5.5 Выполнение программы аудита

"ГОСТ Р ИСО 19011-2021. Национальный стандарт Российской Федерации. Оценка соответствия. Руководящие указания по проведению аудита систем менеджмента" (утв. и введен в действие Приказом Росстандарта от 21.04.2021 N 261-ст)

5.5 Выполнение программы аудита

5.5.1 Общие положения

Как только программа аудита разработана (см. 5.4.3) и определены необходимые ресурсы (см. 5.4.4), необходимо выполнить оперативное планирование и координацию всей деятельности в рамках программы.

Лицу(ам), осуществляющему(им) управление программой аудита, следует:

a) довести до сведения заинтересованных сторон относящиеся к ним части программы аудита, включая связанные с ней риски и возможности и периодически извещать их о ее исполнении с использованием установленных каналов внешней и внутренней коммуникации;

b) определить цели, области и критерии для каждого отдельного аудита;

c) выбрать методы аудита (см. А.1);

d) координировать и разработать график аудитов и другой деятельности, связанной с программой аудита;

e) обеспечить необходимую компетентность аудиторской группы (см. 5.5.4);

f) предоставить необходимые индивидуальные и общие ресурсы аудиторской группе (см. 5.4.4);

g) обеспечить проведение аудитов в соответствии с программой аудита, управлять рисками, возможностями и проблемами (т.е. неожиданными событиями) по мере их возникновения при реализации программы аудита;

h) обеспечить управление и сохранность соответствующей документированной информацией, касающейся аудиторской деятельности, и ее ведения;

i) определить и проводить операционный контроль (см. 5.6), необходимый для мониторинга программы аудита;

j) анализировать программу аудита для того, чтобы определить возможности для ее улучшения (см. 5.7).

5.5.2 Определение целей, области и критериев конкретного аудита

Каждый отдельный аудит следует основывать на определенных целях, области и критериях. Они должны быть согласованы с общими целями программы аудита.

Цели аудита определяют, что должно быть достигнуто с помощью отдельного аудита, и могут включать в себя следующее:

a) определение степени соответствия проверяемой системы менеджмента или ее частей критериям аудита;

b) оценка возможности системы менеджмента обеспечить соответствие законодательным, нормативно-правовым требованиям, договорным требованиям, а также другим требованиям, которые организация обязуется выполнять;

c) оценка эффективности системы менеджмента при достижении намеченных результатов;

d) идентификация возможностей для потенциального улучшения системы менеджмента;

e) оценка пригодности и соответствия системы менеджмента в отношении среды и стратегического направления проверяемой организации;

f) оценка способности системы менеджмента установить и достичь целей, эффективно реагировать на риски и возможности в изменяющейся среде, включая выполнение соответствующих действий.

Область аудита должна соответствовать программе и целям аудита. Она включает такие факторы, как местоположение, функции, деятельность и процессы, подлежащие аудиту, а также сроки проведения аудита.

Критерии аудита используются в качестве ссылки, относительно которой определяется соответствие. Они могут включать одно или более критериев из следующего: проводимую политику, процессы, процедуры, нормы, соблюдаемые критерии, включая цели законодательные и нормативные требования, требования к системе менеджмента, информацию, включающую среду и риски, и возможности, определенные проверяемой организацией (включая требования соответствующих внешних и внутренних заинтересованных сторон), правила в проверяемой сфере или другие запланированные организационные моменты.

В случае изменения целей, области или критериев аудита программу аудита следует, при необходимости, скорректировать и сообщить об этом заинтересованным сторонам для утверждения, если требуется.

Если аудит проводится одновременно в более чем одной сфере деятельности, то важно, чтобы цели, области и критерии аудита были согласованы с программой аудита для каждой сферы. Некоторые сферы могут иметь область применения, которая отражает деятельность всей организации, а другие могут отражать деятельность только части организации.

5.5.3 Выбор и определение методов аудита

Лицу(ам), осуществляющему(им) управление программой аудита, следует выбрать и определить методы эффективного и результативного проведения аудита в зависимости от определенных целей, области и критериев аудита.

Аудит можно проводить непосредственно на месте, удаленно или комбинированно. Применение этих методов следует соответствующим образом сбалансировать, основываясь, в том числе, на рассмотрении сопутствующих рисков и возможностей.

Там, где две или более проверяющие организации проводят совместный аудит одной проверяемой организации, лицам, осуществляющим управление разными программами аудита, следует согласовать методы аудита и рассмотреть вопросы обеспечения ресурсами и планирования аудита. Если в проверяемой организации действуют две или более систем менеджмента в различных сферах деятельности, то программа аудита может включать комплексные аудиты.

5.5.4 Отбор членов аудиторской группы

Лицу(ам), осуществляющему(им) управление программой аудита, следует назначить членов аудиторской группы, включая руководителя группы и технических экспертов, необходимых для конкретного аудита.

Аудиторскую группу следует формировать с учетом компетентности, необходимой для достижения целей отдельного аудита в рамках определенной области. Если имеется только один аудитор, ему следует исполнять все применяемые обязанности руководителя группы.

Примечание - Раздел 7 содержит руководящие указания по определению компетентности, необходимой для членов аудиторской группы, и описывает процессы оценивания аудиторов.

Чтобы гарантировать общую компетентность аудиторской группы, необходимо выполнить следующие шаги:

- определение компетентности, необходимой для достижения целей аудита;

- отбор членов аудиторской группы осуществлять таким образом, чтобы группа в целом обладала необходимой компетентностью.

При принятии решения в отношении численности и состава группы для конкретного аудита, следует учесть:

a) общую компетентность аудиторской группы, необходимую для достижения целей аудита, принимая во внимание область и критерии аудита;

b) сложность аудита;

c) является ли аудит комплексным или совместным;

d) выбранные методы аудита;

e) обеспечение беспристрастности и объективности во избежание конфликта интересов в процессе аудита;

f) способность членов аудиторской группы эффективно работать и взаимодействовать с представителями проверяемой организации и соответствующими заинтересованными сторонами;

g) внешние и внутренние факторы, такие как язык аудита и социальные и культурные характеристики проверяемой организации. Эти вопросы могут рассматриваться самим аудитором, если он обладает соответствующим умением, или совместно с техническим экспертом, также учитывают необходимость в переводчиках;

h) тип и сложность процессов, подлежащих аудиту.

Там, где целесообразно, руководителю программы аудита следует обсудить с руководителем аудиторской группы состав этой группы.

Если необходимая компетентность не обеспечивается аудиторами в группе, в нее следует включить дополнительно технических экспертов необходимой квалификации.

В группу можно включить аудиторов-стажеров, которые должны работать под руководством аудитора.

В процессе аудита может потребоваться пересмотр состава группы, например в случае конфликта интересов или возникновения сомнений в компетентности. Такие ситуации следует обсудить с соответствующими сторонами [например, руководителем группы, лицом(ами), осуществляющим(ими) управление программой аудита, заказчиком аудита или проверяемой организацией] до внесения каких-либо изменений.

5.5.5 Возложение ответственности на руководителя группы аудита за конкретный аудит

Лицу(ам), осуществляющему(им) управление программой аудита, следует назначить руководителя по проведению отдельного аудита.

Назначение следует сделать заранее, чтобы до начала аудита оставалось достаточно времени для эффективного планирования аудита.

Чтобы обеспечить эффективное проведение конкретного аудита, руководителю аудиторской группы следует предоставить следующую информацию в отношении:

a) цели аудита;

b) критерии аудита и любую относящуюся к делу документированную информацию;

c) область аудита, включая идентификацию организации и ее функций и процессов, подлежащих аудиту;

d) методы и процессы аудита;

e) состав аудиторской группы;

f) сведения для контактов с проверяемой организацией, места проведения аудита, даты и продолжительность проведения аудита;

g) распределение необходимых ресурсов для проведения аудита;

h) информацию, необходимую для оценки и рассмотрения выявленных рисков и возможностей для достижения целей аудита;

i) информацию, которая помогает руководителю группы при взаимодействии с проверяемой организацией для повышения результативности программы аудита.

Информация для назначения, при необходимости, также должна включать, следующее:

- рабочий язык и язык для отчетов по аудиту, если он отличается от языка аудитора или языка проверяемой организации;

- требуемое содержание отчета по аудиту и кому он должен быть представлен;

- вопросы, относящиеся к конфиденциальности и защите информации, если требуется программой аудита;

- все меры, касающиеся здоровья, безопасности и условий труда аудиторов;

- требования к доставке или доступу к удаленным объектам;

- требования к режиму безопасности и предоставлению прав доступа;

- все действия, которые следует проверить, например действия по итогам предыдущего аудита;

- координирование с другой деятельностью по аудиту, например когда разные аудиторские группы проверяют схожие или связанные процессы в разных местах или в случае совместного аудита.

При проведении совместного аудита, важно достичь согласия среди организаций, проводящих аудиты, до его начала, относительно конкретных обязанностей каждой стороны, особенно с учетом полномочий назначенного руководителя аудиторской группы по данному аудиту.

5.5.6 Управление результатами выполнения программы аудита

Лицу(ам), осуществляющему(им) управление программой аудита, следует обеспечить выполнение следующих мероприятий:

a) оценка достижения целей для каждого отдельного аудита в рамках программы аудита;

b) анализ и утверждение отчетов по аудиту касательно полноты охвата области и достижения целей аудита;

c) анализ результативности действий, предпринятых для решения вопросов по обнаружениям аудита;

d) представление отчетов по аудиту соответствующим заинтересованным сторонам;

e) определение необходимости дополнительных аудитов.

Руководителю программы аудита следует рассмотреть, при необходимости:

- доведение результатов аудита и передовой практики до сведения других подразделений организации;

- применение указанного выше для других процессов.

5.5.7 Управление записями по программе аудита и их сохранение

Лицу(ам), осуществляющему(им) управление программой аудита, следует обеспечить создание записей по аудиту, управление ими и их поддержание для демонстрации выполнения программы аудита. Следует установить процессы по обеспечению требуемой конфиденциальности и защиты информации, связанных с записями по аудиту.

Записи могут включать следующее:

a) записи, касающиеся программы аудита, такие как:

- график проведения аудитов;

- цели и объем программы аудита;

- риски и возможности, связанные с программой аудита, и соответствующие внешние и внутренние факторы;

- анализ результативности программы аудита;

b) записи, касающиеся каждого аудита, такие как:

- планы и отчеты по аудиту;

- объективные свидетельства и обнаружения аудита;

- отчеты о несоответствии;

- отчеты о коррекциях и корректирующих действиях;

- отчеты о последующих действиях;

c) записи, касающиеся группы, выполняющей аудит, по таким вопросам, как:

- результаты оценки компетентности и деятельности членов аудиторской группы;

- критерии выбора аудиторских групп и членов аудиторской группы и формирование групп;

- поддержание и повышение уровня компетентности.

Форма и степень подробности записей должны демонстрировать, что цели программы аудита достигнуты.