Главная страница

акуа. Руководящие указания по проведению аудита систем менеджмента 19011 2018, g uidelines fo r auditing management system s


Скачать 4.97 Mb.
НазваниеРуководящие указания по проведению аудита систем менеджмента 19011 2018, g uidelines fo r auditing management system s
Дата10.09.2022
Размер4.97 Mb.
Формат файлаpdf
Имя файла75074.pdf
ТипДокументы
#670276
страница2 из 3
1   2   3
[ИСО 9000:2015. 3.7.11, измененный — удалено примечание 1]
4 Принципы проведения аудита
Процесс проведения аудита основан на соблюдении нескольких принципов. Эти принципы помогают аудиту быть результативными надежным инструментом следования политике менеджмента и использования средств контроля, обеспечивая информацией, на основе которой организация может улучшать результаты своей деятельности. Приверженность этим принципам является предпосылкой для получения заключений аудита, соответствующих, и достаточных для того, чтобы аудиторы, работающие независимо друг от друга, делали аналогичные заключения в аналогичных обстоятельствах.
Руководящие указания, приведенные в разделах 5 — 7. основаны на семи следующих принципах ) Честность основа профессионализма
Аудиторам и руководителю программы аудита следует- выполнять свою работу честно, старательно и ответственно- проводить аудит только тогда, когда это позволяет их компетентность- выполнять свою работу беспристрастно, те. оставаться справедливыми непредубежденным во всех своих действиях- быть осмотрительным к любым влияниям, которые могут быть оказаны на их мнения при выполнении аудита) Беспристрастное представление обязательство представлять правдивые и точные отчеты
В обнаружениях аудита, заключениях и отчетах по аудиту следует правдиво и точно отражать действия по аудиту. Существенные препятствия, встреченные в процессе аудита, а также неразрешенные мнения и разногласия между аудиторской группой и проверяемой организацией следует отражать в отчетах. Сообщения должны быть правдивыми, точными, объективными, своевременными, четкими и полными) Должная профессиональная осмотрительность прилежание и обдуманность решений при проведении аудита
ГОСТ Р ИСО Аудиторам следует проявлять должную тщательность в соответствии с важностью задачи, которую они выполняют, и доверием, которое им оказывает заказчик аудита и другие заинтересованные стороны. Важным фактором в выполнении их работы с должной профессиональной тщательностью является способность принимать обдуманные решения в любых ситуациях в процессе аудита) Конфиденциальность защита информации
Аудиторам следует проявлять осторожность при использовании и защите информации, полученной входе выполнения своих обязанностей. Информацию, полученную при аудите, не следует использовать в корыстных целях аудитора или заказчика аудита, либо таким способом, который нанесет ущерб законным интересам проверяемой организации. Эта концепция включает надлежащее обращение с конфиденциальной и требующей особого отношения информацией) Независимость основа беспристрастности аудита и объективности заключений аудита
Аудиторам следует быть независимыми от деятельности, подлежащей аудиту всегда, где это осуществимо, и во всех случаях действовать независимо от пристрастий и конфликта интересов. При проведении внутренних аудитов аудиторам следует быть независимыми от проверяемых функций, если это осуществимо. Аудиторам следует сохранять объективность в процессе аудита, чтобы обеспечить уверенность, что обнаружения и заключения аудита основаны только на свидетельствах аудита.
Для небольших организаций невозможно обеспечить, чтобы внутренние аудиторы были полностью независимыми от деятельности, подвергаемой аудиту, однако следует приложить всо силы, чтобы избежать предвзятости и соблюсти объективность Подход, основанный на свидетельстве рациональный метод достижения надежных и воспроизводимых заключений аудита в систематическом процессе аудита
Свидетельство аудита должно быть проверяемым. Оно, в общем, должно быть основано на выборках имеющейся информации, поскольку аудит проводится в ограниченный период времени и с ограниченными ресурсами. Следует применять соответствующие выборки, так как это связано с уровнем доверия к заключению по аудиту.
д) Риск-ориентированный подход, подход, учитывающий риски и возможности
Риск-ориентированный подход должен оказывать существенное влияние на планирование, проведение и отчетность по аудитам, чтобы обеспечить уверенность, что аудит сфокусирован на вопросах, имеющих значение для заказчика аудита и для достижения целей программы аудита Управление программой аудита Общие положения
Следует разработать программу аудита, которая может включать аудиты, ориентированные на один или несколько стандартов на системы менеджмента или иные требования, проводимые либо отдельно. либо в совокупности (комбинированный аудит).
Объем программы аудита следует устанавливать, исходя из размера и характера проверяемой организации, а также из характера, функциональности, сложности, типа рисков и возможностей, и уровня развития системы) менеджмента, подлежащих(ей) аудиту.
Функциональность системы менеджмента может оказаться даже более сложной, когда большинство важных функций отдано сторонним исполнителями управляются под руководством других организаций. Особое внимание следует обратить на то. где именно принимаются наиболее важные решения и как формируется высшее руководство системы менеджмента.
В том случае, если у организации имеется несколько мест/площадок (например, в разных странах) или в случае, когда большинство важных функций отдано сторонним исполнителями управляются под руководством других организаций, особое внимание следует обратить на проектирование, планирование и валидацию программы аудита.
В случае организаций меньшего масштаба или менее сложных организаций программа аудита может быть сокращена соответствующим образом.
Чтобы понять среду проверяемой организации, программа аудита должна принять во внимание- цели организации- соответствующие внешние и внутренние факторы- потребности и ожидания соответствующих заинтересованных сторон- требования к защите и конфиденциальности информации
ГОСТ РИСО Планирование программы внутреннего аудита ив некоторых случаях программы аудита внешних поставщиков, может способствовать достижению иных целей для организации.
Лицо(а), осуществляющее(ие) управление программой аудита, должно(ы) обеспечить целостность аудита и отсутствие постороннего влияния, оказываемого на аудит.
Приоритет следует отдать распределению ресурсов и методов к вопросам в системе менеджмента. связанным с более высоким риском и более низким уровнем итогов деятельности.
Для управления программой аудита должны выбираться компетентные работники.
Программа аудита должна включать информацию и определять ресурсы, необходимые для организации и эффективного и результативного проведения аудита в рамках установленного времени. Информация должна включать) цели программы аудита) риски и возможности, связанные с программой аудита (см. 5.3). и действия по обращению сними) объем (глубина охвата, границы места проведения) каждого аудита в рамках программы аудита) график (число/продолжительностьУчастота проведения) аудитов;
e) типы аудитов, например внутренний или внешний) критерии аудита;
д ) методы аудита, которые должны применяться) критерии для выбора членов аудиторской группы) соответствующая документированная информация.
Некоторые из этих сведений могут быть недоступны до тех пор. пока не будет завершено более детальное планирование аудита.
Для достижения целей программы аудита ее выполнение слодует подвергать мониторингу и измерениям (см. 5.6). Программу аудита следует анализировать, чтобы определить необходимость внесения изменений и потенциальные возможные улучшения (см. Рисунок 1 иллюстрирует последовательность операций процесса управления программой аудита.
П р им е чан и я Этот рисунок иллюстрирует применение цикла Планирование — Исполнение — Проверка — Принятие необходимых мер в данном стандарте Нумерация раздела/подраздела относится к соответствующим разделам/подразделам данного стандарта Постановка целей программы аудита
Заказчику аудита следует обеспечить постановку целей, чтобы определить направления планирования и проведения аудита, а также следует обеспечить эффективное исполнение программы. Цели программы аудита должны согласовываться со стратегией развития заказчика аудита и поддерживать политику и цели системы менеджмента заказчика аудита.
Эти цели могут быть основаны на рассмотрении следующих вопросов ) потребности и ожидания соответствующих заинтересованных сторон, как внешних, таки внутренних) характеристики и требования к процессам, продукции, услугами проектами всем изменениям в этих характеристиках и требованиях) требования систем менеджмента) необходимость оценки внешних поставщиков;
е) уровень результатов деятельности проверяемой организации и уровень развития системы) менеджмента. отражаемого соответствующими индикаторами (показателями) результатов деятельности например, ключевые показатели деятельности. KPI). возникновение несоответствий или случаев отказа. инцидентов или жалоб заинтересованных сторон) идентифицированные риски и возможности проверяемой организации;
д) результаты предыдущих аудитов.
Примеры целей программы аудита включают следующее- выяснить возможности улучшения системы менеджмента и ее результатов- оценить способность проверяемой организации установить свою среду- оценить способность проверяемой организации определять риски и возможности, а также вырабатывать. и осуществлять действия по эффективному обращению сними ГОСТ Р ИСО ПЛАНИРОВАНИЕ ИСПОЛНЕН
(*Ч»ЕРСА ПРИНЯТ НЕОВХОДИНЬОС МЕР
ПЛАНИРОВАНИЕ И С Л О Л КН И Е
ПРСК1ЕР1А ПРИНЯТ НЕОВЮ ДИЫЫХ Н ЕР
Рисунок 1 — Схема последовательности действий для управления программой аудита
ГОСТ РИСО 19011—2021
- соответствовать всем уместным требованиям, например нормативным правовым требованиям, обязательствам о соответствии, требованиям к сертификации соответствия стандарту на систему менеджмента- получить и поддерживать уверенность в возможностях внешнего поставщика- определить постоянную пригодность, адекватность и результативность системы менеджмента проверяемой организации- оценить совместимость и согласованность целей системы менеджмента со стратегическим направлением развития организации Определение и оценка рисков и возможностей для программы аудита
Существуют риски и возможности, связанные со средой проверяемой организации, которые могут быть связаны с программой аудита и влиять на достижение ее целей. Руководителю программы аудита следует определить и представить заказчику аудита риски и возможности, учитываемые при разработке программы аудита и требований к ресурсам, так чтобы на них можно было соответствующим образом отреагировать. Могут существовать риски, связанные) с планированием, например неудачной постановкой соответствующих целей аудита и определением объема, числа, продолжительности, места проведения и графика аудитов;
b
) ресурсами, например отведением недостаточного периода времени, нехваткой оборудования и/или недостаточной подготовкой к разработке программы аудита или проведению аудита) выбором аудиторской группы, например недостаточной общей компетентностью для эффективного проведения аудитов;
d ) обменом информацией, например неэффективными процессами/каналами внешней/внутрен- ней связи:
восполнением программы, например неэффективной координацией аудитов в рамках программы аудита, или недоучетом защиты и конфиденциальности информации) контроль документированной информации, например неэффективное определение необходимой документированной информации, требующейся аудиторами соответствующим заинтересованным сторонам, ненадежная защита записей аудита для демонстрации результативности программы;
д) мониторингом, анализом и улучшением программы аудита, например неэффективным мониторингом выходов (результатов) программы аудита;
^доступностью и сотрудничеством с проверяемой организацией и доступностью свидетельств, которые должны быть отобраны.
Возможности для улучшения программы аудита могут включать- возможность проведения комплексного аудита заодно посещение- минимизацию времени и расстояний доставки до места (проведения аудита- обеспечение соответствия уровня компетентности аудиторской группы с уровнем компетентности. необходимым для достижения целей аудита- совмещение дат проведения аудита с наличием на месте основного состава проверяемой организации Разработка программы аудита Роли и ответственности лица (лиц, осущ ествляющ его(их) управление программой аудита
Лицу(ам). осуществляющему(им) управление программой аудита, следует ) установить объем программы аудита в соответствии с поставленными целями (см. 5.2) и известными ограничениями) определить внешние и внутренние проблемы, риски и возможности, которые могут повлиять на программу аудита, и осуществить целенаправленные мероприятия, включив эти мероприятия в соответствующие виды аудиторской деятельности, в зависимости от рассматриваемого случая) обеспечить выбор групп аудита, обладающих необходимой компетентностью для проведения аудита, определив их обязанности, ответственность и полномочия, и поддержку лидерства, по мере необходимости ) разработать все необходимые процессы, включая процессы- для координации и планирования всех аудитов в рамках программы аудита- разработки целей аудита, области применения и критериев, определения методов аудита и подбора аудиторской группы
ГОСТ Р ИСО 19011—2021
- оценки аудиторов- разработки внешних и внутренних процессов коммуникации, по мере необходимости- разрешения споров и обращения с жалобами- действий после аудита, если необходимо- предоставления отчетов заказчику аудита и соответствующим заинтересованным сторонам, в зависимости от конкретного случая;
е)определить и обеспечить снабжение всеми необходимыми ресурсами обеспечить подготовку и хранение соответствующей документированной информации, включая записи по программе аудита:
д) отслеживать, анализировать и улучшать программу аудита) предоставить программу аудита заказчику и. при необходимости, всем заинтересованным сто­
ронам.
Лицу(ам). осуществляющему(им) управление программой аудита, следует запросить ее одобрение у заказчика аудита Компетентность лица (лиц, осущ ествляющ его(их) управление программой аудита
Лицу(ам), осуществляющему(им) управление программой аудита, следует обладать необходимой компетентностью для эффективного и результативного управления программой и связанными с нею рисками и возможностями, а также внешними и внутренними проблемами, включая знания в следующих областях ) принципы (см. раздел 4). методы и процессы аудита (см. Аи А) стандарты по системе менеджмента, другие соответствующие стандарты и ссылочные/руково- дящие документы) сведения, касающиеся проверяемой организации и ее среды (например, внешние и внутренние проблемы, соответствующие заинтересованные стороны и их потребности и ожидания, деловая деятельность. продукция, услуги и процессы проверяемой организации) применяемые нормативные и правовые требования и другие требования, касающиеся деятельности проверяемой организации.
При необходимости могут быть рассмотрены знания управления рисками, управления проектами и процессами, а также информационные и коммуникационные технологии.
Лицу(ам), осуществляющему(им) управление программой аудита, следует участвовать в соответствующей деятельности по постоянному профессиональному совершенствованию, в целях поддержания необходимой компетентности для управления программой аудита Определение объема программы аудита
Лицу(ам), осуществляющему(им) управление программой аудита, следует определить объем программы аудита. Он может меняться в зависимости от сведений, предоставленных проверяемой организацией в отношении ее среды (см. Примечание В определенных случаях, а зависимости от структуры проверяемой организации или ее деятельности, программа аудита может включать только отдельный аудит (например, в случае небольшого проекта или организации).
Другие факторы, влияющие на объем программы аудита, могут включать следующее) цель, область и продолжительность каждого аудита и количество предполагаемых аудитов, включая способ отчетности и. если необходимо, действия по результатам аудита) стандарты по системе менеджмента или иные применяемые критерии) количество, значимость, сложность, схожесть и места деятельности, подлежащей аудиту, влияющие на эффективность системы менеджмента;
е ) применимые критерии аудита, такие как мероприятия, запланированные для внедрения стандартов на системы менеджмента, законодательные правовые и договорные требования и другие требования, которые организация обязуется выполнять результаты предшествующих внутренних и внешних аудитов и анализов со стороны руководства. если требуется;
д)результаты анализа предыдущей программы аудита;
Г|)язык, вопросы культуры и социальные вопросы) проблемы заинтересованных сторон, такие как жалобы потребителей или несоблюдение законодательных и нормативных требований, других требований, которые организация обязуется выполнять. или проблемы вцепи поставок
ГОСТ РИСО 19011—2021
j) существенные изменения в среде проверяемой организации или в ее деятельности и соответствующих рисках и возможностях) применяемые информации и технологии по обмену информацией в поддержку аудита, в частности. использование методов дистанционного аудита (см. А. 16);
l
) внешние и внутренние события, такие как несоответствие продукции или услуг, утечка информации. происшествия, влияющие на здоровье и безопасность, криминальные действия или экологические происшествия;
т ) риски и возможности предпринимательства, включая действия по обращению сними Определение ресурсов для программы аудита
При определении ресурсов для программы аудита, лицу(лицам), осуществляющему(им) управление программой аудита, следует рассмотреть) финансы и время, необходимые для разработки, внедрения, управления и улучшения аудиторской деятельности) методы аудита (см. А) наличие аудиторов и технических экспертов, обладающих надлежащей компетентностью для целей конкретной программы аудита для формирования группы ) объем программы аудита (см. 5.4.3) ириски и возможности программы аудита (см. 5.3);
e ) затраченное время и стоимость транспорта для доставки аудиторов, расходы на их размещение. проживание и другие нужды) влияние разницы во времени;
д ) наличие информационных и коммуникационных технологий (например, технических ресурсов, требуемых для создания дистанционного аудита с использованием технологий, поддерживающих дистанционное взаимодействие) наличие требуемых инструментов, технологий и оборудования) наличие необходимой документированной информации, в соответствии с установленным при разработке программы аудита объемом (см. А) требования, относящиеся к благоприятности условий проведения аудита, включая какие-либо проверки персональных данных и оборудования (например, проверка анкетных данных, средства индивидуальной защиты, специальная одежда для соблюдения режима чистая комната Выполнение программы аудита Общие положения
Как только программа аудита разработана (см. 5.4.3) и определены необходимые ресурсы см. 5.4.4) необходимо выполнить оперативное планирование и координацию всей деятельности в рамках программы.
Лицу(ам). осуществляющему(им) управление программой аудита, следует) довести до сведения заинтересованных сторон относящиеся к ним части программы аудита. включая связанные с ней риски и возможности и периодически извещать их о ее исполнении с использованием установленных каналов внешней и внутренней коммуникации) определить цели, области и критерии для каждого отдельного аудита) выбрать методы аудита (см. А ) координировать и разработать график аудитов и другой деятельности, связанной с программой аудита;
е) обеспечить необходимую компетентность аудиторской группы (см. 5.5.4):
f) предоставить необходимые индивидуальные и общие ресурсы аудиторской группе (см. д) обеспечить проведение аудитов в соответствии с программой аудита, управлять рисками, возможностями и проблемами (те. неожиданными событиями) по мере их возникновения при реализации программы аудита;
^обеспечить управление и сохранность соответствующей документированной информацией, касающейся аудиторской деятельности, и ее ведения) определить и проводить операционный контроль (см. 5.6), необходимый для мониторинга программы аудита) анализировать программу аудита для того, чтобы, определить возможности для ее улучшения см. 5.7).
10
ГОСТ Р ИСО 19011—2021 5.5.2 Определение целей, области и критериев конкретного аудита
Каждый отдельный аудит следует основывать на определенных целях, области и критериях. Они должны быть согласованы с общими целями программы аудита.
Цели аудита определяют, что должно быть достигнуто с помощью отдельного аудита, и могут включать в себя следующее) определение степени соответствия проверяемой системы менеджмента, или ее частей критериям аудита) оценка возможности системы менеджмента обеспечить соответствие законодательным, норма­
тивно-правовым требованиям, договорным требованиям, а также другим требованиям, которые организация обязуется выполнять) оценка эффективности системы менеджмента при достижении намеченных результатов) идентификация возможностей для потенциального улучшения системы менеджмента;
в)оценка пригодности и соответствия системы менеджмента в отношении среды и стратегического направления проверяемой организации) оценка способности системы менеджмента установить и достичь целей, эффективно реагировать на риски и возможности в изменяющейся среде, включая выполнение соответствующих действий.
Область аудита должна соответствовать программе и целям аудита. Она включает такие факторы. как местоположение, функции, деятельность и процессы, подлежащие аудиту, а также сроки проведения аудита.
Критерии аудита используются в качестве ссылки, относительно которой определяется соответствие. Они могут включать одно или более критериев из следующего проводимую политику, процессы, процедуры, нормы, соблюдаемые критерии, включая цели законодательные и нормативные требования. требования к системе менеджмента, информацию, включающую среду ириски, и возможности, определенные проверяемой организацией (включая требования соответствующих внешних и внутренних заинтересованных сторон, правила в проверяемой сфере или другие запланированные организационные моменты.
В случае изменения целей, области или критериев аудита программу аудита следует, при необходимости. скорректировать и сообщить об этом заинтересованным сторонам для утверждения, если требуется.
Если аудит проводится одновременно в более чем одной сфере деятельности, то важно, чтобы цели, области и критерии аудита были согласованы с программой аудита для каждой сферы. Некоторые сферы могут иметь область применения, которая отражает деятельность всей организации, а другие могут отражать деятельность только части организации Выбор и определение методов аудита
Лицу(ам), осуществляющему(им) управление программой аудита, следует выбрать и определить методы эффективного и результативного проведения аудита в зависимости от определенных целей, области и критериев аудита.
Аудит можно проводить непосредственно на месте, удаленно или комбинировано. Применение этих методов следует соответствующим образом сбалансировать, основываясь, в том числе, на рассмотрении сопутствующих рисков и возможностей.
Там, где две или более проверяющие организации проводят совместный аудит одной проверяемой организации, лицам, осуществляющим управление разными программами аудита, следует согласовать методы аудита и рассмотреть вопросы обеспечения ресурсами и планирования аудита. Если в проверяемой организации действуют две или более систем менеджмента в различных сферах деятельности. то программа аудита может включать комплексные аудиты.
5.5.4 Отбор членов аудиторской группы
Лицу(ам). осуществляющему(им) управление программой аудита, следует назначить членов аудиторской группы, включая руководителя группы и технических экспертов, необходимых для конкретного аудита.
Аудиторскую группу следует формировать с учетом компетентности, необходимой для достижения целей отдельного аудита в рамках определенной области. Если имеется только один аудитор, ему следует исполнять все применяемые обязанности руководителя группы.
П р им е чан и е — Раздел 7 содержит руководящие указания по определению компетентности, необходимой для членов аудиторской группы, и описывает процессы оценивания аудиторов
ГОСТ РИСО Чтобы гарантировать общую компетентность аудиторской группы, необходимо выполнить следующие шаги- определение компетентности, необходимой для достижения целей аудита- отбор членов аудиторской группы осуществлять таким образом, чтобы группа в целом обладала необходимой компетентностью.
При принятии решения в отношении численности и состава группы для конкретного аудита, следует учесть) общую компетентность аудиторской группы, необходимую для достижения целей аудита, принимая во внимание область и критерии аудита) сложность аудита) является ли аудит комплексным или совместным ) выбранные методы аудита ) обеспечение беспристрастности и объективности во избежание конфликта интересов в процессе аудита) способность членов аудиторской группы эффективно работать и взаимодействовать с представителями проверяемой организации и соответствующими заинтересованными сторонами;
д ) внешние и внутренние факторы, такие как язык аудита и социальные и культурные характеристики проверяемой организации. Эти вопросы могут рассматриваться самим аудитором, если он обладает соответствующим умением, или совместно с техническим экспертом, также учитывают необходимость в переводчиках.
Ь)тип и сложность процессов, подлежащих аудиту.
Там. где целесообразно, руководителю программы аудита следует обсудить с руководителем аудиторской группы состав этой группы.
Если необходимая компетентность не обеспечивается аудиторами в группе, в нее следует включить дополнительно технических экспертов необходимой квалификации.
В группу можно включить аудиторов-стажеров, которые должны работать под руководством ауди­
тора.
В процессе аудита может потребоваться пересмотр состава группы, например в случае конфликта интересов или возникновения сомнений в компетентности. Такие ситуации следует обсудить с соответствующими сторонами (например, руководителем группы, лицом(ами), осуществляющим(ими) управление программой аудита, заказчиком аудита или проверяемой организацией до внесения каких-либо изменений Возложение ответственности на руководителя группы аудита за конкретный аудит
Лицу(ам). осуществляющому(им) управление программой аудита, следует назначить руководителя по проведению отдельного аудита.
Назначение следует сделать заранее, чтобы до начала аудита оставалось достаточно времени для эффективного планирования аудита.
Чтобы обеспечить эффективное проведение конкретного аудита, руководителю аудиторской группы следует предоставить следующую информацию в отношении) цели аудита) критерии аудита и любую относящуюся к делу документированную информацию) область аудита, включая идентификацию организации и ее функций и процессов, подлежащих аудиту ) методы и процессы аудита;
е) состав аудиторской группы) сведения для контактов с проверяемой организацией, места проведения аудита, даты и продолжительность проведения аудита;
д)распределение необходимых ресурсов для проведения аудита) информацию, необходимую для оценки и рассмотрения выявленных рисков и возможностей для достижения целей аудита) информацию, которая помогает руководителю группы при взаимодействии с проверяемой организацией для повышения результативности программы аудита.
Информация для назначения, при необходимости, также должна включать, следующее- рабочий языки язык для отчетов по аудиту, если он отличается от языка аудитора или языка проверяемой организации- требуемое содержание отчета по аудиту и кому он должен быть представлен
ГОСТ Р ИСО 19011—2021
- вопросы, относящиеся к конфиденциальности и защите информации, если требуется программой аудита- все меры, касающиеся здоровья, безопасности и условий труда аудиторов- требования к доставке или доступу к удаленным объектам- требования к режиму безопасности и предоставлению прав доступа- все действия, которые следуют проверить, например действия по итогам предыдущего аудита- координирование с другой деятельностью по аудиту, например когда разные аудиторские группы проверяют схожие или связанные процессы в разных местах или в случае совместного аудита.
При проведении совместного аудита, важно достичь согласия среди организаций, проводящих аудиты, до его начала, относительно конкретных обязанностей каждой стороны, особенно с учетом полномочий назначенного руководителя аудиторской группы поданному аудиту Управление результатами выполнения программы аудита
Лицу(ам). осуществляющему(им) управление программой аудита, следует обеспечить выполнение следующих мероприятий) оценка достижения целей для каждого отдельного аудита в рамках программы аудита) анализ и утверждение отчетов по аудиту касательно полноты охвата области и достижения целей аудита) анализ результативности действий, предпринятых для решения вопросов по обнаружениям аудита ) представление отчетов по аудиту соответствующим заинтересованным сторонам) определение необходимости дополнительных аудитов.
Руководителю программы аудита следует рассмотреть, при необходимости- доведение результатов аудита и передовой практики до сведения других подразделений организации- применение указанного выше для других процессов Управление записями по программе аудита и их сохранение
Лицу(ам), осуществляющему(им) управление программой аудита, следует обеспечить создание записей по аудиту, управление ими и их поддержание для демонстрации выполнения программы аудита. Следует установить процессы по обеспечению требуемой конфиденциальности и защиты информации. связанных с записями по аудиту.
Записи могут включать следующее) записи, касающиеся программы аудита, такие как- график проведения аудитов;
- цели и объем программы аудита- риски и возможности, связанные с программой аудита, и соответствующие внешние и внутренние факторы- анализ результативности программы аудита) записи, касающиеся каждого аудита, такие как- планы и отчеты по аудиту- объективные свидетельства и обнаружения аудита- отчеты о несоответствии- отчеты о коррекциях и корректирующих действиях- отчеты о последующих действиях) записи, касающиеся группы, выполняющей аудит, по таким вопросам, как- результаты оценки компетентности и деятельности членов аудиторской группы- критерии выбора аудиторских групп и членов аудиторской группы и формирование групп- поддержание и повышение уровня компетентности.
Форма и степень подробности записей должны демонстрировать, что цели программы аудита достигнуты Мониторинг программы аудита
Лицу(ам), осуществляющему(им) управление программой аудита, следует обеспечить проведение оценки) выполнен ли графики достигнуты ли цели программы аудита) деятельности членов аудиторской группы, включая ое руководителя и технических экспертов
ГОСТ РИСО 19011—2021
c) способности аудиторских групп выполнить план аудита) обратной связи с заказчиками аудита, проверяемыми организациями, аудиторами, техническими экспертами и другими причастными сторонами) достаточности и адекватности документированной информации во всем процессе аудита.
Некоторые факторы могут определять необходимость изменения программы аудита. В их число могут быть включены- обнаружения аудита- демонстрируемый уровень эффективности и зрелости системы менеджмента проверяемой организации- результативность программы аудита- область аудита или область программы аудита- система менеджмента проверяемой организации- стандарты и другие требования, которые организация обязуется выполнять- внешние поставщики- выявленные конфликты интересов- требования заказчиков аудита Анализ и улучшение программы аудита
Лицу(ам). осуществляющему(им) управление программой аудита, и заказчику аудита следует проанализировать программу аудита, чтобы определить, достигнуты ли ее цели. Выводы, полученные при анализе программы аудита, следует применять как входные данные для процесса постоянного совершенствования программы.
Лицу(ам). осуществляющему(им) управление программой аудита, следует рассмотреть следующее- результаты общего исполнения программы аудита- идентификация областей и возможностей для улучшения- внесение изменений в программу аудита, при необходимости- анализ непрерывного повышения квалификации аудиторов в соответствии с 7.6;
- отчет о результатах программы аудита и обсуждение с заказчиком аудита и соответствующими заинтересованными сторонами, насколько это уместно.
При проведении анализа программы аудита следует рассмотреть следующее) результаты и тенденции, определенные входе мониторинга программы аудита) соответствие процессам программы аудита и соответствующую документированную информацию) меняющиеся потребности и ожидания соответствующих заинтересованных сторон ) записи по программе аудита ) альтернативные или новые методы аудита) альтернативные или новые методы оценки аудиторов;
д)эффективность мер реагирования на риски, и возможности, а также на внутренние и внешние факторы, связанные с программой аудита) вопросы конфиденциальности и информационной безопасности, связанной с программой аудита Проведение аудита Общие положения
В данном разделе содержатся руководящие указания по подготовке и проведению конкретного аудита как части программы аудита. На рисунке 2 представлен обзор типовой схемы проведения аудита. Степень, в которой положения данного раздела применимы, зависит от целей и области конкретного аудита Инициирование аудита Общие положения
Ответственность за проведение аудита следует оставить за назначенным руководителем аудиторской группы (см. 5.5.5) до завершения аудита (см. 6.6).
14
ГОСТ Р ИСО Чтобы инициировать аудит, следует рассмотреть шаги, описанные на рисунке 1, однако их последовательность может отличаться в зависимости от проверяемой организации, процессов и конкретных обстоятельств аудита Установление контакта с проверяемой организацией
Руководителю аудиторской группы следует обеспечить установление контакта с проверяемой организацией. чтобы ) подтвердить каналы связи с представителями проверяемой организации) подтвердить полномочия на проведение аудита) предоставить соответствующую информацию о целях, области, критериях, методах аудита, а также о составе аудиторской группы, включая технических экспертов;
^обратиться с заявкой на получение соответствующей информации для целей планирования, включая информацию о рисках и возможностях, определенных организацией и способы работы сними е)определить применяемые законодательные и нормативные правовые требования, а также требования, соответствующие деятельности, процессам, продукции и услугам проверяемой организации подтвердить соглашение с проверяемой организацией в отношении степени раскрытия и обработки конфиденциальной информации;
д) разрабатывать мероприятия, необходимые для проведения аудита, включая график;
^определить положения, связанные с местоположением проверяемой организации, в отношении доступа, здоровья и безопасности, режима секретности, конфиденциальности и т. п) согласовать вопрос о присутствии наблюдателей и необходимости в сопровождающих или переводчиках для аудиторской группы) определить области, которые предоставляют интерес, вызывают озабоченность или представляют риски проверяемой организации в связи с конкретным аудитом) решить проблемы в отношении состава аудиторской группы с проверяемой стороной или заказчиком аудита Определение возможности проведения аудита
Осуществимость аудита следует определить для того, чтобы получить обоснованную уверенность. что цели аудита могут быть достигнуты.
Для определения осуществимости следует рассмотреть такие факторы, как наличие) достаточной и надлежащей информации для планирования и проведения аудита) соответствующего сотрудничества со стороны проверяемой организации) необходимого времени и ресурсов для проведения аудита.
П р им е чан и е — Ресурсы включают адекватную и подходящую информационную и коммуникационную технологию.
Там, где аудит неосуществим, заказчику аудита следует предложить альтернативу по согласованию с проверяемой организацией Подготовка к проведению аудита Выполнение анализа документированной информации
Следует проанализировать соответствующую документированную информацию на систему менеджмента проверяемой организации, чтобы- собрать информацию для понимания функций проверяемой организации и подготовки к аудиту и разработке рабочих документов (см. 6.3.4), например на процессы, функции- составить общее представление об объеме документированной информации, чтобы определить возможное соответствие критериям аудита, возможные проблемные области, такие, как недостатки, упущения или конфликты.
В документированную информацию следует включить, ноне ограничиваясь этим документы на систему менеджмента и записи системы менеджмента, а также отчеты о предыдущих аудитах. При анализе документов следует учитывать среду проверяемой организации, включая ее размер, характер и сложность, а также связанные с этим риски и возможности. Также следует использовать область, критерии и цели аудита.
П р им е чан и е — Руководящие указания по проверке информации представлены в А Планирование аудита Риск — ориентированный подход к планированию
ГОСТ РИСО Руководителю аудиторской группы следует принять риск-ориентированный подход для планирования аудита на основе информации, содержащейся в программе аудита ив документированной информации. предоставленной проверяемой организацией.
При планировании аудита следует учесть риски аудиторской деятельности в отношении процессов проверяемой организации и обеспечить основу для соглашения между заказчиком аудита, аудиторской группой и проверяемой организацией в отношении проведения аудита. Планирование должно обеспечить эффективный графики координацию проведений аудита, чтобы достигнуть цель аудита эффективно.
Подробность плана аудита должна отражать область и сложность аудита, а также риск недости­
жения целей аудита. При разработке плана аудита руководителю аудиторской группы следует рассмотреть ) состав аудиторской группы и ее общую компетентность) подходящие методы выборки (см. А) возможности повышения результативности и эффективности аудиторской деятельности ) риски при достижении целей аудита, связанные с неэффективным планированием аудита) риски для проверяемой организации, создаваемые аудитом.
Риски для проверяемой организации могут возникать вследствие присутствия членов аудиторской группы, влияющих на обеспечение требований в области охраны труда, экологии и качества, и их присутствие может представлять определенную угрозу для продукции, услуг, персонала или инфраструктуры проверяемой организации (например, из-за загрязнений в чистых помещениях).
Для комплексных аудитов особое внимание следует уделять взаимодействиям между рабочими процессами и конкурирующими целями и приоритетами различных систем менеджмента Подробности планирования аудита
Масштаб и содержание плана аудита могут быть различными, например, для первоначального и последующих аудитов, а также для внутреннего и внешнего аудитов. План аудита должен быть достаточно гибким, чтобы можно было вносить в него изменения, которые могут стать необходимыми в процессе проведения аудита.
В плане аудита следует отразить или дать ссылки наследующее) цели аудита) область аудита, включая идентификацию организации и ее функции, а также процессы, подлежащие аудиту) критерии аудита и всю представленную на рассмотрение документированную информацию ) места (физические и виртуальные, даты, ожидаемые сроки и продолжительность аудиторской деятельности, включая встречи с руководством проверяемой организации ) необходимость для аудиторской группы ознакомиться с оборудованием и процессами проверяемой организации (например, проведя поездку по объектам или путем применения информационной и коммуникационной технологии) методы аудита, которые предполагается использовать, включая объем выборки при аудиторской проверке, которая необходима для получения достаточного аудиторского свидетельства;
д) функции и обязанности членов аудиторской группы, а также сопровождающих лиц и наблюдателей) распределение необходимых ресурсов на основе анализа рисков и возможностей, связанных с проверяемой деятельностью организации.
В плане аудита следует учесть, если это приемлемо, следующее- определение представителя проверяемой организации для аудита- рабочий языки язык отчетов по аудиту, если он отличается от языка аудитора и/или от языка проверяемой организации- вопросы, которые следует отразить в отчете по аудиту- мероприятия, касающиеся логистики и связи, включая конкретные мероприятия в отношении мест, где будет проводиться аудит- все конкретные меры, которые предполагается предпринять, чтобы учесть влияние рисков на достижение целей аудита и возникающие возможности- вопросы, связанные с конфиденциальностью и защитой информации- все действия по результатам предшествующего аудита или других источников, например полученных уроков, анализа проектов- все действия по результатам запланированного аудита
ГОСТ Р ИСО 19011—2021
- координацию с деятельностью других аудиторов в случае совместного аудита.
План аудита следует представить проверяемой организации. Все вопросы в отношении плана аудита следует решить мехеду руководителями аудиторской группы, проверяемой организации и при необходимости. лицом(ам). осуществляющим(ими) управление программой аудита Распределение работы среди членов аудиторской группы
Руководителю аудиторской группы, при консультации с членами группы, следует распределить обязанности и назначить лиц, ответственных за конкретные процессы, действия, функции или места проведения аудита и. соответственно, полномочия для принятия решений. Такие назначения следует проводить с учетом беспристрастности и объективности аудиторов, их компетентности, эффективности использования ресурсов, а также различных функций и обязанностей аудиторов, стажеров и технических экспертов.
Руководителю аудиторской группы следует, по необходимости, проводить короткие совещания аудиторской группы, чтобы распределить рабочие задания и решить вопрос о возможных изменениях. Изменения в рабочие задания могут быть внесены в процессе аудита, чтобы обеспечить достижение целей аудита Подготовка документированной информации для аудита
Членам аудиторской группы следует подобрать и проанализировать информацию, касающуюся их заданий, и подготовить необходимую документированную информацию для аудита, используя соответствующие носители. Документированная информация для аудита может включать, ноне ограничиваясь. следующее ) контрольные перечни вопросов (чек-листы) на физических или электронных носителях) планы выборок для аудита) аудиовизуальную информацию.
Применением этих носителей не следует ограничивать объем аудиторской деятельности, которая может измениться в результате информации, собранной в процессе аудита.
П р им е чан и е — Руководящие указания по подготовке рабочих докуменгов приведены в А.13.
Документированную информацию, подготовленную и полученную входе аудита, следует хранить, по крайней мере, до завершения аудита, или столько времени, сколько указано в программе аудита. Сохранение документированной информации после завершения аудита описано в 6.6. Членам аудиторской группы следует всегда должным образом защищать документированную информацию, созданную в процессе аудита и включающую конфиденциальную или частную информацию Проведение аудита Общие положения
Аудиторская деятельность обычно осуществляется в определенной последовательности, как показано на рисунке 1. Эта последовательность может меняться в зависимости от обстоятельств конкретного аудита Распределение ролей и обязанностей, сопровождающих и наблюдателей
Сопровождающие и наблюдатели могут находиться с аудиторской группой с одобрения руководителя группы, заказчика аудита и/или проверяемой организации, если требуется. Они не должны оказывать влияние или вмешиваться вход аудита. Если это невозможно гарантировать, руководителю аудиторской группы следует дать право отказать наблюдателям присутствовать вовремя определенных видов аудиторской деятельности.
Для наблюдателей все вопросы доступа, здоровья и безопасности, охраны окружающей среды, конфиденциальности и защиты информации следует оговаривать с заказчиком аудита и проверяемой организацией.
Сопровождающие, назначаемые проверяемой организацией, должны помогать аудиторской группе и подчиняться ее руководителю или аудитору, к которому их прикрепляют. В обязанности сопровождающих следует включить) помощь аудиторам в определении работников для проведения опроса и согласование время и места проведения интервью) организация доступа в конкретные места проверяемой организации) обеспечение того, чтобы правила для специфики конкретного местоположения, касающиеся доступа, здоровья и безопасности, охраны окружающей среды, защиты конфиденциальности и другие
ГОСТ РИСО были известны и принимались во внимание членами аудиторской группы и наблюдателями любые риски были учтены ) наблюдение заходом аудита от имени проверяемой организации, когда это целесообразно ) пояснения или содействие в сборе информации, когда это необходимо Проведение вступительного заседания
Цель такого заседания заключается в следующем ) подтвердить согласие всех сторон (например, проверяемой организации, аудиторской группы) с планом аудита) представить аудиторскую группу и разъяснить их функции) удостовериться в том. что запланированный аудит может быть выполнен.
Открывающее аудит заседание следует проводить вместе с руководством проверяемой организации и. где необходимо, с лицами, ответственными за функции или процессы, подлежащие аудиту. На заседании следует обеспечить возможность задавать вопросы.
Степень детализации должна соответствовать осведомленности проверяемой организацией о процессе аудита. Во многих случаях, например при проведении внутреннего аудита в небольших организациях. вступительное заседание может просто состоять из сообщения о том. что проводится аудит, и из объяснения характера этого аудита.
В других случаях заседание может быть официальными списки присутствующих следует сохранять. Заседание следует проводить под председательством руководителя аудиторской группы. На заседании следует, соответственно, обсудить- других участников, включая наблюдателей, сопровождающих лиц и переводчиков, с указанием их роли в аудите- методы проведения аудита для управления рисками в организации из-за присутствия членов аудиторской группы.
Следует рассмотреть подтверждение следующих вопросов, в зависимости от обстоятельств- целей, области, критериев аудита- плана проведения аудита, и другие относящиеся к делу соглашения с проверяемой организацией. например в отношении даты и времени проведения заключительного заседания, всех промежуточных заседаний аудиторской группы и руководства проверяемой организации и необходимости каких-либо изменений- официальных каналов связи между аудиторской группой и проверяемой организацией- языка, используемого при аудите- информируемость проверяемой организации и о ходе аудита вовремя его проведения- наличие ресурсов и средств, необходимых аудиторской группе- вопросы, связанные с конфиденциальностью и защитой информации- соответствующие мероприятия обеспечения доступа здоровья и безопасности, защиты, безопасности в чрезвычайной ситуации для аудиторской группы и другие меры- работа на объекте, который может повлиять на проведение аудита.
Следует рассмотреть представление информации последующим вопросам, в зависимости от обстоятельств- способы сообщения обнаружений аудита, включая критерии для их классификации, если таковые имеются- условия, при которых аудит может быть прекращен- как поступать с обнаружениями аудита в процессе его проведения- системе обратной связи от проверяемой организации по поводу обнаружений или заключений аудита, включая жалобы или апелляции Обмен информацией входе аудита
В ходе аудита может потребоваться разработка официальных процедур по обмену информацией внутри аудиторской группы, а также с проверяемой организацией, заказчиком аудита и, возможно, внешними заинтересованными сторонами (например, регулирующими органами, особенно тогда, когда законодательные и нормативные правовые требования предписывают обязательную отчетность о несоответствиях.
Аудиторской группе следует периодически собираться для обмена информацией, оценки хода аудита ив случае необходимости, перераспределению заданий между членами аудиторской группы.
Во время аудита руководителю аудиторской группы следует периодически информировать о ходе аудита и обо всех возникающих вопросах и значимых обнаружениях проверяемую организацию и за-
18
ГОСТ Р ИСО 19011—2021
казчика аудита, по обстоятельствам. Свидетельство, полученное вовремя аудита, относительно предполагаемого непосредственного и существенного риска, должно быть представлено без задержки проверяемой организации и. если необходимо, заказчику аудита. Все. важное, но выходящее за рамки области аудита, следует фиксировать и сообщать руководителю аудиторской группы для возможной передачи заказчику аудита и проверяемой организации.
В случае, когда имеющееся свидетельство аудита указывает на недостижимость целей аудита, аудиторской группы следует сообщить заказчику аудита и проверяемой организации о причинах этого, стем чтобы определить соответствующее действие. Такое действие может включать изменение плана аудита, изменение целей или области аудита или его прекращение.
Любую необходимость изменений плана аудита, которая становится очевидной входе его выполнения. следует анализировать и утверждать должным образом как лицу(ам). осуществляюшему(им) управление программой аудита, таки проверяемой организации Наличие и доступ к информации по аудиту
Методы, выбранные для аудита, зависят от определенных целей, области и критериев, а также от продолжительности и месте проведения аудита. Место проведения аудита — это местонахождения требуемой для конкретного аудита информации, доступное для аудиторской группы. Сюда могут быть включены физические и виртуальные местоположения.
Где. когда и как получить информацию является важным вопросом для аудита. Это не зависит оттого, где создана, используется и/или хранится информация. Методы аудита необходимо определять на основе этих вопросов (см. таблицу А. При аудите можно использовать несколько методов. Обстоятельства аудита могут диктовать необходимость изменения методов в процессе аудита Анализ документированной информации входе проведения аудита
Следует проанализировать относящуюся к аудиту документированную информацию проверяемой организации, чтобы- определить соответствие системы критериям аудита в части документирования- собрать информацию необходимую для проведения аудита.
П р им е чан и е — Руководящие указания по проверке информации приведены в А.5.
Анализ информации может сочетаться с другой аудиторской деятельностью и продолжаться в процессе аудита, при условии, что это не повредит эффективности аудита.
Если документированная информация не могла быть представлена в сроки, установленные в программе аудита, то руководителю группы следует уведомить об этом лицо (лиц, осуществляющее(их) управление программой аудита, и проверяемую организацию. В зависимости от целей и области аудита следует принять решение, продолжать аудит или приостановить процесс до разрешения вопросов, связанных с документированной информацией Сбор и проверка информации
Во время аудита информация, относящаяся к целям, области и критериям аудита, включая информацию. касающуюся взаимосвязей между функциями, деятельностью и процессами, должна быть собрана путем соответствующих выборок и проверена.
П р им е чан и я Информацию по проверке см. в А Руководящие указания по выборкам см. в А.6.
Только информация, которая может быть проворена в той или иной степени, может быть свидетельством аудита. При низкой степени подтверждения информации аудитору следует использовать профессиональные навыки для определения степени надежности, которая позволит принять информацию в качестве свидетельства аудита. Свидетельства аудита, приводящие к обнаружениям аудита, должны быть записаны. Если при сборе объективного свидетельства аудиторская группа узнает оно вых или изменившихся обстоятельствах, или рисках, или возможностях, их следует соответствующим образом учесть.
На рисунке 2 представлен обзор типового процесса от сбора информации дополучения заключений по аудиту
ГОСТ РИСО Рисунок 2 — Обзор типового процесса сбора и проверки данных
Методы сбора информации включают, ноне ограничиваясь, следующее- опросы наблюдения- анализ документированной информации.
П р им е чан и е З — Руководящие указания по выбору источников информации и наблюдению приведено в А.14.
П р им е чан и е 4 — Руководящие указания по посещению мест проверяемой организации приведено в
А. Примечание Руководящие указания по проведению опросов интервью приведено в А. 17.
6.4.8 Формирование обнаружений аудита
Свидетельство аудита следует оценивать по критериям аудита, чтобы получить обнаружения аудита. Обнаружения аудита могут показать соответствие или несоответствие критериям аудита. Если указано в плане аудита, отдельные обнаружения аудита следует включить как соответствующие критериями как часть надлежащей практики вместе с подтверждающим их свидетельством, возможностями улучшения и рекомендациями для проверяемой организации.
Несоответствия и подтверждающее их свидетельство аудита необходимо зафиксировать.
Несоответствия могут классифицироваться в зависимости от среды организации и ее рисков. Эта оценка может быть количественной (например, от 1 доили качественной (например, незначительное. значительное. Их следует проанализировать совместно с проверяемой организацией, чтобы получить подтверждение, что свидетельство аудита является точными что несоответствия поняты. Следует принять все меры для согласования различающихся мнений в отношении свидетельства аудита или обнаружений аудита, а неразрешенные пункты зарегистрировать в отчете по аудиту.
Аудиторской группе следует провести совещание, необходимое для анализа обнаружений аудита на определенных этапах входе аудита
ГОСТ Р ИСО Примечания Дополнительные руководящие указания по идентификации и оценке обнаружений аудита приведены в
А.18.
2 Соответствие или несоответствие критериям аудита, относительно законодательных и договорных требований или иных требований, иногда называют как соблюдение или несоблюдение Подготовка заключений по аудиту Подготовка к заключительному заседанию
Аудиторская группа до заключительного заседания должна осуществить следующие мероприятия ) рассмотреть обнаружения аудита и другую соответствующую информацию, собранную вовремя аудита, на соответствие целям аудита) согласовать заключения аудита с учетом неопределенности, присущей процессу аудита) подготовить рекомендации, если это предусмотрено в плане аудита:
с!)обсудить последующие действия, если потребуется Содержание заключений по аудиту
Заключения по аудиту могут охватывать следующие вопросы) степень соответствия критериям аудита и работоспособность системы менеджмента, включая результативность системы менеджмента в достижении запланированных результатов, идентификации рисков и результативности действий, выполненных проверяемой организацией в отношении рисков) результативное внедрение, поддержание и улучшение системы менеджмента) достижение целей аудита, охват области аудита и выполнение критериев аудита;
(^аналогичные выводы, сделанные в различных областях, которые прошли аудит с целью идентификации тенденций.
Если внесено в план аудита, по заключениям аудита можно дать рекомендации по улучшению или по будущей аудиторской деятельности Проведение заключительного заседания
Заключительное заседание следует провести, чтобы представить обнаружения и заключения ау­
дита.
Заключительное заседание следует проводить под председательством руководителя аудиторской группы в присутствии руководства проверяемой организации и при участии, по необходимости- ответственных за функции или процессы, которые прошли аудит- заказчика аудита- других членов аудиторской группы- других заинтересованных сторон, определенных заказчиком аудита и/или проверяемой органи­
зацией.
Если это необходимо, руководителю аудиторской группы следует информировать проверяемую организацию относительно ситуаций, возникших вовремя аудита, которые могут уменьшить доверие к заключениям аудиту. Если это определено в системе менеджмента или по соглашению с заказчиком аудита, участники должны договориться о временных рамках для представления плана действий по реагированию на обнаружения аудита.
Уровень детализации должен учитывать эффективность системы менеджмента в достижении целей проверяемой организацией, включая рассмотрение ее среды и рисков и возможностей.
На заключительном заседании следует принять во внимание осведомленность проверяемой организации в процессе проведения аудита, чтобы обеспечить надлежащий уровень детализации для участников.
Для некоторых ситуаций заседание может быть официальным, сведением протокола, регистрацией присутствующих и с сохранением их списка. В других случаях, например при внутренних аудитах, заключительное заседание менее формально и может включать только сообщение об обнаружениях и заключениях аудита.
Если уместно, на заключительном заседании можно пояснить проверяемой организации следующее) что собранное свидетельство аудита было основано на выборке из имеющейся информации и необязательно является полностью репрезентативным для общей результативности процессов проверяемой организации) способ подготовки отчетности
ГОСТ РИСО 19011—2021
c) согласованный процесс обработки обнаружений аудита) возможные последствия неправильной обработки обнаружений аудита ) представление обнаружений и заключений аудита таким образом, чтобы это было понятно и принято к сведению руководством проверяемой организации) все виды деятельности после аудита (например, выполнение и анализ корректирующих действий. рассмотрение жалоб, процесс апелляции).
Все мнения, расходящиеся относительно обнаружений и заключений по аудиту, следует обсудить между собой аудиторской группе вместе с проверяемой организацией и. по возможности, прийти к соглашению. В противном случае следует записать эти мнения.
Если это входит в цели аудита, могут быть представлены рекомендации по улучшению. Следует подчеркнуть, что рекомендации не являются обязательными Подготовка и рассылка отчета по аудиту Подготовка отчета по аудиту
Руководителю аудиторской группы следует составить отчет о заключениях по аудиту в соответствии с программой аудита. Отчет по аудиту должен содержать полные, точные, сжатые и понятные записи по аудиту и включать или иметь ссылки ) цели аудита) область аудита, в частности, идентификацию организации (аудитируемой) и функциональных подразделений или процессов, подлежащих аудиту) идентификация заказчика аудита ) идентификация аудиторской группы и участников от проверяемой организации в аудите) даты и места проведения аудита) критерии аудита;
д)обнаружения аудита и соответствующее свидетельство аудита) заключения аудита) заявление о степени соответствия критериям аудита) все неразрешенные спорные вопросы между аудиторской группой и проверенной организацией) то. что аудиты по характеру связаны с выборками это имеет риск получения и изучения нере­
презентативного свидетельства аудита.
Отчет по аудиту может также включать или давать ссылки наследующее, насколько уместно- план аудита, включая график проведения- краткое описание процесса аудита, включая всо возникшие препятствия, которые могут снизить достоверность заключений аудита- подтверждение того, что цели аудита достигнуты в рамках области аудита ив соответствии с планом аудита- все неохваченные части в области аудита, включая все факторы наличия свидетельства, ресурсов или конфиденциальности с соответствующими обоснованиями- краткое описание заключений аудита и основные обнаружения аудита, подтверждающие эти заключения- выявленная положительная практика- согласованный план последующих действий, если таковые имеются- заявление о конфиденциальном характере содержания отчета- любые последствия для программы аудита или последующих аудитов.
6.5.2 Рассылка отчета по аудиту
Отчет по аудиту следует подготовить в согласованные сроки. В случае задержки о причинах задержки следует сообщить проверяемой организации и лицу(ам), осуществляющему(им) управление программой аудита.
Отчет по аудиту следует датировать, проанализировать и утвердить в соответствии с программой аудита.
Отчет по аудиту следует разослать соответствующим заинтересованным сторонам, определенным в программе аудита или планом аудита
ГОСТ Р ИСО При рассылке отчета необходимо предусмотреть соответствующие меры по обеспечению конфиденциальности Завершение аудита
Аудит считается завершенным, когда все запланированные мероприятия аудита выполнены или достигнуто иное соглашение с заказчиком аудита (например, в случае непредвиденных обстоятельств, которые мешают завершению аудита в соответствии с планом).
Документированную информацию, имеющую отношение к аудиту, следует хранить или уничтожить на основании договоренности между участвующими сторонами в соответствии с программой аудита и действующими требованиями.
Если это не предусмотрено законом, аудиторская группа и лицо(а). осуществляющее(ие) управление программой аудита, не должны раскрывать информацию, полученную вовремя аудита, или содержание отчетов по аудиту любой другой стороне без прямого разрешения заказчика аудита и. где это требуется, разрешения проверяемой организации. Если потребовалось раскрыть содержание документов аудита, заказчик аудита и проверяемая организация должны быть уведомлены об этом как можно скорее.
Уроки аудита необходимо использовать в процессе идентификации рисков и возможностей для программы аудита и проверяемой организации Выполнение последующих действий по результатам аудита
Результаты аудита могут, в зависимости от целей аудита, указывать на необходимость коррекции, корректирующих действий или на возможности улучшения. Такие мероприятия обычно, решаются и предпринимаются проверяемой организацией в согласованные сроки. Как правило, проверяемая организация держит руководителя программы аудита и/или аудиторскую группу в курсе этих действий.
Следует верифицировать завершение и результативность этих действий. Эта верификация может быть частью последующего аудита. Результаты можно сообщить руководителю программы аудита, заказчику аудита для анализа менеджмента Компетентность и оценка аудиторов Общие положения
Доверие к процессу аудита и его способности достигнуть поставленные цели зависят от компетентности тех. кто участвует в планировании и проведении аудитов, включая аудиторов и руководителей аудиторских групп. Компетентность следует оценивать систематически путем учета личных качеств и способности к применению знаний и навыков, полученных при обучении, опыте работы, аудиторской подготовке и опыте работы в качестве аудитора. При этом следует также учитывать требования программы аудита и ее цели. Некоторые знания и навыки, описанные в 7.2.3, являются общими для аудиторов. проверяющих любые системы менеджмента другие являются специфичными для отдельных дисциплин системы менеджмента. Нет необходимости в том, чтобы каждый аудитор в группе имел одинаковую компетентность в тоже время общая компетентность группы должна быть достаточной для достижения целей аудита.
Оценку компетентности аудитора следует планировать, выполнять и документировать, чтобы обеспечить результат, являющийся объективным, последовательным, честными надежным. Процесс оце­
нивания должен включать четыре основных этапа, а именно) определить требуемую компетентность для выполнения потребностей программы аудита) установить критерии оценки) выбрать подходящий метод оценки) выполнить оценку.
Результат процесса оценивания следует использовать как основу- для отбора членов аудиторской группы (в соответствии с 5.4.4);
- определения потребности в повышении компетентности (например, дополнительное обучение- постоянной оценки деятельности аудиторов.
Аудиторам следует развивать, поддерживать и повышать свою компетентность путем постоянного профессионального развития и регулярного участия в аудитах (см. 7.6).
23
ГОСТ РИСО Процесс оценивания аудиторов и руководителей аудиторской группы описан в 7.3. 7.4 и Аудиторы и руководители аудиторской группы должны проходить оценку по критериям, установленным в 7.2.2 и 7.2.3. а также по критериям, указанным в Компетентность, требуемая от руководителя программы аудита, описана в 5.4.2.
7.2 Определение компетентности аудиторов Общие положения
При принятии решения о необходимой компетентности для выполнения аудита, знаниях и навыках аудитора следует учитывать ) размер, характер и сложность, продукцию, услуги и процессы организации, подлежащей аудиту) методы аудита) аспекты системы менеджмента, подлежащей аудиту) сложность и процессы системы менеджмента, подлежащей аудиту ) типы и уровни рисков и возможностей, связанных с системой менеджмента) цели и объем программы аудита;
д ) неопределенность в достижении целей аудита) другие требования, такие как предъявляемые заказчиком аудита и другими заинтересованными сторонами, где это уместно;
Эту информацию следует согласовать сданными, приведенными в 7.2.3.
7.2.2 Личные качества
Аудиторам следует обладать необходимыми качествами, позволяющими им действовать в соответствии с принципами аудита, как описано в разделе 4. Аудиторам следует демонстрировать профессиональные качества в процессе аудита.
Желаемые профессиональные качества включают) этичность, те. порядочность, правдивость, искренность, честность и рассудительность) открытость ума. те. желание прислушиваться к альтернативным идеям или точкам зрения) дипломатичность, те. тактичность при работе с людьми ) наблюдательность, те. активное наблюдение физического окружения и деятельности;
е ) проницательность, те. знание и способность понимания ситуаций) гибкость, те. способность быстро адаптироваться к различным ситуациям;
д) упорство, те. настойчивость и стремление к достижению целей) решительность, те. способность принимать своевременные решения на основе логических умозаключений и анализа) уверенность в себе. те. способность действовать и функционировать независимо, в тоже время эффективно взаимодействовать с другими) настойчивость, те. способность действовать ответственно и не нарушать этики, даже если такое поведение не всегда будет популярными иногда может привести к разногласиями конфронтации) готовность к совершенствованию, те. желание учиться в разных ситуациях) восприимчивость к культуре, те. внимание и уважение культуре проверяемой организации;
1   2   3


написать администратору сайта