Законодательная база Российской Федерации

"РУКОВОДЯЩИЕ УКАЗАНИЯ ПО АУДИТУ СИСТЕМ МЕНЕДЖМЕНТА. ГОСТ Р ИСО 19011-2012" (утв. Приказом Ростехрегулирования от 19.07.2012 N 196-ст)

Мероприятия или работы по аудиту обычно проводятся в определенной последовательности согласно тому, как приведено на рисунке 2. Эта последовательность может меняться в соответствии с условиями конкретных аудитов.

Целью предварительного совещания являются:

a) подтверждение согласия всех сторон (например, проверяемой организации, группы по аудиту) относительно плана аудита;

b) представление членов группы по аудиту:

c) обеспечение уверенности в том, что все запланированные в рамках аудита мероприятия могут быть выполнены.

Предварительное совещание проводят с руководством проверяемой организации и, когда это возможно, с теми лицами, которые отвечают за проверяемые подразделения или процессы. В ходе этого совещания предоставляется возможность задать вопросы.

Объем и степень предоставляемых сведений должны соответствовать степени осведомленности проверяемой организации с процессом аудита. Во многих случаях, например, при проведении внутренних аудитов в небольших организациях, предварительное совещание может состоять лишь из объявления о том, что началось проведение аудита, и объяснения сущности или специфики аудита.

В других случаях предварительное совещание может иметь официальный характер, при котором проводится регистрация присутствующих на нем лиц. Предварительное совещание должно проходить под руководством руководителя группы по аудиту, в обязанности которого входит:

- представить участников, включая наблюдателей и сопровождающих лиц, и объяснить их роль в аудите;

- подтвердить цели, область и критерии аудита;

- подтвердить с проверяемой организацией план аудита и другие необходимые мероприятия,связанные с аудитом, такие как дата и время заключительного совещания, любые промежуточные совещания группы по аудиту и руководства проверяемой организации и любые дальнейшие изменения;

- ознакомить с методами, которые будут использоваться при проведении аудита, включая информирование проверяемой организации о том, что свидетельства аудита будут основаны на выборках доступных данных;

- представить методы по управлению рисками, связанными с аудитом, которые могут иметь место для организации вследствие присутствия на местах членов группы по аудиту;

- подтвердить официальные каналы связи между группой по аудиту и проверяемой организацией;

- подтвердить язык, используемый при аудите;

- подтвердить, что во время аудита проверяемая организация будет информироваться о ходе его проведения;

- подтвердить, что необходимые группе по аудиту ресурсы и средства будут доступны;

- подтвердить обеспечение конфиденциальности и информационной безопасности;

- подтвердить обеспечение безопасности работы и ознакомление с соответствующими процедурами по обеспечению безопасности, а также в случае возникновения чрезвычайной ситуации для группы по аудиту;

- ознакомить с методом регистрации и составления отчетов по выявленным при проведении аудита фактам, включая их классификацию и любое ранжирование;

- проинформировать об условиях, при которых аудит может быть прекращен;

- проинформировать о заключительном совещании;

- проинформировать о том, каким образом следует обращаться с теми фактами, которые могут быть выявлены во время аудита;

- проинформировать о любой системе обратной связи с проверяемой организацией по рассмотрению выводов или заключений по результатам аудита, включая жалобы или апелляции.

Необходимо проанализировать документацию проверяемой организации, с тем чтобы:

- определить соответствие системы (насколько это отражено в документации) критериям аудита;

- собрать информацию для содействия реализации намеченных мероприятий в рамках проводимого аудита.

Примечание - Руководящие указания по выполнению анализа документации, приведены в В.2 приложения В.

Данный анализ может осуществляться в сочетании с другими видами деятельности по аудиту и может продолжаться по ходу выполнения мероприятий аудита, если это не сказывается негативным образом на результативности проведения аудита.

Если необходимая документация не может быть предоставлена в сроки, определенные планом аудита, руководителю группы по аудиту следует проинформировать лицо, ответственное за управление программой аудита, и проверяемую организацию. В зависимости от области применения и целей аудита следует принять решение о целесообразности продолжения проведения аудита или о приостановке его проведения до тех пор, пока не будут разрешены все вопросы, связанные с документацией.

В ходе аудита может возникнуть необходимость в заключении официальных соглашений по обмену информацией между группой по аудиту и проверяемой организацией, заказчиком аудита и, возможно, с внешними органами (например, контролирующими органами), особенно в тех случаях, когда законодательные нормы содержат требования об обязательном уведомлении о несоответствиях.

В группе по аудиту периодически проводят обмен информацией, оценивают ход аудита и, при необходимости, перераспределяют обязанности между членами группы по аудиту.

Во время аудита руководитель группы по аудиту должен периодически обмениваться информацией о ходе аудита и связанных с этим вопросах с проверяемой организацией и, при необходимости, с заказчиком аудита. Свидетельство, полученное во время аудита относительно предполагаемого непосредственного и существенного риска для проверяемой организации, должно быть без задержки доведено до сведения проверяемой организации и, если необходимо, заказчику аудита. Информация, выходящая за пределы области аудита, должна также приниматься во внимание и доводиться до руководителя группы по аудиту, чтобы была обеспечена возможность для ее передачи заказчику аудита или проверяемой организации.

Если имеющееся свидетельство аудита указывает на невыполнимость целей аудита, руководителю группы по аудиту следует доложить заказчику аудита или проверяемой организации о причинах для принятия соответствующих мер. Такие меры могут включать в себя внесение изменений и переутверждение плана аудита, изменение целей или области аудита, или прекращение аудита.

Любую необходимость во внесении изменений в план аудита, которая может выявляться по ходу выполнения мероприятий аудита, следует анализировать и согласовывать с лицом, ответственным за управление программой аудита, и, при необходимости, с проверяемой организацией.

Сопровождающие лица и наблюдатели (например, представители регулирующего органа или других заинтересованных сторон) могут присутствовать при работе группы по аудиту. Они не должны оказывать влияние или вмешиваться в проведение аудита. В случае, если это не может быть гарантировано, руководитель группы по аудиту имеет право отказать наблюдателям в участии в некоторых мероприятиях аудита.

Для наблюдателей любые обязательства, относящиеся к здоровью, безопасности и конфиденциальности, должны оговариваться и регулироваться между заказчиком аудита и проверяемой организацией.

Сопровождающие лица, назначенные проверяемой организацией, должны оказывать помощь группе по аудиту и действовать по просьбе руководителя группы по аудиту. Сопровождающие лица должны выполнять следующие обязанности:

a)содействовать аудиторам, обеспечивать контакты и назначение времени для бесед (интервью);

b) организовывать доступ для посещения определенных объектов или рабочих участков проверяемой организации;

c) обеспечивать то, чтобы правила и процедуры по безопасности были известны и соблюдались членами группы по аудиту и наблюдателями.

Роль руководства может также включать в себя следующее:

- исполнять роли лиц, свидетельствующих в ходе аудита от имени проверяемой организации;

- предоставлять разъяснения или оказывать помощь при сборе информации.

Во время проведения аудита информация, относящаяся к целям аудита, области и критериям аудита, включая информацию, касающуюся взаимодействия между подразделениями, деятельности и процессов, должна быть собрана путем необходимых выборок и верифицирована. В качестве свидетельства аудита следует принимать только ту информацию, которая может быть верифицирована. Свидетельства аудита должны быть зарегистрированы. Если во время сбора свидетельств группе по аудиту станут известны любые новые или измененные риски, их следует рассмотреть и принять соответствующие меры.

Примечание - Руководящие указания по выборкам, приведены в B.3 приложения В.

На рисунке 3 представлена блок-схема процесса, начиная от сбора информации до получения заключений по результатам аудита.

Методы сбора информации включают в себя следующее:

- опросы;

- наблюдения за деятельностью;

- анализ документов, включая записи.

Примечания

1. Руководящие указания, касающиеся источников информации, приведены в В.5 приложения В.

2. Руководящие указания, касающиеся посещения объектов и подразделений, приведены в В.6 приложения В.

3. Руководящие указания, по проведению опросов приведены в В.7 приложения В.

Рисунок 3 - Блок-схема процесса, начиная от сбора информации до получения заключений по результатам аудита

Для получения выводов аудита свидетельства аудита должны быть сопоставлены и оценены относительно критериев аудита. Выводы аудита могут указывать на соответствие или несоответствие критериям аудита. В случае, если это не может быть гарантировано, руководитель группы по аудиту имеет право отказать наблюдателям в участии в некоторых мероприятиях аудита.

Несоответствия и подтверждающие их свидетельства аудита должны быть записаны. Несоответствия могут быть классифицированы (ранжированы). Они должны быть проанализированы с проверяемой организацией для подтверждения объективности свидетельств аудита и для подтверждения того, что выявленные несоответствия правильно понимаются. Следует принять все возможные меры по разрешению любых разногласий во мнениях по свидетельствам и/или выводам аудита, а неразрешенные вопросы следует документально оформить.

Группе по аудиту, по мере необходимости, следует собираться для анализа выводов аудита на определенных этапах его проведения.

Примечание - Дополнительные руководящие указания по идентификации и оценке выводов аудита приведены в В.8 приложения В.

Группе по аудиту до заключительного совещания следует выполнить следующее:

a) проанализировать выводы аудита и любую другую соответствующую информацию, собранную во время аудита, на соответствие целям аудита;

b) согласовать заключения по результатам аудита с учетом неопределенности, присущей процессу аудита;

c) подготовить рекомендации, если это предусмотрено целями аудита;

d) обсудить действия по результатам аудита, если это требуется.

Заключения аудита могут содержать следующую информацию, касающуюся:

- степени соответствия критериям аудита и основательности системы менеджмента, включая эффективность системы менеджмента в достижении заявленных целей;

- эффективности внедрения, поддержания и улучшения системы менеджмента;

- возможностей процесса анализа со стороны руководства для обеспечения постоянной пригодности системы менеджмента, ее адекватности, эффективности и улучшения;

- достижения целей аудита, степени охвата области аудита и выполнения критериев аудита;

- корневых причин выявленных фактов (наблюдений), если это предусмотрено планом аудита;

- сопоставления и обобщения аналогичных или схожих по своему характеру фактов, выявленных при проведении аудита в различных областях, для определения тенденций (трендов).

Если это определено планом аудита, то заключения по результатам аудита могут вести к рекомендациям по улучшению или будущим видам деятельности по аудиту.

Проведение заключительного совещания должно быть организовано руководителем группы по аудиту таким образом, чтобы представленные выводы и заключения аудита были понятны и признаны проверяемой организацией. К участию в заключительном совещании следует привлекать руководителей проверяемой организации и, там, где это целесообразно, сотрудников, отвечающих за функции или процессы, которые были проверены в ходе аудита, а также заказчика аудита и другие стороны.

Если это необходимо, руководитель группы по аудиту должен сообщать проверяемой организации о сложившихся во время проведения аудита ситуациях, которые могут уменьшить доверие к информации, изложенной в заключениях по результатам аудита. Если это определено в системе менеджмента или соглашением с лицом, отвечающим за управление программой аудита, участникам следует согласовать сроки разработки и внедрения плана мероприятий по результатам аудита, включающего корректирующие и предупреждающие действия.

Объем и степень предоставляемых сведений должны соответствовать степени осведомленности проверяемой организации о процессе аудита. В других случаях, например, при внутренних аудитах, заключительное совещание является менее формальным и может состоять только из сообщения о выводах и заключениях по результатам аудита.

При необходимости, на заключительном совещании следует довести до сведения проверяемой организации следующее:

- что собранные во время аудита свидетельства основаны на выборке данных и информации, имевшейся на момент проведения аудита;

- метод протоколирования и составления отчетов, включая любую классификацию или ранжирование данных;

- процесс обработки и трактовки выводов аудита и возможные последствия, связанные с принятием решений по выявленным фактам;

- выводы аудита таким способом, чтобы они были понятны и признаны проверяемой организацией;

- любые последующие действия по результатам аудита (например, выполнение корректирующих действий, обработку претензий, процесс апелляций).

Любые разногласия по выводам и/или заключениям аудита между группой по аудиту и проверяемой организацией должны быть обсуждены и, по возможности, разрешены. В случае, если разногласия не удается разрешить, то все мнения должны быть зарегистрированы.

Если это предусмотрено целями аудита, могут быть предоставлены рекомендации по улучшению. Следует указать, что рекомендации не носят обязательного характера.