Дополнительные руководящие указания аудиторам по планированию и проведению аудитов

В.1 Методы, применимые к аудиту

Аудит можно проводить, используя широкий спектр методов проведения аудита. В этом приложении приведены описания наиболее часто используемых методов. Выбор метода зависит от установленных целей, области и критериев аудита, а также от его продолжительности и места проведения аудита. Следует также учесть компетентность, имеющуюся у аудиторов, и неопределенности, связанные с применением конкретного метода. Путем варьирования и комбинирования различных методов можно оптимизировать результативность и эффективность процесса аудита и его результаты.

Проведение аудита включает в себя взаимодействие отдельных лиц с аудитируемой системой менеджмента и методику, используемую при проведении аудита. В табл. 1 приведены примеры методов проведения аудита, которые могут быть использованы независимо друг от друга или в комбинации, чтобы достичь целей аудита. Если в состав команды входит несколько человек, методы, ориентированные на проведение действий непосредственно «на месте выполнения работ», и методы, ориентированные на проведение действий «вне места выполнения работ», могут применяться одновременно.

ПРИМЕЧАНИЕ. Дополнительную информацию по вопросу посещения мест выполнения работ можно найти в разделе В. 6.

Ответственность за результативное применение методов аудита на запланированных стадиях каждого конкретного аудита лежит либо на лице, ответственном за управление программой аудита, либо на руководителе команды по аудиту. При этом руководитель команды по аудиту несет ответственность за осуществление соответствующей деятельности в рамках выбранных методов.

Возможность применения методов, относящихся к аудитам, осуществляемым вне места проведения работ, может зависеть от степени доверия между аудитором и персоналом аудитируемой организации.

В зависимости от программы аудита следует обеспечить уверенность в том, что использование методов проведения аудита «вне места выполнения работ» и «на месте выполнения работ» является пригодным и сбалансированным, чтобы обеспечить достижение целей программы аудита.

Таблица В.1

Методы, применимые к аудиту

В.2 Проведение анализа документов

Аудиторам следует проанализировать:

- является ли информация, содержащаяся в документах:

• полной (содержится ли в документах вся ожидаемая информация);
• корректной и точной (соответствует ли содержание документов другим достоверным источникам, таким, например, как стандарты и нормативные документы);
• согласованной (является ли документ последовательным в своем изложении и согласован ли он с другими связанными с ним документами);
• актуальной (является ли содержание документов актуальным);

- в полной ли мере документы, подлежащие анализу, охватывают область аудита и в достаточной ли мере они предоставляют информацию, необходимую для достижения целей аудита;

- позволяет ли использование информации и методов коммуникации, в зависимости от метода проведения аудита, обеспечить рациональное проведение аудита, при этом особое внимание требуется уделить обеспечению информационной безопасности в связи с имеющимися нормами и правилами, относящимися к защите информации (в особенности той, которая выходит за рамки области аудита, но, тем не менее, содержится в документах).

ПРИМЕЧАНИЕ. Анализ документов может служить индикатором результативности управления документами в рамках системы менеджмента аудитируемой организации.

В.З Выборочная проверка

В.3.1 Общие положения

Выборочный аудит проводится, когда в ходе аудита невозможно или экономически нецелесообразно проверить всю доступную информацию, например, когда записей очень много или деятельность осуществляется во многих отдаленных друг от друга местах, что не позволяет проверить каждую запись или каждое место из этой совокупности. Выборочный аудит большой совокупности означает процесс, в ходе которого отбирается менее 100% объектов из набора всех доступных данных, чтобы получить и оценить некоторые характеристики этой совокупности, на основе которых сформировать заключение относительно всей совокупности. Целью выборочного аудита является обеспечение аудитора информацией, позволяющей обеспечить уверенность в том, что цели аудита могут быть достигнуты или будут достигнуты. Риск, связанный с выборочным аудитом, заключается в том, что примеры могут быть нерепрезентативными по отношению к той совокупности, из которой они были взяты, и поэтому заключения аудиторов могут быть ошибочными и отличаться от тех, которые могли бы быть сделаны, если бы анализу была подвергнута вся совокупность. Существуют также риски, связанные с вариабельностью совокупности, из которой отбираются примеры, и с методом выборки примеров.

Выборочный аудит обычно включает в себя следующие шаги:

• установление целей плана выборки примеров;
• выбор объема и состава совокупности, из которой будут выбираться примеры для аудита;
• выбор метода выборки примеров;
• установление объема выборки;
• проведение выборки примеров;
• сбор информации, ее оценка, документирование результатов и отчетность.

При проведении выборки примеров следует уделить внимание качеству имеющихся в распоряжении данных, поскольку выбор данных, являющихся недостаточными и неточными, не позволит получить полезный результат. Отбор приемлемых примеров следует основывать как на методе выборки, так и на виде требуемых данных, например, чтобы сделать заключение о конкретном поведении образца или всей совокупности объектов.

Отчетность о выбранном примере может учитывать размеры примера, метод выборки, оценки, сделанные на основе примера, а также уровень доверия к примеру.

Выборочный аудит может быть основан либо на методе здравого смысла (см. В.3.2), либо на случайной выборке (см. В.3.3).

В.3.2 Выборка, основанная на здравом смысле

Выбор примеров для аудита, основанный на здравом смысле, зависит от знаний, навыков и опыта членов команды по аудиту (см. раздел 7). Для реализации этого метода может быть рассмотрено следующее:

• предыдущий опыт проведения аудита в аналогичной области;
• сложность требований [включая правовые (законодательные и нормативные) требования] с точки зрения достижения целей аудита;
• сложность и взаимосвязь процессов организации и элементов системы менеджмента;
• степень изменений в технологиях, человеческих факторах или системе менеджмента;
• области наибольшего риска, выявленные в ходе предыдущих аудитов, а также области улучшений;
• выходные данные, получаемые в ходе мониторинга системы менеджмента. Недостатком выборки примеров, основанной на здравом смысле, является то, что при ее применении невозможно провести статистическую оценку неопределенности результатов аудита и сделанных на их основе заключений.

В.3.3 Случайная выборка

Если принято решение о том, что выборка должна быть случайной, план выборки следует основывать на целях аудита и информации о том, что известно об особенностях той совокупности объектов, из которой будут браться примеры.

• Метод случайной выборки использует процесс выборки, основанный на теории вероятности. При этом метод выборки, основанный на альтернативных признаках, применяется в тех случаях, когда для каждого образца возможны лишь две оценки (например: корректно/некорректно или удачно/неудачно). Метод выборки, основанный на переменных характеристиках, применяется, когда характеристики образца изменяются непрерывной шкалой.
• Плану выборки следует учитывать, какими признаками обладает исследуемая выборка: альтернативными или переменными. Например, если оценивание соответствия основано на степени выполнения требований, установленных в процедуре, может быть использован подход, основанный на альтернативных признаках. Если же проводится исследование частоты инцидентов, связанных с безопасностью пищевых продуктов, или количества сбоев в системе обеспечения безопасности объекта, более предпочтительным является подход, основанный на переменных характеристиках.
• Ключевыми факторами, которые могут повлиять на план выборки примеров для аудита, являются:
  • размеры организации;
  • количество компетентных аудиторов;
  • частота аудитов, проводимых в течение года;
  • продолжительность отдельного аудита;
  • степень доверия к заключениям по аудиту, требуемая внешними заинтересованными сторонами.
• После того, как план случайной выборки разработан, очень важно рассмотреть уровень риска, который аудитор готов принять. Очень часто на него ссылаются как на приемлемый уровень доверия. Например, 5-процентный уровень риска, связанного с выборкой, ассоциируется с приемлемым уровнем доверия в 95%. 5-процентный уровень риска, связанного с выборкой, означает, что аудитор готов признать наличие риска того, что 5 из 100 проанализированных образцов (или 1 из 20) не будут отражать того фактического значения, которое было бы получено, если бы анализу подверглась вся совокупность объектов.
• При применении случайной выборки аудиторам следует соответствующим образом документировать осуществляемую деятельность. Сюда входит описание совокупности, из которой предполагается выбрать образцы, критерии, используемые для выбора (например критерии приемлемости образца), использованные статистические параметры и методы, количество образцов, подвергнутых анализу, и полученные результаты.

В.4 Подготовка рабочих документов

При подготовке рабочих документов членам команды по аудиту следует по отношению к каждому из документов рассмотреть следующие вопросы:

1. Какая запись об аудите будет создана на основе этого рабочего документа?
2. Какая деятельность по аудиту связана с данным конкретным рабочим документом?
3. Кто будет использовать этот рабочий документ?
4. Какая информация необходима, чтобы подготовить данный рабочий документ?

При комбинированном аудите следует разработать рабочие документы, позволяющие избежать
дублирования в работе, посредством:

• сбора в одно место родственных требований, содержащихся в разных стандартах на системы менеджмента;
• согласования содержания соответствующих чек-листов и вопросников.

Рабочим документам следует быть адекватными, чтобы охватить все элементы системы менеджмента, попадающие в область аудита. Рабочие документы могут быть созданы с использованием носителей любого вида.

В.5 Выбор источников информации

Выбранные источники информации могут варьироваться в зависимости от области и сложности аудита и могут включать в себя:

• интервьюирование сотрудников и других лиц;
• наблюдение за осуществляемой деятельностью, а также за окружающей производственной средой и условиями на рабочем месте;
• документы, такие, как политики, цели, планы, процедуры, стандарты, инструкции, лицензии и разрешения, спецификации, чертежи, контракты и другие документы;
• записи, такие, как записи о проведенных инспекциях, повестки дня собраний, отчеты об аудитах, записи, создаваемые в ходе реализации программы мониторинга, и результаты измерений;
• обобщенные данные, результаты их анализа, а также показатели деятельности;
• информацию о планах выборок в аудитируемой организации, о процедурах управления выборками и о процессах измерений;
• отчеты из других источников, например от потребителей, обзоры, подготовленные внешними организациями, полученные внешними организациями результаты измерений, другую уместную информацию от внешних сторон и рейтинг поставщиков;
• базы данных и вебсайты;
• имитацию и моделирование.

В.6 Руководящие указания по посещению места расположения аудитируемой организации

Для минимизации взаимовлияния деятельности по аудиту и рабочих процессов аудитируемой организации и для обеспечения охраны здоровья и безопасности труда команды по аудиту во время посещения следует принять во внимание следующее:

а) при планировании визита:

• получение разрешения на посещение и доступ к тем местам аудитируемой организации, которые должны быть посещены в соответствии с областью аудита;
• получение аудиторами адекватной информации (например, путем проведения краткой презентации) по вопросам обеспечения их личной безопасности, сохранения здоровья (например, путем карантина), охраны здоровья и обеспечения безопасности труда во время аудита, а также по вопросам норм поведения, включая, где это уместно, передачу в аудитируемую организацию запроса и получение рекомендаций о необходимости проведения вакцинации и таможенной очистки;
• получение подтверждения от аудитируемой организации того, что, в соответствующих обстоятельствах, команда по аудиту будет обеспечена соответствующими средствами индивидуальной защиты;
• обеспечение (кроме внеплановых и внезапных аудитов) уверенности в том, что персонал, который планируется посетить, будет проинформирован о целях и области аудита;

b) во время осуществления деятельности по аудиту на площадке аудитируемой организации:

• исключение внесения любых не являющихся необходимыми возмущений в производственные процессы;
• обеспечение правильного применения членами команды по аудиту средств индивидуальной защиты;
• обеспечение того, чтобы до команды по аудиту были доведены процедуры действий в аварийных ситуациях (пути эвакуации, расположение аварийных выходов и мест сбора и т.д.);
• установление взаимосвязи по вопросам соблюдения графика проведения аудита в целях исключения его нарушения;
• установление размера команды по аудиту и количества сопровождающих лиц и наблюдателей в соответствии с областью аудита в целях максимально возможного исключения воздействия на производственные процессы;
• запрещение вхождения в контакт с каким-либо оборудованием и вмешательства в его работу, пока на это не будет дано однозначное разрешение, даже в случае наличия у членов команды по аудиту необходимой компетентности или допуска к этим работы;
• в случае возникновения во время посещения производственной площадки инцидента руководителю команды по аудиту следует проанализировать ситуацию с аудитируемой организацией и, при необходимости, с заказчиком аудита и достичь согласия по вопросу о том, должен ли быть аудит прекращен, изменен план проведения аудита или аудит должен быть продолжен:
• при намерении осуществлять фотографирование или видеосъемку заблаговременно запросить на это согласие уполномоченных лиц аудитируемой организации и рассмотреть возникающие при этом вопросы безопасности и конфиденциальности, а также исключить фотографирование отдельных лиц без их согласия;
• при намерении сделать копию документов любого вида запросить заблаговременно разрешение на это и учесть при этом вопросы конфиденциальности и безопасности;
• при ведении записей исключить сбор персональных данных, если это не требуется для достижения целей аудита или не предусмотрено критериями аудита.

В.7 Проведение интервью

Интервью являются одним из важных способов сбора информации. Их следует проводить таким образом, который учитывает ситуацию и личность интервьюируемого лица - как в случае непосредственного контакта с ним, так и при использовании средств коммуникации. Вместе с этим аудитору следует иметь в виду следующее:

• интервью следует проводить с лицами, представляющими соответствующий уровень управления и функциональную структуру, осуществляющую деятельность или решающую задачи в рамках объема аудита;
• обычно интервью следует проводить в рабочее время и, где это возможно, на обычном рабочем месте лица, подвергаемого аудиту;
• следует попытаться сделать так, чтобы лицо, подвергаемое аудиту, находилось в комфортной для себя среде накануне и во время интервью;
• следует объяснить интервьюируемому причины интервью и ведущиеся по ходу интервью записи;
• интервью может быть начато с просьбы описать свою работу;
• тщательно выбирайте тип задаваемого вопроса (например: открытый, закрытый, наводящий вопрос);
• результаты интервью следует обобщить и проанализировать с интервьюируемым лицом;
• следует выразить благодарность интервьюируемому лицу за согласие дать интервью и сотрудничество.

В.8 Результаты аудита

В.8.1 Определение результатов аудита

При определении результатов аудита следует учесть:

• результаты деятельности, осуществленной на основании отчетов о предыдущих аудитах и сделанных там заключений;
• требования заказчика аудита;
• результаты, указывающие на превышение обычного имеющегося уровня, и на возможности улучшения;
• объем выборки;
• категоризацию (если таковая применяется) результатов аудита.

В.8.2 Регистрация соответствий

Для регистрации соответствия следует рассмотреть:

• установление критерия аудита, соответствие которому показывается;
• свидетельство аудита, подтверждающее соответствие;
• декларацию о соответствии, если это применимо.

В.8.3 Регистрация несоответствий

Для регистрации несоответствия следует рассмотреть:

• описание критерия аудита или ссылки на него;
• декларацию о несоответствии;
• свидетельство аудита;
• соответствующие результаты аудита, если это применимо.

В.8.4 Обращение с результатами аудита в случае проведения аудита по нескольким стандартам

Во время аудита возможно получение результатов, связанных с критериями, относящимися сразу к нескольким стандартам. Если во время комбинированного аудита аудитор выявил результат, связанный с критерием, относящимся к одному стандарту, ему следует рассмотреть возможность наличия связи с соответствующими или аналогичными критериями, относящимися к другим системам менеджмента.

В зависимости от соответствующих договоренностей с заказчиком аудита аудитор может:

• оформить отдельно результаты по каждой системе менеджмента либо
• оформить один результат, делая при этом ссылки на соответствующие критерии в разных системах менеджмента.

В зависимости от договоренностей (соглашений) с заказчиком аудита аудитор может давать аудитируемой организации рекомендации о том, как реагировать на такие результаты аудита.