- •Аудит якості
- •1. Загальні відомості
- •2. Загальні вимоги щодо аудитів систем якості та, зокрема, внутрішнього аудиту
- •3. Специфіка зовнішнього аудиту систем якості
- •4. Керівні принципи та вимоги щодо аудиту згідно з iso 19011
- •4.1. Принципи здійснення аудиту
- •4.2. Управління програмою аудиту
- •4.2.1. Формування програми аудиту
- •4.2.2. Виконання програми аудиту
- •4.2.3. Моніторинг програми аудиту
- •4.2.4. Критичний аналіз і поліпшення програми аудиту
- •4.3. Реалізація аудиторської діяльності
- •4.3.1. Розпочинання аудиту
- •4.3.2. Підготовка до здійснення аудиту
- •4.3.3. Здійснення аудиту
- •4.3.4. Підготовка і представлення звіту про аудит
- •4.3.5. Завершення аудиту
- •4.3.6. Виконання подальших дій за наслідками аудиту
- •4.4. Компетентність і оцінювання аудиторів
- •4.4.1. Загальні положення
- •4.4.2. Визначення компетентності аудиторів, необхідної для задоволення потреб па
- •4.4.3 Встановлення критеріїв, вибір належного методу, проведення оцінювання та підвищення компетентності аудитора
- •4.4.4 Ілюстративні приклади знань і вмінь аудиторів в певних сферах спеціалізації
- •5. Аудитори з сертифікації в Україні
- •5.1. Вимоги до аудиторів
- •5.2. Порядок підготовки аудиторів
4.2.2. Виконання програми аудиту
Загальні положення. ОКПА потрібно слідкувати за виконанням програми аудиту. Для цього ОКПА має такі обов’язки:
надавати інформацію властивим сторонам про відповідну частину ПА і хід її виконання;
визначати цілі, сфери і критерії кожного окремого аудиту;
складати і координувати графіки проведення аудитів та інших видів робіт;
формувати групи аудиту з необхідною компетентністю;
забезпечувати групи аудиту необхідними ресурсами;
слідкувати щоби аудити проводились відповідно до ПА і в узгоджені терміни;
протоколювати аудиторську діяльність, належно управляти протоколами і їх веденням.
Визначення цілей, сфери і критеріїв окремого аудиту. Кожен окремий аудит треба базувати на задокументованих цілях, сфері і критеріях аудиту. Їх визначає ОКПА і погоджує з загальними цілями програми аудиту. Цілі за окремим аудитом можуть містити:
визначення ступеня відповідності СУ об'єкту аудиту критеріям аудиту;
визначення ступеня відповідності видів робіт, процесів і продукції вимогам і методикам СУ;
оцінювання можливості СУ забезпечувати відповідність робіт, процесів і продукції правовим і контрактним вимогам, а також всім іншим вимогам, які організація зобов'язується дотримувати;
оцінювання результативності СУ для досягнення конкретних цілей;
визначення шляху (ділянки) потенційного покращення СУ.
Сферу аудиту слід погоджувати з ПА і цілями аудиту. Треба враховувати такі чинники, як розташування ділянок, структурні підрозділи, види робіт і процеси, що підлягають аудиту, а також терміни проведення аудиту.
Критерії аудиту використовують як еталон, за яким визначають відповідність, і вони можуть містити політику, процедури, стандарти, правові вимоги, вимоги СУ, контрактні вимоги, галузеві кодекси поведінки або інші заплановані домовленості.
У разі яких-небудь змін в цілях, сфері або критеріях аудиту ПА слід теж змінити.
Вибір методів аудиту. ОКПА потрібно вибрати і визначити методи результативного проведення аудиту залежно від поставлених цілей, сфери і критеріїв аудиту.
В таблиці подані типові методи, що застосовуються під час аудитів.
Ступінь залучення аудитора |
Місце перебування аудитора |
|
на об’єкті |
поза об’єктом |
|
з спілкуванням |
За безпосереднім спілкуванням: - проведення опитувань; - заповнення переліків контрольних запитань або анкет за участю представника об’єкта аудиту; - критичний аналіз документів за участю представника об’єкта аудиту; - вибіркове перевіряння. |
Спілкуванням з використанням інтерактивних засобів: - проведення опитувань; - заповнення переліків контрольних запитань або анкет; - критичний аналіз документів за участю представника об’єкта аудиту. |
без спілкування |
- критичний аналіз документів, наприклад, протоколів, результатів оцінювання; - спостереження за роботою, що виконується; - відвідування об’єкта; - заповнення переліку контрольних запитань; - вибіркове перевіряння, наприклад, продукції. |
- критичний аналіз документів, наприклад, протоколів, результатів оцінювання; - спостереження з допомогою спеціальних засобів; - розгляд соціальних та правових вимог; - аналіз даних. |
Метод 1. Критичний аналіз документів. Аудиторам слід розглянути:
- чи інформація в представлених документах є:
повною, а саме чи є в документі весь очікуваний зміст;
коректною - чи відповідає зміст іншим достовірним джерелам, наприклад стандартам і регламентам;
узгодженою - чи документ узгоджений сам з собою, чи пов'язаний з іншими документами;
чинною - чи актуальний її зміст;
- чи охоплюють документи, піддані критичному аналізу, сферу аудиту і чи надають достатню інформацію для досягнення цілей аудиту;
- чи сприяють використовувані інформаційні і комунікаційні технології, ефективному проведенню аудиту, зокрема інформаційна безпека, наприклад це стосується інформації, яка не підпадає під сферу аудиту, але також є в документі.
Метод 2. Вибіркове перевіряння. Вибіркову аудиторську перевірку застосовують тоді, коли немає практичної можливості або не рентабельно перевіряти всю доступну інформацію, наприклад, коли із-за надмірної чисельності або територіальної розосередженості протоколів недоцільно перевіряти кожен елемент в сукупності. Тут властивими є ризики пов’язані з тим, що вибірки можуть не бути репрезентативними для генеральної сукупності. Вибіркова аудиторська перевірка передбачає такі етапи:
- Установка цілей вибіркової перевірки;
- Вибір обсягу і складу сукупності, з якої робитимуть вибірку;
- Вибір методу вибіркової перевірки;
- Визначення обсягу вибірки;
- Проведення вибіркової перевірки;
- Збір результатів, їх оцінювання і документування.
Під час проведення аудиту можна використовувати або вибіркові перевірки на основі професійного судження, або статистичні вибіркові перевірки.
Вибіркова перевірка на основі професійного судження грунтується на знаннях, уміннях і досвіді групи аудиту. Для цього слід розглядати:
- Попередній досвід проведення аудитів;
- Складність вимог для досягнення цілей аудиту;
- Складність і взаємодія процесів організації та елементів її СУ;
- Зміну технологій, людського чинника або системи управління;
- Заздалегідь ідентифіковані основні ризики або сферу покращення;
- Результати моніторингу систем управління.
Недоліком такої перевірки є відсутність статистичного оцінювання впливу невизначеності даних аудиту на зроблені висновки.
Побудова статистичної вибіркової перевірки передбачає формування вибірки на основі теорії ймовірності. Вибірку за якісними ознаками використовують тоді, коли є тільки два можливі вибіркові результати правильно/неправильно або так/ні). Наприклад, при оцінювання відповідності заповнених форм.
Вибірку за кількісною ознакою використовують тоді, коли результати вибірки знаходяться в безперервному діапазоні. Наприклад під час перевірки виникнення інцидентів, пов'язаних з безпекою харчових продуктів, або кількості порушень режиму безпеки.
Рівень ризику під час вибірки є важливим чинником. Часто його називають прийнятним рівнем довіри. Наприклад, 5%-ий ризик вибірки, означає, що аудитор готовий прийняти ризик того, що 5 з 100 перевірених елементів не відображатимуть фактичних значень, які можна було б отримати, якби була перевірена сукупність в цілому.
Метод 3. Проведення опитувань. Опитування слід виконувати з врахуванням конкретної ситуації та специфіки опитуваної особи віч на віч чи з використанням інших методів. Аудитору слід:
опитувати особи з відповідним рівнем компетентності та відповідальності, що відповідають рівню та функціям підрозділу і робочі задачі яких охоплені сферою аудиту;
опитування здійснювати в робочий час і якщо можливо на робочому місці;
прикладати зусилля щоби опитуваний почував себе невимушено;
пояснювати причини опитування і ведення записів;
починати опитування з прохання до опитуваного описати свою роботу;
уважно вибирати типи використовуваних запитань, наприклад, закриті, відкриті, навідні;
результати опитування слід підсумувати і критично проаналізувати за участі опитуваної особи;
опитуваним особам слід висловити вдячність за участь та співпрацю.
Формування окремих груп аудиту. ОКПА необхідно призначити членів груп аудиту, зокрема керівника кожної групи і інших технічних експертів, необхідних для проведення конкретного аудиту.
Кожну групу аудиту треба формувати з урахуванням компетентності, необхідної для досягнення цілей окремого аудиту в межах певної сфери. Якщо є тільки один аудитор, йому необхідно виконувати всі необхідні обов'язки керівника групи аудиту.
Під час ухвалення рішення про чисельність і склад групи аудиту для проведення конкретного аудиту, необхідно враховувати:
загальну компетентність групи аудиту, необхідну для досягнення цілей аудиту, враховуючи сферу і критерії аудиту;
складність аудиту і чи є аудит комплексним або сумісним;
вибрані методи аудиту;
правові і контрактні вимоги, а також інші вимоги, які організація зобов'язалась дотримувати;
потребу в забезпеченні незалежності членів групи аудиту від видів робіт, аудит яких треба проводити для уникання будь-яких конфліктів інтересів (принципи аудиту);
здатність членів групи аудиту результативно взаємодіяти з представниками сторони, що перевіряється, і працювати разом;
мову, яка використовуватиметься під час аудиту, а також соціальні і культурні особливості об'єкту аудиту.
Виконання вказаних пунктів досягається завдяки власним умінням аудитора, або за підтримки технічного експерта. Якщо аудитори в групі аудиту не забезпечують наявності всієї необхідної компетентності, то до складу групи треба залучати технічних експертів з додатковою компетентністю. Технічні експерти повинні виконувати роботу під керівництвом аудитора, але не повинні діяти як аудитори. Загалом засвідчення загальної компетентності групи аудиту передбачає конкретизацію знань і умінь, необхідних для досягнення цілей аудиту та формування групи аудиту так, щоб група володіла всіма необхідними знаннями і уміннями. Під час проведення аудиту може виникнути необхідність зміни чисельності і складу групи аудиту із-за виникнення конфлікту інтересів або проблем щодо компетентності. За цих обставин, перш ніж робити які-небудь коректування, їх треба обговорити із зацікавленими сторонами (наприклад, керівником групи аудиту, ОКПА, замовником аудиту або представником сторони, що перевіряється).
До складу групи аудиту можна включати аудиторів-стажистів, але останні повинні працювати під керівництвом і спостереженням аудитора.
Відповідальність за окремий аудит. Відповідальним за окремий аудит є керівник групи аудиту. Це здійснює ОКПА заздалегідь, щоби не порушувати графіку аудиту для забезпечення ефективного планування аудиту.
Для того, щоби проведення окремих аудитів було ефективним, керівникові групи аудиту повинна бути надана наступна інформація:
цілі аудиту;
критерії аудиту і будь-які документи, на які є посилання;
сфера аудиту, зокрема ідентифікація організаційних і функціональних підрозділів, а також процесів, аудит яких треба проводити;
методи і методики аудиту;
склад групи аудиту;
реквізити сторони, що перевіряється, місцеположення ділянок, дати і тривалість проведення аудиторської діяльності;
відповідні ресурси, надані для проведення аудиту;
інформація, необхідна для оцінювання і усунення певних ризиків, що можуть супроводжувати аудит.
Додатково, якщо це доцільно, кожного керівника групи аудиту інформують про:
робочу мову аудиту і мову, на якій складають звіт про аудит, якщо це інша мова, ніж та, якою користується аудитор або об'єкт аудиту, або обидва;
зміст звіту про аудит і його представлення за програмою аудиту;
питання, пов'язані з конфіденційністю і захистом інформації;
будь-які вимоги щодо гігієни і безпеки праці аудиторів;
будь-які вимоги щодо страхування і повноваження;
будь-які подальші дії, наприклад, за наслідками попереднього аудиту;
координування з іншою аудиторською діяльністю у разі проведення загального аудиту.
При проведенні сумісного аудиту важливо перед початком аудиту домовитися між організаціями, які проводять аудити, стосовно конкретної відповідальності кожної сторони, зокрема щодо повноважень керівника групи аудиту, призначеного для проведення аудиту.
Управління результатами програми аудиту. ОКПА необхідно забезпечити виконання наступних видів робіт:
критичний аналіз і затвердження звітів про аудити, зокрема оцінки придатності і адекватності даних аудитів;
критичний аналіз причин коректувальних і попереджуючих дій та їх результативності;
представлення звітів про аудит вищому керівництву і іншим сторонам;
визначення необхідності в будь-якому подальшому аудиті.
Формування, ведення та управління протоколами за програмою аудиту. ОКПА повинна забезпечити формування протоколів, управління ними і їх ведення, щоб демонструвати виконання програми аудиту. Потрібно встановити процеси розгляду будь-яких вимог конфіденційності, пов'язаних з протоколами аудитів.
Приклади можуть стосуватися, наприклад, ПА, кожного окремого аудиту або персоналу:
а) протоколи, пов'язані з ПА, наприклад:
Документовані цілі і обсяг програми аудиту;
розгляд ризиків програми аудиту;
критичний аналіз результативності ПА;
b) протоколи, пов'язані з кожним окремим аудитом, наприклад:
плани аудиту і звіти про аудити;
звіти про невідповідності;
звіти за коректувальними та попереджувальними діями;
звіти щодо дій за результатами аудиту;
с) протоколи, пов'язані з персоналом, залученим до аудитів, наприклад:
оцінка компетентності і дієвості членів групи аудиту;
формування груп аудиту і відбору членів в групи;
підтримка і підвищення компетентності.
Рівень деталізації і форма протоколів повинна демонструвати, що цілі ПА досягнуті.