Для руководства планированием и проведением аудитов должны быть установлены цели программы аудита. Эти цели могут основываться на рассмотрении:
а) приоритетов менеджмента;
б) коммерческих намерений;
в) требований систем менеджмента;
г) регламентирующих, законодательных и контрактных требований;
д) необходимости оценки поставщиков;
е) требований потребителей;
ж) потребностей других заинтересованных сторон;
з) рисков для организации.
Объем программы аудита может изменяться в зависимости от размера, типа и сложности проверяемой организации, а также от следующего:
а) объема, цели и продолжительности каждого проводимого аудита;
б) периодичности проводимых аудитов;
в) количества, важности, сложности, сходства и расположения видов деятельности, подлежащих проверке;
г) стандартов, регламентирующих, законодательных и контрактных требований и других критериев аудита;
д) требований аккредитации или регистрации/сертификации;
е) заключений по результатам предыдущих аудитов или результатов анализа программы предыдущего аудита;
ж) любых языковых, культурных и социальных аспектов;
з) потребностей заинтересованных сторон;
и) существенных изменений в структуре или деятельности организации.
Ответственность за руководство программой аудита должны нести одно или несколько лиц, имеющие общее представление о принципах аудита, компетентности аудиторов и применении методов аудита. Эти лица должны иметь опыт руководства, а также техническое и деловое понимание в части проверяемой деятельности.
Лица, назначенные ответственными за руководство программой аудита, должны:
а) определять цели и объем программы аудита;
б) определять процедуры и ответственность, и обеспечивать предоставление ресурсов;
в) обеспечивать реализацию программы аудита;
г) обеспечивать ведение соответствующих записей по программе аудита;
д) проводить мониторинг, анализировать и улучшать программу аудита.
При определении ресурсов по программе аудита рассмотрению подлежат:
а) финансовые ресурсы, необходимые для разработки, осуществления, руководства и улучшения деятельности по аудиту;
б) методы аудита;
в) процессы для достижения и поддержания компетентности аудиторов и улучшения их деятельности;
г) наличие аудиторов и технических экспертов, обладающих компетентностью, соответствующей конкретным целям программы аудита;
д) объем программы аудита;
е) поездки, проживание и другие потребности, связанные с проведением аудита.
В процедурах по программе аудите должно быть учтено следующее:
а) планирование и составление графика аудитов;
б) обеспечение компетентности аудиторов и руководителей аудиторской группы;
в) подбор аудиторских групп и определение их роли и ответственности;
г) проведение аудитов;
д) проведение последующего аудита (с целью проверки устранения выявленных несоответствий), если применимо;
е) ведение записей по программе аудита;
ж) мониторинг выполнения и результативности программы аудита.
При реализации программы аудита должно быть учтено следующее:
а) доведение программы аудита до сведения заинтересованных сторон;
б) координация, составление графика аудитов и другие действия, связанные с программой аудита;
в) установление и поддержание процесса оценки аудиторов и непрерывного повышения профессионального уровня аудиторов;
г) обеспечение подбора аудиторских групп;
д) предоставление необходимых ресурсов аудиторским группам;
е) обеспечение проведения аудитов в соответствии с программой аудита;
ж) обеспечение управления записями по аудиторской деятельности;
з) обеспечение проведения анализа и утверждения отчетов по аудиту, а также обеспечение их рассылки заказчику аудита и другим указанным сторонам;
и) обеспечение проведения последующего аудита, если применимо.
Для подтверждения реализации программы аудита должны вестись записи, которые должны включать следующее:
а) записи, относящиеся к конкретным аудитам, например:
- планы аудитов,
- отчеты по аудитам,
- отчеты о несоответствии,
- отчеты о корректирующих и предупреждающих действиях, и
- отчеты по последующим аудитам, если применимо;
б) результаты анализа программы аудита;
в) записи, относящиеся к персоналу, участвующему в аудите, и затрагивающие следующие темы:
- оценка компетентности и деятельности аудитора;
- подбор аудиторской группы; и
- поддержание и повышение компетентности.
Ведение и хранение записей должно осуществляться с соблюдением соответствующих требований безопасности.
Для оценки достижения целей и выявления возможностей улучшения программы аудита должен проводиться мониторинг реализации и, через определенные промежутки времени, анализ программы аудита. Результаты должны быть представлены высшему руководству.
Должны быть использованы индикаторы работы для мониторинга следующих характеристик:
- способность аудиторских групп реализовать план аудита;
- соответствие программам и графикам аудитов, и
- обратная связь с заказчиками аудита, проверяемыми организациями и аудиторами.
Анализ программы аудита должен учитывать, в том числе:
а) результаты и тенденции, выявленные при мониторинге;
б) соответствие процедурам;
в) выявление потребностей и ожиданий заинтересованных сторон;
г) записи по программе аудита;
д) альтернативные или новые способы проведения аудита;
е) согласованность деятельности аудиторских групп в сходных ситуациях.
По результатам анализа программы аудита могут быть проведены корректирующие и предупреждающие действия, а также улучшение программы аудита.
4. Начальные действия при аудите (проверки)
Лица, назначенные ответственными за руководство программой аудита, должны назначить руководителя аудиторской группы для конкретного аудита.
В случае проведения совместного аудита проверяющие организации до начала аудита должны придти к соглашению по конкретным обязанностям каждой организации, в особенности, в отношении полномочий руководителя группы, назначенного для аудита.
В рамках общих целей программы аудита, конкретный аудит должен основываться на документированных целях, объеме и критериях.
Цели аудита определяют, что должно быть достигнуто аудитом, и могут включать следующее:
а) определение степени соответствия системы менеджмента проверяемой организации или ее частей критериям аудита;
б) оценка способности системы менеджмента обеспечить соответствие законодательным, регламентирующим и контрактным требованиям;
в) оценка результативности системы менеджмента в достижении поставленных целей;
г) определение областей возможного улучшения системы менеджмента.
Цели аудита должны быть определены заказчиком аудита. Объем и критерии аудита должны быть определены совместно заказчиком аудита и руководителем аудиторской группы в соответствии с процедурами по программе аудита. Любые изменения целей, объема и критериев аудита подлежат согласованию этими же сторонами.
В случае проведения комплексного аудита, руководитель аудиторской группы должен обеспечить соответствие целей, объема и критериев аудита характеру комплексного аудита.
Осуществимость аудита должна быть определена с учетом таких факторов, как:
а) достаточность и соответствие информации для планирования аудита;
б) готовность к сотрудничеству со стороны проверяемой организации;
в) наличие времени и соответствующих ресурсов.
Если аудит неосуществим, то по результатам консультаций с проверяемой организацией заказчику аудита должен быть предложен альтернативный вариант.
Если аудит признан осуществимым, должна быть подобрана аудиторская группа, с учетом требуемой компетентности для достижения целей аудита. При наличии только одного аудитора, последний должен выполнять все предусмотренные обязанности руководителя аудиторской группы.
При определении размера и состава аудиторской группы необходимо учитывать следующее:
а) цели, объем и критерии аудита, а также его ориентировочную продолжительность;
б) является ли аудит комплексным или совместным;
в) общую компетентность аудиторской группы, необходимую для достижения целей аудита;
г) законодательные, регламентирующие, контрактные требования и требования органов аккредитации/сертификации, если применимо;
д) необходимость обеспечения независимости аудиторской группы от проверяемой деятельности и исключения конфликта интересов;
е) способность членов аудиторской группы к совместной работе и к эффективному взаимодействию с проверяемой организацией;
ж) язык аудита и понимание социальных и культурных особенностей проверяемой организации, это может быть достигнуто либо собственным опытом аудитора, либо с помощью технического эксперта.
Процесс обеспечения общей компетентности аудиторской группы должен включать следующие шаги:
- выявление знаний и умений, необходимых для достижения целей аудита;
- выбор членов аудиторской группы таким образом, чтобы аудиторская группа обладала всеми необходимыми знаниями и умениями.
Если необходимые знания и умения обеспечиваются аудиторами, входящими в аудиторскую группу, не в полном объеме, то недостающие знания и умения могут быть восполнены включением в группу технических экспертов. Технические эксперты должны работать под руководством аудитора. Аудиторы-стажеры могут быть включены в аудиторскую группу, но должны действовать только под руководством и контролем аудитора.
Как заказчик аудита, так и проверяемая организация могут попросить о замене конкретных членов аудиторской группы на разумных основаниях. Примеры разумных оснований включают ситуации конфликта интересов (например, член аудиторской группы – бывший работник проверяемой организации, или оказывал ей консультационные услуги) и неэтичное поведение в прошлом. Такие основания должны быть доведены до сведения руководителя аудиторской группы и до лиц, ответственных за руководство программой аудита, которые должны разрешить данную ситуацию совместно с заказчиком аудита и проверяемой организацией до принятия решения по замене членов группы.