезную информацию о уязвимых местах или слабых местах в среде внутреннего контроля организации. Другими словами, результаты официального аудита могут служить рецептом снижения рисков.

Хотя официальные внешние аудиты имеют место быть, на них не следует полагаться как на единственный способ узнать о пробелах в безопасности вашей организации.В сегодняшней быстро меняющейся среде рисков организациям необходимо сочетание методов для адекватной защиты. В дополнение к запланированным формальным аудитам организации должны постоянно проводить внутренние аудиты для выявления уязвимостей и понимания их соответствия требованиям и состояния безопасности.

Отсутствие постоянной работы с рисками является опасной практикой, поскольку организации постоянно подвергаются рискам и угрозам.

В условиях быстро меняющихся рисков организациям требуется сочетание методов для адекватной защиты.В дополнение к запланированным формальным аудитам организации должны проводить внутренние аудиты, чтобы они могли выявлять уязвимости и понимать свое соответствие требованиям и состояние безопасности на постоянной основе.

На самом деле, исследование, проведенное Globalscape и Ponemon Institute, показало, что компании, которые регулярно проводят аудит соответствия, сократили свои расходы на соблюдение требований в среднем на 2,86 миллиона долларов. С другой стороны, исследование показало, что компании, которые вообще не проводят аудит соответствия, несут самые высокие затраты на соблюдение требований.

Проведение внутренних аудитов позволяет вашей компании понять пробелы/слабые места в вашей среде внутреннего контроля, чтобы вы могли устранить эти пробелы до того, как внешние аудиторы появятся в вашем офисе, и быть уверенными, что вы пройдете этот внешний аудит.

В этой статье мы обсудим критические различия между внутренними и внешними аудитами, чем занимаются внутренние аудиторы, различные типы внутренних аудитов, которые может проводить ваша организация, а также ключевые шаги для успешного проведения внутреннего аудита.

Роль службы внутреннего аудита

Сотрудники компании проводят внутренние аудиты, чтобы оценить общие риски для соответствия требованиям и безопасности и определить, соблюдает ли компания внутренние правила. Внутренние проверки должны проводиться в течение года. Управленческие группы могут использовать отчеты, созданные в результате внутренних аудитов, для определения областей, требующих улучшения. Внутренний аудит измеряет цели компании в сравнении с выходными и стратегическими рисками.

Внутренний и внешний аудит

Внутренний и внешний аудит имеют разные цели, но в конечном итоге они оба служат одной и той же цели: убедиться, что ваша компания соблюдает правила, а также внутренние/внешние стандарты, чтобы вы могли избежать сбоев в работе и штрафов, штрафов или ущерба репутации, которые могут быть результате нарушений комплаенса.

Внешний аудит — это официальный аудит, проводимый независимой третьей стороной. Внешний аудит измеряет процессы и средства контроля организации в определенный момент времени в соответствии с некоторыми внешними стандартами, такими как ISO 27001 или NIST 800-53. Но они также могут быть обязательными, если в бизнесе происходит утечка данных или другое событие безопасности, которое не соответствует требуемому по закону стандарту.

С другой стороны, внутренние аудиты проводятся обученными сотрудниками вашей организации.Объем внутреннего аудита может быть довольно узким или относительно широким.

Роль и обязанности внутреннего аудитора

Внутренние аудиторы играют уникальную роль: они должны быть полностью объективны в отношении процессов и команд, которые они оценивают, и они не могут быть напрямую связаны с отделами, которые они проверяют. Внутренние аудиторы обычно отчитываются непосредственно перед высшим руководством или членами совета директоров. Их работа заключается в объективной оценке отделов или бизнес-функций и их соответствия установленным стандартам.Важно помнить, что работа аудитора, в конечном счете, состоит в том, чтобы помочь бизнесу, и их отзывы информируют о том, как построить более сильный бизнес.

Институт внутренних аудиторов (IIA) является крупнейшей и наиболее широко признанной ассоциацией, обслуживающей и устанавливающей стандарты для внутренних аудиторов. Они предоставляют сертификаты в различных областях внутреннего аудита, а также разработали Стандарты и рекомендации — Международные рамки профессиональной практики, которые предоставляют внутренним аудиторам обязательные и рекомендуемые рекомендации относительно их роли и миссии внутренних аудиторов.

Тип деятельности, которую выполняет аудитор, будет несколько различаться в зависимости от того, какой аудит он выполняет. Тем не менее, есть некоторые виды деятельности, имеющие решающее значение для любого типа внутреннего аудита.

Оценка средств контроля

Независимо от того, оценивает ли аудитор процесс бухгалтерского учета в отношении финансовой отчетности на конец года или соответствие отдела маркетинга требованиям CCPA, он просматривает и оценивает существующие средства контроля, предназначенные для снижения рисков и предотвращения нежелательных инцидентов.Почти любой бизнес-процесс должен иметь определенный тип контроля и подотчетности, чтобы не было возможности срезать углы или создавать проблемы. Аудиторы смотрят как на задокументированные средства контроля, так и на фактически реализуемые средства контроля, чтобы убедиться, что они выполняются и работают должным образом.

Оценка рисков

В то время как руководство на каждом уровне должно использовать свои уникальные знания для выявления рисков для своей команды и организации в целом, работа аудитора состоит в том, чтобы оценить эти риски, предвидеть будущие проблемы, связанные с этими рисками, и найти способы либо контролировать, либо устранять эти риски. риски для организации.

Анализ операций

Внутренние аудиторы должны понимать стратегические цели организации и то, как все работает на тактическом уровне. Они работают с менеджерами более низкого уровня, анализируют операции и определяют, соответствуют ли эти операции стратегическим целям компании.

Работа с другими поставщиками гарантий

Внутренние аудиторы работают вместе со специалистами по управлению рисками, ответственными за соблюдение требований и другими лицами, чтобы гарантировать руководителям своей компании эффективное и действенное управление рисками.В то время как многие другие роли поставщиков гарантий реализуют процессы и разрабатывают средства контроля для снижения риска, внутренние аудиторы оценивают эти средства контроля и процессы, чтобы убедиться, что они работают и соответствуют необходимым им стандартам, независимо от того, установлены ли они внутри или снаружи.

5 видов внутреннего аудита

Существует несколько различных типов внутреннего аудита, и каждый из них имеет ценность. Если вы только начинаете развивать свою функцию внутреннего аудита, вам не нужно выполнять все сразу.Тем не менее, это хорошая идея, чтобы в конечном итоге выполнить эти типы внутренних аудитов, потому что каждый из них позволяет вам оптимизировать разные части ваших бизнес-операций.

Аудит соответствия ИТ

Внутренний аудит соответствия требованиям ИТ проверяет методы обеспечения безопасности данных в бизнесе, чтобы определить, соответствуют ли они требуемым или выбранным структурам и стандартам безопасности данных, а также правовым требованиям, с которыми может столкнуться компания в отношении безопасности и конфиденциальности данных.Внутренний аудит можно использовать в качестве тестового прогона, чтобы увидеть, как бизнес поведет себя при формальном внешнем аудите. Поскольку последствия несоблюдения нормативных требований могут дорого обойтись компании, проверки соответствия нормативным требованиям следует проводить часто. Менее сложные процессы с меньшим риском можно проверять один или два раза в год, в то время как более сложные процессы и процессы с более высоким риском следует проверять чаще (например, еженедельно).

ИТ-аудит

ИТ-аудит сосредоточен на элементах управления и процессах информационных технологий.Хотя это частично совпадает с аудитом соответствия, существуют некоторые ИТ-функции, не включенные в аудит соответствия, которые все же следует оценить. В дополнение к обеспечению того, чтобы средства контроля ИТ защищали информацию, внутренний ИТ-аудит также проверяет, насколько эффективно работают ИТ-процессы и активы (аппаратное и программное обеспечение). В отличие от аудита соответствия, ИТ-аудит не сравнивается с внешним стандартом. Вместо этого аудит проверяет, служат ли они своей цели и помогают ли компании достичь своих целей.

Финансовый аудит

Финансовый аудит изучает финансы предприятия, чтобы убедиться, что финансовая деятельность регистрируется правильно и используются правильные методы бухгалтерского учета. Крайне важно, чтобы эти виды аудита проводились кем-то беспристрастным и не связанным с бухгалтерскими и финансовыми функциями бизнеса; если они обнаружат что-то незаконное или мошенническое, они должны иметь возможность немедленно обратиться к руководству со своими проблемами.

Оперативный аудит

Оперативный аудит сосредоточен на работе отдела или бизнес-функции.Аудитор рассмотрит процессы и результаты работы отдела и оценит, как они способствуют достижению ключевых целей компании. Аудитор рассмотрит персонал, управление активами в отделе, результаты, производительность и организационную структуру.

Следственная проверка

Аудит-расследование проводится в ответ на отчет или жалобу о подозрительном поведении сотрудника или команды внутри компании. В этом случае аудит будет включать результаты сотрудника или отдела.Затем, если отчет заслуживает доверия, они оценят размер потерь, определят, какие недостатки позволили этому произойти, и разработают рекомендации о том, что необходимо сделать, чтобы предотвратить повторение этого в будущем.

Как проводится внутренний аудит

Поскольку каждый бизнес уникален, а разные типы аудита требуют различных шагов и соображений, не существует единого процесса аудита, который будет работать для каждого аудита в каждой компании. Тем не менее, вы можете следовать базовой формуле для своих аудитов, чтобы убедиться, что вы собрали всю необходимую информацию и эффективно использовали то, что вы узнали.Вот четыре этапа каждого успешного внутреннего аудита:

Планирование 

Перед началом аудита группа внутреннего аудита должна определить объем и цель аудита. Подход к аудиту без четко определенной цели приводит к расползанию масштаба, когда объем проекта продолжает расти, включая дополнительные проблемы или процессы, с которыми сталкивается команда. Решение о том, что входит в область аудита, а что нет, до начала позволит вашей команде работать эффективно и легко принимать решения о том, что включать.

На этом этапе вы также определите, кто является заинтересованными сторонами, какие владельцы процессов будут участвовать в аудите, установите график и просмотрите предыдущие аудиты (если они существуют), чтобы увидеть, есть ли какие-либо проблемы, к которым вы должны быть готовы. столкнуться. Вы должны выйти из этого этапа планирования с документально оформленным планом аудита, который поможет вам в проведении аудита.

Вообще говоря, чтобы создать надежный план аудита, вы должны учитывать несколько элементов:

  • Существующие нормативы: Понимание нормативных требований области (областей), которую вы будете проверять, имеет решающее значение для проведения эффективного аудита.
  • Проблемы сотрудников: Если сотрудники ранее выражали озабоченность по поводу конкретных процессов, вам следует включить вопросы в свой план аудита, чтобы разобраться в проблемах.
  • Доказательства, необходимые для тестирования средств контроля: Вам следует продумать, какие типы доказательств вам понадобятся для тестирования средств контроля в рамках аудита.

Полевые работы (также известные как «сбор доказательств и тестирование») 

Выездная работа обычно включает в себя интервью с владельцами процессов, чтобы вы могли понять процесс и элементы управления, просмотр документации процесса, тестирование элементов управления, которые в настоящее время используются для процесса, и документирование ваших выводов и рекомендаций.

На этом шаге вы должны просмотреть все доступные данные об аудируемом процессе. Данные, полученные до аудита, должны дать вам нефильтрованное представление о том, как работает процесс, и есть ли расхождения между тем, что говорит вам интервьюируемый, и реальностью. Это также потенциально предоставит вам резервную копию ваших рекомендаций, когда вы представите изменения, которые, по вашему мнению, должны быть сделаны высшему руководству.

Отчетность

После того, как вы завершите полевые исследования, вы соберете свои выводы и рекомендации в аудиторский отчет.Отчет об аудите будет обобщать план аудита, описывать ваши результаты — в частности, то, что вы обнаружили не в соответствии с внутренними стандартами или внешними требованиями — и обсуждать ваши рекомендации.

Помните, что цель внутреннего аудита — выявить проблемы и разработать план улучшения процессов или функций. Аудиторский отчет не о том, чтобы возложить вину или указать на кого-то; речь идет об определении того, где процессы не работают, каковы последствия и как эти проблемы можно исправить.Выявленные проблемы следует воспринимать серьезно, а не сводить к минимуму или объяснять. Отчет об аудите должен в конечном итоге продемонстрировать сильные стороны компании и то, как они могут решить проблемы, выявленные в ходе аудита.

Последующие действия

Заключительный этап аудита — отслеживание рекомендаций по обеспечению выполнения и способов решения проблем. Это последующее действие должно быть записано вместе с остальной аудиторской информацией, чтобы быть принятой во внимание во время будущих аудитов.

Чего внутренний аудит не должен делать

Внутренние аудиторы не должны разрабатывать или внедрять средства контроля — политики, процедуры, процессы и технические компоненты, внедренные в их организации. Их работа состоит в том, чтобы объективно оценить средства контроля, которые внедрили операционные группы (например, отделы проектирования, продаж, управления персоналом, финансы и т. д.), чтобы определить, подходят ли схемы средств контроля для намеченной цели средств контроля, были ли средства контроля реализованы эффективно. и работали ли средства контроля последовательно.

Hyperproof повышает эффективность внутреннего и внешнего аудита

Hyperproof уменьшает количество административных издержек в типичных процессах аудита. На самом деле, приложение специально создано, чтобы помочь внутренним аудиторам и специалистам по комплаенсу собирать и управлять доказательствами соответствия, которые им необходимо изучить, чтобы понять и проверить, насколько хорошо работают текущие процессы и что не работает.

Hyperproof может служить центральным хранилищем для всех требований организации к соответствию, оценок рисков, средств контроля (вместе с их описанием, владельцем) и доказательств.В Hyperproof внутреннему аудитору легко обращаться к операторам контроля и владельцам бизнес-процессов в организации с запросами на предоставление доказательств, которые им необходимо проверить. Владельцы средств контроля могут обратиться непосредственно в Hyperproof, чтобы предоставить доказательства средств контроля, за которые они несут ответственность, и эта информация связана с конкретным запросом в вашем плане аудита.

Вместо того, чтобы рассылать электронные письма и вручную приглашать коллег к календарю, чтобы напомнить им о проверке доказательств или представлении новых доказательств, внутренние аудиторы могут использовать Hyperproof для постановки задач с указанием сроков выполнения и напоминаний.Затем операторы контроля автоматически уведомляются, когда им пора просмотреть и представить новые доказательства.

Кроме того, внутренние аудиторы могут настроить Hyperproof для автоматического извлечения доказательств эффективности конкретных средств контроля из многих бизнес-приложений и инструментов разработчика (например, запросов на вытягивание и утверждений из GitHub). Таким образом, внутренние аудиторы могут сосредоточиться на проверке доказательств, а не тратить много времени на сбор данных.

Коллеги в бизнес-подразделениях также будут рады тому, что им не нужно будет так часто отвечать на запросы аудита.Как только команда внутреннего аудита или комплаенс-контроля почувствует, что они готовы к внешнему аудиту, они могут «поделиться своей работой» с внешним аудитором непосредственно в Hyperproof и предоставить только ту информацию, которой они хотят поделиться. Чтобы узнать больше о Hyperproof или посмотреть демонстрацию всех его возможностей, посетите Hyperproof.io сегодня.

Основы внутреннего аудита: что, почему и как это делать (5 контрольных списков аудита) | Технологическая улица

Сможете ли вы доказать эффективность своей команды?

Откуда вы знаете наверняка , что ничего не упущено?

Ответ прост; вы проводите внутренний аудит.

Мы здесь, в Process Street, знаем, как сложно следить за вашей внутренней работой. За исключением документирования и отслеживания всего (что может быть хлопотно), легко упустить из виду риски, связанные с вашей организацией.

Игнорирование того, насколько сложно отслеживать, правильно ли ваши команды выполняют свои обязанности.

Вот почему в этом посте вы найдете все, что вам нужно знать о внутреннем аудите. Это методы, которые позволяют вам получить объективную оценку различных элементов вашей компании, таких как этот процесс ISO 9001.

Мы покроем:

Давайте углубимся.

Что такое внутренний аудит?

Внутренний аудит — это независимая оценка эффективности управления рисками, процессов и общего руководства организации.

Это способ, с помощью которого команда может осуществлять собственное измерение и управление качеством. Собранные доказательства и сделанный вывод должны быть бесспорными и свободными от постороннего влияния.

Для этого крайне важно, чтобы лицо или команда, отвечающие за проведение внутреннего аудита, были независимыми и объективными.Другими словами, проверяющая сторона должна быть свободна от любого влияния со стороны оцениваемой команды или отдела.

Цель состоит в том, чтобы получить точную информацию о производительности команды, управлении и рисках. Таким образом, если независимость или объективность аудитора в какой-либо момент ставится под сомнение, об этом необходимо сообщить руководству.

Чтобы прояснить быстрое различие, которое застает многих врасплох:

  • Внешний аудит – проводится внешними аудиторами, обычно сторонней фирмой или агентством
  • Внутренний аудит – проводится (обычно) членами компании

Тот факт, что внутренние аудиторы должны быть «независимыми», не означает, что вы будете нанимать аудиторскую фирму для выполнения этой работы.Пока их можно считать свободными от влияния команды, которую они оценивают, использование штатных аудиторов вполне допустимо для внутреннего аудита.

Если используются внутренние аудиторы, они обычно отчитываются непосредственно перед советом директоров или высшим руководством, чтобы избежать риска влияния других команд или менеджеров.

К сожалению, это охватывает только общую тему внутреннего аудита. Правда в том, что, хотя все внутренние аудиты придерживаются этих грубых правил, особенности сильно различаются в зависимости от типа проводимого аудита.

Говоря об этом…

Виды аудита

(Источник The Official CTBTO Photostream, используется по лицензии CC BY 2.0)

Вообще говоря, существует пять типов внутреннего аудита:

  • Аудит соответствия
  • Аудиты управления (производительности)
  • ИТ-аудит
  • Операционные проверки
  • Экологические аудиты

Все это примеры внутренних аудитов в том смысле, что они могут проводиться внутри компании, если лицо или команда, проводящие его, обучены на местах.

Тем не менее, каждый из них рассматривает оценку элементов компании и фокусируется на определенной области. Это облегчает проведение процедуры аудита, так как объем очевиден с самого начала и не нужно рассматривать все сразу.

Внутренний аудит №1: Аудит соответствия

Аудиты соответствия

сосредоточены на соблюдении компанией применимых законов, руководств, правил, политик и процедур. Хотя такая оценка не обязательно улучшит финансовые или материальные показатели компании, необходимо избежать серьезных нарушений закона.

Конечно, вам, возможно, придется потратить время вашего внутреннего аудитора на оценку того, соблюдаете ли вы требования GDPR. Это может быть (по крайней мере, в финансовом отношении) лучше потрачено на то, чтобы они выполнили оценку рисков.

Именно такое отношение к проверкам GDPR привело к тому, что Marriott International была оштрафована на 99 200 396 фунтов стерлингов (около 115 миллионов долларов США).

По понятным причинам я не могу перечислить все законы и постановления, которые могут иметь отношение к вам. У меня нет юридического образования!

Однако для этого и существуют внутренние аудиторы и юридические консультанты.

Внутренний аудит № 2: Аудиты управления (производительности)

Управленческие аудиты (иногда называемые «аудитами эффективности») гораздо больше ориентированы на внутреннюю среду, чем аудиты соответствия. Они сосредоточены на оценке того, достигает ли команда или компания в целом своих целей по отношению к целям, установленным как руководством, так и высшими должностными лицами.

Например, команда может достичь своей цели в отношении своего менеджера, но это не означает, что она смогла достичь целей основных акционеров или учредителей.

Думайте об этом как о высокоуровневой двойной оценке производительности команд и способности менеджеров команд удовлетворять требования.

Внутренний аудит №3: ИТ-аудит

(Источник Torkild Retvedt, используется по лицензии CC BY-SA 2.0)

Как вы, возможно, уже поняли, ИТ-аудит сосредоточен на имеющейся у вас инфраструктуре, технологиях и системах.

Если это связано с ИТ, его оценит ИТ-аудит.

Меры по обеспечению безопасности данных, цифровые процессы, используемые вами инструменты и т. д. – все это оценивается с точки зрения производительности, безопасности, сопутствующих рисков и эффективности посредством вашего внутреннего ИТ-аудита.

Внутренний аудит № 4: Операционные аудиты

Операционные аудиты имеют самую широкую направленность среди всех типов внутреннего аудита, поскольку они связаны с оценкой эффективности и результативности внутреннего контроля вашего бизнеса.

Другими словами, он рассматривает политики и процедуры всей вашей организации.

Аудитор, как правило, сосредотачивается на областях высокого риска, чтобы устранить то, что представляет наибольшую угрозу для компании, если что-то пойдет не так.

Внутренний аудит № 5: Экологические аудиты

Экологический аудит, вероятно, является самым нишевым из видов внутреннего аудита, поскольку он сосредоточен исключительно на воздействии компании на окружающую среду.

Основным методом измерения «разумного» воздействия на окружающую среду является сравнение его с действующими экологическими нормами, которым должна соответствовать ваша компания.

Преимущества внутреннего аудита

Вы когда-нибудь задумывались, как работает ваша команда? Есть ли у вас опасения по поводу способности ваших менеджеров оправдать ожидания акционеров? Существуют ли законы и правила, которые могут нанести ущерб вашему бизнесу, если их неукоснительно соблюдать и соблюдать?

Все эти и другие проблемы решаются с помощью внутреннего аудита для оценки вашего бизнеса.

ИТ-аудиты

гарантируют, что ваши конфиденциальные данные хранятся под замком, операционные аудиты помогают убедиться, что все работает максимально эффективно и что процессы соблюдаются, а аудиты соответствия гарантируют, что вы не нарушите внешние правила.

Не говоря уже о дополнительных преимуществах регулярных проверок вашей команды, таких как:

  • Повышенная производительность
  • Больше возможностей для сотрудничества
  • Регулярные тесты вашей инфраструктуры и документации
  • Большее единство между отделами и должностями
  • Окончательное подтверждение производительности и соответствия
  • Удовлетворенность заинтересованных сторон/учредителей благодаря прозрачности

Производительность естественным образом повысится как в результате оперативных проверок, так и в результате того, что ваша команда будет знать, что вы заботитесь об их эффективности в целом.Аудиты демонстрируют, что вы следите за вещами и без колебаний решаете проблемы там, где они появляются.

При этом имейте в виду, что моральный дух может снизиться (впоследствии это повлияет на производительность и мотивацию), если команды думают, что вы им не доверяете. Таким образом, вы должны ясно дать понять, что идея этих аудитов состоит в том, чтобы работать с ними и помогать им улучшать свою работу и облегчать им решение проблем.

Сотрудничество — это естественный результат совместной работы любой команды.Это может быть просто работа вашей маркетинговой команды с аудиторами, чтобы продемонстрировать их эффективность в достижении целей, или что-то более сложное, когда несколько команд работают над достижением общей цели.

Инфраструктура и документация вашей компании будут непосредственно оцениваться в ходе ИТ-аудита и операционного аудита, а также будут учитываться при выводах, сделанных в ходе всех других аудитов. Например, управленческий аудит не просто проверяет менеджеров — он по своей сути проверяет, насколько хорошо работают развернутые ими процессы.

Однако, возможно, наиболее ощутимым преимуществом внутреннего аудита является возможность продемонстрировать результаты с доказательствами, подтверждающими их.

Независимо от того, обращаетесь ли вы к высшему руководству, своему основателю, совету директоров или ключевым заинтересованным сторонам, внутренние аудиты позволяют вам точно показать им, что происходит в вашей компании.

Не только это, но и тот факт, что вы проводите внутренний аудит, в первую очередь демонстрирует, что вы держите руку на пульсе событий и следите за ситуацией на случай, если потребуются действия.Это внушает доверие, потому что, даже если ничего не нужно делать, по крайней мере, вы можете показать им, что вы знаете , что ничего не нужно делать.

Примеры внутреннего аудита

Как я уже говорил выше, точный процесс аудита, которому вы должны следовать, зависит от типа проводимого вами внутреннего аудита. Общая настройка вашей организации также повлияет на то, как работает аудит, поэтому нет двух действительно идентичных аудитов.

Однако, для начала, вот несколько примеров процессов внутреннего аудита от команды Process Street:

Как вы могли заметить, многие из этих процессов аудита основаны на рекомендациях ISO.Другими словами, вам не нужно полагаться на наше слово в отношении того, эффективны эти процессы или нет — информация основана на рекомендациях Международной организации по стандартизации (ISO).

Все приведенные выше контрольные списки бесплатны и готовы к использованию, но их также можно редактировать в соответствии с вашими потребностями, чтобы адаптировать их для вашей организации.

Контрольный список аудита систем управления ISO 19011

Контрольный список ISO 19011 — это ваш основной ресурс для аудита систем управления, включая сам процесс аудита.Это делает его отличным начальным ресурсом для всех, кто раньше не документировал свои процессы аудита (или процессы в целом)!

ISO 14001 Контрольный список для самопроверки экологического менеджмента

Контрольный список ISO 14001 — это процесс внутреннего аудита, направленный на оценку (или развертывание) вашей системы экологического менеджмента. В качестве основы для измерения используются требования ISO 14001:2015.

Контрольный список самопроверки ISO 9004:2018

Наш контрольный список ISO 9004 представляет собой общую проверку управления качеством, с которой отлично начинать, если вы никогда раньше не проводили внутренний аудит.Он немного более высокого уровня по своей направленности, чем другие процессы внутреннего аудита, что делает его отличным для начала работы.

Контрольный список внутреннего аудита ISO 9001 для систем управления качеством

С другой стороны, контрольный список ISO 9001, который у нас есть, очень подробен и сосредоточен на процедурах управления качеством (а именно, на действующих процессах и политиках). Это скальпель с конкретными инструкциями к общему введению в практику нашего контрольного списка ISO 9004.

Контрольный список GDPR для предприятий

Наконец, у нас есть контрольный список GDPR, который поможет вам проверить, соответствует ли ваш бизнес стандартам защиты данных, которые теперь являются обязательными. Хотя этот контрольный список не сделает вас сертифицированным GDPR , это хорошая отправная точка для расследования.

Для получения дополнительной помощи по внутреннему аудиту и всему, что связано со стандартами ISO, ознакомьтесь с другими нашими материалами по теме ниже:

Используйте Process Street для проведения внутренних аудитов

Со всеми этими разговорами о внутренних аудитах и ​​процессах документирования легко потеряться в том, с чего следует начать.

Не волнуйся, ты у нас.

Process Street — это мощное программное обеспечение для управления бизнес-процессами, которое позволяет документировать стандартные операционные процедуры (СОП) в виде универсальных шаблонов процессов.

Эти шаблоны состоят из списка задач, которому ваша команда может следовать, чтобы эффективно и точно выполнять свои обязанности. Затем каждая задача может быть заполнена форматированным текстом, изображениями, видео, образцами файлов и электронными письмами, подзадачами и многим другим!

Это все, что нужно вашей команде для выполнения своих задач в одном месте.

Затем из ваших шаблонов можно запускать контрольные списки

для отслеживания хода выполнения отдельного экземпляра процесса. Они позволяют человеку, проходящему через процесс, записывать свой прогресс, отмечать задачи по мере их выполнения, заполнять информацию, связанную с их экземпляром, в полях формы и т. д.

Объедините все это с нашими мощными функциями, такими как условная логика для создания ветвящихся контрольных списков, этапы утверждения для остановки контрольного списка до тех пор, пока не будет получено утверждение, назначение сотрудникам задач в зависимости от их личности или роли в компании, а также автоматизация для избавления от ваших загружены работой, и у вас есть лучшее программное обеспечение для документирования процессов на рынке.

Контрольные списки, приведенные выше в качестве примеров внутреннего аудита, также являются экземплярами нашей библиотеки готовых шаблонов. Это позволяет вам импортировать готовые процессы в свою учетную запись, чтобы избежать хлопот с документированием их самостоятельно!

Так что перестаньте беспокоиться о соблюдении нормативных требований и аудитах — подпишитесь на бесплатную пробную версию Process Street уже сегодня.

Как ваша команда контролирует процесс внутреннего аудита? Дайте нам знать в комментариях ниже!

Как проводить внутренние аудиты

Как проводить внутренние аудиты:

Действия по проведению внутреннего аудита могут различаться, но здесь есть с чего начать при проведении аудита;

1.Планирование графика аудита 

Этот первый шаг очень важен. Вы должны планировать аудиты заранее, чтобы все знали, что проверяется, и могли заранее планировать свои действия. Этот график должен быть доступен для просмотра всем, чтобы они могли знать, когда будет проводиться аудит в отношении конкретного процесса. График аудита позволит сотрудникам, связанным с проверяемым процессом или проектом, иметь время, чтобы все работало в соответствии с наилучшими стандартами. Рекомендуется поделиться графиком аудита и придерживаться его как можно лучше, поскольку внезапные аудиты иногда могут создать ощущение несправедливости внутри организации.

2. Подготовить план аудита

Как можно сказать о большинстве вещей в жизни, подготовка является ключевым моментом. Аудиты не являются исключением из этого правила, и очень важно, чтобы аудитор имел четкое представление о том, что он собирается проверять. Этот этап также поможет проверяемому отделу, поскольку аудитор сможет предоставить информацию о целях аудита, его масштабах и запросить любую документацию, которая может потребоваться, до того, как они прибудут для проведения аудита.На этом этапе аудитору также может быть полезно пересмотреть все предыдущие аудиты, проведенные в том же отделе, чтобы выяснить, есть ли необходимость в проверке определенных аспектов по сравнению с прошлым разом.

3. Провести аудит и сообщить о результатах

После того, как был согласован график и составлен план того, что предстоит сделать в ходе аудита, настало время провести аудит. Этот шаг может включать несколько различных методов, таких как просмотр документации, интервью и наблюдение, общение с сотрудниками, просмотр и анализ записей.Цель этого шага — найти и зафиксировать любые результаты, которые показывают, что процесс работает так, как он задуман, и действительно дает желаемые результаты.

Если одитор собирается использовать технику опроса , он должен использовать соответствующие вопросы. Это означает, что вопросы должны быть:

«Открыть» для получения информации (начинается с «кто», «что», «как», «почему»)

Closed ’ для получения подтверждения (ответ «да» или «нет»)

«Уточнение» , когда вы думаете, что могли неправильно понять (примеры – «покажи мне…», «могу я посмотреть…?», «давайте посмотрим…»)

Еще один полезный совет для одитора — не повторять вопросы из контрольного списка.Аудит основных организационных процессов требует, чтобы люди открывались аудитору. Они также требуют, чтобы все глубоко думали о своей работе и о том, что они видят вокруг себя. Контрольные списки (которые изначально появились как простые упражнения для запоминания) подобны криптониту для такого рода обратной связи. Здесь им не место. Вместо этого просто задавайте вопросы, выслушивайте и записывайте доказательства, а затем проверяйте результаты в соответствии с процедурой.

4. Сообщить о результатах

После проведения аудита необходимо провести встречу между аудитором и объектом аудита, чтобы сообщить об основных выводах, сделанных в ходе этого процесса.Это важно для того, чтобы не было задержки в сообщении результатов от одной стороны к другой. Главное, о чем нужно сообщить здесь, это наличие областей, которые нуждаются в улучшении, но объект аудита может также захотеть узнать, есть ли какие-либо области, в которых они преуспевают. Представленный отчет должен быть оформлен в официальном письменном виде и содержать основные выводы. Это будет означать, что проверяемый может вернуться к печатной копии в любое время, когда ему захочется посмотреть, какие изменения он может внести.

Для вашего аудита также может быть полезно включить изображения.Старая поговорка «картинка стоит 1000 слов» очень применима к внутреннему аудиту. Вместо того, чтобы пытаться объяснить что-то, что вы обнаружили или наблюдали, будет более эффективно быстро сфотографировать это, а затем дать небольшое определение, объясняющее, что это за фотография.

Основные выводы, изложенные в этом отчете, должны включать:

Цель аудита, объем, ссылки и группа аудита

График аудита, люди опрошены, документация проверена, оборудование и ресурсы проверены.

Результаты аудита положительные и отрицательные.

Обнаружены недостатки.

Отчет также следует обсудить с объектом аудита, чтобы убедиться, что они согласны с выводами отчета. Это не означает, что объект аудита счастлив «принять» то, что содержится в вашем отчете. Это означает, что они понимают и принимают достоверность объективных доказательств, собранных вами в ходе аудита. Руководству не всегда легко услышать отзывы о системных сбоях, разочарованиях и недостатках.Но это самое важное, что вы можете сделать как специалист по QHSE.

5. Последующие действия

Этот шаг очень важен, так как он поможет показать, действительно ли были сделаны улучшения. При сообщении о том, что необходимо скорректировать или изменить, также важно иметь в виду период времени, подходящий для последующих действий. Нет смысла сообщать о своих выводах объекту аудита, если вы не собираетесь проверять, выслушали ли его и приняли ли меры. Размышляя о том, что, возможно, необходимо предпринять, аудитор должен оценить, соответствует ли то, что он обнаружил, тому, что ожидалось, и если нет, то какие действия необходимо предпринять.

 

Связанные вопросы: 

ключевых шагов для повышения эффективности и соответствия требованиям

По данным Комиссии по ценным бумагам и биржам США (SEC), мошенничество и правонарушения, в том числе ошибки в бухгалтерском учете, обошлись предприятиям в виде штрафов в размере 1,1 миллиарда долларов за первые девять месяцев 2019 года. Это число подчеркивает необходимость периодического проведения компаниями внутреннего аудита своей финансовой отчетности.

Неотъемлемая часть управления рисками. Процедура внутреннего аудита может привести к ужасным последствиям, если ее не соблюдать должным образом.Поэтому специалисты по бухгалтерскому учету должны разработать организованную, целенаправленную стратегию аудита, которая поможет им эффективно выявлять ошибки в финансовых данных и недостатки в соблюдении законодательства. Онлайн-программа магистра бухгалтерского учета позволяет профессионалам оттачивать навыки для достижения этой цели.

Почему важны внутренние аудиты

Проведение внутреннего аудита помогает компании подтвердить точность и законность бухгалтерских книг. Эта практика может помочь в раскрытии случаев мошенничества, незаконного присвоения финансовых средств, несоблюдения требований государственных органов и вопиющих ошибок в бухгалтерском учете.Эти ошибки могут привести к ложным данным, которые введут инвесторов и клиентов в заблуждение, заставив их думать, что компания более устойчива с экономической точки зрения, чем она есть на самом деле. Если их не остановить, эти действия могут со временем привести к более серьезным и потенциально разрушительным проблемам. В дополнение к возможным крупным штрафам со стороны государственных органов, предприятия могут серьезно пострадать от своей рыночной стоимости, клиентской базы и репутации.

Выявление случаев мошенничества и ошибок — не единственная причина важности внутреннего аудита. Аудиты могут выявить слабые места в финансовых процессах компании или экономически расточительные действия, которые влияют на ее прибыль.Выявляя эти типы проблем, внутренние аудиторы могут помочь компаниям работать с большей экономической эффективностью, что может привести к большей прибыльности.

Компании также могут инициировать внешний аудит. В отличие от внутреннего аудита, который проводится сотрудником компании, внешний аудит проводится независимым лицом или группой лиц, не связанных с бизнесом. Периодический внешний аудит может быть полезен, поскольку он позволяет непредвзятой стороне проверять финансовые отчеты и процессы компании, что может обеспечить большую прозрачность.Однако внешний аудит не требуется каждый раз, когда возникает необходимость в аудите.

Каковы основные этапы внутреннего аудита?

Успешная процедура внутреннего аудита состоит из более мелких компонентов, которые должны быть точно выполнены. В совокупности эти шаги обеспечивают тщательный аудит, который оптимизирует эффективность и сводит к минимуму вероятность недосмотра.

Подготовка к аудиту

Некоторые из наиболее важных шагов, которые может предпринять внутренний аудитор, происходят еще до того, как он откроет книгу или проанализирует электронную таблицу.

Одним из этих шагов является определение согласованного графика аудита. Например, более крупная компания может запланировать несколько аудиторских сессий в течение года, чтобы каждая сессия была посвящена определенному отделу или финансовому элементу. В этом случае аудитору важно работать с руководителями отделов или руководителями, чтобы определить оптимальное время для аудита определенного сегмента. Уровень потенциального финансового риска, который несет отдел, также может играть роль в определении этих сроков.

После того, как компания определила график, важно подтвердить основную цель аудита. Подтверждение цели может помочь сузить фокус аудита и сделать процесс более эффективным. Эффективность особенно важна, если аудитор должен провести несколько аудитов в сжатые сроки.

Наконец, одитор должен определить различные методы сбора данных, которые он будет использовать. Это может включать в себя программные инструменты, которые помогают получить доступ к жизненно важным данным, хранящимся в электронном виде, таким как записи о заработной плате или электронные таблицы бухгалтерской книги, или опросы и интервью, чтобы получить информацию о том, как бизнес или отдел обрабатывает ключевые процедуры и методологии.

Проведение аудита

Каждый шаг аудита требует точности. Одна из ключевых методологий, используемых внутренними аудиторами для обеспечения точности, включает создание контрольного журнала, пошаговой учетной записи, которая отслеживает каждую финансовую транзакцию до ее источника. Этот шаг имеет решающее значение для определения законности транзакции, поскольку он гарантирует, что сумма перемещенных денег совпадает с суммой, указанной в отчете.

Другой важной частью процедуры аудита является проверка данных.Обычно это влечет за собой сопоставление транзакций с их отчетными номерами и пересчет отчетных номеров, чтобы убедиться, что они складываются правильно. Эти методы могут помочь внутреннему аудитору выявить более мелкие ошибки в бухгалтерском учете организации, такие как добросовестный просчет.

Кроме того, внутренний аудит может показать, как организация выполняет определенные финансовые процедуры. Информация, полученная с помощью этой стратегии, может быть согласована с информацией, полученной с помощью других методов сбора данных, таких как опросы или интервью, чтобы обеспечить всесторонний обзор финансового процесса.Потенциально это может упростить выявление неэффективности процессов.

Будущее внутреннего аудита

Большие данные все больше влияют на бизнес-операции и стратегии, и процедура внутреннего аудита не является исключением. Интеллектуальный анализ данных и прогнозная аналитика, например, сделали беспрецедентный объем информации доступной для внутренних аудиторов, потенциально позволяя им нарисовать более полную картину того, где компания находится сейчас и куда она может двигаться.

Благодаря этим мощным инструментам для внутренних аудиторов как никогда важно развивать сильные технические навыки. Наличие технических компетенций на низком уровне может ограничить способность аудитора проводить максимально точный аудит и оставить его неподготовленным к будущему бухгалтерского учета. К счастью, многие программы повышения квалификации в области бухгалтерского учета предлагают курсы, которые сосредоточены на развитии и использовании технических навыков в контексте бухгалтерского учета.

Откройте для себя преимущества онлайн-мастера бухгалтерского учета

Обеспечение финансовой точности в бизнесе всегда будет необходимо.Без него компания может понести серьезный или даже непоправимый ущерб. Профессионалы, имеющие возможность проводить точный внутренний аудит, могут сыграть важную роль в обеспечении того, чтобы бизнес не беспокоился о неправильной отчетности или несоблюдении нормативных требований. Узнайте, как онлайн-программа магистра бухгалтерского учета Университета Северной Дакоты может предоставить знания и навыки, необходимые для проведения эффективных и точных внутренних аудитов.

Рекомендуемые показания

Бухгалтеры и достижения в области облачных вычислений

Как финансовая прозрачность влияет на бухгалтеров?

Навыки для успешной карьеры бухгалтера

Источники:

Журнал CPA, «Следующее поколение внутреннего аудита»

Houston Chronicle, «Аудиторские процедуры и методы внутреннего аудита»

Houston Chronicle, «Важность внешнего аудита»

Investopedia, журнал аудита

Управление рисками, «Неправильные цифры: риски неточной финансовой отчетности»

У.S. Правоприменительный отдел Комиссии по ценным бумагам и биржам, Годовой отчет за 2019 год

The Wall Street Journal, «Для внутреннего аудита большие данные представляют большие возможности»

Определение внутреннего аудита

Что такое внутренний аудит?

Внутренний аудит оценивает систему внутреннего контроля компании, включая процессы корпоративного управления и бухгалтерского учета. Эти аудиты обеспечивают соблюдение законов и правил и помогают поддерживать точную и своевременную финансовую отчетность и сбор данных.Внутренние аудиты также предоставляют руководству инструменты, необходимые для достижения операционной эффективности путем выявления проблем и исправления упущений до того, как они будут обнаружены в ходе внешнего аудита.

Ключевые выводы

  • Внутренний аудит предлагает управление рисками и оценивает эффективность внутреннего контроля компании, корпоративного управления и процессов бухгалтерского учета. и исправлены перед внешним аудитом.
  • Закон Сарбейнса-Оксли от 2002 г. возлагает на руководство ответственность за финансовую отчетность, требуя от старших должностных лиц корпорации письменного подтверждения того, что финансовая отчетность представлена ​​точно.

Понимание внутреннего аудита

Внутренний аудит играет решающую роль в деятельности компании и корпоративном управлении, особенно сейчас, когда Закон Сарбейнса-Оксли от 2002 года (SOX) возлагает на руководителей юридическую ответственность за точность финансовой отчетности их компании.SOX также требовал, чтобы внутренний контроль компании был задокументирован и проверен в рамках их внешнего аудита. Внутренний контроль — это процессы и процедуры, внедряемые компанией для обеспечения целостности ее финансовой и бухгалтерской информации, повышения ответственности и предотвращения мошенничества. Примерами внутреннего контроля являются разделение обязанностей, авторизация, требования к документации и письменные процессы и процедуры. Внутренний аудит направлен на выявление любых недостатков в системе внутреннего контроля компании.

Помимо обеспечения соблюдения компанией законов и нормативных актов, внутренние аудиты также обеспечивают определенную степень управления рисками и защищают от потенциального мошенничества, расточительства или злоупотреблений. Результаты внутренних аудитов предоставляют руководству предложения по улучшению текущих процессов, которые не функционируют должным образом, что может включать системы информационных технологий, а также управление цепочками поставок. Кибербезопасность становится все более важной, поскольку компаниям необходимо защищать свою конфиденциальную электронную информацию от внешних атак.

Внутренние аудиты могут проводиться ежедневно, еженедельно, ежемесячно или ежегодно. Некоторые отделы могут проверяться чаще, чем другие. Например, производственный процесс может проверяться ежедневно для контроля качества, в то время как отдел кадров может проверяться только один раз в год. Аудиты могут быть запланированы, чтобы дать менеджерам время для сбора и подготовки необходимых документов и информации, или они могут быть неожиданными, особенно если подозреваются неэтичные или незаконные действия.

Процесс внутреннего аудита

Внутренние аудиторы обычно идентифицируют отдел, собирают информацию о текущем процессе внутреннего контроля, проводят полевые испытания, согласовывают с персоналом отдела выявленные проблемы, готовят официальный аудиторский отчет, рассматривают аудиторский отчет вместе с руководством и последующую работу с руководством и совет директоров по мере необходимости для обеспечения выполнения рекомендаций.

Методы оценки

Методы оценки гарантируют, что внутренний аудитор получит полное представление о процедурах внутреннего контроля и о том, соблюдают ли сотрудники директивы внутреннего контроля.Чтобы не нарушать ежедневный рабочий процесс, аудиторы начинают с косвенных методов оценки, таких как просмотр блок-схем, руководств, политик контроля отдела или другой существующей документации. Если документированные процедуры не соблюдаются, может потребоваться прямое обсуждение с персоналом отдела.

Методы анализа

Процедуры аудита на местах могут включать сопоставление транзакций, инвентаризацию, расчеты контрольного журнала и сверку счетов, как того требует закон.Методы анализа могут проверять случайные данные или ориентироваться на конкретные данные, если аудитор считает, что процесс внутреннего контроля нуждается в улучшении.

Процедуры отчетности

Отчет о внутреннем аудите включает формальный отчет и может включать предварительный отчет или промежуточный отчет в виде служебной записки. Промежуточный отчет обычно включает деликатные или важные результаты, которые, по мнению аудитора, должны быть немедленно известны совету директоров. Заключительный отчет включает в себя краткое изложение процедур и методов, использованных для завершения аудита, описание результатов аудита и предложения по улучшению внутреннего контроля и контрольных процедур.Официальный отчет рассматривается руководством и обсуждаются рекомендации по улучшению. Последующие действия через некоторое время необходимы для обеспечения того, чтобы новые рекомендации были реализованы и повысили эффективность работы.

Объяснение внутреннего аудита ISO [с процедурами и контрольными списками]

Что такое внутренний аудит ISO?

Целью внутреннего аудита ISO является оценка эффективности системы управления качеством вашей организации и общей производительности вашей организации.Ваши внутренние аудиты демонстрируют соблюдение ваших «запланированных мероприятий», т.е. Система менеджмента качества (СМК) и то, как ее процессы внедряются и поддерживаются.

Содержимое

Зачем проводить внутренний аудит?

Ваша организация, скорее всего, будет проводить внутренний аудит по одной или нескольким из следующих причин:

  1. Обеспечение соответствия требованиям внутренних, международных и отраслевых стандартов и правил, а также требованиям клиентов
  2. Для определения эффективности внедренной системы в достижении поставленных целей (качество, экология, финансы)
  3. Чтобы изучить возможности для улучшения
  4. Для выполнения законодательных и нормативных требований
  5. Для предоставления отзыва высшему руководству
ИСО 9001:2015 ИСО 9001:2008 Сводка изменений
9.2 Внутренний аудит 8.2.2 Внутренний аудит ИСО Это требование не отличается от требований стандарта ISO 9001:2008, пункт 8.2.2 — Внутренний аудит.

Принципы внутреннего аудита

Аудит опирается на ряд принципов, цель которых состоит в том, чтобы сделать аудит эффективным и надежным инструментом, который поддерживает политику и политику управления вашей компании, предоставляя при этом подходящую объективную информацию, на основе которой ваша компания может действовать для постоянного улучшения своей деятельности.

Соблюдение следующих принципов считается предпосылкой для обеспечения точности, объективности и достаточности выводов, полученных в результате аудита. Это также позволяет аудиторам, работающим независимо друг от друга, делать аналогичные выводы при проведении аудита в аналогичных обстоятельствах.

Следующие принципы относятся к аудиторам.

  1. Этическое поведение: Доверие, добросовестность, конфиденциальность и осмотрительность необходимы для аудита
  2. Достоверное представление: Выводы, заключения и отчеты аудита правдиво и точно отражают аудиторскую деятельность
  3. Профессиональная забота: Аудиторы должны проявлять заботу в соответствии с важностью выполняемой ими задачи;
  4. Независимость: Аудиторы должны быть независимыми от проверяемой деятельности и быть объективными
  5. Подход, основанный на фактических данных: Доказательства должны поддаваться проверке и основываться на образцах доступной информации.

Отбор аудиторов

Уровень компетентности может быть измерен обучением, участием в предыдущих аудитах и ​​опытом проведения аудитов. Аудиторы могут быть внешними или внутренними сотрудниками; однако они должны быть в состоянии быть беспристрастными и объективными.

Когда для проведения аудита отбирается внутренний персонал, необходимо создать механизм для обеспечения объективности, например, для проведения аудита может быть выбран представитель другого отдела.
Аудиты требовательны и требуют различных форм экспертизы. Размер аудиторской группы будет варьироваться в зависимости от размера организации, размера и типа операций, а также масштаба аудита.


Подготовка к аудиту

Перед ревизией тщательно подготовьтесь! Потратив время на подготовку, вы станете намного эффективнее во время аудита — вы станете лучшим аудитором. Аудиторам не следует пропускать этот шаг, поскольку он обеспечивает столь необходимую ценность аудита. Потратив время на подготовку и организацию, вы фактически сэкономите время во время аудита.

У вас должен быть актуальный график аудита и четко определенный план аудита для каждого процесса. Обязательно сообщите график аудита всем вовлеченным сторонам, а также высшему руководству, так как это поможет усилить ваши полномочия.

Соберите вместе всю соответствующую документированную информацию, относящуюся к процессу, который вы будете проверять. Посмотрите на показатели процесса, рабочие инструкции, диаграммы черепах, карты процессов и блок-схемы и т. д. Если применимо, соберите и просмотрите все планы контроля и рабочие листы анализа последствий режима отказа.Внимательно изучите их и выделите аспекты, которые вы планируете проверить. Использование документированной информации таким образом гарантирует, что она станет записями аудита.

Документированная информация вашей организации может не охватывать все требования, которые могут иметь отношение к процессу. Если некоторая информация недоступна, это может стать вашим первым выводом аудита, что неплохо для предварительной проверки!

Определенная информация и связи должны быть проверены. Некоторые из них обязательны, а некоторые просто являются хорошей аудиторской практикой.Помещение этих разделов в формат рабочего листа дает аудиторам руководство, которому нужно следовать, чтобы убедиться, что соответствующие ссылки проверены.

Человеческий аспект аудита

Хорошие одиторы очень рано осознают, что имеют дело не только с процессами и системами, но и с личностями. Несмотря на то, что цель аудита серьезная, часто легкий юмор, вежливость и дипломатичность — лучшие способы наладить взаимопонимание. Крайне важно приложить все усилия, чтобы убедить тех, кто подвергается аудиту, в том, что основная функция аудита — способствовать улучшению, а не навешивать ярлыки и стыдить.

Если вы новичок в одитинге, признайте этот факт, будьте открытыми и честными. Также важно объяснить проверяемым, что они могут свободно выражать свое мнение во время аудита. Помните, что вы, одитор, тоже должны учиться.

Всегда обсуждайте выявленные вами проблемы с объектами аудита и всегда давайте указания относительно того, что ожидается в плане исправления любых несоответствий или устранения высказанных вами замечаний. Сообщите проверяемым, что они могут прочитать ваши заметки и выводы; аудит не является секретом.

Старайтесь не втягиваться в споры о своих наблюдениях. Ни в коем случае не следует прямо указывать имена людей в аудиторском отчете, поскольку это может привести к оборонительной позиции, что в конечном итоге приведет к обратным результатам.

Определение внутреннего аудита

«Внутренний аудит — это независимая, объективная деятельность по обеспечению и консультированию, предназначенная для повышения ценности и улучшения деятельности организации. Она помогает организации достичь своих целей, применяя систематический, дисциплинированный подход к оценке и повышению эффективности управления рисками, контроля и управления. процессы.»

Источник: Международная система профессиональной практики (IPPF), Исследовательский фонд Института внутренних аудиторов. Флорида, США, январь 2011 г.

Типы внутреннего аудита ISO

Внутренние аудиты обычно называются «аудитами первой стороны» и проводятся организацией для определения соответствия набору требований, которые могут вытекать из таких стандартов, как ISO 9001:2015, а также требований клиентов или нормативных требований.

Существуют распространенные методы внутреннего аудита, которые можно использовать для определения соответствия:

  1. Аудит системы
  2. Аудит процессов
  3. Аудит продукции

Аудит системы

Аудит системы лучше всего проводить с использованием контрольного списка внутреннего аудита.Этот тип аудита фокусируется на системе менеджмента качества организации в целом и сравнивает действия по планированию и общие системные требования, чтобы убедиться, что каждый пункт или требование были реализованы.

Аудит процессов

Аудит процессов — это углубленный анализ, который проверяет, что процессы, входящие в систему управления, выполняются и дают результаты в соответствии с желаемыми результатами. Аудит процесса также выявляет любые возможности для улучшения и возможные корректирующие действия.Аудит процессов используется для того, чтобы сконцентрироваться на любых особых, уязвимых, новых процессах или процессах с высоким риском.

Аудит продукции

Аудит продукта может представлять собой серию аудитов на соответствующих этапах проектирования, производства и поставки для проверки соответствия любым указанным требованиям к продукту, таким как размеры, функциональность, упаковка и маркировка, с определенной периодичностью.

Итак, как проводится аудит?

Используйте контрольный список внутреннего аудита

Контрольный список внутреннего аудита поможет вам определить, в какой степени система менеджмента качества вашей организации соответствует требованиям, определяя, были ли эти требования эффективно внедрены и соблюдались.Инструмент внутреннего аудита поможет вам оценить состояние вашей существующей системы управления и выявить недостатки процессов, чтобы обеспечить целенаправленный подход к определению приоритетов корректирующих действий для улучшения.

Контрольный список внутреннего аудита — это лишь один из многих инструментов, доступных в наборе инструментов аудитора, который помогает гарантировать, что каждый внутренний аудит соответствует необходимым требованиям. Он выступает в качестве отправной точки до, во время и после процесса аудита, и если он разработан для конкретного аудита и правильно используется, он обеспечит следующие преимущества:

  1. Контрольные списки можно использовать в качестве справочного материала для планирования будущих аудитов
  2. Контрольные списки могут быть предоставлены объекту аудита до аудита
  3. Контрольные списки могут стать средством коммуникации
  4. Заполненный контрольный список свидетельствует о проведении аудита
  5. Обеспечивает систематическое и последовательное проведение аудита
  6. Обеспечивает последовательный подход к аудиту
  7. Активно поддерживает процесс аудита организации
  8. Предоставляет хранилище для заметок, собранных в процессе аудита
  9. Обеспечивает единообразие работы различных аудиторов
  10. Дает ссылку на объективные доказательства
  11. Контрольные списки аудита помогают процессу аудита

Контрольный список внутреннего аудита содержит таблицы сертифицируемых («должен») требований из Раздела 4.0 к Разделу 10.0 ISO 9001:2015, каждое требование формулируется как вопрос.

Нужна ли нам процедура внутреннего аудита?

Да, мы рекомендуем вам задокументировать Процедуру внутреннего аудита — это относится к двум пунктам ISO 9001 — Оценка производительности и улучшение. Это очень поможет вам в процессе аудита и управления внутренним аудитом.

Процедура контроля внутреннего аудита

Целью данной процедуры является определение процесса вашей организации для проведения аудитов СМК, аудитов процессов, а также аудитов поставщиков и законодательства для оценки эффективности применения системы менеджмента качества и ее соответствия стандарту ISO 9001:2015.

Эта процедура также определяет обязанности по планированию и проведению аудитов, составлению отчетов о результатах и ​​хранению соответствующих записей.

Нужна помощь с процедурой внутреннего аудита?

Наша процедура контроля внутреннего аудита включает:

Экономьте время и деньги — проверено на эффективность

Прежде чем тратить часы на изобретение велосипеда, прежде чем тратить бесчисленные деньги на аутсорсинг, попробуйте наш Контрольный список внутреннего аудита.

Анализ пробелов

Гэп-анализ, скорее всего, станет вашим первым внутренним аудитом по стандарту ISO 9001:2015. Контрольный список для анализа пробелов подчеркивает новые требования, содержащиеся в ISO 9001:2015, но не предназначен для полного охвата всех требований из ISO 9001:2015.

Полученные уникальные знания о состоянии вашей существующей системы управления качеством станут ключевым фактором последующего подхода к внедрению. Вооружившись этими знаниями, он позволяет вам устанавливать точные бюджеты, сроки и ожидания, которые пропорциональны состоянию вашей текущей системы управления при непосредственном сравнении с требованиями стандартов.

Возможно, в вашей организации уже внедрена система управления качеством, соответствующая стандарту ISO 9001:2008, или вы можете использовать несертифицированную систему. Если это так, вам нужно определить, насколько ваша система соответствует требованиям ISO 9001:2015.

Результаты анализа пробелов помогут определить различия или пробелы между вашей существующей системой управления и новыми требованиями. Шаблон анализа не только поможет вам определить пробелы, но также позволит вам порекомендовать, как эти пробелы следует заполнить.

Результаты анализа пробелов также обеспечивают ценную основу для процесса внедрения в целом и для измерения прогресса. Попытайтесь понять каждый бизнес-процесс в контексте каждого из требований, сравнив различные действия и процессы с тем, что требует стандарт. В конце этой деятельности у вас будет список действий и процессов, которые соответствуют и не соответствуют. Последний список теперь становится целью вашего плана реализации.

Подготовка аудиторского отчета

Хороший сводный отчет является результатом аудита.Он заслуживает соответствующего внимания и усилий. По мере прохождения аудита вы должны были отметить проблемы и улучшения, которые вы заметили. Они должны были быть четко помечены, чтобы вы могли быстро просмотреть и зафиксировать их при написании отчета.

Эти результаты и заключения должны быть официально задокументированы как часть итогового отчета. Слишком часто в аудиторском отчете лишь излагаются факты и данные, уже известные менеджерам. Ценность заключается в выявлении проблем и возможностей, о которых они не знают! Это резюме должно быть рассмотрено сначала с ведущим аудитором, а затем с владельцем процесса и группой управления.Внесите окончательные изменения и подайте отчет об аудите, а также все вспомогательные аудиторские материалы и примечания.

Организованно соберите весь пакет аудита. Остальные рабочие инструкции, блок-схемы, примечания и соответствующие документы должны быть включены в пакет аудита в качестве вспомогательных записей. Все выводы также должны быть задокументированы в ваших формах корректирующих действий. Сводка аудита и формы корректирующих действий должны быть приложены к пакету аудита, который теперь становится протоколом аудита.Владельцу процесса необходимо предоставить только сводный отчет и корректирующие действия.

Элементарные вопросы аудита

Эти основные вопросы аудита помогут направить аудит в правильном направлении, поскольку ответы, которые они дают, часто открывают двери к информации, необходимой аудитору для точной оценки деталей процесса.

Рассмотрим эти общие вопросы аудита:

  1. Каковы ваши обязанности?
  2. Откуда ты знаешь, как их выполнять?
  3. Какое обучение проводится для новых сотрудников?
  4. Как оценивается эффективность обучения?
  5. Ведется ли запись обучения?
  6. Каковы цели ваших процессов?
  7. Что такое политика в области качества и где ее найти?
  8. Какие документы вы используете и являются ли они правильными?
  9. Какие результаты создает ваш процесс?
  10. Как ведутся ваши записи?
  11. Как вы обеспечиваете соответствие продукции заявленным требованиям?
  12. Анализируются ли данные об удовлетворенности клиентов?
  13. Как вы обеспечиваете соответствие продукции заявленным требованиям?
  14. Что происходит, когда в требования к продукту вносятся изменения?
  15. Каковы обязанности/полномочия по устранению несоответствий
  16. Существуют ли тенденции в отношении несоответствующей продукции и что с этим делается?
  17. Связана ли процедура несоответствия с процессом корректирующих действий?
  18. Ознакомлены ли сотрудники с политикой и целями в области качества?
  19. Имеются ли политики и цели и актуальны ли они?
  20. Как определяются цели в области качества?
  21. Существует ли четкая связь между политикой и целями?
  22. Как измеряется и сообщается прогресс в достижении целей?
  23. Изменилось ли со временем количество жалоб клиентов?
  24. Какие инструменты используются для выявления причин жалоб?
  25. Как усилия по улучшению и успехи сообщаются сотрудникам?

Получение максимальной отдачи от графика аудита

График аудита разбит на части, чтобы отразить каждый раздел ISO 9001. Вы должны определить, какие из этих разделов имеют наибольшее значение для вашего бизнеса; Другими словами, какие процессы в случае возникновения проблем больше всего повлияют на ваших клиентов.Это процессы, в которых ваша компания должна убедиться, что они остаются стабильными и последовательными. Возможно, вы захотите запланировать эти ключевые процессы для дополнительных проверок, возможно, два или даже три раза в год.

График аудита дает следующие преимущества:

  1. Предоставляет визуальный план программы аудита
  2. Демонстрирует охват всего стандарта
  3. Предоставить текущий статус программы аудита
  4. Способствует повышению осведомленности

Прочие виды аудита

  • Сертификационный аудит (также известный как аудит соответствия требованиям ISO)
  • Надзорный аудит (это также аудит ISO)

Требуется ли сертифицированный аудитор для проведения аудита ISO или может ли компания провести аудит ISO самостоятельно?

Вам не нужен сертифицированный аудитор для проведения внутренних проверок качества вашей системы управления и ее процессов.

Сертифицированные аудиторы

обычно работают во внешних, сторонних органах по аккредитации, таких как DNV, UKAS, LRQA, которые будут проводить сертификационный аудит , то есть оценивать систему управления вашей организации на соответствие требованиям ISO 9001 и предоставлять вам сертификат соответствия. . Они также проведут аудит надзора , чтобы убедиться, что ваша сертификация поддерживается. Они не будут участвовать в повседневных внутренних аудиторских операциях.

Видео — Какова цель сертификационного аудита?

Внутренними аудиторами могут быть люди из вашей организации, обладающие необходимой компетентностью и беспристрастностью для проведения внутренних аудитов с целью обеспечения эффективной работы процессов вашей организации.Внутренние аудиторы часто отчитываются перед менеджером по качеству.

Чтобы просмотреть наши контрольные списки аудита, см. ниже.

Сопутствующая информация, которая может оказаться полезной
Следующий пункт
ISO 9001
Объяснение каждого пункта ISO 9001
.

Добавить комментарий

Ваш адрес email не будет опубликован.