Внутренний аудит СМК появился в самой первой версии стандарта ИСО 9001, то есть существует более 30 лет. Во многих компаниях такой аудит функционирует уже не одно десятилетие. Иногда можно увидеть в документах СМК предприятий: внутренняя проверка № 541 (!). К сожалению, эти многочисленные отчеты часто мало чем отличаются друг от друга.

Внутренний аудит на любом предприятии, как и любая деятельность, имеет свой жизненный цикл. Чтобы кривая жизненного цикла продукта/услуги не шла вниз, нам необходимо все время модернизировать этот продукт/услугу. Будем откровенны: за время существования аудитов СМК эта деятельность мало изменилась. Разумеется, менялась база для проверки, но методы и приемы - нет. Другое наблюдение: специалисты и внутренние аудиторы СМК перестали быть агентами изменений на своих предприятиях (а иногда сами тормозят внедрение новшеств).

Давайте попробуем понять, чего ждут от нас разные категории наших заинтересованных сторон (стейкхолдеров) внутреннего аудита, какие упреки часто можно слышать?

• Со стороны руководства компаний: мы хотели бы увидеть, что эффективно / не эффективно; мы хотели бы избегать штрафов; мы хотели бы, чтобы вы проводили дополнительный контроль качества; мы хотели бы, чтобы вы говорили, что надо делать для улучшения деятельности.
• Со стороны подразделений: вы смотрите только бумаги, а не оцениваете нашу деятельность; вас не интересует качество продукции; вы отнимаете время, а мы хотели бы реальной помощи в решении производственных проблем.
• При внешних аудитах СМК: из аудита в аудит вы пишете одни и те же несоответствия только по документам и записям, но никогда ничего содержательного.

Бесспорно, все это надо учитывать.

Какие новые механизмы мы можем привнести во внутренние аудиты, чтобы оставаться (или снова стать) востребованными? Они связаны с несколькими направлениями:

1. Улучшение процедуры внутреннего аудита.

2. Аудит процесса.

3. Аудит поставщика.

4. Комплаенс-аудит.

5. Аудит, связанный со стоимостью.

Рассмотрим каждое из них.

1. Улучшение процедуры внутреннего аудита

Необходимо предусмотреть встречу аудиторов с топ-менеджером (заказчиком аудита) перед аудитом – ведь его далеко не всегда интересует только вопрос, ознакомлен ли инженер отдела маркетинга со своей должностной инструкцией и есть ли в ней требования знать и понимать политику в области качества. Учет запросов руководства – один из путей заинтересовать как руководство, так и аудитируемых во внутреннем аудите.

Аудит должен быть полезен для всех заинтересованных сторон. Обращать внимание следует не только на удовлетворенность заказчика аудита. Если внутренний аудит станет выгоден самим аудитируемым, то это повысит его эффективность. Аудит может быть интересен аудитируемым как возможность избежать замечаний на внешних проверках, добиться изменений в организационных требованиях, исключить ненужное документирование, обеспечить коммуникацию с руководством, добиться оценки своего труда. Эти цели надо стремиться реализовать.

Риск-ориентированный подход к аудиту. Как мы можем применить механизм оценки рисков в аудитах:

• первое: оценивая саму процедуру внутреннего аудита. То есть проанализировать по шагам процесса какие проблемы могут возникнуть и установить действия по их предупреждению/смягчению последствий;
• второе - это объем выборки: чем более значима проблема, тем большую выборку свидетельств аудита мы проводим. То есть надо составлять риск-ориентированный план;
• третье – это правильное формулирование несоответствий. Надо соизмерять выписываемые несоответствия с теми проблемами, которые есть в организации – какие претензии от заказчиков, какие потери. Несоответствия по отсутствию требуемых записей в журналах не должны составлять основы свидетельств аудита. Надо преодолевать «эффект мельчания» выводов по аудиту, когда среди незначительного теряются важные вопросы;
• четвертое: внутренние аудиторы – это один из самых интересных источников информации для оценки рисков для процессов СМК. По опыту внедрения ИСО 9001:2015 можно заметить, что владельцы процессов обычно подробнейшим образом могут рассказывать, какие проблемы их процессов связаны со входами и событиями внешней среды. А когда спрашиваешь, а как «внутри» процесса, то они говорят – «а внутри все хорошо». Внутренний аудитор как раз видит, что не хорошо или может быть не хорошо внутри процесса, и его голос при оценке рисков по процессам – один из самых ценных.

В табл. 1 приведен фрагмент анализа рисков по процессу «Производство основной продукции» на машиностроительном заводе и требуемые действия внутреннего аудитора в этой связи. Правда, из этой оценки видно: если скрупулезно и подробно провести оценку рисков, то мы напишем второй раз стандарт ИСО 9001.

Отказаться от причины несоответствий «человеческий фактор», т.к. если этому фактору позволили проявиться, значит, не сработала система. Необходимо стараться указывать более глубокие причины несоответствий, не ограничиваться самой простой.

Аудиту должна подвергаться деятельность, связанная с несоответствующей продукцией и претензиями. Да, СМК - это система не качества продукции, а качества бизнеса. Но бизнес - это ведь, в том числе, и качество продукции, а об этом на предприятии часто забывают. Руководители одного завода приняли решение о внедрении СМК после того, как приняли на работу инженера по качеству, и поставили ему задачу проводить расследование претензий со стороны потребителей. Тут в качестве причин стали возникать вопросы прослеживаемости продукции, актуальных инструкций на рабочих местах и т.д. То есть все те вопросы, за которые отвечает СМК. Увидев это, они сказали: давайте внедрять ИСО 9001.

Если мы проводим аудиты, выписываем несоответствия, корректирующие действия выполняются, а претензии потребителя не уменьшаются, то мы не туда смотрим. И хороший индикатор результативности внутреннего аудита: это когда снижается количество рекламаций и несоответствующей продукции. Ведь если мы все делаем правильно в аудите, то и потери от несоответствующей продукции должны снижаться. И эффективность деятельности по внутреннему аудиту оценить довольно легко: дельта затрат на несоответствующую продукцию за 2 соседних года должна быть выше, чем фонд оплаты труда аудиторов.

Надо снизить количество записей ивысвободить время. Традиционно внутренние аудиторы ведут очень много рукописных записей (ведь далеко не на всех предприятиях есть специализированное ПО для ведения записей по аудиту в электронном виде): план аудита в котором все переписано из годовой программы, длинные отчеты с описанием того, что мы проверили, с кем общались, протоколы несоответствий на каждое несоответствие, потом переписывание этих несоответствий в план корректирующих действий по итогам аудита.

Все это можно заменить двумя документами, отражающими проведение внутренних аудитов (один бумажный, один электронный): годовая программа аудита и файл-отчет. Ведь в отличие от органов по сертификации, внутренние аудиторы, не связаны большим количеством регламентов. Здесь из требований есть только раздел 9.2 структуры высокого уровня. Разумеется, тут нельзя обобщать, и нет единых эффективных инструментов для всех организаций. Где-то важно, чтобы аудитируемый расписался за получение протокола несоответствий, где-то важно, чтобы начальники одних подразделений не видели несоответствий других подразделений. Но в большинстве случаев такой подход никак негативно не сказывается на результатах аудита, а время внутреннего аудитора высвобождается (см. табл. 2 и 3). Причем такая общая отчетность по аудиту – это наглядная база данных по рискам (или можно назвать, по предупреждающим действиям) для других подразделений.

Такой формат ведения записей значительно экономит время (при неизменности результатов), а значит, позволяет высвободить время аудиторов на другие задачи, либо сократить количество аудиторов.

Больше наглядности в отчетной документации. Сейчас у всех есть фотоаппараты, которые всегда с нами. И подкреплять свидетельства аудита фотографией – это тоже довольно эффективный подход. Ведь часто одна фотография может сообщить больше, чем много написанных слов. Фото может содержать не только станок или изделие, но и тот же документ или журнал. При фотографировании лишь необходимо не забывать об ограничениях, например, не фотографировать людей, когда они против этого возражают или конфиденциальные документы.

 Таблица 1

Оценка рисков по процессу «Производство продукции» (фрагмент)

* Оценка является экспертной и может быть различна для разных предприятий.

** Вероятность возникновения рисков может быть основана на имеющейся статистики по несоответствиям и их причинам.

Сокращения: КД – конструкторская документация, ТД – технологическая документация, СИ – средства измерения НД – несоответствующая продукция

2. Аудит процесса

С момента появления процессного подхода в стандарте ИСО 9001 в 2000 году все стали говорить о том, как важно и эффективно проводить аудит процесса на предприятии. Сейчас мы видим, что аудит процессов в большинстве случаев на предприятиях так и не проводится (несмотря на то, что внутренний аудит планируется и проходит по идентифицированным процессам СМК). На что тут следует обратить внимание?

При аудите процесса важно:

• правильно назначить команду по аудиту (то есть назначать аудиторов из подразделений-потребителей аудитируемой деятельности);
• проанализировать установленные риски и возможности процесса;
• получить информацию по удовлетворенности внутреннего потребителя (типичных проблемах);
• проанализировать наличие и соответствие входов;
• проанализировать наличие и соответствие ресурсов;
• провести анализ выполнения процедуры процесса;
• проанализировать улучшение процесса.

К сожалению, в ходе аудита процесса мы часто ограничиваемся только оценкой выполнения процедуры, а на все остальные вопросы внимания не обращаем.

Таблица 2.

Форма программы аудита

Таблица 3.

Форма файла-отчета по внутреннему аудиту

3. Аудит поставщика

По опыту участия в большом количестве аудитов второй стороны (Газпром, Транснефть, Олимпстрой, Halliburton, Schlumberger и прочие), видно, что такие проверки приносят пользу и для проверяющих компаний, и для проверяемых.

Для чего может применяться аудит поставщика? Его целями может быть:

• оценка объективности данных, представленных поставщиком в квалификационной анкете;
• оценка обеспечения поставщика квалифицированными специалистами;
• оценка СМК на соответствие требованиям ИСО 9001 (и другим стандартам на системы менеджмента);
• оценка технической готовности поставщика к выполнению работ;
• оценка загрузки мощностей поставщика;
• передача и пояснение требований к выполняемым работам;
• выявление проблем взаимодействия между компанией-поставщиком и потребителем (заказчиком аудита).

Таким образом, аудит поставщика – еще один механизм расширения функционала внутренних аудиторов.

4. Комплаенс-аудит

Комплаенс-аудит (compliance, англ – соответствие, выполнение, соблюдение) заключается в оценке соответствия деятельности предприятия установленным нормам. В определенной мере, аудит СМК – это тоже один из видов комплаенс-аудита, но сферы комплаенс-аудита могут быть шире – это выполнение требований по охране труда, правильное оформление документации по персоналу, своевременная отчетность в органы статистики и проч. То есть все вопросы, по которым компания подвергается внешним проверкам. И тут задачей аудитора может быть снижение штрафов.

Это не всегда касается СМК, но расширить аудит СМК на эти сферы – это однозначно принести своей компании пользу. При проведении комплаенс аудита критична компетентность аудитора в аудитируемой области. Тут, во-первых, можно привлекать технических экспертов из других подразделений. Например, проводить аудит кадровой службы аудитору СМК совместно с юристами (очевидно, что эффект для компании будет значительно выше, чем если бы один аудитор проводил такой аудит просто как аудит СМК). Второй путь – это специализировать своих аудиторов, помогать им повышать свою квалификацию в сопутствующих СМК вопросах. Сейчас многие контрольные органы переходит на чек-листы при проведении проверок. Например, «Проверочный лист (список контрольных вопросов) для осуществления федерального государственного надзора … при работах по ремонту и обслуживанию грузоподъемных машин» содержит «Перечень вопросов, отражающих содержание требований, ответы на которые однозначно свидетельствуют о соблюдении или несоблюдении юридическим лицом, индивидуальным предпринимателем обязательных требований, составляющих предмет проверки». Такие вопросники – отличное подспорье аудитору.

И еще один очень важный момент при проведении комплаенс-аудита. Аудит СМК из всех видов внутренних аудитов самый позитивный. Мы очень много тратим времени на правила общения, на открытость при проведении аудита, на отсутствие стремления «поймать за руку». Этих принципов не хватает классическому комплаенс-аудиту, и когда мы, как аудиторы СМК вторгаемся на территорию комплаенс со своими правилами, то тут у нас есть все шансы на успех. Чтобы согласиться с этим фактом достаточно посмотреть, как юристы на предприятиях проводят проверки своих коллег. Мы ведь никого не ловим, никого не упрекаем, ни на кого не нападаем. Как мы уже говорили, чтобы аудит был эффективен, он должен быть одинаково полезен и для аудитируемого, и для заказчика аудита. Ведь когда работника наказывают по результатам внутреннего аудита, он начинает скрывать все, что только можно и несоответствия достаются уже не внутреннему аудитору, а проверяющему органу, что значительно дороже. Принуждение и наказание вызывают агрессию, саботаж и обман. Это базовые вопросы, которые обсуждаются в первые 15 минут любого хорошего семинара по внутреннему аудиту СМК, но от этого они не менее ценны. И мы должны использовать именно такой подход при проведении комплаенс-аудита.

5. Аудит, связанный со стоимостью

Когда руководители слышат, что в требования СМК не входят вопросы экономики, то быстро теряют интерес к такой СМК. Действительно, в стандартах ИСО 9001 не учтены вопросы стоимости, вопросы эффективности. В стандартах установлено, что важно обеспечить удовлетворенность потребителя и соответствие продукции, а какой ценой – это не вопрос специалистов по СМК. Но для предприятия вопрос стоимости, вопрос затрат – это вопрос не менее важный, чем вопрос качества. И одно без другого просто невозможно рассматривать.

Когда в ходе московского выступления у Ч. Корри (секретаря комитета 176 Международной организации по стандартизации, ответственного за разработку стандарта ИСО 9001) спросили, почему стандарт ИСО 9001 не рассматривает вопрос стоимости, он ответил, что у каждого стандарта на системы менеджмента свои задачи: у стандарта ИСО 9001 – это качество, у стандарта ИСО 50001 – это экономия ресурсов, у стандарта ИСО 27001 - это информационная безопасность. То есть на сегодняшний день стандарты не рассматривают всю взаимосвязь существующих факторов важных для предприятия, например, качество и эффективность.

Предполагается, что более эффективно рассматривать аудит СМК в комплексе с вопросами затрат и стоимости. В этом случае результатами внутреннего аудита могут стать следующие категории выводов и оценок:

• прямой ущерб;
• косвенный ущерб;
• возможности;
• риски.

Проведение такой оценки в ходе анализа бизнес-процессов, анализа соблюдения требований СМК, нормативных и законодательных требований с учетом лучших эффективных методик и оценки рисков, вызовет, как минимум, не меньший интерес руководства, чем стандартный отчет по аудиту СМК.

И еще один аспект этого вопроса: стандарты организаций. Это уже не столько вопрос самих аудиторов, сколько вопрос правил игры. Вопрос установления внутренних стандартов не только с учетом качества, но и затрат. Например, сейчас на предприятиях цели и критерии процессов СМК – это в 95% случаев результативность, а, значит, на большее внутренний аудитор сейчас и не смотрит.

Необходимое дополнение

На рис. 1 приведена так называемая схема «трех линий обороны» предприятия. Она используется внутренними аудиторами (зачастую финансовыми), как один из способов обеспечить интеграцию оценки деятельности предприятия.

Действительно, когда в организации есть много видов контроля, которые друг с другом никак не связаны, не взаимодействуют, у руководства появляется очень сложная и большая задача: свести все данные, проработать, проанализировать и принять правильные решения. Далеко не у всех достаточно для этого времени. Это означает, что много правильных решений так и остается не принятыми. На предприятиях, где выстроена система внутреннего аудита СМК, такую задачу отчасти могли бы взять на себя внутренние аудиторы СМК. Если сами аудиторы будут охватывать несколько областей проверок (например, качество, управленческий учет, анализ соблюдения законодательства), то база для анализа и принятия решений будет формироваться на другом уровне, что позволит сделать отчеты более сбалансированными и эффективными.

Результаты опроса компаний по функциональным обязанностям Служб внутреннего аудита («Исследование текущего состояния и тенденций развития внутреннего аудита в России». Институт внутренних аудиторов. 2017 г.) показывают (рис. 2), что сейчас роль аудиторов СМК на площадке внутренних аудитов очень скромна. Увы, руководители про нас забыли (или не знают), когда отвечали на этот вопрос (участники опроса - представители промышленности, строительства и оказания услуг, то есть не только банки и финансовые организации).

Рис. 1 Три линии обороны предприятия

___________________________

* Конечно, аудит СМК – это отчасти и «аудит соответствия нормативным требованиям», и «содействие менеджменту в построении системы управления рисками», но как бы то ни было, в явном виде термин «аудит системы менеджмента качества» не прозвучал.