В России на законодательном уровне не определены порядок и правила проведения аудитов систем менеджмента, а также не установлены требования к компетентности аудиторов и формы отчетов. В нашей стране определены только требования к проведению проверки бухгалтерской (финансовой) отчетности (ФЗ от 30.12.2008 N 307-ФЗ «Об аудиторской деятельности»).
Общепризнанная мировая практика проведения аудитов систем менеджмента описана в международном стандарте ISO 19011:2018 «Руководство по проведению аудита систем менеджмента», которому идентичен ГОСТ Р ИСО 19011-2021 «Руководство по проведению аудита систем менеджмента». ГОСТ Р ИСО 19011-2021 подготовлен путем перевода на русский язык англоязычной версии стандарта.
В стандарте ISO 19011:2018 «Руководство по проведению аудита систем менеджмента»/ГОСТ Р ИСО 19011-2021 «Руководство по проведению аудита систем менеджмента» определены принципы проведения аудита; требования к разработке программы аудита; порядок проведения аудита; требования к компетентности и оцениванию аудиторов.
Внутренний аудит, как правило, состоит из следующих стадий: планирование, проведение, составление отчета и определение корректирующий действий (действий, направленных на устранение причины несоответствий).
Прежде чем начать планирование внутренних аудитов необходимо определить группу внутренних аудиторов и руководителя группы. Один из принципов проведения аудитов – принцип независимости. Это означает, что аудитор не должен ни быть ответственным за ту деятельность, которую следует проверять, ни работать в подчинении человека, ответственного за область проверки.
Внутренние аудиты планируются так, чтобы каждый процесс или процедура, а также каждое подразделение, были проверены в течение года по тем критериям, которые организация для себя определила (например, требования международных стандартов, требования законодательства РФ и т.д.).
Проект Годового графика проведения внутренних аудитов и проверок разрабатывается с учетом предложений руководителей структурных подразделений организации и представляется на утверждение генеральному директору.
Для каждого конкретного аудита необходимо составить программу. Программа должна содержать:
- область проведения проверок;
- критерии аудита;
- ФИО аудиторов. Состав команды по аудиту, в том числе руководитель аудиторской группы, определяется из числа сотрудников, назначенных распоряжением по организации;
- ФИО представителей подразделений, уполномоченных по аудиту;
- дату и место проведения аудитов;
- перечень процедур и элементов системы менеджмента, подлежащих проверке;
- наименования проверяемых подразделений;
- сопутствующие документы (например, предыдущие аудиторские отчеты должны быть частью пакета сопутствующих документов);
- особые обстоятельства, включая документы о любых несоответствиях, относящиеся к данному аудиту.
При проведении аудита необходимо обратить внимание на методы сбора информации. Методами сбора информации при проведении внутреннего аудита являются опросы, наблюдения за деятельностью, проверка документации. Предметом обзора могут служить такие документы, как: отчеты, спецификации, схемы, записи.
Наблюдение за процессом производства может производиться непосредственно во время производства или, если есть необходимость, следует запросить демонстрацию. При повторном аудите проверяющий сможет сравнить новый результат с предыдущим, чтобы сделать гарантированно правильный вывод.
Свидетельства аудита могут быть документированы, например, путем соответствующей отметки (комментария) в Контрольном листе, и подтверждены соответствующими доказательствами. Заполненные Контрольные листы включаются в комплект документов, формируемый по окончании аудита, и хранятся у руководителя аудиторской группы.
Вся информация, получаемая в ходе внутреннего аудита и указывающая на возможность несоответствия, должна фиксироваться независимо от того, относится ли она к заявленным целям проверки или не относится. Такая информация может быть использована при следующем аудите или при проверке другого процесса/процедуры.
Во время проведения аудита сотрудники проверяемого подразделения обязаны предоставлять все затребованные и имеющие отношение к проверке документы. Собранные свидетельства аудита должны быть оценены по критериям аудита. Далее аудитору необходимо прокомментировать каждое несоответствие.
За выполнение программы аудита, объективность и достоверность его свидетельств ответственность несет Руководитель аудиторской группы.
После составления отчета результаты аудита рассматриваются на собрании группы. Согласие с выявленными несоответствиями должно быть подтверждено руководителем проверяемого подразделения или, в случае его отсутствия, его заместителем.
Далее организация анализирует те области аудита, где произошло ухудшение; определяет причины ухудшения совместно с руководителем проверяемого структурного подразделения; разрабатывает корректирующие действия; определяет сроки выполнения и ответственных.
Одним из решений, которое позволит автоматизировать процесс аудита, повысив его эффективность и качество, является облачное программное решение GRAIT Audit – продукт, который был создан с учётом лучших практик и передового опыта проведения аудитов. Данный IT-продукт разработан компанией Грэйт (дочерняя компания ИнтерКонсалт).
Использование GRAIT Audit позволяет:
- автоматизировать работу аудиторов и организовать процесс проведения аудитов в любой компании в соответствии с международным стандартом ISO 19011;
- быстро и грамотно провести любой аудит, сформировать понятный и грамотный отчет;
- воспользоваться готовыми чек-листами, примерами формулировок несоответствий и рекомендаций по каждому требованию многих международных стандартов, подготовленных профессионалами;
- ускорить обучение новых аудиторов и проводить аудиты специалистами с начальным уровнем подготовки без потери качества;
- проводить несколько аудитов одновременно;
- управлять несоответствиями, формируя корректирующие мероприятия и назначая ответственных.
Выгоды от использования GRAIT Audit:
1. Экономия времени за счет автоматизации процесса аудита:- более 60% при подготовке и планировании аудита;
- более 75% при сборе и фиксировании информации во время проведения аудита;
- более 90% при подготовке отчета;
- до 99% на формирование отчета.
3. Повышение качества за счет минимизации ошибок при работе с ПО.