Enter your keyword

Audyt

Automatyzacja pełnego cyklu życia audytu oraz rekomendacji.

Wygodne planowanie

Planując audyt masz wiedzę o obciążeniu audytorów już zaplanowanymi działaniami oraz o audytach wykonanych i zaplanowanych dla jednostek biznesowych.
Definiując nowy audyt masz dostęp do aktualnej listy pracowników, struktury organizacyjnej i jednostek, listy procesów biznesowych w organizacji, czy używanych zasobów.


Proste zarządzanie i kontrola

Informacje o wszystkich audytach znajdują się w jednym rejestrze, dostęp do poszczególnych rekordów jest kontrolowany za pomocą uprawnień. Rejestr pozwala pracować i przeglądać audyty na wszystkich etapach cyklu życia: od zaplanowania, poprzez uruchomienie i wykonanie, po zatwierdzenie i archiwizację.
Każdy z rekordów audytu podzielony jest na zakładki, grupujące funkcje, takie jak: informacje organizacyjne, plan i lista działań, znaleziska i rekomendacje poaudytowe.


System przejmuje wiele pracochłonnych działań - automatyzacja

Mechanizm workflow wraz z powiadomieniami, dba o automatyczne przekazywanie kontroli nad procesem do odpowiednich osób, wysyłając powiadomienie i nadając uprawnienia.
Raport audytowy, raz zdefiniowany w szablonie, jest automatycznie wypełniany danymi i nie ma potrzeby każdorazowego pisania go od początku.
Zalecenia audytowe przypisywane są na poziomie audytu do poszczególnych osób, wraz z opisem zadania do wykonania oraz docelową datą. System wysyła powiadomienia o konieczności realizacji, zbliżającym się i przekroczonym terminie zakończenia. Oczywiście system może też wskazać na raporcie status rekomendacji w zależności od etapu wykonania, audytu, właściciela i wielu innych atrybutów zgromadzonych w bazie danych.

Przykładowe ekrany aplikacji
Funkcje i elementy modułu audytu
Definicja i planowanie audytu <ROZWIŃ>

Karta AudytuWchodząc w edycję lub podgląd audytu, poszczególne grupy informacji podzielone są na zakładki, odpowiadające poszczególnym funkcjom. Dużą zaletą takiego podejścia jest możliwość ustawiania poziomu dostępu do poszczególnych zakładek (możliwość edycji, możliwość podglądu, niewidoczna) w zależności od statusu audytu oraz roli osoby, która jest zalogowana do systemu. Przykładowo – w statusie „Planowany” – audytor widzi zakładki potrzebne do zaplanowania audytu w trybie do edycji, a właściciel audytowanej jednostki nie widzi żadnych zakładek lub widzi zakładkę Karta Audytu w trybie tylko do odczytu. “Karta audytu” umożliwia definicję i podgląd podstawowych informacji na temat audytu.

Karta audytu - pole typSposób wypełnienia Karty wpływa na późniejszy sposób działania. Pierwszym z takich pól jest Typ, pole w pełni konfigurowane przez administratora i dostosowane do potrzeb organizacji. Typ jest używane do zdefiniowania liczby i rodzaju zakładek widocznych w module audytu, uprawnień czy szablonu działań audytowych. Inne pola, mające wpływ na uprawnienia do audytu oraz odbiorców otrzymywanych powiadomień to: Audytor wiodący, audytorzy i Właściciel – rozumiany jako osoba odpowiedzialna za badaną jednostkę, obszar, proces, czy zasób. Na tym etapie można przypisać Jednostkę Organizacyjną Proces Biznesowy, a także wyznaczyć planowaną Datę Rozpoczęcia – umożliwiając aplikacji na automatyczną zmianę statusu na Rozpoczęty i wysłanie powiadomień do przypisanych uczestników.

Audytor przed rozpoczęciem audytu przygotowuje w systemie listę kontrolną zadań, które chce wykonać podczas audytu. W trakcie jego trwania możliwa jest zmiana statusu, oznaczenie daty zmiany oraz dodanie komentarza. Typy zadań audytowych oraz statusów są parametryzowane w systemie do potrzeb organizacji. Audytor nie musi definiować zadań dla każdego audytu, ponieważ może skorzystać z gotowych szablonów zdefiniowanych w  Bibliotece Planów Audytowych.

Zakładka Planowanie Działań Audytowych

Szablony Działań Audytowych przynoszą dwie podstawowe korzyści. Pierwsza korzyść to oszczędność czasu – w przypadku przygotowywania audytów tego samego typu, a dotyczącego wielu różnych jednostek/procesów/zasobów, zamiast każdorazowo tworzyć nowy plan działań, osoba planując po prostu przypisuje zadania automatycznie “jednym kliknięciem”. Druga korzyść to standaryzacja działań – niezależnie, czy audyt wykonuje nowy pracownik, czy doświadczony ekspert, mamy pewność, że zostaną zaplanowane wszystkie czynności, wynikające z przyjętej metodyki oraz najlepszych praktyk.

Biblioteka Działań Audytowych

System umożliwia zdefiniowanie i przypisanie do każdego  z planowanych audytów,  od jednej do trzech dowolnych ankiet.  Ankieta może być elementem pierwszego kontaktu z audytowaną jednostką – po jej wypełnieniu, informacja trafia zwrotnie do audytora i może posłużyć do dalszych działań. Możliwe jest też kaskadowe włączanie ankiet. Przykładowo: ankieta nr 1 zawiera podstawowe pytania przesiewowe. Jeśli użytkownik odpowie na N pytań w sposób sygnalizujący potrzebę dodatkowego badania, aktywowana jest ankieta z bardziej szczegółowymi pytaniami.

Ankiety mogą składać się z pytań podrzędnych, które rozwijane są np. w zależności od odpowiedzi wybranej w pytaniu nadrzędnym. System umożliwia umieszczenie pytań otwartych (opisowych) i zamkniętych. Do każdego pytania i odpowiedzi może zostać określona inna wartość (waga) służąca np. do wykonania oceny numerycznej całej ankiety.

Przykładowa ankieta
Realizacja audytu <ROZWIŃ>

Centralnym miejscem modułu jest rejestr, czyli ekran główny z listą audytów. Użytkownik widzi te audyty, do których ma uprawnienia na podstawie przypisanej w systemie roli. Ekran umożliwia dodanie nowego audytu, zmianę statusu (w ramach workflow) oraz generację raportu. Liczba kolumn widocznych na liście jest definiowana na poziomie parametrów systemowych. Użytkownik może sortować i filtrować dane według wszystkich kolumn. Opis kolejnych kolumn:

  • Uprawnienia – graficzna prezentacja poziomu uprawnień
  • Ikony akcji – edycja audytu, podgląd audytu, historia opinii i akceptacji w ramach workflow
  • Nazwa, Opis – nazwa audytu i podstawowy opis
  • Osoba która utworzyła audyt
  • Typ – wybrany ze słownika typ audytu
  • Firma – pole wykorzystywane w przypadku instalacji obsługujących wiele organizacji.
  • Daty rozpoczęcia i zakończenia
  • Jednostka organizacyjna, do której przypisano audyt
Rejestr audytów

Audyt, tak jak każdy inny proces biznesowy i wspomagający, składa się z wielu kroków i stanów, określających cykl życia, począwszy od utworzenia, poprzez realizację, akceptację, aż do zakończenia/archiwizacji. W zależności od stanu, możliwe są różne kroki do realizacji oraz może zmieniać się uprawnienia do zmiany lub podglądu określonych informacji. Platforma BCMLogic oferuje w pełni parametryzowalny Workflow. Każdy z audytów ma przypisany własny obieg, przy czym możliwe jest zdefiniowanie wielu Workflow’ów i stosowania ich w zależności od typu audytu lub innych cech audytu. Przykładowy przepływ danych w  Workflow opisano poniżej. Liczba, rodzaj kroków oraz nazwy mogą być dowolnie dostosowywane do organizacji.

Od strony praktycznej – pierwszym krokiem jest zmiana statusu audytu z Zaplanowanego na Uruchomiony/W trakcie ankiety. Uruchomienie może być wykonane w aplikacji przez uprawnioną osobę lub automatycznie, po osiągnięciu daty ustawionej na poziomie karty audytu. Użytkownicy zaangażowani w ten krok otrzymują powiadomienia o rozpoczęciu, wraz z linkiem prowadzącym wprost do aplikacji i ekrany z danym audytem. Po zakończeniu swojej pracy – w tym przypadku wypełnienie wstępnej ankiety – użytkownik naciska widoczny na ekranie przycisk, pozwalający zmienić stan audytu na kolejny, zgodnie z Workflow. Osoba, do której ma trafić wynik pracy, otrzymuje powiadomienie itd. Na kroku uzgadniania i akceptacji wyników audytu, zalecane jest dodanie na kroku Workflow tzw. schematu akceptacji. Pozwala on określić jeden lub wielopoziomowy mechanizm akceptacji.

Krok Status audytu Możliwe przejścia (przyciski zmiany statusu w aplikacji) Komentarz
1 Planowany Zatwierdź Na tym statusie audyt jest w trakcie planowania – przypisywanie osób, zadań i określenie daty. Po naciśnięciu „Zatwierdź” audyt jest gotowy do uruchomienia w określonym czasie.
2 Zaplanowany Uruchom Audyt zostanie rozpoczęty automatycznie w planowanej dacie lub po naciśnięciu przycisku „Uruchom” przez audytora. Rozpoczęcie audytu (tak jak każdej inne działanie) może powodować wysłanie powiadomień do zdefiniowanych osób.
3 W trakcie ankiety Przekaż ankietę W tym przypadku zdecydowanie się na model, w którym audytowana jednostka w pierwszej chwili wypełnia ankietę. Po jej wypełnieniu, sterowanie procesem wraca do audytora (oczywiście z możliwością powiadomienia mailem).
4 W trakcie audytu Przekaż do uzgodnienia

Zwróć ankietę

Audytor może zwrócić ankietę do jednostki, prosząc o dodatkowe uzupełnienie lub rozpoczyna dalsze działania zgodnie z planem. W tym drugim przypadku możliwa jest aktualizacja zaplanowanych zadań, rejestrowanie znalezisk i przypisywanie działań naprawczych. Po zakończeniu, dzięki opcji „Przekaż do uzgodnienia”, wynik audytu wraz z wersją roboczą raportu, trafia do uzgodnienia z właścicielem audytowanej jednostki/procesu.
5 W trakcie uzgodnienia Zatwierdź wyniki

Zwróć do audytora

Właściciel jednostki ma dwie opcje do wyboru. Po akceptacji zmiana status na „W realizacji”.
6 W realizacji Zakończ Na tym etapie audyt ma przypisane działania naprawcze, które są aktywne (nie wykonane lub nie anulowane). Podczas użycia przycisku „Zakończ” system może sprawdzać, czy wszystkie zadania zostały wykonane i uniemożliwić zakończenie. Możliwa jest również automatyczna zmiana na Zamknięty w przypadku wykrycia, że wszystkie zadania związane z audytem są zakończone.
Audyt - przykładowy workflow

Kolejnym ekranem wchodzącym w skład rejestru audytu jest  zakładka Spostrzeżenia Audytowe. Standardowo dostęp do zakładki mają audytorzy (możliwość edycji podczas audytu, możliwość odczytu po jego zakończeniu) oraz właściciel badanej jednostki/procesu/zasobu – do odczytu. Podczas dodawania spostrzeżenia, określana jest nazwa spostrzeżenia oraz jego opis, przypisywana kategoria (zgodnie z definiowalnym słownikiem), właściciela i obserwatora (umożliwia nadanie dodatkowym osobom dostępu do informacji). Wpisanie spostrzeżeń umożliwia późniejsze generowanie dokumentów i raportów.

Zakładka Rekomendacje pozwala z kolei na zarejestrowanie proponowanych (a po akceptacji zatwierdzonych) rekomendacji i zaleceń. Uprawnienia do zakładki mogą być dowolnie ustalone, przy czym standardowo definiowane są tak samo jak dla zakładki Spostrzeżenia. Ważnym elementem, mającym wpływ na spójność danych, jest to, że każda rekomendacja jest przypisywana do jednej z wcześniej zarejestrowanych obserwacji audytowych. Do tego wskazywana jest osoba odpowiedzialna za wykonanie oraz proponowana/uzgodniona data realizacji. Zalecenia mają również swój własny typ, na podstawie definiowanego w aplikacji słownika. Raz wprowadzone dane z łatwością są wczytywane do generowanych dynamicznie dokumentów i raportów.

Raportowanie oraz monitorowanie działań <ROZWIŃ>

Jednym z ciekawszych sposobów tworzenia raportu jest zastosowanie mechanizmu Dokumentów Dynamicznych. Za pomocą standardowego dokumentu Word otwieramy/tworzymy dowolny dokument i dodajemy go do systemu jako szablon. Może to być np. wzór kompletnego raportu audytowego. W miejsce informacji zmiennych, które dotychczas każdorazowo były wypełniane i zmieniane ręcznie, wstawiamy tzw. tagi dynamiczne – proste znaczniki, które w momencie generacji dokumentu na bazie szablonu, zostaną wypełnione odpowiednimi danymi. Co ważne, można w ten sposób pobrać wszelkie informacje zgromadzone w BCMLogic. Przykłady często wykorzystywanych informacji to:

  • Dane uczestników audytu
  • Data rozpoczęcia
  • Data zakończenia
  • Data akceptacji wyników – akceptacja raportu
  • Opis podjętych działań
  • Lista zarejestrowanych obserwacji
  • Lista zaleceń

Użycie gotowych szablonów jest proste, wygodne i bezpieczne. Na poziomie poszczególnych ekranów aplikacji znajduje się opcja generowania takiego raportu. W zależności od strony, widoczne są tylko szablony odpowiadające kontekstowi. Jeśli jest to ekran podglądu audytu, wówczas widoczne są raporty odnoszące się do pojedynczych obiektów, natomiast na poziomie rejestru widoczne będą szablony oferujące na większym zbiorze danych. Użytkownik wybiera szablon, potwierdza chęć utworzenia raportu i po chwili pobiera gotowy dokument z danymi.

Generacja dokumentu na podstawie szablonu

Widoki Analityczne  to taki “excel” w BCMLogic. Użytkownik otrzymuje tabelę z danymi zdefiniowanymi dla widoku, może sortować i filtrować wiersze po wszystkich kolumnach. Gdyby potrzeba było takie dane wyeksportować, jednym przyciskiem można zapisać dane w formacie Excel.  Definicja Widoków cechuje się bardzo wysoką elastycznością, ponieważ możemy wykorzystać każdą informację zgromadzoną w bazie danych, nawet taką, która została zaimportowana z innego źródła danych. Uprawnienia do widoków kontrolowane są na poziomie ról aplikacyjnych, co pozwala kontrolować kto, jakie dane może widzieć i pobrać.

Widok analityczny

Powiadomienia automatyczne – dostarczane przez email, sms, system zgłoszeniowy (help desk) stosowany w organizacji lub dowolny system wystawiający odpowiednie API. Powiadomienia dzielimy na dwie grupy:

  • Wynikające z działania Workflow – np. powiadomienia do właściciela biznesowego o tym, że dotyczący go audyt został przesłany do uzgodnienia.
  • Wynikające ze zdefiniowanych warunków – np. „zostało pięć dni do zaplanowanego terminu wykonania działania naprawczego”.

Każde z takich powiadomień może zawierać link prowadzący do konkretnego audytu (po kliknięciu system autoryzuje użytkownika na bazie logowania domenowego) lub do listy audytów dostępnych dla użytkownika. Co ciekawe, powiadomienia mogą zostać sparametryzowane tak, aby do BCMLogic wracała informacja zwrotna o użytkownika lub innego systemu.

Ekran służący do zarządzania treścią powiadomień.
Automatyzacja procesu i spójność danych <ROZWIŃ>

Moduły merytoryczne Platformy BCMLogic, w tym Audyt, korzystają ze wspólnych modułów i mechanizmów technicznych. Ich wspólnym celem jest realizacja trzech głównych założeń.

  • Automatyzację powtarzalnych czynności i zapewnienie powtarzalnych i kompletnych działań dla takich samych obiektów biznesowych.
  • Zapewnienie spójności danych nie tylko na poziomie aplikacji, ale również, a może przede wszystkim, na poziomie organizacji czy grupie organizacji.
  • Ujednolicenie tworzonych dokumentów oraz komunikacji w ramach procesów.

Mechanizmy te wspominane są przy opisie funkcji biznesowych, natomiast poniżej udostępniamy zwarte kompedium na ich temat.

Workflow definiuje pełny cykl życia danego obiektu/dokumentu. Jako obiekt rozumiemy zbiór informacji dotyczącej pojedynczej instancji charakterystycznej dla danego procesu – audyt, analiza BIA procesu, ryzyko, procedura awaryjna, test BCM, incydent, dokument, odstępstwo, wniosek o zmianę itd.

Każdy typ obiektu może mieć do dyspozycji wiele różnych Workflow, odpowiadających jego specyfice. Przykładowo Workflow dla audytu dostawcy może różnić się od audytu oddziału terenowego firmy.

Workflow jest budowany na bazie stanu – odpowiadające punktom na graficznej prezentacji poniżej. Taki stan odpowiada statusowi obiektu biznesowego. W zależności od statusu można kontrolować widoczność i możliwość edycji zakładek w aplikacji. Przejścia Workflow, na grafie reprezentowane przez strzałki, oznaczają czynności możliwe do wykonania na bieżącym statusie obiektu. Po stronie aplikacji przejścia prezentowane są w postaci przycisków kontekstowych. Uprawnienie do wykonania przejścia jest kontrolowane na bazie ról systemowych. Dodatkowo, na każdym z przejść można zdefiniować wykonanie procedury lub polecenia. Przykładem zastosowania jest skrypt, który może wykonać złożoną kontrolę danych obiektu, przed zmianą statusu. Jeśli założony warunek (np. każda obserwacja musi mieć minimum jedną rekomendację) nie zostanie spełniony, wówczas wyświetlany jest komunikat, a status audytu pozostaje niezmieniony. Na przejściu można zdefiniować jedno lub więcej zdarzeń systemowych – powodujących utworzenie i wysłanie powiadomienia. Inną opcją przy definicji przejścia jest Schemat Akceptacji – sterujący tym kto i w jaki sposób ma zaakceptować zmianę statusu lub wyrazić opinię. Przykład zastosowania – akceptacja wyniku audytu przez przełożonego badanej jednostki.

Schemat akceptacja jest elementem określającym dodatkowy krok na przejściu Workflow, tam gdzie wymagane jest podjęcie i zarejestrowanie decyzji lub wyrażenie opinii przez jednostkę. Przypisanie danego schematu ma miejsce na poziomie edycji przejścia Workflow. Natomiast do zarządzania schematami dedykowany jest oddzielny ekran. Przede wszystkim akceptacja może być jedno lub wielopoziomowa, przy czym warunkiem przejścia na wyższy poziom jest uzyskanie akceptacji na niższym poziomie. Odrzucenie akceptacji niżej, powoduje anulowanie wszystkich akceptacji wyższego poziomy. Na poziomie definicji poziomu określa się aktorów akceptacji. Mogą to być osoby/grupy/role wskazane w schemacie, właściciel audytu itp. Po przekazaniu audytu do akceptacji, użytkownicy wyliczeni przez aplikację na podstawie definicji, otrzymują powiadomienie. Osoba akceptująca może/musi wpisać komentarz oraz zaakceptować (wówczas sterowanie Workflow przechodzi na kolejny stan) lub odrzucić (sterowanie wraca na stan wskazany w definicji Workflow).

Powiadomienia w systemie działają  w oparciu o tzw. zdarzenia (EVENT). Zdarzenie może być wywołane na kilka sposobów.

  • Wykonanie przejścia w ramach Workflow
  • Wykrycie zmiany w danych – np. automatyczna zmiana status użytkownika po imporcie danych z systemu kadrowego.
  • Spełnienie warunków wymagających utworzenia powiadomienia. Przykładowo: dla rekomendacji audytowej zostało mniej niż 30 dni do jej zakończenia.

Proces obsługi powiadomień regularnie sprawdza, czy pojawiły się nowe zdarzenia, dla których zdefiniowano komunikaty. Jeśli tak, wysyłane jest powiadomienie, przy użyciu kanału wskazanego w szablonie.

Poniżej: ekran definicji powiadomienia.

  • Mail –  skrzynka pocztowa, z której zostanie wysłane powiadomienie mail. Opcja Automatic Email pozwala dynamicznie podstawiać email w zależności od przypisania procesu w ramach struktury organizacyjnej – przydatne w opcji multicompany, gdzie mail powinien pochodzić z domeny konkretnej firmy z grupy.
  • Odbiorcy – możliwość elastycznego definiowania różnych kategorii Aktorów powiadamianych. W tym przypadku będzie to osoba, która jest określona w schemacie akceptacji jako odpowiedzialna za akceptację. Wskazane kategorie mogą być łączone.
Definiowanie powiadomienia

System uprawnień oparty jest o Uprawnienia Atomowe, odnoszące się do pojedynczych ekranów, opcji czy przycisków, oraz o Role, które z jednej strony grupują poszczególne uprawnienia, a z drugiej są przypisywane do użytkowników.

Informacje o audycie podzielone są na tematyczne zakładki. System uprawnień pozwala na dynamiczne przydzielanie uprawnień do podglądu lub edycji danej zakładki, w zależności od kombinacji takich parametrów jak: rola użytkownika oraz status audytu.

Zarządzanie uprawnieniami do zakładek w zależności od status

BCMLogic umożliwia samodzielne zarządzanie użytkownikami i ich uprawnieniami. Rekomendowanym rozwiązaniem, jednym z wielu zapewniających spójność danych i bezpieczeństwo na poziomie organizacji, jest integracja z systemami dostarczającymi informację o użytkownikach i ich uprawnieniach. Integracja realizowana jest za pomocą mechanizmów ETL lub online, bezpośrednio z systemem zarządzającym tożsamością i uprawnieniami.

Administrator systemu ma dostęp do wielu różnych informacji dotyczących użytkownika, podzielonych na tematyczne zakładki.

  • Dane kontaktowe, logowania i status
  • Przynależność do jednostek organizacyjnych i grup zadaniowych
  • Przypisanie do ról systemowych
  • Powiązane elementy – szybki podgląd do obiektów, do których użytkownik posiada uprawnienia.
  • Dodatkowe informacje – niestandardowe dane potrzebne w danej organizacji.
Informacje o użytkowniku

Platforma BCMLogic przechowuje i wykorzystuje do działania strukturę organizacyjną przedsiębiorstwa oraz listę pracowników – wraz z ich przypisaniem do jednostek i pełnionych funkcji. Informacje te mogą być wprowadzane i zarządzane z poziomu aplikacji, ale częściej stosowaną metodą jest pobieranie ich z systemów źródłowych. Odbywa się to bądź przez mechanizm ETL bądź online poprzez komunikację z AD.

Praca w oparciu o faktyczne dane oznacza poprawność i spójność danych na poziomie całego procesu. Listy jednostek i pracowników używane są do wypełniania formularzy, definiowania powiadomień i akceptacji (zamiast konkretnej osoby, wskazujemy aktora: Właściciel jednostki), przypisywania rekomendacji itd.

Struktura organizacyjna w aplikacji

Głównym sposobem logowania do Platformy BCMLogic jest tzw. SSO, czyli dostęp do aplikacji w oparciu o wcześniejsze uprawnienia uzyskane podczas logowania komputera użytkownika do domeny organizacji. Dla użytkownika oznacza to brak potrzeby pamiętania loginu i hasła. Jest to bardzo wygodne szczególnie wtedy, kiedy użytkownik korzysta z systemu okazjonalnie – np. gdy dostanie powiadomienie o działaniu do wykonania w ramach realizacji zaleceń poaudytowych. Klika wówczas w link dostarczony w powiadomieniu, aplikacja w tle weryfikuje uprawnienia i w przypadku pozytywnym, wyświetla odpowiedni ekran.

System szeroko wykorzystuje słowniki danych. Są to:

  • Słownik obiektów biznesowych – procesy, zasoby, podatności, lokalizacje, umowy, dostawcy itp.
  • Słowniki porządkujące dane – wszelkiego rodzaje typy i kategorie – np. typy zasobów, audytów, jednostek organizacyjnych i wiele innych
  • Słowniki etykiet ekranowych i komunikatów – przeważająca większość nazw ekranów, kolumn, przycisków i komunikatów może być ustawiana przez uprawnionego użytkownika z poziomu aplikacji.