Менеджмент программы аудита

Из трактуемого в ГОСТ Р ИСО 19011-2003 определения аудита следует, что в аудиторской деятельности следует ориентироваться на процессный подход, т.е. аудит представляется не единичным событием, а процессом или неким циклом действий, которым необходимо управлять. В связи с этим в стандарте предлагается для осуществления аудитов адаптировать известный в системах качества и экологического менеджмента цикл Деминга- PDCA: планирование (plan) - осуществление (do) - проверка (check) - действия по улучшению (action).

Применительно к аудитам предложена следующая последовательность действий в рассматриваемом цикле: разработка программ аудита - внедрение программ аудита -мониторинг и анализ программ - улучшение программ аудита (рисунок 4).

Программа аудита может включать в себя один или несколько аудитов, в зависимости от размера, типа и сложности проверяемой организации. Эти аудиты могут преследовать разнообразные цели и могут включать комплексные или совместные аудиты. Программа аудита включает в себя все виды деятельности, необходимые для планирования и организации аудитов. Аудируемая организация может установить одну или несколько программ аудита. Высшее руководство организации должно предоставить полномочия соответствующим сотрудникам для менеджмента программы аудита. Менеджмент программы аудита включает соответствующее планирование, предоставление ресурсов и установление процедур при проведении аудитов в соответствии с программой.

Цели программы аудита основываются на рассмотрении:

- приоритетов руководства организации;

- коммерческих намерений;

- требований системы экологического менеджмента;

- законодательных, нормативных и контрактных требований;

- необходимости оценки поставщика;

- требований потребителей;

- потребностей других заинтересованных сторон;

- рисков для организации.

Объем программы аудита может изменяться в зависимости от размера, типа, сложности проверяемой организации.

Ответственностьза программы аудита должны нести назначенные руководством предприятия лица, обладающие компетентностью и полномочиями по установлению целей и управлению программой аудита, которые должны устанавливать, реализовывать, проводить мониторинг, анализировать и улучшать программу аудита; определять необходимые ресурсы и обеспечивать их предоставление, разрабатывать процедуры по планированию и проведению аудитов.

Рисунок  4 — Блок-схема менеджмента программы аудита

Реализация программы аудита включает:

- доведение программы аудита до соответствующих сторон;

- составление графика аудитов;

- поддержание компетенции и развитие аудиторов;

- обеспечение проведения аудитов в соответствии с программой аудита;

- обеспечение управления записями по аудиторской деятельности;

- обеспечение проведения анализа и утверждения отчетов об аудите, а также обеспечение их рассылки заказчику аудита и другим заинтересованным сторонам;

- обеспечение последующих действий.

Для подтверждения реализации программы аудита должны вестись записи,которые включают:

- записи, касающиеся отдельных аудитов, в т.ч.:

планы аудитов;

отчеты об аудите;

отчеты о несоответствии;

отчеты о корректирующих и предупреждающих действиях;

отчеты о последующих действиях;

- результаты анализа программы аудита;

- записи по персоналу, проводящему аудит, в т.ч.:

оценка компетентности и их деятельности;

подбор команды по аудиту;

поддержание и повышение компетентности.

Для оценки достижения целей и выявления возможностей улучшения программы аудита должен проводится мониторинг реализации и, через определенные промежутки времени, анализ программы аудита.

При проведении мониторинга должны учитываться способность аудиторских групп реализовать план аудита, соответствие аудита программам и графикам аудитов, обратная связь с заказчиком аудита, проверяемыми организациями и аудиторами.

Анализ программы аудита должен включать:

- результаты и тенденции, выявленные в ходе мониторинга;

- соответствие процедурам;

- выявление потребностей и ожиданий заинтересованных сторон;

- записи по программе аудита;

- альтернативные или новые практики проведения аудита;

  - согласованность в деятельности команд по аудиту в аналогичных ситуациях.

Деятельность по аудиту

Для обеспечения результативности управления программой аудита в стандартах ISO 19011:2002 и ГОСТ Р ИСО 19011-2003 предложена типовая схема планирования и проведения аудита, включающая шесть основных боков (рисунок 5).

Первый блок связан с осуществлением организационных мер по инициированию аудита и включает:

- назначение руководителя аудиторской группы;

- определение целей, объема и критериев аудита;

- определение осуществимости аудита;

- подбор команды аудита;

- установление первоначального контакта с проверяемой организацией.

Второй блок типовой схемы связан с анализом документов и включает оценку соответствующей документации проверяемой организации, отчеты по предыдущим аудитам, записи, определение их адекватности, исходя из критериев аудита. В некоторых случаях может оказаться необходимым посетить место проведения аудита для получения необходимой информации. Если документация признана неадекватной, то руководитель аудиторской группы должен проинформировать заказчика аудита, ответственных за управление программой аудита и принять решение по продолжению или приостановке аудита до тех пор, пока проблема с документацией не будет разрешена.

Рисунок 5 - Обзор основных действий при аудите

Подготовка к деятельности по аудиту «на месте» (третий блок) предполагает:

-подготовку плана аудита (цели аудита, критерии аудита, область действия аудита, дата и место проведения аудита на местах, время и продолжительность аудита «на месте», роли и обязанности членов аудиторской группы и сопровождающих лиц, выделение соответствующих ресурсов);

- распределение работы в команде по аудиту;

- подготовку рабочих документов (контрольные перечни вопросов (чек-листы) и планы выборочного контроля, формы для записи информации).

При необходимости в план аудита включают: определение представителей проверяемой организации для участия в аудите, содержание отчета по аудиту, материально-техническое обеспечение (средства передвижения, оборудование на месте и др.), вопросы обеспечения конфиденциальности, действия по результатам аудита.

Пландолжен быть представлен проверяемой организации перед началом аудита «на месте». Любые возражения со стороны этой организации должны быть разрешены с руководителем аудиторской группы и заказчиком.

Основной этап ( четвертый блок) - проведение аудита «на местах»включает самые короткие по продолжительности, но самые ответственные и напряженные по интенсивности работы. Именно на этом этапе реализуется процесс собственно аудита, т.е. получение свидетельств, сопоставления их с критериями, формирование выводов (наблюдений) и заключения по результатам аудита.

Проведение аудита «на местах» включает:

- проведение вступительного совещания с участием руководства проверяемой организации и лиц, ответственных за функции, подлежащие проверке с целью подтверждения плана аудита, краткого изложения действий по аудиту;

- коммуникации во время аудита для обмена информацией, оценки хода аудита и, при необходимости, перераспределения обязанностей между аудиторами;

- роли и обязанности сопровождающих лиц и наблюдателей (установление контактов и времени для опроса, организация и посещение конкретных мест на площадке или в организации, обеспечение ознакомления и соблюдение членами аудиторской группы правил, касающихся техники безопасности на местах, выступление в качестве свидетеля по поручению проверяемой организации, разъяснение или помощь в сборе информации);

- сбор и проверку информации, относящейся к целям, объему и критериям аудита. Только проверяемая информация, которая собирается методом соответствующей выборки, может стать свидетельством аудита. Выбранные источники информации могут различаться в зависимости от объема и сложности аудита и могут включать следующее:

- интервью с работниками и другими лицами;

- наблюдения за деятельностью, производственной средой и условиями;

- документы (политика, цели, планы, процедуры, стандарты, инструкции, лицензии и разрешения, спецификации, чертежи, контракты и заказы);

- записи (протоколы контроля, протоколы совещаний, отчеты об аудитах, записи по программам мониторинга и результаты измерений);

- сводки данных, анализы и показатели деятельности;

- информацию по программам выборочного контроля в аудируемой организации и процедурам выборочного контроля и измерений;

- компьютерные базы данных и Web-сайты;

-формирование наблюдений аудита, которые могут указывать на соответствие или несоответствие критериям аудита, а также на возможности для улучшения. Соответствия критериям аудита должны быть обобщены и соотнесены с подразделениями, функциями и процессами, которые прошли аудит. Несоответствия и подтверждающие их свидетельства аудита должны регистрироваться;

- подготовку заключений по результатам аудита (анализ наблюдений аудита с точки зрения целей аудита; согласование заключения по результатам аудита с учетом элемента неопределенности, свойственного процессу аудита; подготовку рекомендаций; обсуждение последующего аудита);

- проведение заключительного совещания.

На заключительном совещании аудиторы представляют руководству организации полный отчет обо всех нарушениях и наблюдениях. С этой целью аудиторская группа готовит выводы аудита, заключение по его результатам, проект отчета, знакомит с ним руководство организации. Если наблюдения и нарушения, упомянутые в отчете, вызывают сомнения и возражения, на заключительном совещании аудиторская группа дает соответствующие пояснения или вносит изменения. Любые разногласия по выводам и заключению по результатам аудита должны быть обсуждены и по возможности разрешены.

Пятый блок типовой схемы аудита связан с подготовкой, утверждением и рассылкой отчета.

Отчет по аудиту должен предоставлять полные, точные, четкие и достаточные записи по аудиту и должен включать следующее:

- цели аудита;

- область действия аудита;

- идентификацию заказчика аудита, руководителя и членов аудиторской группы, сопровождающих лиц;

- даты и места, где проводился аудит «на местах»;

- критерии аудита;

- наблюдения аудита;

- заключения по результатам аудита;

- все неразрешенные разногласия во мнениях между аудиторской группой и проверяемой организацией;

- рекомендации по улучшению, если это предусмотрено целями аудита;

- заявление о конфиденциальном характере содержания;

- лист рассылки отчета об аудите.

Отчет является выходным документом аудита и от его соответствия целям аудита, содержательности, качества, корректности и т.п. зависит, насколько результаты аудита будут полезны заказчику, какое они найдут практическое применение. Кроме того, именно отчет по прошествии времени формирует общее впечатление о проведенном аудите.

Отчет по аудиту должен быть подготовлен в согласованные сроки и утвержден в соответствии с процедурами по программе аудита. Утвержденный отчет по аудиту подлежит рассылке получателям, определенным заказчиком аудита. Отчет по аудиту является собственностью заказчика аудита. Члены аудиторской группы и все получатели отчета должны учитывать и обеспечивать конфиденциальность содержания отчета.

Аудит считается завершенным, если все действия, установленные планом аудита, выполнены, и утвержденный отчет по аудиту разослан.

Относящиеся к аудиту документы должны быть сохранены или уничтожены по соглашению между сторонами и в соответствии с процедурами по программе аудита.

В заключении по результатам аудита может быть указано на необходимость корректирующих, предупреждающих действий или действий по улучшению. Такие действия обычно разрабатываются и проводятся проверяемой организацией в течение согласованного срока и не рассматриваются как часть аудита.

Выполнение и результативность корректирующего действия должны проверяться при последующем аудите.

Критерии оценки аудиторов

Уверенность и доверие к процессу аудита зависят от компетентности лиц, проводящих аудит.

Согласно п.7 ИСО 19011:2003, компетентность должна быть продемонстрирована на основе личных качеств, а также необходимых знаний и навыков, которые приобретаются посредством образования, опыта работы, подготовки в качестве аудиторов и опыта проведения аудитов (рисунок 6).

Рисунок 6 - Концепция компетентности

К личным качествам, обеспечивающим результативность аудита, относят справедливость, правдивость, искренность, честность, тактичность, широту взглядов и точек зрения, наблюдательность, проницательность, способность к адаптации в различных ситуациях, настойчивость, решительность, самостоятельность.

Кроме того, аудиторы должны обладать знаниями и навыками проведения аудита, которые можно приобрести в ходе обучения или практической деятельности; знанием принципов, процедур и методов аудита; знаниями и опытом в области выявления и разрешения проблем управления и организационных конфликтов.

Кроме того, аудитор должен обладать специальными знаниями в области методов и технологии экологического менеджмента, наук об окружающей среде и технологиях, связанных с охраной окружающей среды, технических и экологических аспектов деятельности.

Аудиторам следует иметь:

- образование, достаточное для приобретения необходимых знаний и навыков;

- практический опыт работы, в том числе в области СЭМ;

- подготовку в качестве аудиторов собственной организацией или внешней организацией;

Аудиторы должны быть компетентными:

- в технических и экологических аспектах аудируемой деятельности;

- в законодательных и нормативных требованиях в области ООС, безопасности и охраны труда;

- в принципах экологического менеджмента и их применения.

К руководителям команд аудиторов предъявляются дополнительные требования для обеспечения результативности и эффективности аудиторской деятельности. С формальной точки зрения руководитель группы аудиторов должен быть специалистом, который принял участие в реализации полной программы не менее чем трех аудитов.

Обязанностью аудиторов является постоянное развитие уровня знаний, навыков и личных качеств за счет дополнительного опыта работы, обучения, самообразования, тренировок, участия в совещаниях, семинарах и конференциях.

Обязанностью аудиторов является регулярное участие в аудитах для поддержания своей компетентности.

Оценка аудиторов проводится на следующих различных стадиях:

- начальное (первичное) оценивание лиц, которые хотят стать аудиторами;

- оценивание аудиторов как часть процесса подбора команды по аудиту;

- постоянное оценивание деятельности аудиторов в целях выявления потребности в поддержании и повышении уровня знаний и навыков.

Процесс оценивания аудиторов включает в себя четыре основных шага:

- идентификацию личных качеств, знаний и умений для соответствия потребностям программы аудита (на уровень знаний и навыков влияют размеры и характер организации, цели и объемы программы аудита, сложность СЭМ);

- определение критериев оценки (количественные - годы опыта работы и обучения, количество проведенных аудитов; качественные - демонстрация личных качеств, знаний или проявление умений при обучении или на рабочем месте);

- выбор соответствующего метода оценки (анализ документов, собеседование, наблюдение, тестирование, анализ деятельности после аудита);

- проведение оценивания (собранная информация сравнивается с установленными критериями, при не соответствии критериям необходима дополнительная подготовка, опыт работы и проведение аудитов, после чего проводится повторная оценка).

Имеются различия в требованиях для профессиональных аудиторов, осуществляющих внешний (сертификационный или аналогичный по сложности) аудит, и для аудиторов (как правило, из числа работников аудируемой организации), привлекаемых к внутреннему аудиту, который является обязательным элементов действующей СЭМ, для периодического осуществления этой деятельности наряду с выполнением своих основных обязанностей.

Подбор аудиторов, работающих в группе, проводят с учетом профессиональной взаимодополняемости и частичной взаимозаменяемости его членов. Группа должна быть небольшой для того, чтобы обеспечить эффективную координацию подходов и усилий, а также систематичность при анализе результатов.

В том случае, если аудиторы представляют стороннюю организацию (при проведении внешнего аудита СЭМ, при проведении оценки исходной ситуации или оценки «второй стороной») к группе аудиторов должны быть прикреплены сопровождающие лица - представители аудируемой организации, которые оказывают содействие при проведении аудита. Сопровождающие должны сохранять непредвзятость, не должны выражать личные точки зрения, препятствовать проведению проверки.