-
История стандартов на системы менеджмента
Общая информация об аудитах и их видах
-
История эволюции стандарта ISO 19011:2018 РУКОВОДЯЩИЕ УКАЗАНИЯ ПО ПРОВЕДЕНИЮ АУДИТОВ СИСТЕМ МЕНЕДЖМЕНТА
ISO 19011 :2018. Термины связанные с аудитом
-
Управление программой аудита
Программа аудита
-
Проведение аудита
-
Подготовка и проведение аудита. Психологические аспекты аудита
-
Практическая работа
Vestigium pretiosissimis inventus optimi confecimus scias comprehensum tota ultimum fecit avaritias persem molliorque nascitur
-
Нет элементов в данном разделе
Программа аудита. Цели и риски
Общие положения
Должна быть разработана программа аудита, которая может включать в себя аудиты, ориентированные на один или несколько стандартов на системы менеджмента, проводимых либо по отдельности, либо в комбинации (комбинированный аудит).
Объем программы аудита должен зависеть от размера и характера проверяемой организации, а также от характера, функционального назначения, сложности, типа рисков и возможностей и уровня зрелости систем(ы) менеджмента, подлежащих проверке.
Функционирование системы менеджмента может быть еще более сложным, когда большинство важных функций передаются на аутсорсинг и управляются под руководством других организаций. Особое внимание необходимо уделить тому, где принимаются наиболее важные решения и кто составляет высшее руководство системы менеджмента.
В случае нескольких мест нахождения/площадок (например, в разных странах) или где важные функции передаются на аутсорсинг и управляются под руководством другой организации, особое внимание следует уделять разработке, планированию и подтверждению программы аудита.
В случае небольших или менее сложных организаций программа аудита может быть масштабирована соответствующим образом.
Чтобы понять контекст проверяемой организации, программа аудита должна учитывать:
– цели организации;
– соответствующие внешние и внутренние факторы;
– потребности и ожидания соответствующих заинтересованных сторон;
– требования к информационной безопасности и конфиденциальности.
Планирование программ внутреннего аудита и, в некоторых случаях, программ аудита внешних поставщиков может быть выполнено для достижения и других целей организации.
Лицо (лица), управляющее(ие) программой аудита, должно гарантировать, что обеспечивается целостность аудита и что не оказывается неправомерного влияния в ходе аудита.
Приоритет при аудите должен быть отдан выделению ресурсов и выбору методов для элементов системы менеджмента с более высоким уровнем риска и более низким уровнем показателей деятельности.
Для управления программой аудита должны быть назначены компетентные лица.
Программа аудита должна включать информацию и определять ресурсы, позволяющие результативно и эффективно проводить аудит в указанные сроки. Информация должна включать: (Приложение А методики)
a) цели программы аудита;
b) риски и возможности, связанные с программой аудита (см. 5.3), и действия по их обработке;
c) область (объем, границы, места) каждого аудита в рамках программы аудита;
d) график (количество/продолжительность/частота) аудитов;
e) типы аудита, например, внутренние или внешние;
f) критерии аудита;
g) методы аудита, которые будут использоваться;
h) критерии отбора членов группы по аудиту;
i) соответствующую документированную информацию.
Некоторая часть этой информации может быть недоступна до тех пор, пока не будет завершено более подробное планирование аудита.
Осуществление программы аудита должно контролироваться и оцениваться на постоянной основе (см. 5.6) для обеспечения достижения его целей. Программа аудита должна пересматриваться с целью выявления потребностей в изменениях и потенциальных возможностях для улучшения (см. 5.7).
Рисунок 1 – Блок-схема управления программой аудита
Определение целей программы аудита
Заказчик аудита должен гарантировать, что цели программы аудита для управления планированием и проведением аудитов установлены, и должен обеспечить результативное выполнение программы аудита. Цели программы аудита должны быть согласованы со стратегией развития заказчика аудита, а также быть связаны с политикой и целями системы менеджмента.
Эти цели могут устанавливаться с учетом следующего:
a) потребностей и ожиданий соответствующих заинтересованных сторон, как внешних, так и внутренних;
b) характеристик процессов и требований к процессам, продуктам, услугам и проектам, а также любых изменений в них;
c) требований к системе менеджмента;
d) необходимости в оценке внешних поставщиков;
e) уровня функционирования проверяемой организации и уровня зрелости систем(ы) менеджмента, отражаемых соответствующими показателями деятельности (например, KPI), статистикой несоответствий или инцидентов, или претензий от заинтересованных сторон;
f) выявленных в проверяемой организации рисков и возможностей;
g) результатов предыдущих аудитов.
Примеры целей программы аудита включают в себя следующее:
- выявить возможности улучшения системы менеджмента и ее функционирования;
- оценить способность проверяемой организации определять ее контекст;
- оценить способность проверяемой организации определять риски и возможности, а также разрабатывать и осуществлять результативные меры по их обработке;
- подтвердить выполнение всех соответствующих требований, т.е. законодательных и нормативных требований, обязательств по соблюдению, требований в рамках сертификации на соответствие стандарту на систему менеджмента;
- получить и поддерживать уверенность в возможностях внешнего поставщика;
- оценить постоянную пригодность, соответствие и результативность системы менеджмента проверяемой организации;
- оценить согласованность целей системы менеджмента со стратегическим направлением развития организации.
Определение и оценка рисков и возможностей, связанных с программой аудита
Существуют различные риски и возможности, связанные с контекстом проверяемой организации, которые могут повлиять на программу аудита и на достижение поставленных в ней целей. Лицу(ам), управляющему(им) программой аудита, следует выявить и донести до проверяемой организации риски и возможности, учитываемые при разработке программы аудита и требований к ресурсам, с тем, чтобы по ним были приняты надлежащие меры.
Риски могут быть связаны с:
a) планированием, например, неверным заданием соответствующих целей аудита и определением объема, количества, продолжительности, мест проведения и графика аудитов;
b) ресурсами, например, с тем, что предусмотрено недостаточно времени, оснащенности и/или подготовки для разработки программы аудита или проведения аудита;
c) выбором группы по аудиту, например, недостаточностью общей компетентности для результативного проведения аудитов;
d) коммуникацией, например, плохо работающими процессами/каналами внутреннего/внешнего обмена информацией;
e) реализацией, например, ненадлежащей координацией в рамках программы аудита или недостаточным вниманием к вопросам информационной безопасности и конфиденциальности;
f) управлением документированной информацией, например, неверным определением необходимой документированной информации, требуемой аудиторам и соответствующим заинтересованным сторонам, неспособностью соответствующим образом сохранять записи аудита, чтобы продемонстрировать результативность программы аудита;
g) мониторингом, анализом и улучшением программы аудита, например, неудовлетворительным мониторингом результатов программы аудита;
h) доступностью и готовностью к сотрудничеству проверяемой организации и доступностью свидетельств, которые должны быть собраны.
Возможности могут включать в себя:
– возможность проведения нескольких аудитов за один раз;
– минимизацию времени и расстояния при переезде с одного места на другое;
– соответствие уровня компетентности группы по аудиту уровню компетентности, требуемому для достижения целей аудита;
– согласование дат проведения аудита с доступностью ключевых сотрудников проверяемой организации.