Для планирования и проведения аудитов необходимо определить цели программы аудитов.
d) законодательные требования, требования регламентов и требования, предусмотренные конт-рактом;
h) потенциальные риски организации.
Объем программы аудита может изменяться в зависимости от размера, вида деятельности, сложности структуры проверяемой организации, а также:
c) количества, важности, комплексности, степени сходства, месторасположения подразделений, подлежащих аудиту;
d) стандартов, законодательных, нормативных и контрактных требований и других критериев аудита;
i) существенных изменений в организации или ее деятельности.
Примечание 1 Рисунок 1 иллюстрирует применение цикла PDCA (планирование – выполнение – проверка – действие).
Примечание 2 Цифры в скобках указывают соответствующий пункт или раздел настоящего стандарта.
Рисунок 1 – Последовательность процессов управления программой аудита
5.3 Ответственность за программу аудита, ресурсы и процедуры
5.3.1 Ответственность за программу аудита
Ответственность за управление программой аудита возлагают на одно или несколько лиц, имеющих общее представление о принципах аудита, необходимой компетентности аудитора и
применении методов аудита. Эти лица также должны обладать навыками менеджмента, а также
техническими и экономическими знаниями в той области деятельности, в которой проводится аудит.
Ответственные за управление программой аудита должны:
а) определять цели и объем программы аудита;
b) определять ответственность и процедуры, а также гарантировать обеспечение необходимыми ресурсами;
c) обеспечивать выполнение программы аудита;
d) вести записи по программе аудита;
e) осуществлять мониторинг, анализ и улучшение программы аудита.
5.3.2 Ресурсы для программы аудита
При определении ресурсов для программы аудита необходимо учитывать:
а) финансовые ресурсы для развития, внедрения, управления и улучшения деятельности по аудиту;
b) методы проведения аудитов;
c) процессы по достижению и поддержанию компетентности и улучшению деятельности аудиторов;
d) наличие аудиторов и технических экспертов, обладающих компетентностью, необходимой для достижения конкретных целей программы аудита;
e) объем программы аудита;
f) время на проезд, размещение и другие потребности для проведения аудита.
5.3.3 Процедуры программы аудита
Процедуры программы аудита включают в себя:
а) планирование и составление планов-графиков аудитов;
b) обеспечение компетентности аудиторов и руководителей групп по аудиту;
c) комплектование соответствующих групп по аудиту и распределение функций и ответственности;
d) проведение аудитов;
e) выполнение действий по результатам аудита, если требуется;
f) ведение записей по программе аудита;
g) мониторинг показателей эффективности программы аудита;
h) отчетность перед высшим руководством о всей проделанной работе попрограмме аудита.
Для малых предприятий вышеперечисленная деятельность может быть выполнена в виде одной процедуры.
5.4 Реализация программы аудита
Реализация программы аудита включает в себя:
а) доведение программы аудита до участвующих сторон;
b) координацию и календарное планирование аудитов и другой деятельности, связанной с программой аудита;
c) установление и поддержание процесса оценки аудиторов иих непрерывного профессионального совершенствования согласно 7.5 и 7.6 соответственно;
d) формирование групп по аудиту;
e) предоставление необходимых ресурсов группам по аудиту;
f) проведение аудитов в соответствии с программой аудитов;
g) управление записями по аудиту;
h) анализ и утверждение отчетов по аудиту и их рассылка заказчикам аудитов и заинтересованным сторонам;
i) действия по результатам аудита, если это необходимо.
5.5 Записи по программе аудита
Записи по программе аудита должны включатьв себя:
а) записи, связанные с отдельными аудитами:
– планы аудита;
– отчеты (акты) по аудиту;
– отчеты о несоответствиях;
– отчеты по корректирующим и предупреждающим действиям;
– отчеты о действиях по результатам аудита, если это необходимо;
b) результаты анализа программы аудита;
c) записи о персонале, привлекаемом к аудиту:
– оценка компетентности аудитора и его деятельности;
– выбор группы по аудиту;
– поддержание и повышение компетентности.
Записи должны храниться и защищаться должным образом.
5.6 Мониторинг и анализ программы аудита
Должен проводиться мониторинг реализации программы аудита, а через определенные интер-валы времени – анализ достижения целей и идентификация возможностей улучшения программы.
О результатах анализа необходимо докладывать высшему руководству.
Мониторинг программы аудита должен осуществляться по следующим показателям, характеризующим деятельность по аудиту:
– возможности группы по аудиту реализовать план аудита;
– соответствие программам аудитов и планам-графикам;
– обратная связь от заказчиков аудита, проверяемых организаций и аудиторов.
Анализ программы аудита должен охватывать:
а) результаты мониторинга и установленные тенденции;
b) соответствие процедурам;
c) выявление потребностей и ожиданий заинтересованных сторон;
d) записи по программе аудита;
e) альтернативные или новые методики в области аудита;
f) согласованность действий групп по аудиту в аналогичных ситуациях.
Результаты анализа программы аудита могут привести к корректирующим и предупреждающим действиям и улучшению программы аудита.
6 Проведение аудита
6.1 Общие положения
Частью программы аудита являются указания по планированию и проведению аудитов. Типовая блок-схема проведения аудита приведена на рисунке 2. Степень применения требований настоящего раздела зависит от области применения, сложности конкретного аудита и предполагаемого использования заключений по результатам аудита.
6.2 Организация проведения аудита
6.2.1 Назначение руководителя группы по аудиту
Лица, ответственныеза управление программой аудита, должны назначать руководителя каждой конкретной группы по аудиту.
При проведении совместного аудита до начала аудита важно достичь соглашения между проверяющими организациями относительно обязанностей каждой организации и, в частности, относительно полномочий руководителя группы по аудиту, назначенного на аудит.
6.2.2 Определение целей, области и критериев аудита
Для каждого аудита необходимо определить цели, область и критерии аудита.
Цели аудита могут включать в себя:
а) определение степени соответствия системы менеджмента проверяемой организации или ее частей критериям аудита;
b) оценку возможности системы менеджмента обеспечивать соответствие законодательным требованиям, нормативным требованиям и требованиям контракта;
c) оценку результативности системы менеджмента для достижения конкретных целей;
d) идентификацию областей потенциального совершенствования системы менеджмента.
Область аудита характеризует содержание и границы аудита, месторасположение, структурные подразделения, деятельность и процессы, которые подвергаются аудиту, а также сроки аудита.
Критерии аудита используют при определении соответствия в виде основы для сравнения.
Критерии могут включать политику, процедуры, стандарты, законы, нормы, регламенты, требования к системе менеджмента, требования контрактов или своды правил секторов экономики или предпринимательской деятельности.
Цели аудита определяет заказчик аудита. Область и критерии аудита определяет заказчик аудита и руководитель группы по аудиту в соответствии с процедурами программы аудита. Любые изменения целей, области или критериев аудита должны быть согласованы с участвующими сторонами.
При комплексном аудите руководитель группы по аудиту должен обеспечить соответствие целей, области и критериев аудита сущности комплексного аудита.
6.2.3 Определение возможности проведения аудита
При проведении аудита следует учитывать следующие факторы:
– достаточность и наличие необходимой информации для планирования аудита;
– адекватное сотрудничество с проверяемой организацией;
– наличие времени и необходимых ресурсов.
В случае невозможности проведения аудита необходимо предложить заказчику альтернативное решение на основе консультаций с проверяемой организацией.
