г) идентификацию областей потенциального улучшения системы менеджмента.
Область аудита описывает содержание и границы аудита, месторасположение, структурные подразделения, деятельность и процессы, которые подвергаются аудиту, а также сроки аудита.
Критерии аудита используют в виде основы для сравнения, по которой определяют соответствие. Критерии могут включать политику, процедуры, стандарты, законы, нормы, регламенты, требования к системе менеджмента, требования контрактов или своды правил секторов экономики или предпринимательской деятельности.
Цели аудита определяет заказчик аудита. Область и критерии аудита определяет заказчик аудита и руководитель аудиторской группы в соответствии с процедурами программы аудита. Любые изменения целей, области или критериев аудита должны быть согласованы с участвующими сторонами.
При комплексном аудите руководитель аудиторской группы должен обеспечить соответствие целей, области и критериев аудита сущности комплексного аудита.
Определение возможности проведения аудита
При проведении аудита следует учитывать следующие факторы:
- достаточность и наличие необходимой информации для планирования аудита;
- адекватное сотрудничество с проверяемой организацией:
- наличие времени и необходимых ресурсов.
В случае невозможности проведения аудита необходимо предложить заказчику альтернативное решение на основе консультаций с проверяемой организацией.
Формирование аудиторской группы
После решения о возможности проведения аудита необходимо сформировать аудиторскую группу с учетом компетентности, необходимой для достижения целей аудита. Если аудит проводит один аудитор, он должен выполнять все обязанности, возлагаемые на руководителя аудиторской группы.
При определении численности и состава аудиторской группы необходимо учитывать следующие факторы:
а) цели, область, критерии и продолжительность аудита;
б) вид аудита (комплексный или совместный);
в) общую компетентность группы по аудиту, необходимую для достижения целей аудита;
г) законодательные требования, требования регламентов, требования контрактов и требования органов по аккредитации/сертификации;
д) необходимость обеспечения независимости аудиторской группы от проверяемой деятельности и избежания конфликта интересов;
е) возможности членов аудиторской группы результативно сотрудничать с проверяемой организацией и совместно работать;
ж) язык аудита и понимание специфических социальных и культурных ценностей организации (с учетом собственного опыта аудиторов или при поддержке технического эксперта).
Процесс обеспечения общей компетентности аудиторской группы должен включать следующие этапы:
- определение знаний и навыков, необходимых для достижения целей аудита;
- выбор членов аудиторской группы таким образом, чтобы в группе по аудиту имелись все необходимые знания и опыт.
Если аудиторы в аудиторской группе не обладают необходимыми знаниями и опытом, в группу включают технических экспертов. Технические эксперты должны работать под руководством аудиторов.
В группу по аудиту можно включать стажеров, но они не должны заниматься аудитом без руководства или методической помощи со стороны аудиторов.
И заказчик, и проверяемая организация имеют право требовать замены членов аудиторской группы по объективным причинам (член аудиторской группы работал ранее в проверяемой организации или же оказывал ей услуги по консалтингу, предыдущее неэтичное поведение). Причины доводят до сведения руководителя аудиторской группы и ответственного за управление программой аудита, которые должны согласовать с заказчиком аудита и проверяемой организацией решение по замене членов аудиторской группы.
Установление первоначального контакта с проверяемой организацией
Первоначальный контакт официального или неофициального характера с проверяемой организацией для проведения аудита устанавливает ответственный за управление программой аудита или руководитель аудиторской группы.
Цель первоначального контакта:
а) определение каналов обмена информацией с представителем проверяемой организации;
б) подтверждение полномочий для проведения аудита;
в) предоставление информации по предлагаемому графику аудита и составу аудиторской группы;
г) получение разрешения на доступ к соответствующим документам, включая записи;
д) определение необходимых правил обеспечения безопасности работ на месте;
е) определение подготовительных мероприятий к аудиту;
ж) согласование присутствия наблюдателей и сопровождающих для аудиторской группы.
Шаг 2 Выполнение анализа документов
Прежде чем начать деятельность по аудиту на месте, анализируют документы проверяемой организации, документы по системе менеджмента, записи, а также отчеты по предыдущим аудитам с целью определения соответствия системы документам и критериям аудита. Анализ должен учитывать размер, вид деятельности и сложность организации, а также цели и область аудита. В некоторых случаях этот анализ может быть отложен до начала проведения аудита на месте, если это не нанесет ущерба результативности проведения аудита. В других случаях может оказаться необходимым посетить место проведения аудита для получения необходимой информации.
Если документация признана неадекватной, то руководитель аудиторской группы должен проинформировать заказчика аудита, ответственных за управление программой аудита и проверяемую организацию. Необходимо принять решение по продолжению или приостановке аудита до тех пор, пока проблемы с документацией не будут разрешены.
Шаг 3 Подготовка к проведению аудита на месте
Подготовка плана аудита
Руководитель аудиторской группы должен подготовить план аудита для согласования с заказчиком аудита, аудиторской группой и проверяемой организацией. На основании плана уточняют сроки выполнения отдельных работ, предусмотренных планом. В плане аудита должны найти отражение область и уровень сложности аудита в зависимости, например, от того, первоначальный это или последующий аудит, внутренний или внешний аудит. План аудита должен быть достаточно гибким, чтобы по мере осуществления аудита на месте при необходимости можно было внести изменения, например в область аудита.
План аудита должен включать:
а) цели аудита;
б) критерии аудита и ссылочные документы;
в) область аудита, включая идентификацию организационных и функциональных подразделений и процессов, которые будут проверяться;
г) даты и места проведения аудита;
д) ожидаемое время и продолжительность проведения аудита на месте, включая совещания с руководством проверяемой организации и совещания групп по аудиту;
е) роли и обязанности членов аудиторской группы и сопровождающих лиц;
ж) распределение соответствующих ресурсов по «критичным местам» проведения аудита.
При необходимости в план аудита включают:
и) определение представителей проверяемой организации для участия в аудите;
к) рабочий язык и язык отчета (акта) по аудиту там, где он отличается от родного языка аудитора и (или) проверяемой организации;
л) содержание отчета (акта) по аудиту;
м) материально-техническое обеспечение (средства передвижения, оборудование на месте и др.);
н) все, что касается обеспечения конфиденциальности;
о) любые действия по результатам аудита.
План должен быть проанализирован, принят заказчиком аудита и представлен проверяемой организации перед началом аудита на месте.
Любые возражения со стороны проверяемой организации должны быть разрешены с руководителем аудиторской группы и заказчиком аудита. Любой пересмотренный план аудита должен быть согласован с заинтересованными сторонами.
Распределение работ между членами аудиторской группы
Руководитель аудиторской группы должен распределить ответственность между членами группы за аудит конкретных процессов, подразделений, участков, областей или видов деятельности. Такое распределение должно учитывать потребность в независимости, компетентности аудиторов и результативном использовании ресурсов, а также различную ответственность аудиторов, стажеров и технических экспертов. Для достижения целей в процессе аудита могут быть сделаны изменения в распределении ответственности.
Подготовка рабочих документов
Члены аудиторской группы должны анализировать информацию, относящуюся к распределению ответственности, и готовить для регистрации результатов аудита рабочие документы:
- контрольные листы и планы выборок для аудита;
- формы для регистрации данных, таких как подтверждающие свидетельства, выводы аудита и протоколы совещаний.
Использование контрольных листов и форм не должно ограничивать объем проверок при аудите, которые могут измениться в результате анализа собранных во время аудита данных.
Рабочие документы, включая записи, являющиеся результатом использования документов, следует хранить до завершения аудита. Хранение документов после завершения аудита описано в 6.7. Документы, содержащие конфиденциальную или частную информацию, должны сохраняться надлежащим образом.
Шаг 4 Проведение аудита на месте
Проведение предварительного совещания
Предварительное совещание проводят с руководством проверяемой организации или, где это возможно, с теми, кто отвечает за проверяемые подразделения или процессы. Цель предварительного совещания:
а) подтверждение плана аудита;
б) предоставление краткого обзора плана выполнения аудита;
в) подтверждение каналов обмена информацией;
г) предоставление возможностей проверяемой организации задать вопросы.
Обмен информацией в ходе аудита
В зависимости от сложности аудита может возникнуть необходимость в заключении официального соглашения по обмену информацией в ходе аудита между аудиторской группой и проверяемой организацией.