4.2. Управління програмою аудиту
Програма аудиту (ПА) це сукупність заходів для проведення одного чи кількох аудитів. Програма містить всі види діяльності, необхідні для планування та організації аудитів за видами і кількістю, а також забезпечення ресурсами для результативного і ефективного проведення аудитів у встановлені терміни. Прикладами програми аудиту можуть бути:
а) низка внутрішніх аудитів, які повністю охоплюють систему управління якістю організації протягом поточного року;
б) аудити систем управління потенційних постачальників важливої продукції за участю другої сторони, які проводять протягом шести місяців;
в) сертифікаційні/реєстраційні та наглядові аудити системи екологічного управління, що проводить орган з сертифікації/реєстрації як третя сторона протягом періоду часу, узгодженого контрактом між органом з сертифікації і замовником.
Залежно від розміру, характеру діяльності та складності організації, аудит якої проводять, програма аудиту може включати один чи декілька аудитів. Ці аудити можуть мати різні цілі, а також можуть бути спільними чи скомбінованими. Організація може встановити декілька ПА.
Для програми аудиту мають бути сформульовані цілі, які регламентують планування і проведення аудиту. Визначення цілей може базуватися на:
пріоритетах управління;
комерційних намірах;
вимогах системи управління;
законодавчих, юридичних та договірних (контрактних) вимогах;
потребі оцінювання постачальників;
вимогах споживачів чи інших зацікавлених сторін;
потенційних ризиках для організації.
Прикладами цілей програми аудиту можуть бути:
підтвердження відповідності вимогам стандарту на СУ з метою сертифікації;
перевіряння відповідності законам, контрактам чи договірним вимогам;
здобуття та підтримування довіри до можливостей постачальника;
оцінювання ефективності систем управління відповідно до зазначених цілей;
визначення можливості поліпшення або сприяння поліпшенню СУ.
ПА повинна бути динамічною, тобто постійно розвиватися і удосконалюватися. Для цього відбувається стале управління програмою аудиту. Відповідальність за управління програмою аудиту треба покласти на одну чи декілька осіб, які розуміють у цілому принципи аудиту, знають вимоги до компетентності аудиторів, а також вміють застосовувати методи аудиту. Вони повинні мати досвід управління, а також розуміти технічні та підприємницькі аспекти, пов'язані з видами діяльності, які підлягають аудиту. Тому найвище керівництво організації призначає особу, відповідальну за управління ПА або інакше особу, яка керує програмою аудиту (ОКПА). Відповідальна особа загалом формує, забезпечує виконання, відстежує, аналізує та поліпшує програму аудиту, а також визначає та забезпечує необхідні для здійснення аудиту ресурси. На рисунку 1 показана послідовність виконання робіт з управління програмою аудиту.
Рис.1. Послідовність виконання робіт з управління програмою аудиту
Програмою аудиту слід охоплювати інформацію і ресурси, необхідні для результативної та ефективної організації і вчасного проведення аудитів, а також, за можливості, наступне:
цілі ПА і окремих аудитів;
обсяг, кількість, типи, тривалість, задачі і графіки окремих аудитів;
методики ПА;
критерії аудиту;
методи аудиту;
формування груп аудиту;
необхідні ресурси;
питання конфіденційності, захисту інформації, гігієни, безпеки праці тощо.
Критеріями аудиту є процедури, стандарти, в тому числі ті, що стосуються вимог до СУ, а також інструкції, вимоги контрактів, кодексів поведінки в бізнесі тощо. Критерії разом з цілями аудиту мають бути визначені замовником і будь-які подальші зміни до них необхідно узгоджувати з ним та відповідальним за проведення аудиту.
Виконання ПА повинно супроводжуватися моніторингом та вимірюваннями, щоби забезпечити впевненість в досягненні її цілей. Окрім того програму аудиту слід постійно критично аналізувати для визначення можливості її покращення.