Важно, чтобы аудит проводился профессионально и достоверно отражал результативность системы менеджмента организации. Необходимо помнить, что результаты аудита повлекут коммерческие решения, которые могут повлиять на будущее обеих организаций. Поэтому он должен быть проведен квалифицированным обученным персоналом, что является гарантией получения достоверной информации.
Аудит второй стороной может проводиться независимой организацией, например, органом по сертификации или консалтинговой компанией.
Аудит третьей стороной – проверка, проводимая внешней независимой организацией (третьей стороной). Чаще всего оценка третьей стороной применяется с целью сертификации. Как и аудит, второй стороной, аудит третьей стороной предъявляет особые требования, как к аудитору, так и к проверяемой организации. Аудитор должен быть профессиональным и компетентным, чтобы результаты аудита точно и справедливо отражали состояние системы менеджмента.
Внешние аудиты имеют свои положительные и отрицательные стороны по сравнению с внутренними аудитами.
К положительным сторонам внешних аудитов относятся:
– более высокий уровень объективности («взгляд со стороны»);
– большая эффективность работы (внешний аудит проводится аудиторами высокой квалификации);
– положительное воздействие критики на проверяемую организацию;
– более объективная оценка проверяемой системы за счет более высокой квалификация аудиторов;
– возможность использования результатов внешних аудитов проверяемой организацией в рекламных целях;
– точность определения расходов.
К отрицательным сторонам внешних аудитов относятся:
– незнание традиций предприятия;
– предубежденность персонала проверяемой организации к «чужим», и как следствие, возможность сокрытия информации;
– вероятность использования аудитором конфиденциальной информации, полученной в ходе аудита;
– ограниченные сроки аудита не дают возможности аудитору досконально проверить всю систему, и, следовательно, заключение по результатам аудита основывается на выборке из имеющейся информации.
Важнейшим этапом процесса внутреннего аудита является его подготовка и, в первую очередь, составление плана аудита, который включает:
- задачи аудита и сферы деятельности, которые будут подвергнуты инспекционной проверке;
- список необходимых документов, которые должна предоставить инспектируемая организация;
- перечень инспектируемых подразделений проверяемой организации;
- список предполагаемых членов команды аудиторов;
- дата и место, где аудит проводиться;
- ожидаемое время и продолжительность наиболее важной деятельности команды аудиторов;
- график встречи с инспектируемыми;
- перечень лиц, которым буде роздан рапорт аудита и установлен срок его подготовки.
Основными этапами внутреннего аудита в этом случае являются:
2) подготовка аудита: план аудита, подбор команды аудиторов, рабочая документация;
Подбор аудиторской группы должен осуществляться таким образом, чтобы обеспечить независимость аудиторской группы от проверяемой деятельности и исключить возможность конфликта интересов или конфликта между членами группы, при этом необходимо учесть и мнение проверяемого подразделения.
3) проведение аудита: первая встреча команды аудиторов с руководством инспектируемых подразделений, проверка соответствия документации и действующей Системы Качества требованиям ИСО, заключительная встреча;
4) документы аудита: подготовка рапорта аудита о результатах инспекционной проверки; предоставление рапорта аудита клиенту, которым в данном случае является руководитель организации. Необходимо вести отчетные документы (записи) о планировании, проведении и результатах внутреннего аудита. К таким записям могут относиться:
• планы аудитов,
• отчеты по аудитам,
• отчеты (акты) о несоответствиях,
• отчеты о корректирующих действиях.
• записи об опыте работы аудиторов, о прохождении ими обучения, о результатах оценки их деятельности и компетентности.
На этом этапе необходимо предпринять следующие шаги:
1. Руководитель аудиторской группы должен подготовить план аудита.
План аудита должен включать:
• цели и критерии аудита;
• объем аудита, включая указание должностных лиц, подразделений и процессов, подлежащих проверке;
• дату и место проведения аудита.
• время и место проведения мероприятий, связанных с аудитом, в том числе вступительного и заключительного совещаний.
План должен быть утверждён ответственным за менеджмент программы аудита и представлен проверяемому подразделению до начала проведения аудита на местах. Любые возражения со стороны проверяемого подразделения должны быть разрешены совместно руководителем аудиторской группы, руководством проверяемого подразделения и ответственным за менеджмент программы аудита.
2. Руководитель аудиторской группы должен распределить обязанности между членами аудиторской группы с учётом особенностей различных областей проверки и личных качеств, знаний, умений и опыта аудиторов.
3. Члены аудиторской группы должны подготовить рабочие документы, включающие:
а) Чек – листы;
б) формы для регистрации информации, такой как свидетельства, наблюдения аудита и протоколы совещаний.
Чек-лист – это контрольный перечень вопросов, которые должен проверить аудитор. Он может быть составлен и в форме вопросов к сотрудникам проверяемого подразделения, или в форме памятки для аудитора с указанием всех пунктов, по которым он планирует провести проверку.
Одним из организационно-методических средств, способствующих решению этой задачи, может стать планирование внутренних аудитов с учетом бизнес-рисков организации. Знание рисков, наличие системного подхода к их оценке, а также поддержание рисков на приемлемом уровне – важные аспекты ИСМ.
Традиционно планирование аудитов ведется с учетом статуса и важности процессов и видов деятельности, реализуемых в ИСМ. Однако данных подход к планированию не учитывает риски, присущие любому бизнесу, а также те области, где риск возникновения несоответствий (невыполнения требований) может быть наиболее высоким. Добавить ценность результатам планирования внутренних аудитов можно с использованием управления бизнес-рисками. Это даст возможность организации сократить время на проверку областей с низким риском, сконцентрировав внимание на областях с наибольшими рисками, удержать риски на приемлемом уровне и обеспечить более эффективный аудит, предоставив руководству организации информацию, необходимую для разработки мероприятий по улучшению деятельности. Приоритетность процессов (видов деятельности), включаемых в программу аудитов, должна определяться с учетом потенциальных рисков, связанных с деятельностью организации.
Общеизвестно, что деятельность любой бизнес-организации связана с многочисленными рисками. Исходя их этого, применительно к деятельности организации риск может быть определен как наступление некоего неблагоприятного для ее бизнеса события, которое приводит к определенным потерям. Отсюда естественное стремление организаций к постоянному снижению собственных потерь, в связи, с чем последнее время все большее внимания руководителей и специалистов привлекает концепция менеджмента рисков (или как ее часто называют в специальной литературе – риск-менеджмент). Очевидно, что риски могут возникать практически во всех сферах деятельности, охватывающих ИСМ, и затрагивать интересы различных структурных подразделений организаций. Знание рисков, наличие системного подхода к их оценке, а также поддержание рисков на приемлемом уровне – важные аспекты ИСМ.
Таким образом, по результатам оценки рисков составляется программа аудитов, в которую включается в первую очередь те процессы и виды деятельности ИСМ, где риск возникновения несоответствий наиболее высок. Это дает возможность сконцентрировать внимание аудиторов на областях с наибольшими рисками, выработать адекватные действия по управлению этими рисками, обеспечив руководство организации информацией, необходимой для разработки мероприятий по улучшению деятельности.
Меры по регулированию рисков в случае выявления аудиторами несоответствий предусматривают разработку корректирующих мероприятий и плана по их реализации. Определяющим критерием при разработке корректирующих действий является их способность предотвратить или свести к минимуму возможность повторного возникновения несоответствий. По результатам выполнения корректирующих действий должна быть проведена оценка их результативности. Аудитор должен понять, привели ли предпринятые действия к устранению причины несоответствия, приведению риска в рамки допустимых значений. Владелец процесса должен держать риск под постоянным контролем с тем, чтобы его значения не вышли за рамки приемлемых и не привели к неуправляемости процесса.
Любой аудит проводится в ограниченное время и с ограниченными ресурсами. Организация должна на стадии планирования аудитов определять, какие потребуются ресурсы по программе аудита и обеспечить их выделение.
При определении ресурсов необходимо учитывать:
• Персонал для проведения внутренних аудитов. Для обеспечения независимости аудиторов от проверяемой деятельности в небольших организациях, возможно, потребуется пригласить для проведения аудитов сторонних специалистов.
• Ресурсы для обеспечения аудиторов методическими пособиями, справочными документами, инструкциями, формами регистрации информации.