Чек-Листы По Исо
Наше с экспертом сайта отношение к комплаенс-ориентированным подходам к жизни приведено на соответствующих страницах (например – ). Однако последствия применения комплаенс-ориентированного подхода могут оказаться достаточно печальными не только потому, что такой подход поверхностен: любой подход к внутреннему аудиту имеет свои ограничения по эффективности. Но только с помощью комплаенс-ориентированного подхода можно кардинально изменить представление о чем-либо, назвав отвратительное приемлемым и наоборот. Эта страничка посвящена технике возникновения таких расхождений. Пример из жизни. Для начала вопрос.
Посчитаете ли Вы разумным, если в управлении рисками, внутреннем контроле и внутреннем аудите в организации:. не используется ни один известный в мире (COSO, Международные профессиональные стандарты внутреннего аудита). То есть не «не соответствует / соответствует частично» по итогам внешней оценки, а даже не декларируется попыток обеспечить соответствие;. подразделения возглавляют люди, которые до этого ни разу не сталкивались с управлением рисками / внутренним аудитом.
Приложение В. Форма Чек-листа по аудиту. Приложение Г. Примерные варианты Чек-листов по аудиту степени соответствия СМК. Требованиям ИСО 9001. Приложение Д. Бланк регистрации результатов по оценке системы менеджмента качества. Существуют хорошие чек-листы и плохие чек-листы. Так как же создать такой перечень, который поможет в работе?Узнаем подробно в нашем следующем списке чек-листа. Основы эффективного чек-листа. Фокусироваться только на простых вещах. Целью хорошего чек-листа является передача необходимой информации. Никаких деталей. Чек-лист не гид, не экскурсия по вашему рабочему процессу. Это схема, которая помогает вспомнить самое важное. Сделать чек-лист простым и практичным. Используйте понятные слова, точно описывающие задачу. Если вам нужно дополнительное время, чтобы вспомнить, что именно означает ка.
Не говорим о всяких CIA, даже опыта работы нет;. оценка эффективности управления рисками и системы внутреннего контроля не проводится никогда и никем.
Внутренний аудит, безусловно, существует, но ни разу не проводил оценку эффективности системы управления рисками и внутреннего контроля;. эффективность внутреннего аудита не оценивается в принципе.
То есть даже один раз в пять лет в соответствии с МПСВА не то, что не делается, а вообще не планируется? До кучи: в совете директоров нет ни одного независимого директора, все документы (политики, процедуры, etc.) написаны на основании скачанного из интернета «приближенными» к руководству консультантами (сами понимаете, работа меньше стоить не может), «горячая линия» в каком-либо виде отсутствует и пр. Так вот, такая ситуация, оказывается, для предприятий с государственным участием нормальна не только «по жизни» (то есть ситуация плоха, но нормальна, потому что так почти везде), но и «по закону».
И возникает это из-за того, что Росимущество Приказом от №306 «Об утверждении Методики самооценки качества корпоративного управления в компаниях с государственным участием» рекомендует использовать именно комплаенс-ориентированный подход к такой оценке этого самого качества. Конкретнее – на основании балльной оценки по перечисленным в Методике пунктам необходимо достичь желаемого уровня качества корпоративного управления не ниже 65% от возможного максимального количества очков. Рассмотрим подробнее, как комплаенс-ориентированный подход приводит к приведенному выше неожиданному результату на примере раздела V «Управление рисками, внутренний контроль и внутренний аудит». Для обоих типов упомянутых в Методике акционерных обществ анкета одинакова, различаются только номера вопросов. Справа в таблице приведена потенциальная оценка и комментарии о том, как организовать требуемое соответствие, особо не напрягаясь. Текст из Методики Фактический результат № Вопрос Вариант ответа Оценка Оценка Комментарий к оценке факт шкала макс. Балл 81 Утверждена ли СД политика в области управления рисками и внутреннего контроля?
А Да 0 4 4 4 Существует формальная политика, принесенная консультантами. Ее даже кто-то прочитал, но до менеджмента она не доведена.
Тем не менее, оценка максимальна: на СД утверждена, документ разумен. Б Нет 0 0 82 Применяются ли в обществе общепринятые концепции и практики работы в области управления рисками и внутреннего контроля, такие как «Интегрированная концепция построения системы внутреннего контроля» COSO, Концепция (COSO) «Управление рисками организаций. Интегрированная модель», Комитет спонсорских организаций Комиссии Трэдуэй; Международный стандарт ИСО 31000 «Менеджмент риска.
Принципы и руководящие указания», Международный стандарт ИСО 31010 «Менеджмент риска. Техники оценки рисков»? А Да 0 4 4 0 Про что эти слова? Кстати, мы и про FERMA не знаем Б Нет 0 0 83 Есть ли в обществе отдельное структурное подразделение по управлению рисками/лицо, выполняющее функции такого подразделения? А Да 0 6 6 6 Конечно, подразделение есть, штатное расписание утверждено.
Переименовали из отдела страхования. Вариант более жизненный (реальный случай): выделить человека из ОТиТБ в управление рисками – охрана труда тоже ведь про риски (конкретнее – про кирпич на голову). Б Нет 0 0 84 Организован ли в обществе безопасный, конфиденциальный и доступный канал информирования СД (комитета по аудиту) и подразделения внутреннего аудита о фактах нарушений законодательства, внутренних процедур, кодекса этики общества любым его работником и (или) любым членом органа управления или органа контроля за финансово-хозяйственной деятельностью общества («горячая линия»)?
А Да 0 2 2 0 Сами понимаете, что «шума» (то есть ложных сообщений) по такому каналу будет много, то есть фактически это будет анонимный клеветнический канал, где злые завистники в виде обиженных рядовых сотрудников могли бы обливать грязью эффективный менеджмент. Зачем нужно это беспокойство для всех? Б Нет 0 0 85 Проводится ли в обществе систематическая работа по выявлению, оценке и управлению рисками? А Да, на регулярной основе (не реже одного раза в 6 месяцев) 0 4 4 4 Безусловно. Раз в квартал (1) отдел управления рисками спрашивает у менеджмента, нет ли новых рисков (почему-то не находятся никогда); (2) каждый менеджер присылает в отдел управления рисками отчет об управлении рисками (перечисляет текущие контрольные процедуры, см. ) и новую оценку своих рисков (повысился / понизился). Занимает примерно 20 минут в квартал у каждого, из них 15 минут – найти письмо за предыдущий квартал.
Дальше отдел управления рисками готовит сводную презентацию Б Да, но нерегулярно 0 2 В Нет 0 0 86 Приняты ли в обществе внутренние нормативные и методологические документы, регулирующие вопросы управления рисками, в том числе выявление, оценку и управление рисками? А Да 0 2 2 2 Вариант 1. Существует бумажка на двух листах, написанная финансовым директором от руки. Многотомный фолиант от консультантов.
В принципе, что в них написано, не очень важно (см. Предыдущий пункт), но факт наличия документов неоспорим.
Пример Чек Листа
Б Нет 0 0 87 Рассматривает ли СД (комитет по аудиту) отчеты о ключевых рисках и управлении ими на регулярной основе (не реже одного раза в 6 месяцев)? А Да 0 4 4 4 Да.
Чек Лист По Исо 9001
Отчет, сформированный в п. 85, вполне можно вынести на рассмотрение Совета директоров. В протоколе по итогам заседания «принимают к сведению». Б Нет 0 0 88 Организует ли СД на ежегодной основе оценку эффективности функционирования системы управления рисками и внутреннего контроля? А Да, с последующим представлением отчета о результатах такой оценки в составе годового отчета общества 0 3 3 0 Совет директоров контролирует деятельность через прочитывание отчетов о рисках из предыдущего пункта. Дополнительной потребности в оценке КСУР и прочих СВК нет.
Тем более с публикациями в годовом отчете. Б Да, однако без представления отчета о результатах такой оценки в составе годового отчета общества 0 2 В Нет 0 0 89 Применяются ли в обществе общепринятые стандарты деятельности в области внутреннего аудита и, в частности, Международные профессиональные стандарты внутреннего аудита Института внутренних аудиторов? А Да 0 4 4 0 Международные стандарты придуманы буржуями. Мы же российская организация, зачем они нам нужны? Б Нет 0 0 90 Как в обществе организована функция внутреннего аудита? А Создано отдельное структурное подразделение внутреннего аудита 0 6 6 6 Отдельное структурное подразделение создано.
Но требования к руководителю не определены, поэтому служат верные ленинцы народнофронтовцы. Пример из жизни: внутренний аудит на предприятии с выручкой больше $1 млрд. (уже по новому курсу) возглавляет бывший бухгалтер / казначей (понятное дело, что не с простой, а с руководящей позиции перешел), для которого текущая должность – первая работа во внутреннем аудите. Человек очень квалифицированный: к.э.н. Правда, защищался почему-то в областном центре (чуть больше 300 тыс.
Чел.) в 1900 км от места жительства Б Внутренние аудиторские проверки проводятся независимой внешней организацией 0 4 В Внутренние аудиторские проверки проводятся структурным подразделением общества, на которое эти функции возложены наряду с его основными функциями 0 1 Г Внутренние аудиторские проверки не проводятся 0 0 91 Установлена ли уставом или внутренними документами общества функциональная подотчетность подразделения внутреннего аудита СД и административная подотчетность ЕИО общества? А Да 0 4 4 4 Это как раз без проблем организовать. Главное, чтобы сильный человек это подразделение не возглавил случайно. Но как сильный человек в принципе может там оказаться, если ищут через директора по персоналу, а кандидатура согласуется с генеральным и СБ перед вынесением на Совет Директоров? Кстати, внутренние кандидаты (из бухгалтерии) в приоритете. Б Нет 0 0 92 Укажите, выполняются ли следующие рекомендации в отношении функциональной подотчетности подразделения внутреннего аудита СД: (укажите все верные варианты) А СД (комитет по аудиту) утверждает политику в области внутреннего аудита (положение о внутреннем аудите) 0 1 5 5 С этим все нормально.
Если помните, что в СД у нас нет независимых директоров, поэтому не страшно. Бумажки готовятся, рассматриваются, утверждаются, ставятся на контроль. Требование Оценка Дополнительные комментарии, обосновывающие введение шкалы Год выпуска Новый – 5 очков. Подержанный – 4 очка. Очевидно, что необходимо искать возможности для экономии. Бюджет ограничен, подержанный автомобиль может стать неплохим выходом при урезании инвестиционной программы.
К тому же б/у техника может быть и лучше, чем новая отдельных производителей. Производитель Европа – 5 очков.
Азия – 4 очка. Другое – 3 очка. Нельзя сосредотачиваться на конкретных производителях, так как это может привести к ограничению конкуренции. Грузоподъемность 4 тн и выше – 5 очков. 2-4 тн – 4 очка. До 2 тн – 3 очка.
Нельзя указывать в требованиях конкретную грузоподъемность, это может привести к формированию тендерных условий под конкретного производителя. Цвет Корпоративный (голубой) – 5 очков. Синий, фиолетовый или морская волна – 4 очка. Другой – 3 очка. Цвет – одна из технических характеристик, указание конкретного цвета аналогично указанию конкретной грузоподъемности, то есть (см. Предыдущую строчку) может привести к формированию тендерных условий под конкретного производителя.
И установим (опять же, для примера) требование (см. Методику выше) о том, что автомобиль допускается к конкурсу при получении оценки в размере 65% от максимума. То есть нужно набрать 13 очков из 20 максимальных.
Пусть в конкурсе участвуют все мировые производители и красный ВАЗ-2104 1999 г.в. «Четверка» вполне себе проходит под условия конкурса (13 очков). Она и выигрывает (по цене) у всех остальных производителей. То есть по итогам применения чек-листа мы получаем, что ржавое корыто не на ходу (требования о том, что оно должно самостоятельно передвигаться, вообще-то нет), коих много в любом дворе – это почти новый грузовик. Теперь предположим, что мы проводим комплаенс-ориентированный аудит закупок автомобиля. Ситуацию описывает эксперт: Положение о закупкам есть?
Регламент проведения тендера есть? Необходимые документы сформированы? Выбор сделан кошерно? Вывод: деятельность компании соответствует установленным процедурам, бест практис соблюден, аудитор, не напрягаясь, заключил, что все Ok. Результат для всех:. ГВА понял, что план по проверкам выполняется, КПЭ будет в норме, значит, бонус приедет и можно планировать отдых на Мальдивах;.
собственник получил разумную уверенность в том, что у него никто ничего лишнего не украл;. снабженцы не только втюхали родному предприятию гнилую «четверку», причем даже не корпоративного цвета, под видом нового грузовика, но и получили премию за экономию бюджета.
Правда, деньги зря потрачены, но да ладно. Чтобы не быть обвиненным в критике светлого без собственных предложений о прекрасном, приведу краткий ответ на вопрос, а «как бы описанную ситуацию можно изменить». Изменить совершенно банально: должен быть перечень обязательных требований, без исполнения которых оценка чего бы то ни было (из примера – условного корпоративного управления) – «неудовлетворительно». То есть если хотя бы один пункт не выполнен, то это (в примере – корпоративное управление) – однозначно плохо. Как у классика: «Свежесть бывает только одна — первая, она же и последняя.
А если осетрина второй свежести, то это означает, что она тухлая». Кстати, такая возможность заложена в виде флажков в рассматриваемый приказ Росимущества. Этого абсолютно достаточно. Но в рассмотренном на этой странице разделе V «Управление рисками, внутренний контроль и внутренний аудит» ни один из принципов не отмечен «флажком», то есть не является обязательным к внедрению, что как минимум странно. Да, и я понимаю, что исполнение даже этих обязательных требований может оказаться профанацией (то есть бумажки есть, а по смыслу ничего нет). Но подход «либо соответствуем, либо нет» всё равно лучше, чем «Росимущество рекомендует совету директоров АО утвердить минимальное допустимое значение качества корпоративного управления не ниже 65%». Остается вопрос: можно ли применять чек-листы?
Ответ: безусловно, да. В рознице очень полезно.
На примере «Связного»: сбор информации о состоянии торговой точки не занимает очень много времени (примерно 15-20 минут у инвентаризаторов при их появлении), но достаточно интересен многим подразделениям от безопасности до персонала (ответы примерно на 40 вопросов, например, «годен ли огнетушитель по сроку годности»). Обратите внимание на два аспекта. Возможные ответы должны быть однозначными. Пример – однозначно ответить на вопрос «Пол чистый (да/нет)» невозможно. Кстати, в чек-листе «Связного» такой вопрос был, но не по нашей инициативе он туда был включен.
Правильный вопрос: «Есть ли на полу окурки (да/нет)». Совершенно точно нужно избегать замены аудиторского суждения об эффективности неким «галочным» соответствием (пусть даже и «лучшим практикам»), в т.ч. Не нужно присваивать рейтинги. Из того, что 39 из 40 требований соблюдены (то есть вроде как рейтинг 97,5%) не следует, что всё хорошо, потому что на полу может быть куча сами знаете чего. В заключение отмечу, что в эффективность чек-листов (за исключением розницы) я не очень верю, потому что чек-лист – это первый шаг к комплаенс-ориентированному подходу. Думал, в какой раздел сайта поместить это: или «».
Решил именно в «Разное», потому что фактически этот раздел – продолжение про искажение действительности, хотя и на примере профессионального. Если отклониться от тематики сайта, то для рассматриваемого документа можно в таком же стиле ответить и на оставшиеся вопросы, результат однозначен (сам потестировал, не привожу для сокращения объема): отвратительное с точки зрения корпоративного управления ОАО вполне достигнет требуемых 65%. Кстати, про независимых членов Совета директоров. Если таковые отсутствуют, то это минус 10 очков, или около 2% к «качеству корпоративного управления», хотя, конечно, рекомендации являются как бы обязательными к внедрению.
1 Цель аудита Получить исходные данные для построения системы менеджмента качества, соответствующей требованиям ISO 9001:2015. Общий менеджмент Организационная структура - определена?
- документирована? - официально утверждена?
Стратегия - определена? - документирована? - официально утверждена? - есть долгосрочные целевые показатели? - какие и кем установлены? Корпоративная политика - в отношении персонала - в отношении качества - есть ли явным образом обозначенные корпоративные ценности? Горбунов ред.
1 из 7 2 Результативность менеджмента - результаты выполнения целевых показателей за последние 2-3 года (факт) - имеется ли система оценки результативности руководителей? - оценивается ли результативность по этой системе? Оценка документируется? - насколько показатели результативности руководителей согласованы с целями организации? - какие действия предпринимаются в случае нерезультативности? Мотивы и ожидания руководства - мотивы для построения СМК - ожидания от построения СМК - степень осознания своих обязанностей в рамках СМК и готовности их исполнять - готовность выделять ресурсы для поддержания СМК Оперативные цели организации - определены? - документированы?
- официально утверждены? - есть целевые значения? Оперативное планирование и управление - проводятся ли регулярные совещания? - типовые вопросы? - есть ли «вечные» вопросы и, если да, то какие?
- ведутся ли протоколы совещаний? - разрабатываются ли планы реализации принятых решений? - отслеживается ли выполнение принятых решений? Горбунов ред.
2 из 7 3 Распределение ответственности и полномочий - каким образом распределена ответственность устно/документирована? - используются ли ДИ и ПП 1? - распределение ответственности осуществляется через ОРД/ВНД 2? Документирование Создание и управление документацией - какие документы используются: электронные или бумажные?
- есть ли система документооборота? - какого рода документация обращается? Есть ли реестр обращающейся документации? - есть ли требования к оформлению документов?
Кто несет ответственность за требования и их выполнение? - кто несет ответственность за актуальность? 1 ДИ, ПП должностная инструкция, положение о подразделении 2 ОРД/ВНД организационно-распорядительный документ (приказ, распоряжение, ), внутренний нормативный документ (стандарт, процедура, ) А. Горбунов ред. 4 Оформление документов - соответствует ли оформление ВНД требованиям?
Требования ISO 9001:2015 качества Общий менеджмент - есть ли оценка внутренней и внешней среды организации? Если да, то документирована ли она? - есть ли понимание заинтересованных сторон и их требований? - каким образом распределены ответственность и полномочия в области менеджмента качества? - выделены ли процессы? Если да, то какие?
Горбунов ред. 4 из 7 5 качества Продукция - какую продукцию выпускает организация? - каковы характеристики качества выпускаемой продукции? - какую продукцию организация планирует включить в область действия СМК?
- планирует ли организация расширение видов поставляемой продукции? - каковы текущие показатели качества продукции и их тенденции? - каково восприятие качества продукции потребителями? Проектирование - есть ли потребность в проектировании?
Если да, то: - как осуществляется планирование проекта? - в какой форме представлены исходные данные? Кто поставляет и отвечает за полноту и точность исходных данных? - выполняются ли запланированные мероприятия? - как осуществляется управление изменениями?
- в какой форме представлены результаты проектирования? - кто утверждает результаты проектирования? Принятие контрактных обязательств - кто общается с потребителем?
- в какой форме фиксируются требования потребителя? - кто отвечает за полноту и точность определения требований потребителя? Оценку их выполнимости? Горбунов ред. 5 из 7 6 качества Мониторинг выполнения контрактных обязательств - кто и как отслеживает выполнение контрактных обязательств? - какие действия предпринимаются в случае отклонения? Внешние поставки - кто и как устанавливает требования к внешним поставщикам?
- в какой форме и как передаются требования внешним поставщикам? - кто и как несет ответственность за выполнение внешними поставщиками требований?
- есть ли входной контроль и, если да, то как он выполняется? - есть ли период хранения продукции внешних поставщиков и, если есть, то как обеспечивается ее соответствие в этот период? - используются ли ресурсы для мониторинга производственной среды? Есть ли свидетельства их пригодности?
Основной процесс - есть ли «специальные» процессы? Если да, то как производится подтверждение их пригодности?
- каким образом доводятся требования потребителя до исполнителей? - каким образом контролируется выполнение требований потребителей? - какие действия предпринимаются в случае отклонений? - каков уровень удовлетворенности процессом обеспечения и обеспеченностью ресурсами? - используется ли собственность потребителей и, если да, то каким образом управляется?
- является ли идентификация и прослеживаемость продукции на разных этапах производства требованием? Если да, то каким образом обеспечивается? Горбунов ред. 6 из 7 7 качества Обеспечение ресурсами.
Персонал - кто и как устанавливает требования к компетентности? - каким образом обеспечивается требуемая компетентность вновь принимаемых сотрудников? Уже работающих сотрудников? - кто и как планирует обучающие мероприятия?
Чек Лист Исо 14001
Оценивается ли их результативность? Обеспечение ресурсами. Инфраструктура - кто и как устанавливает требования к инфраструктуре? - каким образом обеспечивается требуемая инфраструктура и ее работоспособность? Обеспечение ресурсами. Производственная среда - кто и как устанавливает требования к производственной среде? - каким образом обеспечивается требуемая производственная среда?
Обеспечение ресурсами. Корпоративная база знаний - ведется ли в каком бы то ни было виде сохранение и передача накопленного опыта? - имеется ли структурированная КБЗ? Если да, то имеется ли к ней доступ у сотрудников? - используется ли эта КБЗ сотрудниками? - кто и как отвечает за ее наполнение и актуальность? Дата: Подпись: А.
Горбунов ред.