ГОСТ Р ИСО 19011-2012. Руководящие указанияпо аудиту систем менеджментаiso 19011 2011Guidelines for auditing management systems
Скачать 0.56 Mb.
|
6.4.9 Проведение заключительного совещания Проведение заключительного совещания должно быть организовано руководителем группы по ау- диту таким образом, чтобы представленные выводы и заключения аудита были понятны и признаны проверяемой организацией. К участию в заключительном совещании следует привлекать руководите- лей проверяемой организации и, там, где это целесообразно, сотрудников, отвечающих за функции или процессы, которые были проверены в ходе аудита, а также заказчика аудита и другие стороны. Если это необходимо, руководитель группы по аудиту должен сообщать проверяемой организа- ции о сложившихся во время проведения аудита ситуациях, которые могут уменьшить доверие к инфор- мации, изложенной в заключениях по результатам аудита. Если это определено в системе менеджмента или соглашением с лицом, отвечающим за управление программой аудита, участникам следует согласовать сроки разработки и внедрения плана мероприятий по результатам аудита, включающего корректирующие и предупреждающие действия. Объем и степень предоставляемых сведений должны соответствовать степени осведомленности проверяемой организации о процессе аудита. В других случаях, например, при внутренних аудитах, за- ключительное совещание является менее формальным и может состоять только из сообщения о выво- дах и заключениях по результатам аудита. При необходимости, на заключительном совещании следует довести до сведения проверяемой организации следующее: - что собранные во время аудита свидетельства основаны на выборке данных и информации, имевшейся на момент проведения аудита; - метод протоколирования и составления отчетов, включая любую классификацию или ранжиро- вание данных; - процесс обработки и трактовки выводов аудита и возможные последствия, связанные с приняти- ем решений по выявленным фактам; - выводы аудита таким способом, чтобы они были понятны и признаны проверяемой органи- зацией; - любые последующие действия по результатам аудита (например, выполнение корректирующих действий, обработку претензий, процесс апелляций). Любые разногласия по выводам и/или заключениям аудита между группой по аудиту и проверяе- мой организацией должны быть обсуждены и, по возможности, разрешены. В случае, если разногласия не удается разрешить, то все мнения должны быть зарегистрированы. Если это предусмотрено целями аудита, могут быть предоставлены рекомендации по улучшению. Следует указать, что рекомендации не носят обязательного характера. 6.5 Подготовка и рассылка отчета по аудиту 6.5.1 Подготовка отчета по аудиту Руководитель группы по аудиту несет ответственность за подготовку и содержание отчета по аудиту. Отчет по аудиту должен содержать полные, точные, четко сформулированные и понятные записи по аудиту и, в соответствии с процедурами аудита, должен включать в себя или содержать ссылку на следующее: a) цели аудита; b) область аудита, в частности, идентификацию проверенных организационных и функциональ- ных подразделений или процессов и охватываемый период времени; c) идентификацию заказчика аудита; d) идентификацию членов группы по аудиту и представителей проверяемой организации, прини- мавших участие в проведении аудита; e) даты и места проведения аудита на месте; f) критерии аудита; g) выводы аудита; h) заключения по результатам аудита; i) заявление о степени соответствия критериям аудита. 19 ГОСТ Р ИСО 19011—2012 При необходимости в отчет по аудиту могут также быть включены: - план аудита, включая график; - итоговое изложение процесса аудита, включая неопределенности и/или любые встретившиеся препятствия при его проведении, которые могут уменьшить достоверность заключений по результатам аудита; - подтверждение достижения целей аудита в пределах области аудита в соответствии с планом аудита; - области, не охваченные аудитом, но находящиеся в области аудита; - итоговая сводка, содержащая заключения по результатам аудита и подтверждающие их выводы (наблюдения) аудита; - неразрешенные противоречия между группой по аудиту и проверяемой организацией; - возможности для улучшения, если это предусмотрено целями аудита; - выявленные сильные стороны и лучшие практики; - согласованный план действий по результатам аудита, если такой план имеется; - заявление о конфиденциальном характере содержимого отчета; - любые последствия для программы аудита или последующих аудитов; - перечень рассылки отчета по аудиту. П р и м е ч а н и е — Отчет по аудиту может быть разработан до заключительного совещания. 6.5.2 Рассылка отчета по аудиту Отчет по аудиту должен быть подготовлен и представлен в согласованные сроки. В случае задер- жки, о ее причинах следует сообщить проверяемой организации и лицу, ответственному за управление программой аудита. Отчет по аудиту должен иметь дату выпуска, надлежащим образом проанализирован и утвержден в соответствии с процедурами программы аудита. Затем отчет по аудиту должен быть разослан получателям, определенным процедурами ауди- та. 6.6 Завершение аудита Аудит считается завершенным, если все запланированные мероприятия аудита были выполне- ны или же на основании, согласованном с заказчиком аудита (например, могут быть непредвиденные ситуации, которые препятствуют тому, чтобы аудит был завершен в соответствии с разработанным планом). Документы, относящиеся к аудиту, следует хранить или уничтожать на основании соглашения меж- ду участвующими сторонами в соответствии с процедурами программы аудита и применяемыми законо- дательными и другими требованиями. Если это не предусмотрено законом, группа по аудиту и лицо, ответственное за управление про- граммой аудита, не должны раскрывать содержимого документов и другой информации, полученной во время аудита, или отчета по аудиту любой другой стороне без ясного разрешения заказчика аудита и, где это требуется, разрешения проверяемой организации. Если необходимо раскрыть содержание доку- ментов аудита, заказчик аудита и проверяемая организация должны быть незамедлительно об этом про- информированы. Из наблюдений и выводов, полученных при проведении аудита, проверяемой организации следует извлекать необходимые уроки для включения соответствующих действий в процесс постоянного улуч- шения своей системы менеджмента. 6.7 Действия по результатам аудита Заключения по результатам аудита могут в зависимости от целей аудита указывать на необходи- мость выполнения коррекций, корректирующих и предупреждающих действий или действий по улучше- нию. Такие действия, как правило, разрабатываются и выполняются проверяемой организацией в согласованные временные сроки. При необходимости, проверяемой организации следует информиро- вать лицо, ответственное за управление программой аудита, и группу аудиторов о состоянии выполне- ния этих действий. Выполнение и результативность этих действий должны быть верифицированы. Такая верифика- ция может быть частью последующего аудита. 20 ГОСТ Р ИСО 19011—2012 7 Компетентность и оценка аудиторов 7.1 Общие положения Доверие к процессу аудита и его способность достигнуть поставленные цели зависит от компетен- тности лиц, участвующих в планировании и проведении аудитов, включая аудиторов и руководителей групп по аудиту. Компетентность следует оценивать посредством процесса, учитывающего личные ка- чества и способность применять знания и навыки, приобретенные посредством обучения, произво- дственного опыта, подготовки в качестве аудитора и опыта в проведении аудита. Этот процесс должен учитывать потребности программы аудита и ее цели. Некоторые знания и навыки, описанные в 7.2.3, яв- ляются общими и универсальными для аудиторов любой дисциплины или области, охватываемой соот- ветствующей системой менеджмента, остальные имеют особый характер, учитывающий конкретную специфику дисциплины или области, охватываемой системой менеджмента. При этом нет необходимос- ти в том, чтобы каждый аудитор в группе по аудиту имел одинаковый уровень компетентности; при этом необходимо, чтобы общая компетентность группы по аудиту была достаточной для выполнения целей аудита. Оценку компетентности аудиторов необходимо планировать, осуществлять и документально оформлять в соответствии с программой аудита, включая процедуры для получения объективного, на- дежного и соответствующего имеющимся потребностям результата. Процесс оценки должен включать в себя следующие четыре этапа: a) определение компетентности персонала для проведения аудита, требуемой для программы ау- дита; b) определение критериев оценки; c) выбор соответствующего метода оценки; d) проведение оценки. Результат процесса оценки должен служить основой для: - формирования группы по аудиту (5.4.4); - определения потребности в обучении и подготовке или других потребностей, связанных с увели- чением уровня компетентности; - оценки текущей работы аудиторов. Аудиторы должны развивать, поддерживать и улучшать свою компетентность посредством посто- янного профессионального развития и регулярного участия в аудитах (7.6). Процесс оценки аудиторов и руководителей группы по аудиту описан в 7.4 и 7.5. Оценка руководителей групп по аудиту должна проводиться согласно критериям, установленным в 7.2.2 и 7.2.3. Компетентность, необходимая лицу, управляющему программой аудита, описана в 5.3.2. 7.2 Определение компетентности аудитора для удовлетворения потребностей программы аудита 7.2.1 Общие положения При принятии решений, касающихся необходимого уровня знаний и навыков, следует учитывать следующее: - размер, вид деятельности и структурные особенности проверяемой организации; - аспекты деятельности (дисциплины) системы менеджмента, подлежащей аудиту; - цели и объем программы аудита; - другие требования, например, устанавливаемые внешними органами, если они применяются; - роль процесса аудита в системе менеджмента проверяемой организации; - сложность, объем и структуру системы менеджмента, подлежащей аудиту; - имеющуюся неопределенность, связанную с достижением целей аудита. Эту информацию следует соотнести с информацией, приведенной в 7.3.1—7.3.3. 7.2.2 Личные качества Аудиторы должны обладать необходимыми личными качествами, позволяющими им действовать в соответствии с принципами проведения аудита, изложенными в разделе 4. Аудиторы должны прояв- лять профессиональное отношение и личные качества во время проведения аудита, включающие в себя: 21 ГОСТ Р ИСО 19011—2012 - этичность — честность, правдивость, искренность и благоразумие; - открытость и непредубежденность — желание и готовность воспринимать альтернативные идеи или точки зрения; - дипломатичность — тактичность при обращении с людьми; - наблюдательность — активное наблюдение за окружающей обстановкой и видами дея- тельности; - восприимчивость — осведомленность и способность к пониманию ситуаций; - универсальность — возможность быстро адаптироваться к различным ситуациям; - упорство — настойчивость, нацеленность на достижение целей; - решительность — своевременное принятие решений на основе логических соображений и анализа; - самостоятельность — действовать и выполнять свои функции независимо, результативно взаи- модействуя с другими; - принципиальность — готовность действовать ответственно и этично даже в тех случаях, когда эти действия могут не встречать одобрения или приводить к разногласиям или конфронтации; - готовность к самосовершенствованию — обучение в процессе работы, стремление к достиже- нию наилучших результатов при проведении аудитов; - высокая культура поведения — соблюдение и уважительное отношение к культурным ценнос- тям проверяемой организации; - умение сотрудничать и работать с людьми — результативное взаимодействие с другими, вклю- чая членов группы по аудиту и персонал проверяемой организации. 7.2.3 Знания и навыки 7.2.3.1 Общие положения Аудиторы должны обладать знаниями и навыками, необходимыми для достижения намеченных результатов аудитов, проведение которых им будет поручено. Все аудиторы должны обладать общими знаниями и навыками, и также предполагается, что они будут обладать некоторыми специальными зна- ниями и навыками в конкретных дисциплинах и отраслях менеджмента. Руководители групп по аудиту должны иметь дополнительные знания и навыки, необходимые для обеспечения надлежащего руководства группой по аудиту. 7.2.3.2 Общие знания и навыки аудиторов систем менеджмента Аудиторы должны обладать знаниями и навыками в следующих областях: а) Принципы, процедуры и методы аудита — знания и навыки в этой области позволяют аудитору применять подходящие принципы, процедуры и методы для различных аудитов и обеспечивать прове- дение данных аудитов последовательным и систематическим образом. Аудитор должен быть способен: - применять принципы, процедуры, методы и приемы аудита; - эффективно планировать и организовывать работу; - проводить аудит в течение установленного срока; - устанавливать приоритеты и быть сфокусированным на существенных вопросах; - собирать информацию посредством эффективного опроса, выслушивания, наблюдений и ана- лиза документов, записей и данных; - понимать и учитывать мнения экспертов; - понимать пригодность, соответствие и последствия использования тех или иных приемов выбо- рочного исследования для аудита; - верифицировать точность собранной информации; - подтверждать достаточность и приемлемость свидетельств аудита для обоснования выводов аудита и заключений; - оценивать факторы, которые могут повлиять на достоверность выводов и заключений по резуль- татам аудита; - использовать рабочие документы для регистрации деятельности по аудиту; - готовить отчеты по аудиту; - сохранять конфиденциальность и безопасность информации, документов и записей; - осуществлять эффективный обмен информацией, используя вербальные и письменные сред- ства коммуникации (включая использование услуг переводчиков); - понимать типы рисков, связанных с проведением аудитов. 22 ГОСТ Р ИСО 19011—2012 b) Система менеджмента и ссылочные документы — знания и навыки в этой области позволяют аудитору понимать область применения аудита и применять критерии аудита. Данные знания и навыки должны охватывать следующее: - стандарты по системам менеджмента и другие документы, используемые в качестве критериев аудита; - применение стандартов по системам менеджмента проверяемой организацией и другими орга- низациями, когда это применимо; - взаимодействие элементов системы менеджмента; - понимание иерархии ссылочных документов (их различий и приоритетов); - применение ссылочных документов к различным ситуациям при аудите. с) Специфика организационной деятельности — знания и навыки в этой области позволяют ауди- тору понимать структуру, бизнес и применяемые организацией методы управления и должны охваты- вать следующее: - типы, управление, размер, структуру, функции организации и взаимосвязи внутри нее; - общие бизнес-понятия и концепции менеджмента, бизнес-процессы и соответствующую терми- нологию, включая планирование, составление финансовых смет и бюджета организации, управление персоналом; - культурные и социальные аспекты проверяемой организации. d) Применяемые к проверяемой организации законодательные, контрактные и другие требова- ния — знания и навыки в этой области позволяют аудитору быть осведомленным и работать в рамках законодательных и контрактных требований, относящихся к деятельности организации. Знания и навы- ки, характерные для конкретной области юрисдикции или видов деятельности и продукции проверяе- мой организации, должны охватывать следующее: - законы, нормативные правовые акты и правила и их правоприменительную практику; - основополагающую юридически-правовую терминологию; - контракты и другие юридические обязательства. 7.2.3.3 Специальные знания и навыки аудиторов систем менеджмента по дисциплинам и конкрет- ным отраслям менеджмента Аудиторы должны иметь специальные знания и навыки по соответствующим дисциплинам и от- раслям менеджмента, которые будут достаточными для проведения аудита конкретного типа системы менеджмента и отрасли. При этом нет необходимости в том, чтобы каждый аудитор в группе по аудиту имел одинаковый уровень компетентности; однако необходимо, чтобы общая компетентность группы по аудиту была дос- таточной для достижения целей аудита. Специальные знания и навыки аудиторов по конкретным дисциплинам и отраслям менеджмента включают в себя следующее: - требования и принципы системы менеджмента, характерные для конкретной дисциплины, и их применение; - законодательные требования, относящиеся к данной дисциплине или отрасли, необходимые для того, чтобы знать требования, относящиеся к конкретной юрисдикции и обязательствам проверяе- мой организации, ее деятельности и продукции; - требования заинтересованных сторон, относящиеся к конкретной дисциплине; - базовые понятия и основные принципы данной дисциплины менеджмента и применение харак- терных для данной дисциплины методов, технических приемов, процессов и практик в той степени, что- бы быть способным исследовать данную систему менеджмента и делать соответствующие выводы и заключения по результатам аудита; - специальные знания в области дисциплины менеджмента, относящиеся к конкретной отрасли, специфике операций или проверяемым местам производственной деятельности, в той степени, чтобы было возможно оценивать виды деятельности проверяемой организации, ее процессы и продукцию (товары и услуги); - принципы, методы и технические приемы управления рисками, относящиеся к данной дисципли- не или отрасли, с тем чтобы возможно было оценивать и контролировать риски, связанные с програм- мой аудита. П р и м е ч а н и е — Руководящие указания и пояснительные примеры в отношении знаний и навыков ауди- торов, характерные для отдельных дисциплин менеджмента, приведены в приложении А. 23 ГОСТ Р ИСО 19011—2012 7.2.3.4 Общие знания и навыки руководителя группы по аудиту Руководители групп по аудиту должны иметь дополнительные знания и навыки для управления и руководства аудитом для обеспечения результативного и эффективного проведения аудита. Руководи- тель группы по аудиту должен иметь знания и навыки, необходимые для: a) уравновешивания сильных сторон и недостатков членов конкретной группы по аудиту; b) выработки гармоничных рабочих отношений между членами группы по аудиту; c) управления процессом аудита, включающего в себя: - планирование аудита и эффективное использование ресурсов во время аудита, - управление имеющейся неопределенностью, которая связана с достижением целей аудита, - обеспечение безопасности, касающейся здоровья членов группы по аудиту во время проведе- ния аудита, включая соблюдение аудиторами соответствующих требований в области охраны труда и корпоративной безопасности, - организацию и направления работы членов группы по аудиту, - обеспечение руководства и сопровождение работы стажеров, - предупреждение и, в случае необходимости, разрешение конфликтных ситуаций; d) представления группы по аудиту при взаимодействии и обеспечении обмена информацией с заказчиком аудита и проверяемой организацией; e) руководства группой по аудиту для достижения заключений по результатам аудита; и f) подготовки и представления итогового отчета по результатам аудита. 7.2.3.5 Знания и навыки для аудита систем менеджмента, включающих в себя различные дисцип- лины Аудиторы, которые собираются в качестве членов группы по аудиту участвовать в проведении проверок систем менеджмента, включающих в себя несколько дисциплин, должны обладать компетент- ностью, необходимой для проведения аудиторской проверки хотя бы одного из этих аспектов систем менеджмента, и понимать аспекты, связанные с взаимодействием и взаимным влиянием друг на друга между различными системами менеджмента. Руководители групп по аудиту, проводящие аудиты систем менеджмента, включающих в себя раз- личные аспекты, должны понимать требования стандартов, предназначенных для каждой системы ме- неджмента, и должны четко осознавать границы своих знаний и навыков применительно к каждому из этих аспектов менеджмента. |