<< Пред. стр. 2 (из 4) След. >>
5.2 Цели и объем программы аудита5.2.1 Цели программы аудита
Для того чтобы спланировать аудиты и провести их, необходимо определить цели программ аудитов. Организации могут достичь цели в одном аудите в зависимости от размера, типа, комплексности. Эти цели могут базироваться на:
a) приоритетах менеджмента;
b) коммерческих намерениях;
c) требованиях системы менеджмента;
d) требованиях, предусмотренных контрактом, и обязательных требованиях;
e) необходимости оценки поставщика;
f) потенциальных рисках организации;
g) требованиях поставщика;
h) нуждах других заинтересованных сторон.
5.2.2 Объем программы аудита
Объем программы аудита может меняться, и на него может оказывать влияние следующее:
a) область распространения, цели и продолжительность каждого осуществляемого аудита;
b) частота аудитов;
c) размер, вид, сложность организации;
d) количество, важность, комплексность, сходство, размещение подразделений, подлежащих аудиту;
e) стандарты, контрактные требования, политика, процедуры и другие критерии аудита;
f) требования аккредитации и сертификации;
g) результаты предыдущих аудитов или анализ предыдущих программ аудитов;
h) язык, культура, социальный статус;
i) участие заинтересованных сторон;
j) существенные изменения в любой организации, деятельности или функциональной сфере.
5.3 Ответственность за управление программой аудита, ресурсы и процедуры
5.3.1 Ответственность
Ответственность за управление программой аудита должна возлагаться на лица, понимающие принципы аудита, обладающие компетентностью аудитора и умеющие пользоваться инструментами и методами аудита. Эти лица также должны обладать техническими и экономическими знаниями в той области, которая будет проверяться.
Те, кто несет ответственность за управление программой аудита, должны:
a) разрабатывать, внедрять, осуществлять мониторинг, анализировать и улучшать программу аудита;
b) определить и обеспечить ресурсами программу аудита.
5.3.2 Ресурсы
При определении ресурсов необходимо уделять внимание:
a) финансовым ресурсам для развития, внедрения, управления и улучшения аудитов;
b) методам аудитов;
c) процессам достижения и поддержания компетентности аудитора и улучшения аудитов;
d) наличию аудиторов и технических экспертов, компетентности аудиторов в области целей программы;
e) длительности проведения аудитов;
f) времени, поездкам и другим требованиям аудита.
5.3.3 Процедуры
Процедуры программы аудита должны затрагивать, например:
a) планирование и составление графиков аудита;
b) обеспечение компетентности аудиторов и руководителей групп аудиторов;
c) выбор соответствующих групп по аудиту;
d) проведение аудитов;
e) проведение последующих аудитов;
f) поддержание записей по программе аудита;
g) мониторинг показателей и улучшение программы аудита.
5.4 Внедрение программы аудита
Внедрение программы аудита должно предусматривать:
a) доведение программы аудита до соответствующих сторон;
b) координирование и календарное планирование аудитов и другой деятельности;
c) определение и поддержание процесса начального оценивания аудиторов и постоянной оценки потребности в обучении и профессиональном росте аудиторов;
d) формирование групп по аудиту;
e) предоставление ресурсов группам по аудиту;
f) проведение аудитов в соответствии с программой;
g) обеспечение управления записями по аудиту;
h) анализ и утверждение отчетов по аудиту и их рассылку клиентам и другим конкретным сторонам;
i) обеспечение последующих аудитов, при необходимости.
5.5 Записи программы аудита
Записи должны поддерживаться с целью демонстрации функционирования программы и должны включать в себя:
a) отдельные записи по аудиту, такие как:
- планы аудита,
- отчеты по аудиту,
- отчеты о несоответствиях,
- отчеты по корректирующим и предупреждающим действиям;
b) результаты анализа программы аудита;
c) записи о персонале по аудиту, такие как:
- оценивание аудитора;
- выбор группы аудиторов;
- обучение.
Управление записями должно обеспечивать их сохранность и защиту.
5.6 Мониторинг и анализ программы аудита
Реализация программы должна подвергаться мониторингу и через определенное время анализироваться для оценивания достижения целей и идентификации возможностей улучшения.
Мониторинг должен осуществляться с использованием установленных показателей, которые измеряют, например:
a) результаты и тенденции мониторинга;
b) соответствие программам аудита и графикам;
c) рост потребностей и ожиданий заинтересованных сторон;
d) записи по аудиту;
e) альтернативные или новые методики в области аудита;
f) согласованность действий между группами по аудиту.
Результаты анализа программы аудита могут привести к корректирующим действиям и улучшению программы.
6. ДЕЯТЕЛЬНОСТЬ В ОБЛАСТИ АУДИТА
6.1 Общие положения
Настоящий раздел содержит рекомендации по управлению и проведению аудитов систем менеджмента качества и охраны окружающей среды.
На рис. 2 показана схема проведения аудита.
Рис. 2 - Проведение аудита
После завершения аудита осуществляются инспекционные проверки. Эти инспекционные проверки не считаются частью аудита, если они не включены в план аудита.
6.2 Инициирование аудита
6.2.1 Назначение руководителя группы по аудиту
Те, кто несет ответственность за управление программой аудита, должны назначить руководителя группы по аудиту. В случае, когда проводится совместный аудит, очень важно до начала аудита достичь соглашения между проверяющими организациями относительно ответственности каждой организации и, в частности, относительно руководителя группы.
6.2.2 Определение целей, области и критериев аудита
Каждый аудит должен базироваться на документированных целях, области и критериях, что входит в программу аудита.
Цели аудита должны определяться его заказчиком. Область и критерии аудита должны быть определены заказчиком и руководителем группы и согласованы с процедурами программы аудита. Любые изменения целей, области или критериев должны согласовываться этими же сторонами.
Цели аудита должны предусматривать:
a) определение степени соответствия системы менеджмента проверяемой организации или ее частей критериям аудита;
b) оценку возможности системы менеджмента обеспечивать соответствие требованиям контракта и обязательным требованиям;
c) оценку результативности системы менеджмента в свете достижения конкретных целей;
d) идентификацию областей потенциального улучшения системы менеджмента.
Область аудита описывает его глубину и границы в понятиях таких факторов, как месторасположение, структурные единицы, деятельность и производственные процессы организации, которые подвергаются аудиту и, при необходимости, период времени, охватываемый аудитом.
Критерии аудита могут включать в себя политику, процедуры, стандарты (включая законы и нормы), требования системы менеджмента, требования контрактов.
Цели, область и критерии аудита должны определяться клиентом. Любые последующие изменения в них должны согласовываться с клиентом и, соответственно, с теми, кто ответственен за управление программой аудита и проверяемой организацией, после консультации с руководителем группы по аудиту.
Если осуществляется комплексный аудит, очень важно, чтобы руководитель группы по аудиту обеспечил соответствие целей, области, критериев и состава группы по аудиту характеру комплексного аудита.
6.2.3 Определение возможности проведения аудита
Ответственные за управление программой аудита должны определить возможность проведения аудита с учетом следующих факторов:
a) необходимого количества данных и соответствующей информации для планирования аудита;
b) адекватного сотрудничества со стороны проверяемой организации;
c) наличия времени и ресурсов.
В случае невозможности проведения аудита ответственные за управление программой аудита должны предложить клиенту альтернативное решение, консультируясь с проверяемой организацией.
6.2.4 Формирование группы по аудиту
После того, как будет признана возможность проведения аудита, необходимо сформировать группу по аудиту и назначить ее руководителя с учетом компетентности, необходимой для достижения целей аудита. Если аудит осуществляет один аудитор, он должен выполнять все обязанности руководителя группы.
Те, кто несет ответственность за управление программой аудита, и/или руководитель группы, должны определить необходимые ресурсы, проконсультировавшись с клиентом, и, если это необходимо, с проверяемой организацией.
При определении количества и состава группы по аудиту необходимо учитывать следующее:
a) цели аудита, область, критерии, месторасположение и продолжительность;
b) компетентность группы по аудиту, необходимую для достижения целей;
c) требования органов по аккредитации/сертификации;
d) требования по обеспечению независимости группы по аудиту от деятельности, которая должна проверяться, в целях исключения конфликта интересов;
e) возможность группы по аудиту эффективно сотрудничать с проверяемой организацией и вместе работать;
f) язык аудита и понимание социальных и культурных ценностей организации - через их собственные навыки или при поддержке технического эксперта;
Процесс обеспечения компетентности группы по аудиту должен включать следующие этапы:
1) определение знаний и навыков, необходимых для достижения целей аудита;
2) подбор членов группы по аудиту с требуемыми знаниями и навыками.
Пункт 7.6 описывает процесс оценивания компетентности аудитора, который может стать членом группы по аудиту.
Для обеспечения группы необходимыми знаниями в нее можно включить технического эксперта. Технические эксперты должны работать под руководством аудитора.
Клиент и проверяемая организация имеют право потребовать замены членов группы на разумном основании. Любое решение о замене членов группы должно быть представлено ответственному за управление программой аудита.
Основанием для замены члена группы может быть, например, конфликт из-за того, что им является бывший работник проверяемой организации или тот, кто предоставлял ей консультационные услуги.
6.2.5 Предварительный контакт с проверяемой организацией
Предварительный контакт с проверяемой организацией может носить формальный или неформальный характер и должен быть определен теми, кто несет ответственность за управление программой аудита, или руководителем группы по аудиту. Цели предварительного контакта:
a) определение каналов обмена информацией;
b) обеспечение информацией относительно графика аудита и состава группы по аудиту;
c) требование оценки соответствующих документов, включая записи;
d) определение правил безопасности на месте;
e) оформление соглашения на аудит;
f) достижение совместного соглашения о необходимости обеспечения группы по аудиту сопровождающими лицами.
6.3 Предварительный анализ документов
Соответствующая документация системы менеджмента и записи по аудиту, включая предыдущие отчеты по аудиту, должны предварительно анализироваться с целью определения готовности организации к аудиту. Анализ, проводимый руководителем группы по аудиту, или лицом, назначенным руководителем, должен учитывать размер, структуру организации, цели аудита. Предварительный визит "на место" необходим для получения полной информации.
В случае, когда документация системы менеджмента проверяемой организации признана неадекватной и не может соответствовать области аудита или его критериям, об этом необходимо проинформировать клиента, ответственного за управление программой аудита и проверяемую организацию. Дальнейшее расходование ресурсов на аудит прекращается, пока не будут удовлетворительно решены все вопросы во время консультации ответственных за управление программой аудита с клиентом, руководителем группы по аудиту и проверяемой организацией.
6.4 Подготовка к проведению аудита "на месте"
6.4.1 Подготовка плана аудита
Руководитель группы по аудиту должен подготовить план, который должен содержать информацию, необходимую для группы по аудиту, проверяемой организации и клиента. Он также помогает составить график и скоординировать проведение аудита.
Уровень детализации плана аудита должен соотноситься с областью и сложностью аудита. Детали могут, например, отличаться от деталей первоначального и последующих аудитов, а также внутренних и внешних аудитов.
План аудита должен содержать следующее:
a) цели аудита;
b) критерии аудита и ссылочные документы;
c) область аудита, включая определение организационных и функциональных единиц и процессов, которые будут проверяться;
d) дату и место проведения аудита;
e) запланированное время и продолжительность проведения аудита "на месте", включая совещания с руководством проверяемой организации и совещания групп по аудиту;
f) распределение ресурсов для проведения аудита;
g) роль и ответственность членов группы по аудиту и сопровождающих лиц.
План аудита может также предусматривать:
h) определение представителей проверяемой организации, принимающих участие в аудите;
i) рабочий язык и язык отчетов по аудиту там, где он отличается от родного языка аудитора (ов) и/или проверяемой организации;
j) содержание отчета по аудиту (включая любые методы классификации несоответствий), формы и структуры, предполагаемые даты выпуска;
k) материально-техническое обеспечение (средства передвижения, оборудование "на месте" и т.д.);
l) все что касается конфиденциальности.
Если проводится совместный аудит, руководитель группы должен определить способы обмена информацией с проверяемой организацией, порядок проведения аудита, подготовки и рассылки отчета по аудиту.
План должен анализироваться, приниматься потребителем и представляться проверяемой организации перед началом аудита "на месте".
Любые возражения со стороны проверяемой организации должны рассматриваться руководителем группы, проверяемой организацией и заказчиком аудита. Любые пересмотры плана аудита должны согласовываться сторонами, прежде чем продолжить аудит.
6.4.2 Распределение обязанностей между членами группы
по аудиту
В случае, когда аудит осуществляет группа из нескольких лиц, руководитель группы, консультируясь с ее членами, должен распределить ответственность между ними по аудиту конкретных процессов системы менеджмента, функций, подразделений, областей или видов деятельности. Такое распределение должно учитывать потребности в независимости, компетентности аудиторов и эффективное использование ресурсов, а также различные роли и ответственность аудиторов, стажеров и технических экспертов. Для достижения целей аудита могут вноситься изменения в распределение обязанностей.
Члены группы по аудиту должны проанализировать всю информацию, имеющую отношение к их обязанностям, и подготовить всю рабочую документацию, необходимую для выполнения этих обязанностей.
6.4.3 Подготовка рабочих документов
Рабочие документы должны быть подготовлены и использованы группой по аудиту в качестве справочного материала и/или протоколов. Они могут включать:
a) контрольные перечни и планы выборочного контроля;
b) формы для заполнения данных, свидетельств, наблюдений и протоколов совещаний.
Использование рабочих документов, таких как контрольные перечни и формуляры, не должно ограничивать поле аудиторской деятельности.
Рабочие документы и любые записи должны храниться, по крайней мере, до завершения аудита. Хранение документов после завершения аудитов описано в п. 6.7.1. Документы, содержащие конфиденциальную информацию, должны храниться членами группы по аудиту надлежащим образом.
6.5 Проведение аудита "на месте"
6.5.1 Предварительное совещание
Предварительное совещание должно проводиться вместе с руководством проверяемой организации или с теми, кто несет ответственность за проверяемые функции или процессы. Цели этого совещания:
a) анализ плана аудита;
b) краткий обзор деятельности по аудиту;
c) подтверждение наличия каналов обмена информацией;
d) обеспечение возможности для проверяемой организации задавать вопросы.
6.5.2 Обмен информацией во время аудита
Во время аудита в зависимости от его области и сложности может возникнуть необходимость в обмене информацией.
Группа по аудиту должна периодически обмениваться информацией, оценивать аудит.
В процессе аудита руководитель группы должен периодически обмениваться информацией о статусе аудита и о том, что имеет отношение к проверяемой организации и заказчику аудита. Свидетельство относительно предполагаемого существенного риска, полученное во время аудита, должно быть представлено без задержки проверяемой организации и, если необходимо, заказчику аудита.
В случае, когда свидетельство аудита указывает на невыполнимость поставленных целей, руководитель группы должен доложить проверяемой организации и заказчику о причинах, с тем, чтобы предпринять соответствующее действие.
Таким действием может быть переутверждение плана аудита, ограничение аудита или изменение его целей и/или области.
Любые необходимые изменения области аудита, которые могут его улучшить, должны анализироваться заказчиком и проверяемой организацией.
Все, что выходит за пределы области аудита, должно быть принято во внимание и сообщено руководителю группы с тем, чтобы осуществить обмен информацией с проверяемой организацией и заказчиком аудита.
6.5.3 Роль и ответственность сопровождающих лиц
и наблюдателей
Сопровождающие лица и наблюдатели могут содействовать группе по аудиту, но они не являются ее частью. Они не должны оказывать влияние на проведение аудита.
Там, где предусмотрены сопровождающие, они должны оказывать помощь группе по аудиту и действовать по просьбе руководителя группы. В их обязанности входит:
a) обеспечение контактов и назначение времени для бесед;
b) обеспечение посещений определенных участков организации;
c) обеспечение безопасности и ознакомление группы по аудиту с правилами безопасности.
Сопровождающие могут исполнять роль свидетелей аудита от имени проверяемой организации. По просьбе аудитора сопровождающие могут вносить ясность или осуществлять оценку правильности информации во время ее сбора.
6.5.4 Сбор и проверка информации
Рис. 3 Обзор процесса от сбора данных до заключения аудита по его результатам.