Законодательная база Российской Федерации

"РУКОВОДЯЩИЕ УКАЗАНИЯ ПО АУДИТУ СИСТЕМ МЕНЕДЖМЕНТА. ГОСТ Р ИСО 19011-2012" (утв. Приказом Ростехрегулирования от 19.07.2012 N 196-ст)

Для выполнения аудита могут применяться различные методы. В настоящем приложении приведены объяснения, относящиеся к широко применяемым в настоящее время методам аудита. Методы, выбираемые для проведения аудита, зависят от установленных целей, области применения и критериев аудита, а также от сроков и мест проведения аудитов. При выборе метода проведения аудита следует также учитывать имеющийся на данный момент уровень аудиторской компетентности и любые неопределенности (погрешности), возникающие вследствие применения этих методов. Применение множества и использование сочетания различных методов может оптимизировать продуктивность и эффективность процесса, связанного с аудитом, и его результаты.

При выполнении аудита происходит взаимодействие среди людей с системой менеджмента, проверяемой при аудите, и с технологией, используемой при проведении аудита. В таблице В.1 представлены примеры методов аудита, которые могут быть использованы отдельно или в сочетании с другими методами для того, чтобы достичь поставленных целей аудита. В случае, если при проведении аудита задействована группа по аудиту,включающая в себя многочисленных членов, то могут одновременно применяться методы, предусматривающие проведение мероприятий аудита как непосредственно на местах производственной деятельности, так и на расстоянии с использованием соответствующих средств коммуникации.

Примечание - Дополнительная информация, касающаяся посещений подразделений проверяемой организации на местах, приведена в В.6.

Таблица В.1

Применяемые методы проведения аудита

Ответственность за эффективное применение методов аудита для любого аудита на стадии планирования остается либо за лицом, ответственным за управление программой аудита, или за руководителем группы по аудиту. Руководитель группы по аудиту несет ответственность за проведение мероприятий аудита.

Возможность проведения мероприятий аудита на расстоянии зависит от степени доверия между аудитором и персоналом проверяемой организации.

На уровне программы аудита следует обеспечить, что использование методов аудита на расстоянии и на местах является приемлемым для того, чтобы обеспечить достижение целей программы аудита.

Аудиторы должны рассмотреть, является ли информация, представленная в документах:

- полной (все ожидаемые сведения содержатся в представленном документе);

- правильной (содержимое документа соответствует другим надежным источникам, таким как стандарты и правила);

- совместимой (положения документа согласуются между собой и связанными с ним документами);

- актуальной (положения, содержащиеся в документе, имеют силу на момент проверки);

- охватывают ли анализируемые документы область применения аудита и предоставляют ли они достаточную информацию для поддержания целей аудита;

- способствует ли использование информации и коммуникационных технологий согласно применяемым методам аудита эффективному проведению данного аудита: при этом необходимо уделить особое внимание информационной безопасности, обусловленной применяемыми правилами по обеспечению защиты данных (особенно для информации, которая выходит за рамки области применения аудита,но которая содержится в представленной документации).

Примечание - Анализ документации может указать на эффективность управления документами в рамках системы менеджмента проверяемой организации.

Представительную выборку для аудита производят в случае, когда представляется нецелесообразным или дорогостоящим изучать всю имеющуюся информацию во время проведения аудита, например, когда записей слишком много или они слишком разбросаны географически, чтобы могло быть оправдано изучение каждой позиции в имеющейся совокупности. Такая выборка из большой совокупности является процессом отбора менее чем 100 % единиц (позиций) из имеющегося в полном объеме набора данных (генеральной совокупности) для получения и оценивания свидетельств в отношении отдельной характеристики такой совокупности, с тем чтобы сформировать заключение, касающееся данной совокупности.

Цель осуществления представительной выборки для аудита - это предоставить информацию для аудитора, с тем чтобы иметь уверенность в том, что цели аудита могут быть или будут достигнуты.

Риск, связанный с использованием выборки, состоит в том, что отобранные выборки могут быть непоказательными в отношении той генеральной совокупности, из которой они отобраны, и, следовательно, это может повлиять на заключение аудитора таким образом, что оно будет отличаться от заключения, которое было бы достигнуто, если бы проводилось изучение всей имеющейся совокупности данных. Могут иметься и другие риски в зависимости от изменчивости или непостоянства в рамках той генеральной совокупности, из которой проводится выборка, или в зависимости от выбранного метода.

Осуществление выборки для аудита, как правило, включает в себя следующие шаги:

- постановку целей плана осуществления выборки;

- выбор объема и композиции той генеральной совокупности, из которой будет производиться выборка;

- выбор метода проведения выборки;

- определение объема производимой выборки;

- проведение выборки;

- сбор материала, проведение оценки, регистрации и документирования результатов.

В ходе проведения выборки, следует уделить внимание качеству имеющихся данных, поскольку недостаточные или неточные выборочные данные не обеспечат получение требуемого результата. Отбор подходящих выборок должен основываться как на методе производства выборки, так и на типе требуемых данных, например для того, чтобы делать заключения по отдельному образцу или выводы по всей совокупности.

Составление отчетов по сделанной выборке может учитывать размер выборки, применяемый метод отбора и оценки, сделанные на основе выборки, и уровень достоверности.

При проведении аудитов могут использоваться выборки по усмотрению, т. е. сделанные на основе решения аудитора (см. В.3.2), или статистические выборки (см. В.3.3).

Выборки, сделанные по усмотрению, полагаются на знания, навыки и опыт группы по аудиту (см. раздел 7). Для осуществления таких выборок может учитываться следующее:

- предыдущий опыт проведения аудитов в данной области применения аудита;

- сложность требований (включая законодательные требования) для достижения целей данного аудита;

- сложность и взаимодействие процессов и элементов системы менеджмента организации;

- степень изменения в технологии, системе менеджмента или человеческом факторе;

- идентифицированные до этого времени зоны ключевых рисков и области улучшения;

- результаты мониторинга систем менеджмента.

Недостатком выборок, сделанных по усмотрению на основе решения проверяющей стороны, является то, что может не быть статистической оценки влияния неопределенности (погрешности), присутствующей в выводах аудита и полученных заключениях.

В случае, если принято решение использовать статистическую выборку, то план проведения такой выборки должен основываться на целях аудита и на той информации, которая известна о характеристиках всей генеральной совокупности, из которой будут проводиться данные выборки.

Расчет статистической выборки использует процесс отбора выборок, основанный на теории вероятности. Выборка на основе характерного признака используется в случаях, когда имеются только два возможных исхода для каждой выборки (например, верный/неверный или годен/негоден). Выборка на основе переменного параметра используется в случаях, когда результаты выборки наблюдаются в сплошном диапазоне.

План проведения выборки должен учитывать, будут ли исследуемые результаты выборки подходить под анализ на основе характерного признака или на основе переменного параметра. Например, в случае, если оценивается соответствие законченных форм (разновидностей) требованиям, установленным в процедуре, то мог бы использоваться подход на основе характерного признака. В случае, если исследуется возникновение инцидентов, связанных с безопасностью пищевой продукции, или количество нарушений при обеспечении безопасности, то подход на основе переменной величины скорее всего был бы более подходящим.

Ключевыми элементами, которые могут повлиять на план проведения выборки для аудита, являются:

- размер организации;

- количество компетентных аудиторов;

- периодичность аудитов в течение года;

- сроки конкретного аудита;

- любой требуемый внешними источниками уровень достоверности результатов аудита.

Когда разработан план проведения статистической выборки, то важным соображением будет уровень риска, связанный с использованием выборки, на который организация-аудитор готова согласиться. Это часто называется "допустимым уровнем достоверности". Например, 5 %-ный риск, связанный с использованием выборки, соответствует допустимому уровню достоверности, равному 95 %. Связанный с использованием выборки 5 %-ный риск означает, что организация-аудитор согласна принять риск, что 5 из 100 (или 1 из 20) исследуемых выборок не будут отражать реальные значения, которые были бы показаны в случае, если бы проводилось исследование всей генеральной совокупности в ее полном объеме.

Когда используется статистическая выборка, аудиторы должны надлежащим образом документировать выполненную работу. Это должно включать в себя описание генеральной совокупности прецедентов, для которой было намечено осуществление выборки, критерии выборки, используемые для проведения оценки (например, что представляет собой приемлемая выборка), статистические параметры и методы, которые были использованы, число выборок, подвергнутых оценке, и полученные результаты.

При подготовке рабочих документов группа по аудиту применительно к каждому документу должна рассматривать приведенные ниже вопросы.

a) Какие записи по аудиту будут создаваться с помощью этого рабочего документа?

b) Какая деятельность по аудиту связана с этим конкретным рабочим документом?

c) Кто будет пользователем этого рабочего документа?

d) Какая информация требуется, чтобы подготовить этот рабочий документ?

Для комплексных аудитов рабочие документы должны разрабатываться, чтобы избежать дублирования действий при проведении аудита. Это достигается путем:

- сведения в одну группу аналогичных требований, относящихся к различным критериям;

- согласования позиций, содержащихся в соответствующих контрольных листах и вопросниках. Рабочие документы должны быть адекватными, для того чтобы в достаточной мере охватывать элементы

всей системы менеджмента в рамках области применения аудита, и они могут быть представлены на любом носителе.

Выбранные источники информации могут различаться в зависимости от области применения и сложности аудита и могут включать в себя следующее:

- интервью с работниками и другими лицами;

- наблюдения за осуществляемыми действиями и окружающей производственной средой и условиями;

- документы, такие как политики, цели, планы, процедуры, стандарты, инструкции, лицензии и разрешения, спецификации, чертежи, контракты и заказы;

- записи, такие как записи инспекционного контроля, протоколы совещаний, отчеты по проведению аудитов, записи, относящиеся к программе мониторинга, и результаты измерений;

- сводки данных, анализы и показатели деятельности;

- информацию о планах проведения выборок проверяемой организации и процедурах для управления процессами, связанными с проведением выборок и измерений;

- отчеты из других источников, например, обратная связь с потребителем, внешние обзоры и измерения, другая подходящая информация от внешних сторон и оценки поставщиков;

- базы данных и интернет-сайты;

- моделирование.

Для того чтобы мероприятия, осуществляемые в ходе аудита, не мешали осуществлению рабочих процессов проверяемой организации, а также для обеспечения гарантий здоровья и безопасности группы по аудиту во время аудита следует рассматривать следующее:

a) планирование посещения:

- получение разрешения и допуска к тем объектам проверяемой организации, которые следует посетить в соответствии с областью применения аудита,

- предоставление аудиторам всей необходимой информации (например, инструктаж), касающейся безопасности, санитарной обстановки (например, карантин), вопросов, связанных с профессиональной безопасностью и охраной здоровья, культурных норм поведения для посещения объектов, включая требуемые или рекомендуемые вакцинации и уровни допуска, если это применимо,

- договор с проверяемой организацией, что все требуемые средства индивидуальной защиты будут иметься для группы по аудиту, если это применимо,

- за исключением внеплановых аудитов для специальной цели, обеспечение того, что персонал посещаемого объекта будет проинформирован о целях и области применения аудита;

b) действия на посещаемых объектах:

- избежать привнесения любых ненужных помех в осуществление рабочих процессов,

- обеспечить надлежащее использование средств индивидуальной защиты членами группы по аудиту,

- обеспечить доведение информации по процедурам, устанавливающим порядок действий в чрезвычайных и аварийных ситуациях (например, аварийные выходы, места сбора),

- обсудить график мероприятий аудита с целью минимизации возможных помех для распорядка производственной деятельности проверяемой организации,

- обеспечить соразмерность численности группы по аудиту и числа сопровождающих лиц и наблюдателей в соответствии с областью применения аудита, для того чтобы избежать, насколько это возможно, вмешательства в рабочие процессы,

- не прикасаться или каким-либо образом не обращаться с любым оборудованием, если на это не имеется специального разрешения, даже когда аудиторы имеют достаточный уровень компетентности или соответствующую лицензию,

- если во время посещения проверяемой организации произошло какое-либо происшествие или инцидент, то руководитель группы по аудиту должен проанализировать сложившуюся ситуацию с представителями проверяемой организации и, в случае необходимости, с заказчиком аудита и прийти к соглашению относительно того, следует ли прерывать или продолжать аудит или о том, что следует внести изменения в график проведения мероприятий аудита,

- в случае проведения фото- или видеосъемки проверяющей стороной следует заранее запросить соответствующее разрешение у руководства проверяемой организации и рассмотреть вопросы, связанные с обеспечением надлежащей защиты и конфиденциальности, и следует избегать фотографирования частных лиц без их разрешения,

- при снятии копий или взятии экземпляров документов любого вида следует заранее запросить соответствующее разрешение у руководства проверяемой организации и рассмотреть вопросы, связанные с обеспечением надлежащей защиты и конфиденциальности,

- при сборе данных и записей следует избегать сбора персональной информации, касающейся сотрудников, если это не требуется целями или критериями аудита.

Интервьюирование является одним из важнейших средств по сбору информации, и его следует проводить с учетом конкретной ситуации или опрашиваемых лиц, будь это беседа при непосредственной встрече или посредством использования соответствующих средств коммуникации. При этом аудитору нужно учитывать следующее:

-интервью должны проводиться с лицами соответствующих уровней или функциональных подразделений, выполняющих действия или задачи в рамках области применения аудита;

- интервью, как правило, должны проводиться в рабочее время и там, где это целесообразно, на рабочем месте опрашиваемого сотрудника;

- нужно постараться создать непринужденную атмосферу до начала и во время проведения интервью;

- следует объяснить причины для проведения интервью и любые производимые записи;

- интервью можно начать с просьбы к опрашиваемым лицам описать выполняемую ими работу;

-следует тщательно выбирать тип задаваемых вопросов (например, прямые, наводящие вопросы, вопросы, предусматривающие единственный ответ);

- результаты, полученные в ходе интервью, должны быть суммированы и проанализированы с опрашиваемым сотрудником;

- следует поблагодарить опрошенных сотрудников за их участие и содействие.

При определении выводов аудита следует рассматривать следующее:

- меры, предпринятые по результатам предыдущих записей и заключений аудита;

- требования заказчика аудита;

- выводы (наблюдения), превосходящие границы обычной практики, или возможности для улучшения;

- размер представительной выборки;

- распределение выводов аудита по категориям (если они имеются).

Для записей о соответствии следует рассмотреть следующее:

- идентификацию критериев аудита, по которым выявляется соответствие;

- свидетельство аудита для подтверждения соответствия;

- декларацию о соответствии, если это применимо.

Для записей о несоответствии следует рассмотреть следующее:

- описание или ссылку на критерии аудита;

- декларацию о несоответствии;

- свидетельство аудита;

- соответствующие выводы аудита, если это применимо.

Во время проведения аудита представляется возможным идентифицировать наблюдения (выводы), относящиеся к критериям со сложной структурой. В случае, когда при проведении комплексного аудита аудитор идентифицирует вывод (наблюдение), связанный с одним критерием или характерным признаком, аудитор должен рассмотреть возможное воздействие на согласованность с данным критерием или на аналогичные критерии других систем менеджмента.

В зависимости от предварительных договоренностей с заказчиком аудита проверяющая сторона может собирать и фиксировать либо:

- отдельные выводы для каждого критерия-признака;

- единственный вывод, объединяющий ссылки для сложносоставного критерия.

В зависимости от предварительных соглашений с заказчиком аудита проверяющая сторона может указать проверяемой организации на то, каким образом ей следует реагировать и какие действия необходимо предпринять по результатам этих выводов, и проконтролировать разработку соответствующих мероприятий.