6.2.3 Определение выполнимости аудита
Выполнимость аудита должна быть определена с учетом наличия следующего:
a) необходимой и соответствующей информации для планирования аудита;
b) адекватного сотрудничества со стороны проверяемой организации;
c) достаточного времени и ресурсов.
В случае невозможности проведения аудита заказчику аудита должно быть предложено альтернативное решение с согласия проверяемой организации.
6.2.4 Формирование группы по аудиту
После того как будет признана возможность проведения аудита, необходимо сформировать группу по аудиту с учетом компетентности, необходимой для достижения целей аудита. Если аудит осуществляет один аудитор, он должен выполнять все обязанности руководителя группы по аудиту. Раздел 7 содержит руководящие указания по определению необходимой компетентности и описывает процессы оценки аудиторов.
При определении численности и состава группы по аудиту необходимо учитывать следующее:
a) цели, область, критерии и продолжительность аудита;
b) возможность совместного или комплексного аудита;
с) общую компетентность группы по аудиту, необходимую для достижения целей аудита;
d) законодательные, нормативные и контрактные требования, а также требования органов по аккредитации/сертификации там, где это применимо;
e) требования по обеспечению независимости группы по аудиту от деятельности, которая должна проверяться, и по исключению конфликта интересов;
f) способность членов группы по аудиту результативно сотрудничать с проверяемой организацией и вместе работать;
g) язык аудита и понимание социальных и культурных особенностей организации, что достигается посредством собственных навыков аудитора или при поддержке технического эксперта.
Процесс обеспечения общей компетентности группы по аудиту должен включать следующие шаги:
- определение знаний и навыков, необходимых для достижения целей аудита;
- подбор членов группы по аудиту таким образом, чтобы группа по аудиту владела всеми требуемыми знаниями и навыками.
Если знаний и навыков аудиторов в группе по аудиту недостаточно, этот пробел можно восполнить включением в группу технических экспертов. Технические эксперты должны работать под руководством аудитора.
Аудиторы-стажеры могут быть включены в группу по аудиту, но они не должны проводить аудит без непосредственного руководства или руководящих указаний.
Как заказчик аудита, так и проверяемая организация имеют право потребовать замены членов группы по аудиту на разумном основании, аргументированном принципами проведения аудита, описанными в разделе 4. Примеры таких оснований включают ситуации конфликта интересов (член группы аудита был работником проверяемой организации или предоставлял ей консультационные услуги) или предыдущее неэтичное поведение аудитора. Такие основания должны быть сообщены руководителю группы по аудиту и лицам, ответственным за управление программой аудита, которые уполномочены решать все вопросы с заказчиком аудита и проверяемой организацией до принятия каких-либо решений по замене члена группы по аудиту.
6.2.5 Установление предварительного контакта с проверяемой организацией
Предварительный контакт с проверяемой организацией может носить формальный или неформальный характер и должен быть установлен теми, кто несет ответственность за управление программой аудита, или руководителем группы по аудиту. Цели предварительного контакта:
a) определение каналов обмена информацией с представителем проверяемой организации;
b) подтверждение полномочий на проведение аудита;
c) обеспечение информацией относительно графика аудита и состава группы по аудиту;
d) запрос доступа к соответствующим документам, включая записи;
e) определение применимых правил безопасности «на месте»;
f) организация аудита;
g) согласование присутствия наблюдателей и необходимости обеспечения группы по аудиту сопровождающими.
6.3 Проведение анализа документов
До проведения аудита "на месте" документация проверяемой организации должна быть проанализирована для определения соответствия системы в ее задокументированном виде критериям аудита. Такая документация может включать соответствующие документы системы менеджмента, записи и предыдущие отчеты по аудиту. При анализе необходимо учитывать размер, характер и сложность проверяемой организации, а также цели и объем аудита. В некоторых ситуациях анализ документации может быть отложен до начала работ "на месте", если это не наносит ущерба результативности проведения аудита. В других ситуациях может быть проведен предварительный визит на проверяемые участки для получения представления о доступной информации.
В случае когда документация системы менеджмента проверяемой организации признана неадекватной, руководитель группы по аудиту должен проинформировать заказчика аудита, ответственного за управление программой аудита и проверяемую организацию. Должно быть принято решение относительно того, будет аудит продолжен или приостановлен до разрешения вопросов, связанных с документацией.
6.4 Подготовка к проведению аудита "на месте"
6.4.1 Подготовка плана аудита
Руководитель группы по аудиту должен подготовить план, являющийся основой для достижения соглашения между группой по аудиту, проверяемой организацией и заказчиком аудита относительно проведения аудита. Этот план должен способствовать разработке графика и координации аудита.
Уровень детализации плана аудита зависит от области и сложности аудита. К примеру, детали планов для первого и последующих аудитов или для внутренних и внешних аудитов, могут быть различными. План аудита должен быть достаточно гибким, чтобы допускать изменения, например изменения области аудита, что может оказаться необходимым в процессе проведения аудита "на месте".
План аудита должен охватывать следующее:
a) цели аудита;
b) критерии аудита и ссылочные документы;
c) область аудита, включая определение организационных, функциональных единиц и процессов, которые будут проверяться;
d) даты и участки проведения аудита "на месте";
e) запланированное время и продолжительность проведения аудита "на месте", включая совещания с руководством проверяемой организации и совещания группы по аудиту;
f) роль и ответственность членов группы по аудиту и сопровождающих лиц;
g) выделение соответствующих ресурсов для наиболее важных участков аудита.
План аудита должен также предусматривать:
h) идентификацию представителя проверяемой организации, ответственного за аудит;
i) рабочий язык и язык отчетов по аудиту там, где он отличается от родного языка аудитора (ов) и/или проверяемой организации;
j) содержание отчета по аудиту;
k) мероприятия логистики (передвижения, условия работы "на месте" и т. д.);
l) вопросы, касающиеся конфиденциальности;
m) все последующие действия после аудита.
План должен анализироваться, приниматься заказчиком аудита и предоставляться проверяемой организации до начала проведения аудита "на месте".
Любые возражения со стороны проверяемой организации должны быть решены при участии руководителя группы по аудиту, проверяемой организации и заказчика аудита. Любые пересмотры плана аудита должны согласовываться этими сторонами прежде, чем продолжить аудит.
6.4.2 Назначение заданий членам группы по аудиту
Руководитель группы по аудиту, консультируясь с членами группы по аудиту, должен установить ответственность каждого члена за аудит конкретных процессов, функций, подразделений, участков, площадок или видов деятельности. При этом следует учитывать потребности в независимости и компетентности аудиторов, результативном использовании ресурсов, а также различные роли и ответственности аудиторов, стажеров и технических экспертов. Изменения в распределении обязанностей могут быть внесены в процессе проведения аудита для содействия в достижении целей аудита.
6.4.3 Подготовка рабочих документов
Члены группы по аудиту должны проанализировать информацию, имеющую отношение к их заданиям при проведении аудита, и подготовить рабочие документы, которые будут необходимы в качестве справочного материала для регистрации хода аудита. Такие документы могут включать:
-
контрольные перечни и планы выборки;
-
формы записи такой информации, как, свидетельства и наблюдения аудита, протоколы совещаний.
Использование контрольных перечней и форм не должно сужать границы аудиторской деятельности, которые могут быть изменены на основании полученной во время аудита информации.
Рабочие документы и появляющиеся в результате их использования записи должны храниться как минимум до завершения аудита. Хранение документов после завершения аудитов описано в п. 6.7. Документы, содержащие конфиденциальную информацию либо информацию, на которую распространяются права собственности, должны быть соответственно защищены членами группы по аудиту во время ее использования.
6.5 Проведение аудита "на месте"
6.5.1 Проведение вводного совещания
Вводное совещание должно проводиться вместе с руководством проверяемой организации или, где это приемлемо, с теми, кто несет ответственность за проверяемые функции или процессы. Цели этого совещания:
a) подтвердить план аудита;
b) провести краткий обзор предстоящей деятельности по аудиту;
c) подтвердить каналы обмена информацией;
d) дать возможность проверяемым задать вопросы.
Практическая помощь — вводное совещание
Во многих случаях, например при внутренних аудитах в малых организациях, вводное совещание может предусматривать только сообщение о том, что аудит будет проведен, и объяснять его характер.
Для других аудитов вводное совещание должно быть официальным с регистрацией присутствующих. Совещание проводится под председательством руководителя группы по аудиту. Должны быть освещены, если приемлемо, следующие вопросы:
a) представление участников с указанием их роли в проведении аудита;
b) подтверждение целей, области и критериев аудита;
c) подтверждение графика проведения аудита и других мероприятий с участием проверяемой организации: таких, как дата и время заключительного совещания, любые промежуточные совещания группы по аудиту и руководства проверяемой организации, возможные дальнейшие изменения;
d) методы и процедуры, которые будут использованы при проведении аудита, включая информирование организации о том, что свидетельства аудита будут основаны на выборке доступной информации, поэтому в аудите будет присутствовать элемент неопределенности;
e) подтверждение официальных каналов связи между группой по аудиту и проверяемой организацией;
f) подтверждение языка, который будет использоваться во время аудита;
g) подтверждение того, что проверяемая организация будет информирована о ходе аудита во время его проведения;
h) подтверждение доступности ресурсов и средств, необходимых группе по аудиту;
i) подтверждение условий конфиденциальности;
j) подтверждение соответствующих процедур по обеспечению безопасности группы по аудиту, ее защиты от аварий и непредвиденных случаев;
k) подтверждение наличия, ролей и личностей сопровождающих;
l) методы составления отчетов, включая классификацию несоответствий;
m) информация об условиях, при которых аудит может быть прекращен;
n) информация о любой системе апелляций по проведению или результатам аудита.
|
6.5.2 Обмен информацией во время аудита
В зависимости от области и сложности аудита при проведении аудита может возникнуть необходимость в официальном обмене информацией как внутри группы аудиторов, так и с проверяемой организацией.
Группа по аудиту должна периодически встречаться для обмена информацией, оценки хода аудита и, в случае необходимости, перераспределения обязанностей участников группы по аудиту.
В процессе аудита руководитель группы должен периодически сообщать о ходе аудита и о любых проблемах проверяемой организации и заказчику аудита, если это приемлемо. Свидетельства, собранные во время аудита, которые несут информацию о приближающемся существенном риске (безопасность, экология, качество) должны быть незамедлительно представлены проверяемой организации и, если необходимо, заказчику аудита. Все вопросы, выходящие за область аудита, должны быть отмечены и доложены руководителю группы по аудиту для дальнейшего возможного сообщения проверяемой организации и заказчику аудита.
В случае, когда свидетельство аудита указывает на невозможность выполнения целей аудита, руководитель группы по аудиту должен доложить проверяемой организации и заказчику аудита о причинах для того, чтобы определить необходимые действия. Такие действия могут включать переутверждение или изменение плана аудита, изменение целей или области аудита или же его прекращение.
Любые необходимые изменения области аудита, которые могут появляться во время проведения аудита "на месте", должны быть проанализированы и одобрены заказчиком аудита и, если это приемлемо, проверяемой организацией.
6.5.3 Роль и ответственность сопровождающих лиц и наблюдателей
Сопровождающие лица и наблюдатели могут сопровождать группу по аудиту, но они не являются частью группы по аудиту. Они не должны препятствовать или оказывать влияние на проведение аудита.
Если сопровождающие лица назначены проверяемой организацией, они должны оказывать помощь группе по аудиту и действовать по просьбе руководителя группы по аудиту. Обязанности сопровождающих лиц могут включать следующее:
a) установление контактов и отслеживание графиков интервью;
b) организацию посещений конкретных участков организации или производства;
c) обеспечение ознакомления членов группы по аудиту с правилами техники безопасности и охраны труда, и выполнения этих правил;
d) свидетельствование от имени проверяемой организации;
e) предоставление разъяснений или содействие при сборе информации.
6.5.4 Сбор и проверка информации
В процессе аудита информация, относящаяся к целям, области и критериям аудита, включая информацию, имеющую отношение к взаимодействию между функциями, деятельностью и процессами, должна быть собрана на основе соответствующей выборки и проверена. Только информация, поддающаяся проверке, может быть свидетельством аудита. Свидетельства аудита должны протоколироваться.
Свидетельства аудита основываются на выборке доступной информации, поэтому присутствует элемент неопределенности при проведении аудита, и выводы, которые делаются во время аудита, должны учитывать эту неопределенность.
Рис. 3 иллюстрирует общее представление процесса от сбора информации до достижения заключений по результатам аудита.
Рисунок 3. Общее представление процесса от сбора информации до достижения заключений по результатам аудита.
Методы сбора информации включают:
a) интервью;
b) наблюдение деятельности;
c) анализ документов.
Практическая помощь – источники информации
Источники информации могут меняться в зависимости от области и сложности аудита и могут включать:
a) интервью с сотрудниками и другими лицами;
b) наблюдения видов деятельности, производственной среды и условий работы;
c) такие документы, как: политика, цели, планы, процедуры, стандарты, инструкции, лицензии и разрешения, спецификации, чертежи, контракты или заказы;
d) такие записи, как: технический контроль, протоколы совещаний, отчеты по аудитам, записи по отслеживанию программ и результаты измерений;
e) итоговые данные, результаты анализов и показатели эффективности;
f) информацию о программах выборки проверяемой организации, о процедурах управления выборкой и процессами измерения;
g) записи из других источников, например обратная связь от потребителей, соответствующая информация от внешних организаций и записи по оценке поставщиков;
h) компьютеризированные базы данных и веб-сайты.
|
Практическая помощь – проведение интервью
Интервью является одним из важных средств сбора информации и должно проводиться с учетом ситуации и характера опрашиваемого. При этом аудитор должен принимать во внимание следующее:
a) интервью должно проводиться с лицами, которые осуществляют деятельность или выполняют задачи в пределах области аудита в соответствующих функциональных подразделениях и на соответствующих уровнях;
b) интервью должно проводиться в течение обычного рабочего времени и, где это возможно, на обычном рабочем месте человека, с которым проводится интервью;
c) должны быть приняты все меры для того, чтобы опрашиваемое лицо находилось в естественной, непринужденной обстановке до и во время проведения интервью;
d) необходимо объяснить как причину опроса, так и необходимость ведения записей;
e) опрос следует начинать с просьбы рассказать о своей работе;
f) необходимо избегать наводящих вопросов;
g) результаты опроса должны быть обобщены и проанализированы вместе с опрашиваемым;
h) необходимо поблагодарить опрашиваемого за участие и сотрудничество.
|
6.5.5 Получение наблюдений аудита
Свидетельства аудита должны быть оценены по критериям аудита с тем, чтобы получить наблюдения аудита. Наблюдения аудита могут указать на соответствие или несоответствие критериям аудита. В тех случаях когда это установлено целями аудита, наблюдения аудита могут идентифицировать возможности для улучшения.
Группа по аудиту должна собираться, когда это необходимо, для анализа наблюдений аудита на соответствующих этапах аудита.
Должен быть подведен итог соответствия критериям аудита с указанием подразделений, функций или процессов, которые были проверены. Если это включено в план аудита, то отдельные наблюдения аудита и их свидетельства должны протоколироваться.
Несоответствия и их свидетельства должны протоколироваться. Несоответствия могут быть классифицированы. Они должны анализироваться совместно с соответствующими представителями проверяемой организации, чтобы получить подтверждение точности свидетельства аудита и того, что несоответствие понято. Необходимо всеми способами устранить разногласия во мнениях по наблюдениям аудита или свидетельствам аудита, неразрешенные вопросы должны протоколироваться.
6.5.6 Подготовка заключения по результатам аудита
Группа по аудиту до заключительного совещания должна встречаться для того, чтобы:
a) проанализировать наблюдения аудита и любую другую соответствующую информацию, собранную во время аудита, для определения соответствия целям аудита;
b) согласовать заключения по результатам аудита с учетом элемента неопределенности, присущего процессу аудита;
c) подготовить рекомендации, если это предусмотрено целями аудита;
d) обсудить последующие аудиты, если это включено в план аудита.
Практическая помощь - заключения по результатам аудита
Заключения по результатам аудита могут охватывать следующее:
a) степень соответствия системы менеджмента критериям аудита;
b) результативность внедрения, функционирования и улучшения системы менеджмента;
c) способность процесса анализа со стороны руководства обеспечивать постоянную пригодность, адекватность и результативность системы менеджмента, а также ее улучшение.
Если это установлено целями аудита, заключения по результатам аудита могут содержать рекомендации относительно улучшений, деловых взаимоотношений, сертификации/ регистрации либо дальнейшей деятельности по аудиту.
|
6.5.7 Проведение заключительного совещания
Заключительное совещание, проводимое под председательством руководителя группы по аудиту, должно быть проведено для представления наблюдений аудита и заключений по результатам аудита таким образом, чтобы они были поняты и признаны проверяемой организацией. Также необходимо согласовать с проверяемой организацией, если это приемлемо, сроки представления плана корректирующих и предупреждающих действий. На заключительном совещании должна быть представлена проверяемая организация и могут быть также представлены заказчик аудита и другие стороны. При необходимости руководитель группы по аудиту должен сообщить представителям проверяемой организации о препятствиях, возникших при проведении аудита, которые могли снизить доверие к заключению по результатам аудита.
В некоторых случаях, например при внутреннем аудите малой организации, заключительное совещание может состоять только из информирования о наблюдениях аудита и заключениях по результатам аудита.
В других ситуациях совещание должно быть официальным с ведением протокола и регистрацией присутствующих.
Любые разногласия по наблюдениям и заключению по результатам аудита между группой по аудиту и проверяемой организацией должны быть обсуждены и, при возможности, разрешены. Если нет единого решения, все мнения должны быть запротоколированы.
Если это предусмотрено целями аудита, должны быть представлены рекомендации по улучшению. Должно быть подчеркнуто, что эти рекомендации необязательны.
6.6 Подготовка, утверждение и рассылка отчета по аудиту
6.6.1 Подготовка отчета по аудиту
Руководитель группы несет ответственность за подготовку и содержание отчета по аудиту.
Отчет по аудиту должен содержать полные, точные, краткие и ясные записи по аудиту и должен включать в себя или делать ссылку на следующее:
a) цели аудита;
b) область аудита, а именно на указание организационных и функциональных единиц, где проходил аудит, с указанием сроков;
c) указание заказчика аудита;
d) указание руководителя группы по аудиту и членов группы по аудиту;
e) даты и участки проведения аудита "на месте";
f) критерии аудита;
g) наблюдения по аудиту;
h) заключения по результатам аудита.
Отчет по аудиту может, если применимо, также включать в себя или делать ссылку на следующее:
i) план аудита;
j) список представителей проверяемой организации;
k) краткое описание процесса аудита, включая случайности или препятствия аудиту, которые могут снизить доверие к заключению по результатам аудита;
l) подтверждение достижения целей аудита в пределах области аудита и в соответствии с планом аудита;
m) элементы, не охваченные аудитом, но входящие в область аудита;
n) неразрешенные разногласия во мнениях между группой по аудиту и проверяемой организацией;
о) рекомендации, направленные на улучшение, если это предусмотрено целями аудита;
р) согласованные планы последующих аудитов, если таковые необходимы;
q) заявление о конфиденциальном характере содержания;
r) список рассылки отчета по аудиту.
6.6.2 Утверждение и рассылка отчета
Отчет по аудиту должен быть оформлен в соответствии со сроками. Если это невозможно, то о причинах отсрочки необходимо сообщить заказчику аудита и согласовать новые даты.
Отчет по аудиту должен быть датирован, проанализирован, утвержден в соответствии с процедурами программы аудита.
Одобренный отчет по аудиту рассылается получателям, указанным заказчиком аудита.
Отчет по аудиту является собственностью заказчика аудита. Члены группы по аудиту и все получатели отчета по аудиту должны строго соблюдать конфиденциальность относительно отчета по аудиту.
Достарыңызбен бөлісу: |