Об'єктом аудиту може виступати: СМК (верхній рівень), процес, підрозділ, інформаційна система і ін.

Модель даної процедури наведена на Рис. 13.

При проведенні внутрішнього аудиту СМЯ банку також рекомендується використовувати міжнародний стандарт ISO 19011 «Настанови щодо здійснення аудитів систем управління якістю та / або систем екологічного менеджменту».

Шаблони документів, які необхідні для проведення аудиту СМЯ банку і аудиту процесів банку, наведені в [1].

Мал.13.Внутренній аудит СМЯ

Оскільки архітектура СМК складається з 2-х рівнів (див. Рис. 3 і 4), то і внутрішній аудит СМЯ включає 2 відповідних етапу (процедури) плюс загальний етап «Підготовка до аудиту».

1. Підготовка до аудиту. Виконавець: служба якості.
2. Внутрішній аудит СМЯ (верхнього рівня). Виконавець: служба якості.
3. Аудит процесу. Виконавець: процессная команда.

Розглянемо ці етапи більш детально.

3.1. Підготовка до аудиту

Складається з наступних функцій.

• Розробка, погодження та затвердження програми внутрішніх аудитів

Вихід: програма внутрішніх аудитів. В даному документі вказується перелік всіх видів аудитів з найменуваннями (на найближчий рік). Для кожного аудиту вказується: перелік об'єктів аудиту, ПІБ керівника аудиту, термін проведення аудиту.

• Формування та навчання (при необхідності) групи внутрішніх аудиторів банку

Паралельно з розробкою програми аудитів визначається потреба в аудиторів, формується і навчається (при необхідності) група аудиторів, призначаються аудитори для кожної процессной команди, призначаються аудитори для аудиту СМЯ верхнього рівня, затверджується головний аудитор.

• Підготовка та видання Наказу про проведення внутрішніх аудитів

Вхід: програма внутрішніх аудитів.
Вихід: наказ про проведення внутрішніх аудитів.
Наказ затверджує програму аудитів, склад групи аудиторів і їх обов'язки, обов'язки членів процесних команд, керівників підрозділів і співробітників банку при проведенні аудитів.

• Підготовка навчально-методичних матеріалів з внутрішнього аудиту

Вихід: навчально-методичні матеріали з внутрішнього аудиту

• Розробка Єдиного Чек-листа для аудиту процесу

Вихід: чек-лист для аудиту процесу (єдиний шаблон).
Чек-лист - це таблиця, яка використовується аудитором для перевірки виконання встановлених вимог. Фрагмент чек-листа (3 стовпці таблиці) для аудиту процесу наведено в Табл. 1.

Чек-лист складається з 6 стовпчиків.

• Номер рядка
• проверяемое вимога
• Уточнюючі питання (при необхідності)
• Спосіб оцінки виконання вимоги (вивчення документації, спостереження, опитування та ін.)
• Відмітка про відповідність / невідповідність
• Доказ аудиту (запис і коментарі аудитора)

Єдиний чек-лист для аудиту процесу необхідний для того, щоб все процесні команди і аудитори проводили аудит процесів по одним і тим же вимогам.

• Розсилка документації з внутрішнього аудиту процесним командам

Вихід: документація внутрішнього аудиту для процесних команд. Включає всі документи, розроблені в попередніх процедурах.

Табл. 1. Чек-лист для аудиту процесу (фрагмент)

1.1. Повнота документації (перелік) Вивчення документації 1.2. Актуальність документів і моделей процесу Вивчення документації, спостереження, опитування 1.3. Зміст моделей і документації відповідно до вимог ISO 9001 (якщо до цього процесу є вимоги) - наприклад, розробка продуктів, управління документацією, робота з претензіями, закупівлі і т.д. Вивчення документації 1.4. Наявність доступу до актуальної документації з робочих місць співробітників Спостереження, опитування 1.5. Відповідність друкованих документів їх електронними версіями Вивчення документації 2. Виконання процесу 2.1. Виконання процесу відповідно до затверджених регламентів і стандартом Спостереження, опитування 2.2. Ефективність взаємодії процедур і процесу з іншими процесами банку Спостереження, опитування 3. Персонал процесу 3.1. Знання процесу співробітниками і кваліфікованість по його виконанню Опитування, спостереження 3.2. Відповідність кількості співробітників трудомісткості процесу Розрахунок трудомісткості процесу, опитування, спостереження 3.3. Знання співробітниками основних нормативних документів СМЯ (Політика в області якості, Положення про СМК) Опитування 4. Ресурси, інфраструктура і виробниче середовище процесу 4.1. Наявність достатніх операційних ресурсів для процесу і їх якість Опитування, спостереження 4.2. Наявність достатньої інфраструктури для процесу і її якість:
- програмне забезпечення
- будівлі (офіс), внутрішній інтер'єр
- технічне обладнання офісу та телекомунікації Опитування, спостереження 5. Управління процесом 5.1. Управління записами процесу (ведення записів) - відповідно до ISO 9001. Перелік записів, зміст. Вивчення записів 5.2. Оперативний моніторинг показників Опитування, спостереження 5.3. Розробка і виконання запобіжних дій Опитування, вивчення записів 5.4. Розробка і виконання коригувальних дій, поліпшення процесу Опитування, вивчення записів 5.5. Проведення аудитів та аналізу процесу Опитування, вивчення записів 6. Цілі, показники і вимір процесу 6.1. Наявність і повнота цілей і показників процесу Вивчення документації 6.2. Наявність ефективних засобів для вимірювання показників процесу Опитування, спостереження 6.3. Динаміка зміни значень показників Вивчення записів

3.2. Аудит СМК (верхнього рівня)

Складається з наступних функцій.

• Розробка Чек-листа і Плану для аудиту СМЯ (верхнього рівня)

Вихід: чек-лист і план аудиту СМЯ (верхнього рівня)

Зразок чек-листа (фрагмент) для аудиту СМЯ (верхнього рівня) представлений в Табл. 2.

У ньому перераховані загальні вимоги до компонентів СМК (верхнього рівня). Дані вимоги повинні бути деталізовані і доповнені вимогами ISO 9001 і власними вимогами банку.

Наприклад, вимога «1.1. Перелік (повнота) документації - відповідність вимогам ISO 9001 »деталізується на вимоги розділу ISO 9001« 4.2. Вимоги до документації »ISO 9001», де вказано склад необхідної документації.

«Документація системи управління якістю повинна містити в собі:

a) документально оформлені політику та цілі в сфері якості;
b) настанову з якості ... »[2]

На основі чек-листа розробляється план аудиту СМЯ.

План аудиту складається з 5 стовпців.

• Номер рядка
• Номер чек-листа, або розділ (група перевіряються вимог) чек-листа
• ПІБ аудитора
• Дата і час перевірки
• ПІБ та посада відповідального від членів процесів команди / виконавців процесу

Аудитор вибирає з чек-листа вимоги і в плані прописує, коли, як і за допомогою кого він буде їх перевіряти.

Наприклад, щоб перевірити вимога «1.2. Актуальність документації »аудитор призначає кілька інтерв'ю з співробітниками банку, хто відповідає за певні документи, і записує це в План.

• Проведення аудиту СМЯ (верхнього рівня) відповідно до Плану і заповнення Чек-листа

Вхід: чек-лист і план аудиту СМЯ (верхнього рівня).

Вихід: заповнений чек-лист аудиту СМЯ (верхнього рівня).

Аудитор оцінює виконання кожної вимоги з чек-листа за допомогою обраного способу оцінки (опитує співробітників банку, вивчає документацію, спостерігає за діяльністю банку). Потім ставить позначку про відповідність / невідповідність і вказує свідоцтва, які це підтверджують.

• Підготовка Звіту за результатами внутрішнього аудиту СМЯ (верхнього рівня)

Вхід: заповнений чек-лист аудиту СМЯ (верхнього рівня).

Вихід: звіт за результатами внутрішнього аудиту СМЯ (верхнього рівня).

У звіті за результатами внутрішнього аудиту СМЯ об'єднуються всі заповнені чек-листи в тому порядку, вимог. Вказується загальна кількість виявлених невідповідностей, виявлені факти та висновки.

• Розробка коригувальних і запобіжних дій за результатами аудиту

Вихід: план по коригувальні та запобіжні дії для СМК (верхнього рівня)

• Виконання оперативних коригувальні та запобіжні дії

Найбільш термінові і важливі дії виконуються відразу після розробки.
Дії, що вимагають залучення значних трудових і фінансових ресурсів, виконуються протягом наступного періоду функціонування СМК.

Табл. 2. Чек-лист для внутрішнього аудиту СМЯ (верхній рівень)

1.1. Перелік (повнота) документації - відповідність вимогам ISO 9001 Вивчення документації 1.2. Актуальність документації Вивчення документації, опитування, спостереження 1.3. Зміст документації - відповідність вимогам ISO 9001 Вивчення документації 2. Процеси СУЯ 2.1. Перелік обов'язкових процесів СМЯ - відповідність вимогам ISO 9001 Вивчення документації, опитування 2.2. Функціонування ЗМК (планування та побудова СУЯ, аналіз СУЯ з боку керівництва) - виконання відповідно до ISO 9001. Ведення записів. Вивчення документації, опитування, спостереження 3. Організаційна структура СМЯ 3.1. Наявність офіційно призначений представник керівництва з СМЯ і його повноваження. Посадова інструкція директора з якості, накази.

3.3. аудит процесу

Правила проведення аудиту процесу схожі з правилами аудиту СМЯ (верхнього рівня), тільки об'єктом аудиту вже виступає процес. Тому наведемо перелік процедур і дій без додаткових коментарів.

Щоб аудит процесу виконувався процессной командою методично правильно і ефективно, в неї повинен входити кваліфікований аудитор від служби якості.

Отже, процессная команда при проведенні аудиту виконує.

• Ознайомлення з документацією з внутрішнього аудиту
• Розробка Плану аудиту процесу
  Вхід: чек-лист аудиту процесу (єдиний шаблон)
  Вихід: план аудиту процесу.
• Проведення аудиту процесу відповідно до Плану і заповнення Чек-листа Вхід: план і чек-лист аудиту процесу.
  Вихід: заповнений чек-лист аудиту процесу.
• Підготовка Звіту за результатами аудиту процесу і передача в Службу якості
  Вхід: заповнений чек-лист аудиту процесу.
  Вихід: звіт по аудиту процесу.
• Розробка коригувальних і запобіжних дій за результатами аудиту
  Вихід: план про коригувальні та запобіжні дії для процесу.
• Виконання оперативних коригувальні та запобіжні дії

3.4. Отримання і агрегація Звітів про аудити процесів від процесних команд

Звіти за результатами всіх аудитів повинні зібрані воєдино для подальшої роботи з ними.