прочитано
#системы менеджмента #стандартизация #стандарты ИСО #аудит

С июля вступил в силу новый стандарт ГОСТ Р ИСО 19011-2021. Документ вобрал в себе рекомендации для управления программами внутреннего аудита систем менеджмента: ключевые принципы проведения проверки, требования к аудиторам, к подготовке рабочих документов, выбору источников информации и многое другое.

0 4

Стандарт  ГОСТ Р ИСО 19011-2021  идентичен международному стандарту ИСО 19011:2018 «Руководящие указания по проведению аудитов систем менеджмента».

Документ призван помочь синхронизировать внутренний аудит предприятия с общими принципами всех стандартов системы менеджмента ИСО. Также его внедрение будет способствовать развитию позитивной культуры на предприятии.

Стандарт определяет набор руководящих принципов: рамки, позволяющие компаниям планировать, внедрять и улучшать свои программы аудита.

Это не набор требований для сертификации, но инструмент, предназначенный для информирования компаний о том, как подготовить программы аудита для проверки своих систем управления

Красной нитью через стандарт проходит понятие рисков и возможностей, которые интегрированы во все процессы составления программы и проведения аудитов. Все начинается с раздела о принципах проведения аудита, где сказано, что риск-ориентированный подход должен оказывать существенное влияние на планирование, проведение и отчетность по аудитам, чтобы обеспечить уверенность, что аудит сфокусирован на вопросах, имеющих значение для заказчика проверки и для достижения целей ее программы.

Документ содержит семь ключевых принципов проведения аудита, которые представляют собой фундаментальные подходы и модели поведения внутреннего аудитора для того, чтобы процесс проверки вызывал уважение и доверие в организации.

Эти принципы также помогут работающим независимо друг от друга аудиторам прийти в схожих обстоятельствах к аналогичным выводам.

Семь принципов проведения аудита

  1. Честность как основа профессионализма.

  2. Беспристрастное представление: обязательство подавать правдивые и точные отчеты. Все результаты аудита, включая документированные доказательства, заключения и письменные отчеты, должны правдиво и точно отражать деятельность аудита.

  3. Должная профессиональная осмотрительность: прилежание и обдуманность решений при проведении аудита. 

  4. Аудиторы должны проявлять должную профессиональную осмотрительность во всех задачах, выполняемых во время аудита, в соответствии с доверием, оказанным им проверяемой организацией, и с учетом важности выполняемой ими задачи. Они должны иметь возможность выносить обоснованные суждения во всех ситуациях во время аудита.

  5. Конфиденциальность: защита информации. Независимость: основа беспристрастности и объективности заключений аудита. Аудиторы должны быть в максимально возможной степени независимыми от проверяемой деятельности. Они не должны вмешиваться в нее, иметь предубеждения или конфликты интересов. По возможности внутренние аудиторы должны быть независимыми от проверяемой функции.

  6. Подход, основанный на свидетельстве: рациональный метод достижения надежных и воспроизводимых заключений проверки в систематическом процессе аудита.

  7. Риск-ориентированный подход: подход, основанный на оценке риска, учитывающий риски и возможности. Его цель состоит в том, чтобы более четко ориентировать проверки на вопросы, которые важны для клиентов аудита и достижения его целей.

Будучи встроенными в культуру проведения внутреннего аудита, эти семь принципов должны повысить его ценность в организации и обеспечить результаты за счет систематического применения передовых практик, выявления несоответствий, анализа рисков и возможностей. Все это способствует улучшению результатов деятельности организации и ее устойчивому развитию.

Практические рекомендации

Для того чтобы получить добавленную стоимость за счет применения упомянутых выше семи ключевых принципов, используйте эти идеи:

  1. Согласуйте программу внутреннего аудита с бизнес-стратегией и целями организации.  Пятый раздел стандарта касается управления программой аудита. Приоритет проведения проверок по той или иной теме, того или иного подразделения определяется после тщательного рассмотрения:

    • контекста организации ;

    • стратегического направления развития, включая любые запланированные изменения в организации и ее системе управления;

    • предполагаемой функциональности системы управления, степени влияния ключевых процессов и функций, отделов, проектов и т.д.;

    • текущих результатов работы и предыдущих результатов внутреннего аудита;

    • ключевых рисков и возможностей.

    Цель состоит в том, чтобы направить внутренних аудиторов в те области бизнеса, где они могут принести наибольшую пользу, вместо того, чтобы выбирать более простой вариант создания ежегодной программы аудита, охватывающей каждый отдел или функцию.

  2. При планировании внутреннего аудита придерживайтесь подхода, основанного на оценке риска. Об этом подробно рассказано  в шестом разделе . Например, стоит учесть риски: 

    • того, что цели проверки не будут достигнуты;

    • создаваемые аудитом для проверяемой организации;

    • недочетов планирования графика проведения проверки и координации действий во время нее.

  3. Тщательно выбирайте и развивайте внутренних аудиторов.

  4. Для того чтобы программа аудита была эффективной, необходимо иметь компетентный и квалифицированный персонал. В седьмом разделе стандарта рассмотрены вопросы оценки компетентности и эффективности аудитора по ряду критериев. 

    В целом акцент смещен с компетенции отдельных аудиторов на компетенцию, которая должна присутствовать внутри команды. Если группе аудита в целом не хватает знаний или опыта, необходимо привлечь технического эксперта, чтобы восполнить этот пробел. При этом аудиторы необязательно должны быть экспертами в каждом отдельном процессе, но они должны понимать общую цель и структуру организации.

    В идеале их компетентность следует оценивать на регулярной основе с использованием процесса, учитывающего поведение и знания каждого аудитора. Такой процесс должен учитывать конкретные потребности и цели рассматриваемой программы аудита. Также он должен быть задокументирован, чтобы гарантировать справедливые и надежные результаты.

  5. Проведите аудит программы и процесса управления аудитом.

  6. Сам процесс аудита должен подвергаться проверке. Как и в случае прочих процессов, должны быть определены и реализованы возможности для его улучшения 

    В приложении к стандарту даны некоторые практические советы. Например, какие методы аудита целесообразно применять в том или ином случае, как проводится верификация информации и аудиторская выборка. Уделено внимание и проведению конкретных видов аудитов, например, аудита соблюдения требований в рамках системы менеджмента, аудита среды организации, рисков и возможностей и др. Даны рекомендации по подготовке рабочих документов аудита, выбору источников информации, посещению проверяемой организации, аудиту виртуальной деятельности.

    В итоге

    Итак, ГОСТ Р ИСО 19011-2021 представляет собой набор руководящих принципов для аудита на предмет соответствия другим системам менеджмента ИСО. Это не полный набор требований, которые нужно выполнять поэтапно, предлагаемая стандартом информация должна быть адаптирована в соответствии с конкретными потребностями и требованиями программы аудита. Тем не менее документ предлагает ценную информацию о том, как подойти к аудиту любого стандарта системы менеджмента ИСО.

    Стандарт также может использоваться в качестве дополнительного руководства для сторонних аудитов, но нужно помнить, что особые требования к системам управления аудитом изложены в ГОСТ Р ИСО/МЭК 17021-1-2017 , который предназначен для использования сертифицированными аудиторами или зарегистрированными органами при проведении сертификационных аудитов.