з) обеспечение анализа и утверждения отчетов об аудите и обеспечение их распространения среди заказчика аудита и других указанных сторон;
и) обеспечение соответствующих действий после аудита, если это применимо.
5.5 Записи по программе аудита
В целях демонстрации выполнения программы аудита следует вести и сохранять записи, в которые следует включать:
а) записи, касающиеся отдельных аудитов, такие, как:
- планы аудита,
- отчеты об аудите,
- отчеты о несоответствиях,
- отчеты о корректирующих и предупреждающих действиях,
- отчеты о соответствующих действиях после аудита, если это применимо;
б) результаты анализа программы аудита;
в) записи, касающиеся персонала по аудиту и охватывающие такие аспекты, как:
- компетентность аудиторов и оценивание их деятельности,
- подбор команды по аудиту,
- поддержание и повышение компетентности.
Записи следует хранить и подходящим образом защищать.
5.6 Мониторинг и анализ программы аудита
Ход реализации программы аудита следует подвергать мониторингу и, через соответствующие интервалы времени, анализировать, чтобы оценить, достигнуты ли ее цели, и выявить возможности для улучшения. Результаты мониторинга и анализа следует докладывать высшему руководству.
Следует использовать соответствующие показатели для мониторинга таких характеристик, как:
- способность команд по аудиту реализовать план аудита;
- соответствие программам и графикам аудита;
- обратная связь от заказчиков аудита, аудитируемых организаций и аудиторов.
При анализе программы аудита следует учитывать, например:
а) результаты и тенденции, выявленные в ходе мониторинга;
б) соответствие процедурам;
в) эволюцию потребностей и ожиданий заинтересованных сторон;
г) записи по программе аудита;
д) альтернативную или новую практику проведения аудитов;
е) согласованность в деятельности команд по аудиту в сходных ситуациях.
Результаты анализов программы аудита могут приводить к корректирующим и предупреждающим действиям и улучшению программы аудита.
6 Деятельность по проведению аудита
6.1 Общие положения
Настоящий раздел содержит указания по планированию и осуществлению деятельности по проведению аудита как части программы аудита. На рис. 2 в общем виде представлен обзор типичных видов деятельности по проведению аудита. Объем, в котором применимы положения настоящего раздела, зависит от области действия и сложности конкретного аудита и от предполагаемого использования заключений по аудиту.
ПРИМЕЧАНИЕ. Пунктирная линия показывает, что любые последующие действия, осуществляемые после аудита, обычно не рассматриваются как часть аудита.
Рис. 2. Обзор типичных видов деятельности по проведению аудита
6.2 Инициирование аудита
6.2.1 Назначение руководителя команды по аудиту
Тем, кто несет ответственность за менеджмент программы аудита, следует назначить руководителя команды по аудиту для конкретного аудита.
В случае, когда проводится совместный аудит, очень важно до начала аудита достигнуть соглашения между аудитирующими организациями по конкретной ответственности каждой организации, особенно в отношении полномочий руководителя команды по аудиту, назначенного для данного аудита.
6.2.2 Определение целей, области действия и критериев аудита
В рамках общих целей программы аудита каждый конкретный аудит следует основывать на документально оформленных целях, области действия и критериях.
ГОСТ Р ИСО : Для каждого аудита необходимо определить цели, область и критерии в пределах программы аудита.
ISO 19011:2002(Е): Within the overall objectives of an audit programme, an individual audit should be based on documented objectives, scope and criteria.
Цели аудита определяют, что должно быть выполнено в ходе аудита, и могут включать следующее:
а) определение степени соответствия системы менеджмента аудитируемой организации или части этой системы критериям аудита;
б) оценивание способности системы менеджмента обеспечивать соответствие законодательным, нормативным и контрактным требованиям;
в) оценивание результативности системы менеджмента в достижении установленных ею целей;
г) выявление областей потенциального улучшения системы менеджмента.
Область действия аудита описывает объем и границы аудита (например: месторасположение, подразделения организации, виды деятельности и процессы, подлежащие аудиту), а также период времени, охватываемый аудитом (период предшествующей деятельности, анализируемой в ходе аудита).
Критерии аудита используются как ссылка, относительно которой определяется соответствие, и могут включать применимые для данного конкретного случая политики, процедуры, стандарты, законы и нормативные документы (предписания), требования системы менеджмента, контрактные требования или кодексы поведения отрасли/бизнес-сектора.
Цели аудита следует определять заказчику аудита. Область действия и критерии аудита следует определять заказчику аудита и руководителю команды по аудиту в соответствии с процедурами программы аудита. Любые изменения в целях, области действия и критериях аудита следует согласовывать этим же сторонам.
Если предстоит проведение комплексного аудита, важно, чтобы руководитель команды по аудиту обеспечил соответствие целей, области действия и критериев аудита характеру комплексного аудита.
6.2.3 Определение возможности проведения аудита
Следует определять возможность проведения аудита, учитывая такие факторы, как наличие:
- достаточной и соответствующей информации для планирования аудита;
- адекватного сотрудничества со стороны аудитируемой организации;
- адекватного времени и ресурсов.
Если аудит неосуществим, следует, проконсультировавшись с аудитируемой организацией, предложить заказчику аудита альтернативу.
6.2.4 Подбор команды по аудиту
После того, как будет признана возможность проведения аудита, следует подобрать команду по аудиту, учитывая компетентность, необходимую для достижения целей аудита. Если имеется только один аудитор, ему следует выполнять все соответствующие обязанности руководителя команды по аудиту. В разделе 7 содержатся указания по определению необходимой компетентности аудиторов и описаны процессы оценивания аудиторов. – Эта фраза в ГОСТ Р ИСО пропущена (прим. переводчиков).
При решении вопроса о размере и составе команды по аудиту следует учитывать следующее:
а) цели, область действия, критерии и оцениваемую продолжительность аудита;
б) является аудит комплексным или совместным;
в) совокупную компетентность команды по аудиту, необходимую для достижения целей аудита;
г) соответствующие законодательные, нормативные и контрактные требования, а также требования по аккредитации/сертификации;
д) необходимость обеспечения независимости команды по аудиту от видов деятельности, подлежащих аудиту, и избежания конфликта интересов;
е) способность членов команды по аудиту результативно взаимодействовать с аудитируемой организацией, а также работать совместно;
ж) язык, на котором будет проходить аудит, и понимание особых социальных и культурных характеристик аудитируемой организации; данные вопросы могут быть разрешены либо за счет собственных навыков аудиторов, либо за счет поддержки со стороны технического эксперта.
В процесс обеспечения совокупной компетентности команды по аудиту следует включать следующие шаги:
- определение знаний и навыков, необходимых для достижения целей аудита;
- подбор таких членов в команду по аудиту, чтобы в команде по аудиту были представлены все необходимые знания и навыки.
Если необходимые знания и навыки не полностью охвачены аудиторами в команде по аудиту, они могут быть достигнуты путем включения в состав команды технических экспертов. Техническим экспертам следует действовать под руководством аудитора.
Аудиторы-стажеры могут быть включены в команду по аудиту, но им не следует проводить аудит без направляющих или руководящих указаний.
Как заказчик аудита, так и аудитируемая организация могут потребовать замены определенных членов команды по аудиту на разумных основаниях, базирующихся на принципах проведения аудита, описанных в разделе 4. Примерами разумных оснований являются ситуации конфликта интересов (например, член команды по аудиту был ранее работником аудитируемой организации или предоставлял ей консультационные услуги) и неэтичное поведение в прошлом. Такие основания следует довести до сведения руководителя команды по аудиту и тех, кто несет ответственность за менеджмент программы аудита, которым следует разрешить этот вопрос совместно с заказчиком аудита и аудитируемой организацией до того, как принимать какие-либо решения по замене членов команды по аудиту.
6.2.5 Установление первоначального контакта с аудитируемой организацией
Первоначальный контакт с аудитируемой организацией по вопросу аудита может быть неформальным или официальным, но его следует осуществлять тем, кто несет ответственность за менеджмент программы аудита, или руководителю команды по аудиту. Целями первоначального контакта являются:
а) установление каналов коммуникации с представителем аудитируемой организации;
б) подтверждение полномочий на проведение аудита;
в) предоставление информации относительно предлагаемого распределения времени и состава команды по аудиту;
г) получение доступа к соответствующим документам, включая записи;
д) определение применимых правил по охране труда и технике безопасности при работе «на месте»;
е) проведение подготовительных работ для аудита;
ж) согласование присутствия наблюдателей, а также необходимости в лицах, сопровождающих команду по аудиту.
6.3 Проведение анализа документов
Прежде, чем осуществлять деятельность по аудиту непосредственно «на месте», следует провести анализ документации аудитируемой организации, чтобы определить, насколько система в том виде, как она документирована, соответствует критериям аудита. Документация может включать соответствующие документы и записи системы менеджмента, а также отчеты о предыдущих аудитах. При анализе следует учитывать размер, характер и сложность организации, а также цели и область действия аудита. В некоторых случаях этот анализ может быть отложен до тех пор, пока не начнется деятельность «на месте», если это не окажет негативного влияния на результативность проведения аудита. В других случаях может быть проведен предварительный визит «на место» в целях получения подходящего обзора имеющейся информации.
Если документация окажется неадекватной, руководителю команды по аудиту следует информировать об этом заказчика аудита, тех, кто несет ответственность за менеджмент программы аудита, и аудитируемую организацию. Следует принять решение о том, продолжать ли аудит или его приостановить, пока не будут разрешены все вопросы, касающиеся документации.
6.4 Подготовка к проведению аудита «на месте»
6.4.1 Подготовка плана аудита
Руководителю команды по аудиту следует подготовить план аудита, чтобы предоставить основу для соглашения между заказчиком аудита, командой по аудиту и аудитируемой организацией относительно проведения аудита. Следует, чтобы план способствовал составлению графика аудита и координации деятельности по аудиту.
Степень детализации плана аудита следует соотносить с областью действия и сложностью аудита. Детали плана могут быть различными, например: для планов первичного и последующих аудитов, для планов внутренних и внешних аудитов. Плану аудита следует быть достаточно гибким, чтобы допускать изменения (например, изменение области действия аудита), которые могут стать необходимыми в ходе осуществления деятельности по аудиту «на месте».
В плане аудита следует отражать следующее:
а) цели аудита;
б) критерии аудита и все другие ссылочные документы;
в) область действия аудита, включая идентификацию организационных и функциональных подразделений и процессов, подлежащих аудиту;
г) даты и места, где будет проводиться аудит «на месте»;
д) ожидаемое время и продолжительность аудита «на месте», включая совещания с руководством аудитируемой организации и совещания команды по аудиту;
е) обязанности и ответственность членов команды по аудиту и сопровождающих лиц;
ж) выделение соответствующих ресурсов для критических (проблемных и особо важных) областей аудита.
При необходимости в плане аудита следует также отражать следующее:
з) идентификацию представителя аудитируемой организации для аудита;
и) рабочий язык и язык отчета об аудите, если он отличается от языка, на котором объясняется аудитор и/или аудитируемая организация;
к) темы (разделы) отчета об аудите;
л) мероприятия логистики (поездки, средства и оборудование «на месте» и т. д.);
м) вопросы, касающиеся конфиденциальности;
н) любые последующие после аудита действия.
План следует проанализировать и принять заказчику аудита и представить аудитируемой организации до начала деятельности по аудиту «на месте».
Любые возражения со стороны аудитируемой организации следует разрешать между руководителем команды по аудиту, аудитируемой организацией и заказчиком аудита. Любые изменения плана аудита следует согласовывать между затрагиваемыми сторонами, прежде чем продолжить аудит.
6.4.2 Распределение работы в команде по аудиту
Руководителю команды по аудиту, консультируясь с командой по аудиту, следует установить каждому члену команды ответственность за проведение аудита конкретных процессов, функциональных подразделений, участков, областей или видов деятельности. При таком распределении следует учитывать необходимость независимости и компетентности аудиторов и результативного использования ресурсов, а также различные обязанности и ответственность аудиторов, аудиторов-стажеров и технических экспертов. Для обеспечения достижения целей аудита в ходе аудита могут вноситься изменения в распределение обязанностей и ответственности.
6.4.3 Подготовка рабочих документов
Членам команды по аудиту следует проанализировать информацию, относящуюся к установленным им заданиям на аудит, и подготовить рабочие документы, которые необходимы для использования в качестве справочных (ссылочных) документов и для протоколирования хода аудита. Такие рабочие документы могут включать:
- контрольные перечни вопросов и планы выборочного контроля;
- формы для записи информации, такой, как поддерживающие свидетельства аудита, результаты аудита и протоколы совещаний.
Использование контрольных перечней и форм не должно ограничивать диапазон деятельности по аудиту, который может меняться в результате собранной в ходе аудита информации.
Рабочие документы, включая записи, появляющиеся вследствие использования этих документов, следует сохранять, по меньшей мере, до завершения аудита. Сохранение документов после завершения аудитов описано в разделе 6.7. Членам команды по аудиту следует всегда надлежащим образом охранять те документы, которые содержат конфиденциальную или частную информацию.
6.5 Проведение аудита «на месте»
6.5.1 Проведение вступительного совещания
Вступительное совещание следует проводить с руководством аудитируемой организации или, где это уместно, с теми, кто несет ответственность за аудитируемые функции или процессы. Целями вступительного совещания являются:
а) подтверждение плана аудита;
б) предоставление краткого обзора того, как будет осуществляться деятельность по аудиту;
в) подтверждение коммуникационных каналов;
г) предоставление возможности для аудитируемой организации задать вопросы.
Практическая помощь: вступительное совещание
Во многих случаях, например при внутренних аудитах малых организаций, вступительное совещание может состоять просто из сообщения о том, что проводится аудит, и объяснения его характера.
В других случаях вступительное совещание следует проводить как официальное мероприятие с регистрацией присутствующих. Совещание следует проводить под председательством руководителя команды по аудиту, при этом в соответствующей форме следует рассматривать следующие вопросы:
а) представление участников, включая изложение их обязанностей;
б) подтверждение целей, области действия и критериев аудита;
в) подтверждение временного графика аудита и других соглашений, связанных с аудитом (таких, как дата и время заключительного совещания, какие-либо промежуточные совещания команды по аудиту и руководства аудитируемой организации, а также все самые последние изменения в плане аудита);
г) методы и процедуры, которые будут применяться при проведении аудита, включая информирование аудитируемой организации о том, что свидетельства аудита будут основываться только на примерах информации, ставшей доступной аудиторам, и поэтому при проведении аудита присутствует элемент неопределенности;
д) подтверждение официальных каналов коммуникации между командой по аудиту и аудитируемой организацией;
е) подтверждение языка, на котором будут вестись беседы во время аудита;
ж) подтверждение того, что во время аудита аудитируемая организация будет получать информацию о ходе аудита;
з) подтверждение того, что ресурсы и оборудование (средства, аппаратура), необходимые команде по аудиту, будут доступны ей;
и) подтверждение положений, относящихся к конфиденциальности;
к) подтверждение соответствующих процедур по технике безопасности, поведению в чрезвычайных ситуациях и обеспечению личной безопасности команды по аудиту;
л) подтверждение наличия, обязанностей и фамилий всех сопровождающих лиц;
м) метод составления и предоставления отчетов об аудите, включая все способы классификации несоответствий;
н) информация об условиях, при которых аудит может быть прекращен;
о) информация обо всех системах подачи и рассмотрения апелляций по проведению аудита или по заключениям по аудиту.
6.5.2 Коммуникация во время аудита
В зависимости от области действия аудита и его сложности, во время аудита может потребоваться заключение официальных соглашений по вопросам коммуникации внутри команды по аудиту и с аудитируемой организацией.
Команде по аудиту следует периодически совещаться для обмена информацией, оценки хода аудита, а также (если это необходимо) для перераспределения работы между членами команды по аудиту.
Во время аудита руководителю команды по аудиту следует периодически в приемлемой форме сообщать аудитируемой организации и заказчику аудита о ходе аудита и всех касающихся аудита вопросах. Собранные в ходе аудита свидетельства, указывающие на прямой и существенный риск (например, касающийся безопасности, окружающей среды или качества), следует незамедлительно доводить до сведения аудитируемой организации и, в соответствующей форме, до заказчика аудита. Следует обращать внимание на любые факты, находящиеся за пределами области действия аудита, но вызывающие опасениях, беспокойство или тревогу, и сообщать о них руководителю команды по аудиту для возможной передачи информации об этом заказчику аудита и аудитируемой организации.
В случае, когда имеющиеся свидетельства аудита указывают на то, что цели аудита недостижимы, руководителю команды по аудиту следует сообщить причины заказчику аудита и аудитируемой организации для определения соответствующих действий. Такие действия могут включать в себя переутверждение или изменение плана аудита, изменение целей или области действия аудита или прекращение аудита.
Любую необходимость изменения области действия аудита, которая может стать очевидной при продолжении аудита «на месте», следует подвергнуть анализу и утверждению со стороны заказчика аудита и, в приемлемой форме, со стороны аудитируемой организации.
ГОСТ Р ИСО : Любые изменения области аудита, которые могут быть заметными в ходе выполнения аудита, следует анализировать и утверждать должным образом.
ISO 19011:2002(Е): Any need for changes to the audit scope which can become apparent as on-site auditing activities progress should be reviewed with and approved by the audit client and, as appropriate, the auditee.
6.5.3 Обязанности и ответственность сопровождающих лиц и наблюдателей
Сопровождающие лица и наблюдатели могут сопровождать команду по аудиту, но они не являются ее частью. Им не следует ни влиять на проведение аудита, ни препятствовать ему.
В том случае, когда аудитируемая организация назначает сопровождающих лиц, последним следует оказывать помощь команде по аудиту и действовать лишь по просьбе руководителя команды по аудиту. Их ответственность может включать следующее:
а) установление контактов и назначение времени для интервью;
б) организация посещений конкретных участков «на месте» или подразделений организации;
в) обеспечение того, чтобы правила, касающиеся процедур по охране труда и обеспечению безопасности, были известны членам команды по аудиту и соблюдались ими;
г) выполнение от имени аудитируемой организации обязанностей свидетелей аудита;
д) предоставление пояснений или оказание помощи в сборе информации.
6.5.4 Сбор и верификация информации
Во время аудита следует собирать посредством соответствующей выборки и верифицировать информацию, касающуюся целей, области действия и критериев аудита, включая информацию, относящуюся к взаимодействию между функциональными структурами, видам деятельности и процессам. Свидетельством аудита может быть только верифицируемая информация. Свидетельства аудита следует документально оформить.
Свидетельства аудита основываются на выборках доступной аудиторам информации. Поэтому при проведении аудитов присутствует элемент неопределенности, и это следует иметь в виду тем, кто будет участвовать в выработке заключений по аудиту.
ГОСТ Р ИСО : Свидетельство аудита основано на выборках подходящих данных.
ISO 19011:2002(Е): The audit evidence is based on samples of the available information.
На рис. 3 представлен обзор процесса аудита от сбора информации до получения заключений по аудиту.
 |
 |
Рис. 3. Обзор процесса аудита от сбора информации до получения заключений по аудиту
Методы сбора информации включают в себя:
- интервью,
- наблюдение за деятельностью,
- анализ документов.
Практическая помощь: источники информации
Выбранные источники информации могут варьироваться в зависимости от области действия и сложности аудита и могут включать следующее:
а) интервью с работниками и другими лицами;
б) наблюдение за деятельностью, окружающей производственной средой и условиями труда;
в) документы, такие, как политика, цели, планы, процедуры, стандарты, инструкции, лицензии и разрешения, спецификации (технические условия), чертежи, контракты и заказы;
г) записи, такие, как записи результатов контроля, протоколы совещаний, отчеты об аудитах, записи по программам мониторинга и записи результатов измерений;
д) сводные данные, результаты анализов и показатели деятельности;
е) информацию по программам выборок в аудитируемой организации и по процедурам управления выборками, а также по процессам измерений;
ж) сообщения от других источников, например, обратную связь от потребителей, другую соответствующую информацию от внешних сторон, а также оценки организации, данные поставщиками;
з) компьютеризированные базы данных и веб-сайты.
Практическая помощь: проведение интервью
Интервью являются одними из важных средств сбора информации, их следует проводить таким способом, который учитывает ситуацию и личность интервьюируемых. Вместе с тем аудитору следует принимать во внимание следующее:
а) интервью следует проводить с лицами из соответствующих уровней управления и функциональных структур, осуществляющими деятельность или решающими задачи внутри области действия аудита;
б) интервью следует проводить в обычное рабочее время и, где это возможно, на обычном рабочем месте интервьюируемого лица;
в) следует попытаться сделать все, чтобы интервьюируемый чувствовал себя непринужденно до и во время интервью;
г) следует объяснить причину интервью и всех ведущихся записей;
д) интервью может быть начато с просьбы описать свою работу;
е) следует избегать вопросов, которые подразумевают соответствующий ответ (так называемых наводящих вопросов);
ж) результаты интервью следует обобщить и проанализировать вместе с интервьюируемым лицом;
з) интервьюируемых лиц следует поблагодарить за участие в интервью и сотрудничество.
6.5.5 Генерация (выработка) результатов аудита
Свидетельства аудита следует оценить относительно критериев аудита, чтобы получить результаты аудита. Результаты аудита могут свидетельствовать либо о соответствии, либо о несоответствии критериям аудита. Если это предусмотрено целями аудита, то результаты аудита могут идентифицировать возможности для улучшения.
Команде по аудиту на соответствующих стадиях по ходу аудита следует, при необходимости, встречаться для анализа результатов аудита.
Соответствие критериям аудита следует представлять в обобщенном виде с указанием участков, функциональных структур или процессов, которые были проаудитированы. Если это предусмотрено планом аудита, то следует также записывать и частные результаты аудита, подтверждающие соответствие, и поддерживающие их свидетельства.
Несоответствия и поддерживающие их свидетельства аудита следует записывать. Несоответствия могут быть классифицированы (проранжированы). Их следует проанализировать вместе с аудитируемой организацией, чтобы получить подтверждение того, что свидетельства аудита точны, а несоответствия поняты аудитируемой организацией. Следует попытаться сделать все, чтобы устранить разногласия во мнениях относительно свидетельств и/или результатов аудита, а неразрешенные вопросы следует документально оформить.
ГОСТ Р ИСО : Несоответствия и подтверждающие их свидетельства должны быть записаны и классифицированы (ранжированы).
ISO 19011:2002(Е): Nonconformities may be graded.
6.5.6 Подготовка заключений по аудиту
Перед тем, как проводить заключительное совещание, команде по аудиту следует собраться, чтобы:
а) проанализировать результаты аудита и другую соответствующую информацию, собранную во время аудита, относительно целей аудита;
б) согласовать заключения по аудиту, учитывая неопределенность, свойственную процессу аудита;
в) подготовить рекомендации, если это установлено целями аудита;
г) обсудить действия после аудита, если это включено в план аудита.
Практическая помощь: заключения по аудиту
Заключения по аудиту могут касаться таких вопросов, как:
а) степень соответствия системы менеджмента критериям аудита;
б) результативность внедрения, поддержания в рабочем состоянии и улучшения системы менеджмента;
в) способность процесса анализа со стороны руководства обеспечить продолжающуюся пригодность, адекватность, результативность и улучшение системы менеджмента.
Если это установлено целями аудита, заключения по аудиту могут приводить к рекомендациям, относящимся к улучшениям, деловым связям, сертификации/регистрации или будущей деятельности по проведению аудитов.
6.5.7 Проведение заключительного совещания
Под председательством руководителя команды по аудиту следует провести заключительное совещание, чтобы представить результаты аудита и заключения по аудиту таким образом, чтобы они были поняты и приняты аудитируемой организацией, и согласовать, если это уместно, время, в течение которого аудитируемая организация представит план корректирующих и предупреждающих действий. В число участников заключительного совещания следует включать представителей аудитируемой организации, при этом в совещании могут принять участие также представители заказчика аудита и другие стороны. При необходимости, руководителю команды по аудиту следует уведомить аудитируемую организацию о ситуациях, возникших в ходе аудита, которые могут понизить доверие к заключениям по аудиту.
ГОСТ Р ИСО : Участники заключительного совещания должны представлять проверяемую организацию, заказчика аудита и другие стороны.
ISO 19011:2002(Е): Participants in the closing meeting should include the auditee, and may also include the audit client and other parties.
Во многих случаях, например при внутреннем аудите малой организации, на заключительном совещании просто сообщают о результатах аудита и заключениях по аудиту.
В других случаях заключительное совещание следует проводить как официальное мероприятие с ведением протокола, включая регистрацию присутствующих.
Все разногласия во мнениях относительно результатов аудита и/или заключений по аудиту между командой по аудиту и аудитируемой организацией следует обсудить и, по возможности, устранить. Если это невозможно, все мнения следует записать.
Если это установлено целями аудита, команде по аудиту следует представить рекомендации по улучшениям. При этом следует подчеркнуть, что рекомендации не носят обязательного характера.
6.6 Подготовка, утверждение и распространение отчета об аудите
6.6.1 Подготовка отчета об аудите
Ответственным за подготовку и содержание отчета об аудите следует быть руководителю команды по аудиту.
Отчету об аудите следует содержать полную, точную, краткую и ясную запись об аудите и включать в себя или иметь ссылки на следующее:
а) цели аудита;
б) область действия аудита, в особенности - идентификацию проаудитированных структурных и функциональных единиц или процессов, а также охваченный анализом период времени;
в) идентификацию заказчика аудита;
г) идентификацию руководителя и членов команды по аудиту;
д) даты и места, где осуществлялась деятельность по проведению аудита «на месте»;
е) критерии аудита;
ж) результаты аудита;
з) заключения по аудиту.
Отчет об аудите может в соответствующей форме включать в себя или иметь ссылки на следующее:
и) план аудита;
к) список представителей аудитируемой организации;
л) общие итоги процесса аудита, включая неопределенность и/или все встретившиеся препятствия, которые могли понизить достоверность заключений по аудиту;
м) подтверждение того, что внутри области действия аудита в соответствии с планом аудита цели аудита были достигнуты;
н) все те области, которые не были охвачены аудитом, хотя они находятся внутри области действия аудита;
о) все неустраненные разногласия во мнениях между командой по аудиту и аудитируемой организацией;
п) рекомендации по улучшению, если это указано в целях аудита;
р) согласованные планы последующих действий, если таковые будут;
с) заявление о конфиденциальном характере содержания отчета об аудите;
т) список распространения отчета об аудите.
6.6.2 Утверждение и распространение отчета об аудите
Отчет об аудите следует выпустить в согласованный период времени. Если это невозможно, то следует сообщить заказчику аудита о причинах задержки и согласовать новую дату выпуска отчета.
Отчет об аудите следует датировать, анализировать и утверждать в соответствии с процедурами программы аудита.
Затем утвержденный отчет об аудите следует распространить среди получателей, указанных заказчиком аудита.
Отчет об аудите является собственностью заказчика аудита. Членам команды по аудиту и всем получателям отчета следует соблюдать и сохранять конфиденциальность отчета.
6.7 Завершение аудита
Аудит завершается, когда все работы, предусмотренные в плане аудита, выполнены и утвержденный отчет об аудите распространен.
Документы, относящиеся к аудиту, следует сохранять или уничтожать по соглашению между участвующими сторонами и в соответствии с процедурами программы аудита и соответствующими законодательными, нормативными и контрактными требованиями.
Если это не требуется по закону, команде по аудиту и ответственным за менеджмент программы аудита не следует раскрывать содержание документов, любой другой информации, полученной в ходе аудита, или отчета об аудите любой другой стороне без прямой санкции заказчика аудита и, где это уместно, аудитируемой организации. Если же требуется раскрыть содержание документов по аудиту, заказчик аудита и аудитируемая организация должны быть проинформированы об этом как можно быстрее.
6.8 Проведение последующих действий
В заключениях по аудиту может содержаться указание на необходимость в корректирующих, предупреждающих действиях или действиях по улучшению, в зависимости от того, что подходит. Решения по таким действиям обычно принимаются, а сами действия предпринимаются аудитируемой организацией в течение согласованного периода времени и не рассматриваются как часть аудита. Аудитируемой организации следует информировать заказчика аудита о состоянии этих действий.
ГОСТ Р ИСО : Заключения по результатам аудита могут указывать на необходимость корректирующих, предупреждающих действий или, при необходимости, действий по улучшению.
ISO 19011:2002(Е): The conclusions of the audit may indicate the need for corrective, preventive or improvement actions, as applicable.
Завершение и результативность корректирующих действий следует верифицировать. Такая верификация может быть частью следующего аудита.
Программа аудита может предусматривать проведение последующих действий силами членов команды по аудиту, что может, учитывая их опыт, повысить ценность таких действий. В таких случаях следует позаботиться об обеспечении независимости членов данной команды по аудиту при последующих аудитах.
7 Компетентность и оценивание аудиторов
7.1 Общие положения
Доверие к процессу аудита и уверенность в нем зависят от компетентности тех, кто проводит аудит. Эта компетентность основывается на демонстрации:
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 |
