Законодательная база Российской Федерации

"РУКОВОДЯЩИЕ УКАЗАНИЯ ПО АУДИТУ СИСТЕМ МЕНЕДЖМЕНТА. ГОСТ Р ИСО 19011-2012" (утв. Приказом Ростехрегулирования от 19.07.2012 N 196-ст)

Лицу, ответственному за управление программой аудита, следует осуществлять внедрение программы аудита посредством:

- доведения до соответствующих участвующих сторон тех частей программы аудита, которые непосредственно к ним относятся, и периодическое информирование данных сторон о прогрессе в реализации положений программы;

- определения целей, области и критериев для каждого проводимого аудита;

- координации и календарного планирования аудитов и другой деятельности, связанной с программой аудита;

- обеспечения формирования групп по аудиту, обладающих необходимой компетентностью;

- предоставления необходимых ресурсов группам по аудиту;

- обеспечения проведения аудитов в соответствии с программой аудитов в установленные сроки;

- обеспечения ведения записей по мероприятиям аудита и надлежащего управления и сохранности этих записей.

В основу каждого отдельного аудита должны быть заложены документированные цели, область применения и критерии для данного аудита. Они должны определяться лицом, отвечающим за управление программой аудита, и согласовываться с общими целями программы аудита.

Цели аудита включают в себя определение того, что должно быть сделано при проведении конкретного аудита, а также следующее:

-определение степени соответствия проверяемой системы менеджмента или ее составных частей согласно критериям аудита;

- определение степени соответствия видов деятельности, процессов и продукции требованиям и процедурам системы менеджмента;

- оценку способности системы менеджмента обеспечивать соответствие законодательным и контрактным требованиям, а также другим требованиям, которые организация обязана выполнять;

- идентификацию областей потенциального улучшения системы менеджмента;

- обращение с конфиденциальной информацией, включая степень ее раскрытия.

Область каждого аудита должна согласовываться с программой аудита и его целями. Она включает в себя такие факторы, как структурные подразделения, подлежащие аудиту, их месторасположение, проверяемые виды деятельности и процессы, а также продолжительность и сроки аудита.

Критерии аудита используют в виде основы для сравнения, по которой определяют соответствие, и могут включать в себя применяемые политики, цели, процедуры, стандарты, законодательные требования, требования системы менеджмента, контрактные требования или своды правил, регулирующих деятельность в конкретном секторе или других запланированных мероприятий.

В случае любых изменений, касающихся целей, области применения и критериев для аудита, при необходимости, следует соответствующим образом модифицировать программу аудита.

Когда две или более системы менеджмента, устанавливающие требования для различных дисциплин или областей деятельности, проверяются вместе (комплексный аудит), важно, чтобы цели, область применения и критерии для данного аудита согласовывались с целями соответствующих программ аудита.

Лицу, ответственному за управление программой аудита, следует подобрать и определить методы для эффективного проведения аудита в зависимости от установленных целей, области применения и критериев для данного аудита.

Примечание - Руководящие указания по определению методов аудита приведены в приложении В.

В случае, когда две или несколько проверяющих организаций проводят совместно аудит одной организации, лицам, ответственным за управление различными программами аудита, следует договориться о методе данного аудита и рассмотреть вопросы, касающиеся наличия необходимых ресурсов и планирования мероприятий данного аудита. Если в проверяемой организации функционируют две или несколько систем менеджмента для различных дисциплин, то в программу данного аудита могут быть включены комплексные аудиты.

Лицу, ответственному за управление программой аудита, следует назначить членов группы по аудиту, включая руководителя группы и любых технических экспертов, требуемых для проведения конкретного аудита.

Группа по аудиту должна формироваться с учетом компетентности, необходимой для достижения целей конкретного аудита в рамках установленной для этого аудита области применения. Если аудит проводит один аудитор, он должен выполнять все обязанности, возлагаемые на руководителя группы по аудиту.

Примечание - Раздел 7 содержит руководящие указания по определению компетентности, требуемой для членов группы по аудиту, и описывает процессы для проведения оценки аудиторов.

При определении численности и состава группы по аудиту для конкретного аудита необходимо учитывать следующие факторы:

a) общую компетентность группы по аудиту, требуемую для достижения целей аудита, области и критериев аудита;

b) cложность аудита, если аудит представляет собой комбинированный или совместный аудит;

c) выбранные методы аудита;

d) законодательные и другие требования, такие как требования контрактов, которые организация принимает на себя;

e) необходимость обеспечения независимости группы по аудиту от проверяемых видов деятельности и отсутствия конфликта интересов [см. принцип e) в разделе 4];

f) возможности членов группы по аудиту эффективно взаимодействовать с представителями проверяемой организации и работать совместно;

g) язык аудита и понимание специфических социальных и культурных ценностей проверяемой

организации (с учетом собственного опыта аудиторов или при поддержке технического эксперта).

Для обеспечения общей компетентности группы по аудиту следует предпринять следующие шаги:

- определение знаний и навыков, необходимых для достижения целей аудита;

- выбор членов группы по аудиту таким образом, чтобы группа обладала всеми необходимыми знаниями и опытом.

Если уровень компетентности аудиторов в группе по аудиту не является достаточным, то для обеспечения необходимой компетентности в эту группу могут быть включены технические эксперты.

Технические эксперты должны работать под руководством аудитора, но не выполнять действия в качестве аудитора.

В группу по аудиту можно включать стажеров, но они должны участвовать в процессе аудита под руководством аудитора и получать необходимую методическую помощь.

Как заказчик аудита, так и проверяемая организация могут потребовать замены членов группы по аудиту по объективным причинам, основанным на принципах проведения аудита, изложенных в разделе 4 настоящего стандарта. Примеры объективных причин включают в себя ситуации, связанные с конфликтом интересов (например, в случае проведения аудитов второй или третьей стороны член группы по аудиту работал ранее в проверяемой организации или оказывал ей услуги по консалтингу), отсутствием необходимой компетентности или имевшим ранее место фактам неэтичного поведения. Такие причины следует сообщить руководителю группы по аудиту и лицу, ответственному за управление программой аудита, которые должны согласовать с заказчиком аудита и проверяемой организацией эти вопросы, перед тем как принимать любые решения, касающиеся замены членов группы по аудиту.

В ходе проведения аудита может понадобиться внесение изменений в состав группы по аудиту, например, если возникают ситуации, связанные с конфликтом интересов или недостаточной компетентностью группы по аудиту. Если такие ситуации возникают, то эти вопросы подлежат обсуждению с соответствующими сторонами (например, руководителем группы по аудиту, лицом, ответственным за управление программой аудита, заказчиком аудита или проверяемой организацией), перед тем как делать любые изменения или корректировки.

Лицу, ответственному за управление программой аудита, следует поручить ответственность за проведение конкретного аудита руководителю группы по аудиту.

Это следует сделать заблаговременно, чтобы оставалось достаточно времени до запланированной даты аудита, с тем чтобы обеспечить результативное планирование данного аудита.

Для обеспечения результативного проведения намеченного аудита необходимо, чтобы руководителю группы по аудиту была предоставлена следующая информация:

a) цели аудита;

b) критерии аудита и любые ссылочные документы;

c) область аудита, включая идентификацию организационных и функциональных подразделений и процессов, подлежащих аудиту;

d) методы и процедуры аудита;

e) состав группы по аудиту;

f) сведения для контактов с проверяемой организацией, места проведения аудита, даты и продолжительность проводимых в рамках аудита мероприятий;

g) распределение соответствующих ресурсов для проведения аудита;

h) данные, необходимые для оценки и принятия мер в отношении выявленных рисков, связанных с достижением целей данного аудита.

Предоставляемая информация, при необходимости, должна также включать в себя:

- рабочий язык при проведении аудита и язык, используемый при оформлении отчетов, в случаях, где язык отличается от родного языка аудитора и/или проверяемой организации;

- содержание отчета по аудиту, требуемое в соответствии с программой аудита;

- вопросы, имеющие отношение к конфиденциальности и информационной безопасности, если это требуется программой аудита;

- любые требования по обеспечению безопасности труда и здоровья аудиторов;

- любые требования по безопасности и уполномочиванию аудиторов;

- любые действия по результатам аудита, например по результатам предыдущего аудита, если это применяется;

- координацию с другими видами деятельности по аудиту,в случае совместного проведения аудита несколькими организациями.

При проведении совместного аудита несколькими проверяющими организациями важно до начала выполнения работ по аудиту достичь соглашения между этими организациями, касающегося конкретных обязанностей каждой стороны, особенно в отношении полномочий руководителя группы по аудиту, назначенного для проведения аудита.

Лицу, ответственному за управление программой аудита, следует обеспечить выполнение следующих действий:

- анализ и согласование отчетов по результатам аудитов, включая оценку приемлемости и адекватности полученных выводов аудита;

- проведение анализа корневых причин и результативности корректирующих и предупреждающих действий;

- рассылку отчетов и доведение информации по результатам аудитов до высшего руководства и других заинтересованных сторон;

- определение необходимости в отношении любых мероприятий по исполнению решений аудита.

Лицу, ответственному за управление программой аудита, следует обеспечить создание, управление и поддержание соответствующих записей, с тем чтобы демонстрировать внедрение программы аудита. Следует установить процессы, обеспечивающие соблюдение требуемой конфиденциальности в отношении записей аудита.

Записи должны включать в себя:

а) записи, связанные с программой аудита, такие как:

- документированная программа и цели,

- риски, связанные с программой аудита,

- анализы результативности программы аудита;

б) записи, связанные с отдельным аудитом, такие как:

- планы аудита и отчеты по аудиту,

- отчеты о несоответствиях,

- отчеты по корректирующим и предупреждающим действиям,

- отчеты о действиях по результатам аудита, если это требуется; с) записи о персонале, привлекаемом к аудиту, включающие в себя:

- оценку компетентности членов группы по аудиту и их деятельности,

- выбор группы по аудиту и членов команды,

- поддержание и повышение компетентности.

Форма и объем сведений, представленных в записях, должны демонстрировать, что поставленные цели программы аудита были достигнуты.