Стандарт ГОСТ Р ИСО 19011-2021 идентичен международному стандарту ИСО 19011:2018 «Руководящие указания по проведению аудитов систем менеджмента».
Документ призван помочь синхронизировать внутренний аудит предприятия с общими принципами всех стандартов системы менеджмента ИСО. Также его внедрение будет способствовать развитию позитивной культуры на предприятии.
Стандарт определяет набор руководящих принципов: рамки, позволяющие компаниям планировать, внедрять и улучшать свои программы аудита.
Красной нитью через стандарт проходит понятие рисков и возможностей, которые интегрированы во все процессы составления программы и проведения аудитов. Все начинается с раздела о принципах проведения аудита, где сказано, что риск-ориентированный подход должен оказывать существенное влияние на планирование, проведение и отчетность по аудитам, чтобы обеспечить уверенность, что аудит сфокусирован на вопросах, имеющих значение для заказчика проверки и для достижения целей ее программы.
Документ содержит семь ключевых принципов проведения аудита, которые представляют собой фундаментальные подходы и модели поведения внутреннего аудитора для того, чтобы процесс проверки вызывал уважение и доверие в организации.
Эти принципы также помогут работающим независимо друг от друга аудиторам прийти в схожих обстоятельствах к аналогичным выводам.
Семь принципов проведения аудита
-
Честность как основа профессионализма.
-
Беспристрастное представление: обязательство подавать правдивые и точные отчеты. Все результаты аудита, включая документированные доказательства, заключения и письменные отчеты, должны правдиво и точно отражать деятельность аудита.
-
Должная профессиональная осмотрительность: прилежание и обдуманность решений при проведении аудита.
-
Аудиторы должны проявлять должную профессиональную осмотрительность во всех задачах, выполняемых во время аудита, в соответствии с доверием, оказанным им проверяемой организацией, и с учетом важности выполняемой ими задачи. Они должны иметь возможность выносить обоснованные суждения во всех ситуациях во время аудита.
-
Конфиденциальность: защита информации. Независимость: основа беспристрастности и объективности заключений аудита. Аудиторы должны быть в максимально возможной степени независимыми от проверяемой деятельности. Они не должны вмешиваться в нее, иметь предубеждения или конфликты интересов. По возможности внутренние аудиторы должны быть независимыми от проверяемой функции.
-
Подход, основанный на свидетельстве: рациональный метод достижения надежных и воспроизводимых заключений проверки в систематическом процессе аудита.
-
Риск-ориентированный подход: подход, основанный на оценке риска, учитывающий риски и возможности. Его цель состоит в том, чтобы более четко ориентировать проверки на вопросы, которые важны для клиентов аудита и достижения его целей.
Будучи встроенными в культуру проведения внутреннего аудита, эти семь принципов должны повысить его ценность в организации и обеспечить результаты за счет систематического применения передовых практик, выявления несоответствий, анализа рисков и возможностей. Все это способствует улучшению результатов деятельности организации и ее устойчивому развитию.
Практические рекомендации
Для того чтобы получить добавленную стоимость за счет применения упомянутых выше семи ключевых принципов, используйте эти идеи:
-
Согласуйте программу внутреннего аудита с бизнес-стратегией и целями организации. Пятый раздел стандарта касается управления программой аудита. Приоритет проведения проверок по той или иной теме, того или иного подразделения определяется после тщательного рассмотрения:
-
контекста организации ;
-
стратегического направления развития, включая любые запланированные изменения в организации и ее системе управления;
-
предполагаемой функциональности системы управления, степени влияния ключевых процессов и функций, отделов, проектов и т.д.;
-
текущих результатов работы и предыдущих результатов внутреннего аудита;
-
ключевых рисков и возможностей.
Цель состоит в том, чтобы направить внутренних аудиторов в те области бизнеса, где они могут принести наибольшую пользу, вместо того, чтобы выбирать более простой вариант создания ежегодной программы аудита, охватывающей каждый отдел или функцию.
-
-
При планировании внутреннего аудита придерживайтесь подхода, основанного на оценке риска. Об этом подробно рассказано в шестом разделе . Например, стоит учесть риски:
-
того, что цели проверки не будут достигнуты;
-
создаваемые аудитом для проверяемой организации;
-
недочетов планирования графика проведения проверки и координации действий во время нее.
-
Тщательно выбирайте и развивайте внутренних аудиторов.
-
Проведите аудит программы и процесса управления аудитом.
Для того чтобы программа аудита была эффективной, необходимо иметь компетентный и квалифицированный персонал. В седьмом разделе стандарта рассмотрены вопросы оценки компетентности и эффективности аудитора по ряду критериев.
В целом акцент смещен с компетенции отдельных аудиторов на компетенцию, которая должна присутствовать внутри команды. Если группе аудита в целом не хватает знаний или опыта, необходимо привлечь технического эксперта, чтобы восполнить этот пробел. При этом аудиторы необязательно должны быть экспертами в каждом отдельном процессе, но они должны понимать общую цель и структуру организации.
В идеале их компетентность следует оценивать на регулярной основе с использованием процесса, учитывающего поведение и знания каждого аудитора. Такой процесс должен учитывать конкретные потребности и цели рассматриваемой программы аудита. Также он должен быть задокументирован, чтобы гарантировать справедливые и надежные результаты.
В приложении к стандарту даны некоторые практические советы. Например, какие методы аудита целесообразно применять в том или ином случае, как проводится верификация информации и аудиторская выборка. Уделено внимание и проведению конкретных видов аудитов, например, аудита соблюдения требований в рамках системы менеджмента, аудита среды организации, рисков и возможностей и др. Даны рекомендации по подготовке рабочих документов аудита, выбору источников информации, посещению проверяемой организации, аудиту виртуальной деятельности.
В итоге
Итак, ГОСТ Р ИСО 19011-2021 представляет собой набор руководящих принципов для аудита на предмет соответствия другим системам менеджмента ИСО. Это не полный набор требований, которые нужно выполнять поэтапно, предлагаемая стандартом информация должна быть адаптирована в соответствии с конкретными потребностями и требованиями программы аудита. Тем не менее документ предлагает ценную информацию о том, как подойти к аудиту любого стандарта системы менеджмента ИСО.
Стандарт также может использоваться в качестве дополнительного руководства для сторонних аудитов, но нужно помнить, что особые требования к системам управления аудитом изложены в ГОСТ Р ИСО/МЭК 17021-1-2017 , который предназначен для использования сертифицированными аудиторами или зарегистрированными органами при проведении сертификационных аудитов.