Повышение эффективности внутреннего аудита через применение риск-ориентированного подхода | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 4 января, печатный экземпляр отправим 8 января.

Опубликовать статью в журнале

Автор:

Рубрика: Экономика и управление

Опубликовано в Молодой учёный №48 (547) ноябрь 2024 г.

Дата публикации: 27.11.2024

Статья просмотрена: 4 раза

Библиографическое описание:

Валявская, Т. А. Повышение эффективности внутреннего аудита через применение риск-ориентированного подхода / Т. А. Валявская. — Текст : непосредственный // Молодой ученый. — 2024. — № 48 (547). — С. 64-68. — URL: https://moluch.ru/archive/547/119685/ (дата обращения: 24.12.2024).



Внутренний аудит — один из важнейших процессов для фармацевтической системы качества, обеспечивающий её целостность и надёжность, прямо влияя на безопасность и эффективность продукции. В фармацевтике, как и в любой другой отрасли, процесс является крайне энергоёмким, что заставляет искать пути оптимизации процесса. Одним из наиболее эффективных методов является использование риск-ориентированного подхода при планировании внутренних аудитов, как в долгосрочной, так и краткосрочной перспективе.

Как и любой руководитель среднего звена я всегда нахожусь в процессе поиска путей оптимизации внутренних процессов подразделения для высвобождения ресурсов и улучшения качества выполняемых функций. Одним из них и стало применение риск-ориентированного подхода для оптимизации процесса внутреннего аудита.

В качестве нормативной базы для внедрения риск-ориентированного подхода в процесс проведения внутренних аудитов были использованы рекомендации PIC/S (Pharmaceutical Inspection Convention and Pharmaceutical Inspection Co-operation Scheme / Схема сотрудничества фармацевтических инспекций): A Recommended Model for Risk-Based Inspection Planning in the GMP Environment / Рекомендуемая модель риск-ориентированного подхода планирования в GMP-среде, что в последствии позволило нам разработать простой и гибкий инструмент управления качеством, основанный на рисках, который на постоянной основе используется и позволяет определять приоритеты при планировании частоты и объема внутренних аудитов нашей производственной площадки. Методология основывается на концепции оценки структурных подразделений и существующих ключевых процессов предприятия с точки зрения риска, который они могут представлять для качества выпускаемых лекарственных средств.

Хотелось бы отметить, что предлагаемая далее система риск-ориентированного планирования регулярных плановых внутренних аудитов не рекомендуется к применению в следующих ситуациях:

— до проведения полного внутреннего аудита предприятия (накопления достаточного опыта о структурном подразделении / процессе по итогам проведенных ранее внутренних аудитов);

— при проведении не полных аудитов (например, в отношении только отдельных процессов), если полный внутренний аудит до этого не был проведен;

— при проведении внеплановых внутренних аудитов;

— аудиты по проверке выполнения САРА;

— планирование внутренних аудитов, связанных с изменениями (критические изменения в отношении предмета аудита или критических условий, с ним связанных).

При применении риск-ориентированного подхода используется принцип определения категории риска (фактически — категорирование объекта внутреннего аудита — структурных подразделений компании и/или процессов) и последующее определение на основании установленной категории риска.

Объем следующего внутреннего аудита объекта не определяется рейтингом его риска. Вместо этого необходимо учитывать другие факторы, которые фиксируются по итогам проведенного внутреннего аудита объекта.

Эти факторы включают:

— Необходимую глубину и фокус следующего внутреннего аудита.

— Продолжительность.

— Количество аудиторов, необходимых для проведения внутреннего аудита.

— Необходимость специфической компетенции или экспертизы в составе группы аудиторов.

При определении глубины и фокуса следующего внутреннего аудита рекомендуется учитывать:

— области, в которых были выявлены нарушения (особенно серьезные и критические).

— области, которые не были проверены или проверены недостаточно детально.

— области, которые при последнем внутреннем аудите были недостаточно обеспечены ресурсами.

— любые другие области, которые, по мнению членов аудиторской группы, требуют детального рассмотрения.

В соответствии с рекомендациями всем структурным подразделениям и/или процессам предприятия присваиваются соответствующие рейтинги риска, определенные на основе двух типов возможных рисков:

Внутренний риск (intrinsic risk): учитывает сложность объекта, его процессов и результатов работы, а также критичность процессов, протекающих в структурном подразделении. Этот риск — величина постоянная и не зависит от результатов предыдущих внутренних аудитов.

Для каждого фактора внутреннего риска используется шкала от 1 (низкая сложность/критичность) до 3 (высокая сложность/критичность). Итоговый внутренний риск определяется с использованием матрицы [1, с. 7]. Пример матрицы оценивания внутреннего риска объекта внутреннего аудита приведен в таблице 1. Факторы, отраженные в матрице ниже — являются примерами, и для каждого предприятия должны определятся компетентной группой лиц в рамках работ по планированию внутренних аудитов.

Таблица 1

Матрица оценивания внутреннего риска объекта

Фактор риска

Уровень сложности и механизм оценивания

1

2

3

1

Размер объекта (участка, склада, лаборатории, структурного подразделения)

малый

средний

большой

2

Количество процессов, в которых задействован объект

небольшое количество

среднее количество

большое количество

3

Отчетность объекта по процессам

не задействован в формировании отчетов по процессам

предоставляет часть информации для отчетов по процессам

несет ответственность за конечное формирование отчетов по процессам

4

Уровень специализации помещений, оборудования, оснащения, тех.систем

офисы

вспомогательные зоны

основные зоны для производства и контроля качества, складского хранения

Общий уровень сложности объекта

Риск, связанный с соблюдением требований (compliance-related risk): отражает статус соответствия структурного подразделения внешним и внутренним регламентированным требованиям на момент последнего внутреннего аудита. При оценке этого риска учитываются классификация и количество выявленных несоответствий. Риск нарушения требований в отношении деятельности объекта внутреннего аудита — величина переменная.

Риск, связанный с соблюдением требований, оценивается на основании профиля несоответствий, выявленных при последнем внутреннем аудите [1, с. 8]:

Низкий риск: отсутствуют существенные или критические несоответствия.

Средний риск: от 1 до 5 существенных несоответствий.

Высокий риск: 1 или более критических несоответствий либо более 5 критических несоответствий.

После оценки внутреннего риска и риска, связанного с соблюдением требований, эти показатели комбинируются с помощью простой матрицы для получения общего рейтинга риска. Этот рейтинг используется для определения частоты следующих рутинных внутренних аудитов. Пример построения матрицы для определения общего рейтинга риска объекта внутреннего аудита приведен в таблице 2.

Таблица 2

Матрица для определения общего рейтинга риска объекта внутреннего аудита

Риск, связанный с соблюдением требований

1

2

3

Внутренний риск объекта

1

А (самый низкий)

А (низкий)

В (средний)

2

А (низкий)

В (средний)

С (высокий)

3

В (средний)

С (высокий)

С (очень высокий)

Рекомендованная частота проведения официальных инспекций, согласно PIC/S, определенная для установленных категорий рисков составляет [1, с. 9]:

— Категория A (низкий рейтинг): реже, чем раз в 2–3 года.

— Категория B (средний рейтинг): раз в 1–2 года.

— Категория C (низкий рейтинг): чаще, чем раз в год.

Максимально допустимых промежуток времени между официальными инспекциями составляет — 5 лет.

Для внутренних аудитов обозначенная выше периодичность не является достаточной, рекомендуется использовать меньшие промежутки времени между очередными внутренними аудитами.

При определении объема и сроков (продолжительности и периодичности) проведения внутреннего аудита важно учитывать следующие факторы:

— знание объекта внутреннего аудита;

— опыт работы объекта в деятельности, которую он осуществляет, учитывая актуализацию процессов и процедур;

— качество продукции, производство или поставку которой осуществляет объект, за определенный период времени / ИЛИ результативность осуществления процессов объектом (количество и характер дефектов продукции, которые возникали по вине объекта, количество и категория отклонений, выявленных у объекта внутреннего аудита);

— изменения, внедренные за период между очередными аудитами;

— уровень системы качества объекта;

— другие индивидуальные факторы.

При определении рекомендаций относительно фокуса, глубины, сроков проведения следующего внутреннего аудита необходимо учитывать следующие факторы:

— сферы, в которых были выявлены несоответствия / проблемные вопросы при прошлом внутреннем аудите (прежде всего критические и существенные);

— сферы, которые не были охвачены внутренним аудитом;

— сферы, которые по результатам проведенной оценки были недостаточно обеспечены ресурсами (были признаны зоной повышенного риска);

— иные сферы, которые были определены аудитором как такие, которые требуют более пристального внимания.

Для определения количества членов аудиторской группы необходимо понимать:

— каков определенный (рекомендованный) объем проведения внутреннего аудита;

— требуются ли специальные знания в отношении объекта внутреннего аудита;

— обеспечение объективности оценки;

— любые дополнительные факторы.

Для подтверждения итоговой периодичности проведения внутренних аудитов для объекта возможно использовать матрицу дополнительных факторов (приведена в таблице 3), которая позволяет увеличить периодичность проведения внутренних аудитов объекта, не снижая их качества, или наглядно отразить причину сокращения периодичности. Факторы, указанные в матрице, ниже носят рекомендательных характер и должны подбираться индивидуально для каждого предприятия.

Таблица 3

Матрица дополнительных факторов для определения периодичности плановых внутренних аудитов

Фактор

Уменьшение периодичности (чаще)

Увеличение периодичности (реже)

Знание объекта — наличие информации об объекте по результатам предыдущих плановых и внеплановых внутренних аудитов

Понимание объекта — наличие несоответствий, применимых к объекту, выявленных по результатам официальных инспекций или аудита третьей стороной, но не выявленных при предыдущем внутреннем аудите

Опыт объекта в деятельности, которую он осуществляет, или в отношении процессов, учитывая их актуализацию

Количество дефектов продукции, количество нарушений процессов, количество нарушений объектом

Количество и критичность планируемых изменений, связанных с функциями объекта

… … …

Следующим шагом после определения периодичности проведения внутренних аудитов является выработка рекомендаций для проведения последующих внутренних аудитов:

— определение факторов для установки объема и глубины следующего внутреннего аудита;

— определение на основании установленных объема и глубины внутреннего аудита:

  1. рекомендаций по продолжительности внутреннего аудита;
  2. рекомендации по количеству членов аудиторской группы;
  3. необходимости специальных знаний (компетентности) для проведения надлежащего внутреннего аудита.

Пример оформления таких рекомендаций приведен в таблице 4.

Таблица 4

Рекомендации для последующего внутреннего аудита

Факторы определения объема и глубины последующего внутреннего аудита

Рекомендуемый объем и глубина последующего внутреннего аудита

сферы, в которых были выявлены существенные и критические несоответствия

*

сферы, которые не были охвачены при проведении внутреннего аудита

сферы, которые определены аудитором как такие, которые требуют более пристального внимания, что отражено в отчете о внутреннем аудите в разделе рекомендаций

запланированные изменения у объекта внутреннего аудита, которые могут поменять его категорию риска

сферы, которые по обоснованному мнению аудиторов потребуют более глубокой проверки при следующем внутреннем аудите

… … …

* — привести краткие пояснения в соответствующих графах

Дополнительные аспекты

Рекомендации относительно дополнительных аспектов для последующего внутреннего аудита

Рекомендуемая продолжительность последующего внутреннего аудита

Рекомендуемое количество аудиторов

Специальная компетенция и знания, необходимые для надлежащего проведения внутреннего аудита

Матрицы, приведенные в таблицах 2–3, возможно использовать в качестве приложения к отчету по итогам внутреннего аудита и выработке стратегии проведения внутренних аудитов в рамках составления программы аудита на следующий год.

Внедрение риск-ориентированного подхода для повышения эффективности процесса внутреннего аудита изначально кажется невыполнимой и длительной задачей, за которую не хочется браться, но, разобрав 3–4 структурных подразделений по Матрице для определения общего рейтинга риска объекта внутреннего аудита, данный процесс пойдет в автоматическом режиме, а в последствии приводит к значительному высвобождению трудовых ресурсов.

Применение описанной выше методологии на следующих этапах процесса внутреннего аудита:

  1. составление годовой программы внутренних аудитов в разрезе структурных подразделений и/или процессов (в зависимости от подходов, применяемых на предприятии);
  2. планирование рутинного процесса внутреннего аудита структурного подразделения и/или процесса;
  3. анализ результатов внутреннего аудита структурного подразделения и/или процесса для определения рейтинга риска объекту внутреннего аудита после получения новой информации о нем с составлением рекомендаций для последующих аудитов, в ТОО «Карагандинский фармацевтический комплекс», одном из крупнейших фармацевтических производителей Республики Казахстан, позволило мне, как руководителю отдела, ответственного за процесс внутреннего аудита на предприятии:

— значительно сократить нагрузку на персонал за счет обоснованного планирования области внутренних аудитов;

— улучшить качество проведения внутренних аудитов, что в последствии находит свое отражение в снижении процента выпуска дефектной продукции;

— перейти от внутренних аудитов структурных подразделений к внутренним аудитам процессов и продуктов, позволяющим выявлять узкие и проблемные места, при взаимодействии между структурными подразделениями, которые не были замечены ранее;

— улучшить качество прохождения внешних инспекций, что характеризуется системным снижением количества и уровня получаемых в процессе замечаний;

— и как итог — повышение качества выпускаемой продукции, укрепление авторитета на фармацевтическом рынке и рост прибыли компании.

Литература:

  1. PI 037–1 PIC/S Recommendation on Risk-Based Inspection Planning. Documents for Inspectors., с. 7–9
Основные термины (генерируются автоматически): внутренний аудит, аудит, внутренний риск, структурное подразделение, последующий внутренний аудит, процесс, риск-ориентированный подход, PIC, общий рейтинг риска, соблюдение требований.


Похожие статьи

Задать вопрос