Основні принципи аудиту

Етика поведінки аудитора — високий професіоналізм, чесність, конфіденційність.

Справедливе подання результатів аудиту полягає в зобов'язанні аудитора повно і правдиво повідомляти результати аудиту, а будь-які невирішені питання або протиріччя між аудитором і замовником мають бути зареєстровані.

Належна професійна обережність означає використання розумної обережності під час проведення аудиту з урахуванням важливості завдання, яке аудитор вирішує, і її конфіденційності.

Незалежність аудиту означає неупередженість і об'єктивність заключного висновку за результатами аудиту.

Достовірність результатів аудиту означає, що, незважаючи на короткий термін його проведення і обмежені ресурси, результати аудиту мають базуватися на доступній і перевіреній інформації.

Підготовка до проведення аудиту. Програма аудиту залежить від його цілей, розміру, структури і специфічних особливостей організації, що підлягає аудиту.

Прикладами програми аудиту можуть бути:

• внутрішній аудит, що охоплює систему управління якістю чи навколишнім середовищем;

• оцінювання другою стороною потенційних можливостей постачальників. Для програми аудиту мають бути сформульовані цілі, які регламентують планування і проведення аудиту. Цілі можуть базуватися на:

• пріоритетах управління;

• комерційних намірах;

• вимогах системи управління;

• юридичних і договірних вимогах;

• оцінюванні постачальників;

• вимогах споживачів;

• потенційному ризику організації. Прикладами цілей програми аудиту можуть бути:

1) отримання доказів відповідності системи управління якістю чи навколишнім середовищем критеріям аудиту;

2) оцінювання здатності систем управління гарантувати відповідність законам і договірним вимогам;

3) оцінювання ефективності систем управління відповідно до зазначених цілей;

4) визначення можливості удосконалення систем управління якістю і навколишнім середовищем.

Критерії аудиту можуть включати процедури, стандарти, в т. ч. ті, що стосуються вимог до систем управління, а також інструкції, вимоги контрактів, кодексів поведінки в бізнесі тощо.

Цілі та критерії аудиту мають бути визначені замовником і будь-які подальші зміни до них необхідно узгоджувати з ним та відповідальним за проведення аудиту.

Зміст програми аудиту залежить від:

• цілі, тривалості і частоти кожного аудиту, який необхідно провести;

• розміру і специфіки організації;

• стандартів, юридичних і договірних вимог, політики, процедур та інших критеріїв аудиту;

• потреби в акредитації і реєстрації;

• результатів попередніх аудитів;

• культурних і соціальних проблем;

• участі зацікавлених сторін;

• суттєвих змін організаційної і функціональної діяльності організації. У програмі аудиту мають бути встановлені процедури, наприклад:

1) планування проведення аудиту;

2) вибір відповідних аудиторів;

3) проведення аудиту;

4) виконання подальших етапів аудиту (складання звіту тощо). У програмі мають бути передбачені засоби її реалізації:

• документація, необхідна для проведення аудиту;

• координація і планування аудиту;

• встановлення і підтримання професійного навчання аудиторів;

• забезпечення формування груп аудиторів;

• забезпечення проведення аудиту згідно з його програмою;

• забезпечення складання звіту за результатами аудиту і надання його заінтересованим сторонам;

• забезпечення продовження аудиту, якщо це необхідно.

Програма аудиту періодично контролюється, результати її виконання аналізуються і виявляються можливості щодо її поліпшення.

Відповідальність за управління програмою аудиту має бути покладена на спеціаліста, який обізнаний з основними принципами аудиту, компетентний і вміє користуватися інструментами та методами аудиту. Він має:

1) складати, здійснювати, підтримувати і поліпшувати програму аудиту;

2) виділяти і передбачати ресурси для програми.

Після того, як прийнято рішення про проведення аудиту і встановлено його ціль, формується група аудиторів, призначається її керівник з урахуванням необхідної компетенції.

Якщо для проведення аудиту достатньо одного аудитора, то він виконує всі обов'язки керівника групи.

При формуванні групи аудиторів виходять з таких міркувань:

• цілі, критерії і тривалість аудиту;

• загальна компетентність групи аудиторів має бути такою, щоб досягти цілей аудиту;

• необхідно знати вимоги органів із сертифікації й акредитації;

• розуміння аудиторами соціальних і культурних особливостей організації, в якій проводиться аудит;

• здатність аудиторів успішно співпрацювати з замовником та між собою. Якщо немає аудиторів, які мають необхідні знання і навички, то до групи аудиторів включають технічних експертів.

Після формування групи аудиторів здійснюється попереднє знайомство з організацією, яка підлягає аудиту. Після цього група аудиторів вивчає документи систем управління якістю і навколишнім середовищем, звіти попередніх аудитів з метою визначення відповідності елементів систем управління критеріям аудиту.

Якщо документація виявляється неадекватною, замовник, відповідальний за управління програмою аудиту, і організація, що підлягає аудиту, мають бути про це проінформовані.

Планування дій підчас аудиту. Якщо результати аналізу документації відповідають критеріям аудиту, то наступним етапом є складання плану дій. План аудиту має містити:

1) цілі аудиту;

2) критерії аудиту і посилання на документи;

3) дати і місця проведення аудиту;

4) процеси, які підлягають аудиту;

5) очікувану тривалість проведення аудиту.

План проведення аудиту може також включати питання:

• про ідентифікацію підрозділів, дій і процесів систем управління, які є суттєвими для цілей аудиту для того, щоб впорядкувати розподіл ресурсів у критичних областях аудиту;

• про мову проведення аудиту, якщо вона відрізняється від рідної мови аудитора чи організації, що підлягає аудиту;

• про ідентифікацію ролей і обов'язків аудиторів та супроводжувальних осіб;

• про проблеми, пов'язані з конфіденційністю тощо.

План має бути розглянутий і прийнятий замовником аудиту. Будь-які заперечення організації, що підлягає аудиту, мають бути вирішені між керівником групи аудиторів та організацією перед початком аудиту.

План аудиту має бути достатньо гнучким, щоб можна було передбачити зміни, які можуть статися у процесі аудиту.

Процедури проведення аудиту. Після складання плану в організації проводиться зустріч аудиторів з її персоналом. Метою зустрічі є ознайомлення всіх працівників організації з планом проведення аудиту.

У процесі зустрічі персонал організації ознайомлюється:

• зі складом аудиторів і їх повноваженнями;

• інформацією про ціль аудиту і його критеріями;

• напрямками і тривалістю проведення аудиту;

• методами і процедурами проведення аудиту;

• поточною інформацією, яку організація буде отримувати у процесі аудиту;•

• ресурсами і засобами, необхідними групі аудиторів тощо.

Інформація, зібрана під час аудиту, має бути ідентифікована і зареєстрована. Джерела інформації можуть включати:

1)інтерв'ю;

2) спостереження за діями та умовами роботи;

3) документи, в тому числі політику організації, цілі, плани, процедури, інструкції, патенти, контракти, розпорядження тощо;

4) звіти, скарги споживачів, результати перевірки програм контролю тощо. Після закінчення аудиту група аудиторів має провести нараду з метою:

• розглянути результати аудиту і всю інформацію, зібрану в процесі аудиту;

• досягти узгоджених висновків аудиту;

• підготувати рекомендації (якщо це визначено цілями аудиту);

• обговорити наступне продовження аудиту (якщо це потрібно);

• домовитися про роль і задачі заключної зустрічі з персоналом організації.

Заключна зустріч має бути проведена таким чином, щоб надані організації результати і висновки аудиту були зрозумілі та підтверджені, щоб організація могла розробити і представити план коригувальних дій. Будь-які розбіжності між аудиторами й організацією стосовно результатів аудиту мають бути обговорені і, за можливості, вирішені. Якщо згоди не досягнуто, то погляди обох сторін мають бути зафіксовані.

Звітність з аудиту. Керівник групи аудиторів відповідає за підготовку і зміст звіту з аудиту. Звіт має забезпечувати повноту, точність, лаконічність і якість записів аудиту та містити висновки в межах цілей аудиту:

1) ступінь відповідності системи управління критеріям аудиту;

2) ефективність реалізації й обслуговування систем управління;

3)здатність керівництва гарантувати подальшу придатність, адекватність і ефективність систем управління.

Звіт має також включати або посилатися на:

• ідентифікацію організаційної і функціональної структури організації або процесів;

• ідентифікацію замовника;

• ідентифікацію членів групи аудиторів;

• дату і місце проведення аудиту;

• критерії аудиту і список нормативних документів, за якими проводиться аудит;

• результати аудиту;

• узгоджені цілі аудиту, можливості і план;

• період часу, охоплений аудитом;

• ідентифікацію ключових представників організації, які брали участь в аудиті;

• хід процесу аудиту, в тому числі будь-які перешкоди, які мали місце;

• підтвердження конфіденційності характеру звіту;

• підтвердження того, що цілі аудиту були виконані в межах можливостей аудиту і відповідно до плану аудиту;

• будь-які узгоджені наступні плани дій;

• будь-які невирішені відхилення у поглядах між групою аудиторів та організацією, що підлягала аудиту;

• рекомендації для удосконалення, якщо це передбачено цілями аудиту;

• сфери, не охоплені аудитом, хоча знаходяться в межах його компетентності. Звіт за результатами аудиту має бути датовано, розглянуто і схвалено як встановлено у процедурах програми аудиту, після чого має бути розісланий одержувачам, визначеним замовником.

Звіт з аудиту є власністю замовника і конфіденційність його має поважатися та гарантуватися аудиторами і всіма одержувачами.

Аудит вважається завершеним, якщо всі дії в плані аудиту завершені і звіт про нього схвалений.

Завершення аудиту може потребувати коригувальних і попереджувальних дій щодо удосконалення. Ці дії в деяких випадках є частиною аудиту і провадяться самою організацією. Але в більшості випадків наступні дії є метою внутрішнього аудиту і розглядаються як додаткова цінність, яка використовує експертні знання аудиторів.

Загальні вимоги до компетентності аудиторів. Для гарантування якісного проведення аудиту необхідно, щоб аудитор був компетентним, тобто володів знаннями і вміннями, необхідними для проведення аудиту. Забезпечення компетентності аудитора є лише першим кроком, який сприяє надійності процесу аудиту. Другим є правильне формування групи аудиторів для певного виду аудиту. І, нарешті, аудитор має підтримувати і підвищувати свою компетентність шляхом професійного розвитку і участі в аудитах. Незалежно від того, якою сферою діяльності займається аудитор (системи управління якістю чи навколишнім середовищем), загальна його компетентність стосується аспектів, наведених далі.

Процедури аудиту, механізми і методи. Аудитор повинен бути здатний:

• ефективно планувати й організовувати роботу;

• своєчасно проводити аудит;

• збирати інформацію шляхом інтерв'ю, слухань, спостережень;

• розгляду документів, в т. ч. звітів;

• перевіряти точність зібраної інформації;

• підтверджувати достатність звіту з аудиту, його результатів і висновків;

• оцінювати ризик аудиту;

• робити записи дій аудиту в робочих документах;

• чітко, зрозуміло і лаконічно оформляти звіт з аудиту;

• дотримуватися конфіденційності отриманої інформації;

• ефективно спілкуватися особисто або через компетентного перекладача.

Володіння цими знаннями дає змогу аудиторові вибирати і використовувати ті процедури, механізми і методи, які відповідають особливостям аудиту та гарантують якісне його проведення.

Системи управління і посилання на документи (рекомендації). Компетентність у цій сфері має охоплювати:

• використання систем управління стосовно різних організацій;

• взаємодію між елементами систем управління;

• стандарти систем управління та критерії аудиту;

• відмінності і пріоритетність серед документів (рекомендації);

• супроводжувальні документи попередніх аудитів;

• інформаційні системи і технології управління, контроль документів та звітів. Володіння цими знаннями дає змогу аудиторові реалізувати цілі аудиту.

Організаційна ситуація. Компетентність аудитора має охоплювати:

1) функції і взаємозв'язок окремих структур організації;

2) процеси в організації;

3) культурні та соціальні аспекти в організації;

4) мову діловодства в організації.

Закони, інструкції та інші матеріали й умови роботи організації.

Компетентність аудитора має стосуватися:

• укладання контракту і угод;

• умов праці і безпеки на робочих місцях;

• виробництва продукції і послуг;

• міжнародних угод і конвенцій;

• умов робочого середовища.

Успішне виконання робіт з аудиту залежить від особистих якостей аудитора, який має бути:

• уважним до альтернативних ідей або поглядів;

• дипломатичним і тактовним при спілкуванні з людьми;

• спостережливим стосовно середовища, в якому він діє, у процесі проведення аудиту;

• стійким у досягненні цілей аудиту;

• самостійним і незалежним у своїх діях від можливого впливу зі сторони.

Специфічні знання і вміння аудитора систем управління якістю. Аудитор системи управління якістю повинен мати знання й уміння з аспектів, поданих нижче.

Методи управління якістю продукції і послуг. Компетентність аудитора має включати:

• термінологію з якості;

• принципи управління якістю;

• механізми забезпечення якості.

Знання цих питань дає змогу аудиторові досліджувати систему управління якістю й отримувати необхідні для аудиту результати.

Продукція, послуги і процеси. Компетентність аудитора має включати знання:

1) процесів виготовлення виробів і надання послуг;

2) критичних характеристик процесів, виробів і послуг.

Знання цих питань надає можливість аудиторові проаналізувати процеси, послуги та їхні критичні характеристики.