Во всех стандартах на системы менеджмента, таких как ISO 9001, ISO 14001, ISO 22000 или ISO 45001 существует требование — проводить внутренний аудит системы менеджмента компании.

Эти требования к внутреннему аудиту обеспечивают метод проверки того, что внедренная система функционирует так, как планировалось.

Процесс внутреннего аудита предназначен для управления процессами, наблюдая за тем, что происходит внутри процесса, и гарантируя, что это соответствует запланированным мероприятиям — как в соответствии со стандартом ISO, так и в политике и процедурах, применяемых организацией. Кроме того, внутренние аудиты предоставляют информацию об эффективном внедрении и поддержании системы управления.

Согласно ISO 19011 процесс проведения внутреннего аудита разделен на две отдельные части: управление программой аудита и непосредственное проведение аудита. Каждая из этих двух частей состоит из шести отдельных этапов, и проведение аудита является лишь частью общей программы аудита.

Программа аудита

Программа аудита включает в себя все действия, которые необходимо предпринять для планирования всех аудитов системы управления, действующей на предприятии. Программа охватывает такие вопросы, как наличие годового графика аудита с аудитом отдельных процессов, или проведение аудита всех процессов вместе, как при проведении сертификационного аудита. Кто будет выступать в качестве аудиторов, и какой компетенцией они должны обладать? Будет ли проводиться комплексный аудит нескольких систем управления или аудит отдельно по каждой? Иначе говоря, программа аудита — это все, что необходимо для подготовки к проведению аудита.

Ниже приведены шесть шагов, включенных в программу аудита, согласно рекомендаций ISO 19011:

1) Установить цели программы аудита – каковы цели программы аудита? Какие системы управления включены? Насколько внедрена и функционирует система управления и насколько хорошо используются показатели эффективности? Какие процессы, продукты, услуги и проекты должны быть включены? Например, будут ли цели аудита сосредоточены исключительно на соответствии процессов или же на возможностях для улучшения?

2) Определить риски и возможности. Какие риски и возможности необходимо учитывать в программе аудита? Есть ли риски, которые необходимо устранить, или возможности извлечь выгоду, связанные с планированием, ресурсами, аудиторами, коммуникацией, координацией, документами, мониторингом или доступностью объекта аудита? Если это так, какие планы необходимо принять для устранения рисков или использования этой возможности? Для критического процесса может возникнуть необходимость поговорить с высшим руководством, с которым сложно связаться, поэтому планирование этого может повысить вероятность успеха проведения аудита.

3) Разработать программу аудита – каковы роли и обязанности по управлению программой аудита? Как будет обеспечиваться компетентность аудиторов и ресурсов для аудита? Какова степень аудитов, которые планируется провести, и какие процессы должны быть включены в аудиты?

Например, учитывает ли процесс закупок все подпроцессы выбора поставщика, размещения заказов на закупку, или только некоторые из этих подпроцессов?

4) Внедрить программу аудита – Реализация программы аудита состоит в планировании и выполнении каждого этапа аудита. Каковы цель, область применения, критерии и методы для каждого отдельного аудита? Кто будет привлекаться в качестве аудиторов для каждого аудита, и каковы будут их обязанности? Как управлять отчетами и записями об аудите?

5) Мониторинг программы – Необходимо постоянно отслеживать, реализуется ли программа аудита в соответствии с утвержденным планом или необходимо вносить изменения. Соблюдаются ли графики и проводятся аудиты в соответствии с установленными планами? Достаточно ли документирована информация и достаточными ли навыками обладают аудиторы? Есть ли какие-либо изменения, которые необходимо внести, чтобы улучшить программу аудита?

6) Пересмотреть и улучшить программу. Как и во всех процессах, в процессе аудита необходимо искать возможности для совершенствования процесса. Есть ли необходимость увеличить или наоборот сократить количество конкретных аудитов процессов? Какие изменения нужно внести в программу аудита?

Проведение аудита

В рамках реализации программы аудита может будет проведен один или несколько аудитов. Каждый аудит будет адаптирован к объему и целям, запланированным для аудита, но общий процесс, описанный ниже, используется для обеспечения успеха любого аудита:

Инициация аудита — Аудитор должен установить контакт с проверяем подразделением или владельцем соответствующего процесса и убедиться, что аудит осуществим. Когда будет проводиться аудит, и каков график аудита? Если выяснится, что основной подпроцесс находится на стадии внесения изменений, может потребоваться внести изменения в цели аудита, так как эту часть процесса может быть сложно оценить.

Подготовка аудита. Подготовка аудита крайне важна для эффективного аудита, и необходимо разработать четкий план внутреннего аудита для управления деятельностью по аудиту. Аудиторы должны рассмотреть документацию и спланировать риски, связанные с аудитом.

Контрольные листы (Check-list) аудита необходимы, чтобы помочь в проведении аудита. Они должны содержать достаточное количество информации для того, чтобы другой аудитор мог взять на себя ответственность при необходимости, но с другой стороны, они также должны быть достаточно гибкими, чтобы дать возможность аудитору лавировать. Контрольные листы аудита становятся основой того, какие вопросы будут заданы во время аудита.

Проведение аудита — После подготовки проводится аудит. Процесс аудита начинается с предварительного совещания, на котором подтверждается информация об аудите и проверяется план аудита, чтобы обеспечить его выполнение.

Затем аудиторы должны собрать и проверить информацию, что делается в процессе собеседований, наблюдения за деятельностью и проверки документов. Затем аудитор сравнивает эту информацию с запланированными критериями аудита и формирует результаты аудита. Когда все наблюдения аудита собраны, выводы по результатам аудита сделаны, проводится заключительное совещание для представления устного отчета об аудите.

Подготовка отчета об аудите Отчет об аудите — это не только метод представления наблюдений аудита и связанных с ним свидетельств объекту аудита, но и запись, отражающая все этапы процесса проведения аудита. Хороший отчет об аудите продемонстрирует, что все принципы аудита были соблюдены, и что выводы аудита являются обоснованными. Отчет об аудите должен содержать всю информацию, необходимую для того, чтобы проверяемые лица знали не только то, что было выявлено в ходе аудита, но и то, на что следует обратить внимание для принятия корректирующих действий.

Завершение аудита – Аудит считается завершенным, когда все запланированные действия выполнены или по каким-либо причинам принято решение оставить их незавершенными. Отчеты об аудите заполнены, и получена необходимая обратная связь для оценки адекватности программы аудита, например, опыт, полученный в ходе аудита.

Проведение последующих действий – Хотя это не всегда является частью аудита, некоторые последующие действия могут быть предприняты. Это может быть привлечение аудиторов в процесс внедрения корректирующих мероприятий.

Заключение

Хотя процесс внутреннего аудита является обязательным для всех систем управления ИСО, таких как системы управления качества ISO 9001, системы экологического менеджмента ISO 14001 или система безопасности пищевой продукции ISO 22000, использование формализованного подхода, рекомендуемого в ISO 19011, не является обязательным требованием. Тем не менее, этот хорошо продуманный формат для планирования и проведения аудитов может быть полезен для получения максимально эффективного результата от проведения внутренних аудитов.