Аудит по смк что это
Аудит по смк что это
ГОСТ Р ИСО 19011-2003
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
РУКОВОДЯЩИЕ УКАЗАНИЯ ПО АУДИТУ СИСТЕМ МЕНЕДЖМЕНТА КАЧЕСТВА
И/ИЛИ СИСТЕМ ЭКОЛОГИЧЕСКОГО МЕНЕДЖМЕНТА
Guidelines for quality and/or environmental management systems auditing
Дата введения 2004-04-01
1 РАЗРАБОТАН Всероссийским научно-исследовательским институтом сертификации (ВНИИС) Госстандарта России
ВНЕСЕН Научно-техническим управлением Госстандарта России
3 Настоящий стандарт представляет собой полный идентичный текст международного стандарта ИСО 19011:2002 «Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента», за исключением введения, раздела 2 и примечаний 1 и 2 к таблице 1
ВНЕСЕНА поправка, опубликованная в ИУС N 5, 2007 год
Поправка внесена изготовителем базы данных
Введение
Международные стандарты ИСО серий 9000 и 14000 придают особое значение аудитам как методу менеджмента для обеспечения мониторинга и верификации результативности внедрения политики организации в области качества и/или экологического менеджмента. Аудиты являются также существенной частью деятельности по оценке соответствия при сертификации/регистрации, оценке поставщиков, инспекционном контроле.
Настоящий стандарт содержит руководящие указания по управлению программами аудита, проведению внутренних или внешних аудитов систем менеджмента качества и/или систем экологического менеджмента, а также по компетентности и оценке аудиторов (экспертов). Стандарт предназначен для потенциальных пользователей, включая аудиторов (экспертов); организаций, внедряющих системы менеджмента качества и экологического менеджмента; организаций, в которых необходимо провести аудиты систем менеджмента качества и/или систем экологического менеджмента согласно договорам организаций, участвующих в сертификации или в обучении аудиторов (экспертов), а также для использования при сертификации/регистрации систем менеджмента; аккредитации или стандартизации в области оценки соответствия.
Указания настоящего стандарта являются гибкими. Использование этих указаний может быть различным в зависимости от размера, вида деятельности, сложности проверяемых организаций, а также целей и области аудита. В выделенных рамках представлены дополнительные указания или примеры по конкретным вопросам в виде практических рекомендаций. В некоторых случаях они направлены на поддержку использования настоящего стандарта на малых предприятиях.
При совместном внедрении систем менеджмента качества и экологического менеджмента пользователь настоящего стандарта сам решает вопрос о проведении раздельных аудитов или комплексного аудита.
Пользователь может рассматривать применение или распространение руководящих указаний настоящего стандарта к другим видам аудитов, включая аудиты других систем менеджмента.
Настоящий стандарт содержит только общие указания, однако пользователи могут использовать их для разработки своих собственных требований, связанных с аудитом.
Руководящие указания настоящего стандарта могут быть полезны для лиц или организаций, заинтересованных в мониторинге соответствия требованиям, например требованиям технических условий на продукцию, законов или регламентов.
Стандарт ИСО 19011 был разработан совместно Техническим комитетом ИСО/ТК 176 «Менеджмент качества и обеспечение качества» (подкомитетом ПК 3, Вспомогательные технологии) и Техническим комитетом ИСО/ТК 207 «Экологический менеджмент» (подкомитетом ПК 2 «Экологический аудит и экологические оценки»).
На сегодняшний день понятийный аппарат на русском языке по системам менеджмента окончательно не сформирован и в ряде случаев для одних и тех же понятий в различных документах используют разные термины.
Например, для одного и того же понятия используют термины «управление окружающей средой» (ГОСТ Р ИСО 14001-98), «менеджмент охраны окружающей среды» (ГОСТ Р ИСО 9000-2001) и «экологический менеджмент». В настоящем стандарте предлагается использовать термин «экологический менеджмент», как более соответствующий смыслу термина «environmental management».
В отличие от рекомендуемого ИСО 19011-2002 среднего образования для аудиторов в настоящем стандарте рекомендовано, соответственно, высшее образование.
1 Область применения
Настоящий стандарт содержит руководящие указания по принципам аудита, управлению программами аудита, проведению аудитов систем менеджмента качества и систем экологического менеджмента, а также по компетентности аудиторов для проведения этих аудитов.
Настоящий стандарт предназначен для организаций, которым необходимо проводить внутренние и/или внешние аудиты систем менеджмента качества и/или систем экологического менеджмента или управлять программами аудита.
Рекомендации настоящего стандарта можно применять и к другим видам аудитов при условии, что особое внимание будет уделено определению компетентности членов аудиторской группы.
2 Нормативные ссылки
В настоящем стандарте использованы ссылки на следующие стандарты:
3 Термины и определения
В настоящем документе используются термины по ГОСТ Р ИСО 9000 и ГОСТ Р ИСО 14050, если они не заменены терминами и определениями, приведенными ниже.
Термин, определяемый в каком-либо другом месте настоящего раздела, выделен полужирным шрифтом. За ним в скобках следует его порядковый номер. Такой термин может быть заменен его собственным определением.
1 Внутренние аудиты, называемые «аудитами первой стороны», проводит для внутренних целей сама организация или от ее имени. Результаты внутреннего аудита могут служить основанием для декларации о соответствии. Во многих случаях, особенно на малых предприятиях, независимость при аудите демонстрируют отсутствием ответственности за деятельность, которая подвергается аудиту.
2 Внешние аудиты включают аудиты, называемые «аудитами второй стороны» и «аудитами третьей стороны». Аудиты второй стороны проводят стороны, заинтересованные в деятельности организации, например потребители или другие лица от их имени. Аудиты третьей стороны проводят внешние независимые организации, которые проводят сертификацию или регистрацию на соответствие требованиям ИСО 9001 или ИСО 14001.
3 Аудит систем менеджмента качества и экологического менеджмента, проводимый одновременно, называют комплексным аудитом.
4 Если аудит проверяемой организации проводят одновременно две или несколько организаций, такой аудит называют совместным.
3.2 критерии аудита (audit criteria): Совокупность политики, процедур или требований.
3.3 свидетельства аудита (audit evidence): Записи, изложение фактов или другая информация, которые имеют отношение к критериям аудита (3.2) и могут быть проверены.
3.5 заключение по результатам аудита (audit conclusion): Выходные данные аудита (3.1), представленные аудиторской группой (3.9) после рассмотрения целей аудита и всех выводов аудита (3.4).
3.6 заказчик аудита (audit client): Организация или лицо, заказавшие аудит (3.1).
3.7 проверяемая организация (auditee): Организация, подвергающаяся аудиту.
1 Одного из аудиторов в аудиторской группе, как правило, назначают руководителем группы.
2 Аудиторская группа может включать стажеров.
3.10 технический эксперт (technical expert): Лицо, предоставляющее аудиторской группе (3.9) свои знания или опыт по специальному вопросу.
1 Знания или опыт по специальному вопросу могут быть отнесены к организации, процессу или деятельности, подвергаемым аудиту (3.1), а также к вопросам языка или культуры.
2 Технический эксперт не участвует в аудиторской группе в качестве аудитора (3.8).
3.11 программа аудита (audit programme): Совокупность одного или нескольких аудитов (3.1), запланированных на конкретный период времени и направленных на достижение конкретной цели.
3.12 план аудита (audit plan): Описание деятельности и мероприятий по проведению аудита (3.1).
3.13 область аудита (audit scope): Содержание и границы аудита (3.1).
3.14 компетентность (copmetence): Проявленные личные качества и выраженная способность применять свои знания и навыки.
4 Принципы проведения аудита
Принципы проведения аудита делают аудит результативным и надежным методом поддержания политики руководства и контроля, обеспечивая информацией, на основе которой организация может улучшать свои характеристики, а также являются предпосылкой для объективных заключений по результатам аудита.
К принципам проведения аудита относят:
Существенными при аудите являются ответственность, неподкупность, умение хранить тайну и осмотрительность;
Выводы аудитов, заключения по результатам аудита и записи отражают правдиво и точно деятельность по аудиту. Неразрешенные проблемы или разногласия между аудиторской группой и проверяемой организацией отражают в отчетах (актах);
Профессиональная осмотрительность аудиторов соответствует важности выполняемого задания и доверительности со стороны заказчиков и других заинтересованных сторон. Важным фактором является необходимая компетентность;
Аудиторы независимы в своей деятельности и свободны от предубеждений и конфликтов интересов. Аудиторы сохраняют объективное мнение во время всего процесса аудита с целью обеспечения того, что в основе выводов и заключений находятся только свидетельства аудита;
Свидетельство аудита основано на выборках существующей информации, поскольку аудит осуществляется в ограниченный период времени и с ограниченными ресурсами. Соответствующее использование выборок тесно связано с доверием, с которым относятся к заключениям по результатам аудита.
Аудит по смк что это
ГОСТ Р ИСО 19011-2012
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
РУКОВОДЯЩИЕ УКАЗАНИЯ ПО АУДИТУ СИСТЕМ МЕНЕДЖМЕНТА
Guidelines for auditing management systems
Дата введения 2013-02-01
Предисловие
1 ПОДГОТОВЛЕН Открытым акционерным обществом «Всероссийский научно-исследовательский институт сертификации» (ОАО «ВНИИС») на основе собственного перевода на русский язык англоязычной версии международного стандарта, указанного в пункте 4
2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии
4 Настоящий стандарт идентичен международному стандарту ИСО 19011:2011* «Руководящие указания по аудиту систем менеджмента» (ISO 19011:2011 «Guidelines for auditing management systems», IDT)
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соотвентствие с ГОСТ Р 1.5 (пункт 3.5)
6 ПЕРЕИЗДАНИЕ. Июль 2018 г.
Введение
После публикации в 2002 году первого издания настоящего стандарта появилось множество публикаций новых стандартов по системам менеджмента. В результате возникла необходимость в рассмотрении более широкой области применения для аудитов систем менеджмента, так же, как и в предоставлении соответствующих руководящих указаний, которые стали более универсальными, с тем, чтобы их было можно применять для различных областей (дисциплин) менеджмента.
В 2006 году комитет ИСО по оценке соответствия (КАСКО) разработал ИСО/МЭК 17021, устанавливающий требования для сертификации систем менеджмента третьей стороной, в котором нашли отражение руководящие указания, содержащиеся в первом издании настоящего стандарта.
Второе издание ИСО/МЭК 17021, опубликованное в 2011 году, было расширено, с тем чтобы трансформировать руководящие указания, предложенные в настоящем стандарте, в требования к сертификационным аудитам для систем менеджмента. В связи с этим второе издание настоящего стандарта предоставляет руководящие указания для всех пользователей, включая организации малого и среднего бизнеса, и делает основной акцент на том, что общепринято называть «внутренними аудитами» (аудиты первой стороны) и «аудитами со стороны потребителей своих поставщиков» (аудиты второй стороны). В то время как стороны, принимающие участие в проведении сертификационных аудитов систем менеджмента, руководствуются требованиями ИСО/МЭК 17021:2011, для них могут также оказаться полезными руководящие указания, приведенные в настоящем стандарте.
Взаимосвязь между вторым изданием настоящего стандарта и ИСО/МЭК 17021:2011 приведена в таблице 1.
Аудит третьей стороны
Иногда называемый «аудитом первой стороны»
Иногда называемый «аудитом второй стороны»
В целях проверки соблюдения законодательства и аналогичных целей
Для проведения сертификации (см. также требования ИСО/МЭК 17021:2011)
Настоящий стандарт не устанавливает требований, а содержит руководящие указания по управлению программой аудита, планированию и проведению аудита системы менеджмента, а также по вопросам компетентности и оценивания аудитора и группы по аудиту.
Организации в рамках своей деятельности могут использовать несколько документированных систем менеджмента. Для того, чтобы не усложнять текст настоящего стандарта, предпочтительно употребление «система менеджмента» в единственном числе, но каждый конкретный читатель может адаптировать внедрение положений настоящего стандарта применительно к своей собственной конкретной ситуации. Это также применимо к использованию терминов «лицо» и «лица», «аудитор» и «аудиторы».
Настоящий стандарт предназначен для широкого круга потенциальных пользователей, включающих в себя аудиторов, организации, внедряющие системы менеджмента, и организации, нуждающиеся в проведении аудитов систем менеджмента согласно контрактным или другим обязательствам. При этом пользователи настоящего стандарта могут применять настоящие руководящие указания при разработке своих собственных требований, относящихся к аудиту.
Руководящие указания, содержащиеся в настоящем стандарте, могут использоваться для целей, связанных с декларированием соответствия, а также могут быть полезными для организаций, участвующих в деятельности по подготовке аудиторов или сертификации персонала.
Руководящие указания, содержащиеся в настоящем стандарте, не устанавливают жестких рамок и допускают гибкость в своем применении. Как указано в пунктах по тексту настоящего стандарта, применение настоящих руководящих указаний может различаться в зависимости от размера, уровня развития и совершенства системы менеджмента организации, от характера деятельности и сложности проверяемой организации, а также от целей и области применения проводимых аудитов.
Настоящий стандарт вводит понятие риска применительно к аудиту систем менеджмента. Применяемый здесь подход относится как к рискам, связанным с недостижением процессом аудита поставленных целей, так и к рискам, связанным с возможностью помешать осуществлению деятельности и процессов проверяемой организации из-за проведения мероприятий по аудиту. При этом не дается отдельного руководства по процессу управления рисками для организации, но признается то, что при проведении аудита организации могут сосредоточить свои усилия на наиболее важных вопросах для системы менеджмента.
Настоящим стандартом принимается подход, называемый «комплексным аудитом», при котором две или несколько систем менеджмента, охватывающие различные аспекты менеджмента, проверяются совместно. В случаях, когда эти системы интегрированы в одну систему менеджмента, принципы и процессы проведения аудита будут такими же, как и для комплексного аудита.
Раздел 3 устанавливает ключевые термины и определения, используемые в настоящем стандарте. Были предприняты все усилия для того, чтобы эти определения не вступали в противоречия с определениями, используемыми в других стандартах.
Раздел 4 описывает принципы, на которых базируется процесс аудита. Эти принципы помогают пользователю понять суть процесса аудита и важны для понимания указаний, представленных в разделах 5-7.
Раздел 5 содержит руководящие указания по разработке и управлению программами аудита, по постановке целей программ аудита и координации мероприятий, выполняемых при проведении аудита.
Раздел 6 содержит руководящие указания по планированию и проведению аудита системы менеджмента.
Раздел 7 содержит руководящие указания, относящиеся к компетентности и оценке аудиторов систем менеджмента и групп по аудиту.
Приложение А поясняет применение содержащихся в разделе 7 руководящих указаний для различных аспектов менеджмента.
Приложение В содержит дополнительное руководство для аудиторов по планированию и проведению аудитов.
1 Область применения
Настоящий стандарт содержит руководящие указания по аудиту систем менеджмента, включая принципы аудита, управление программами аудита и проведение аудитов системы менеджмента, а также указания по оценке компетентности лиц, участвующих в процессе аудита, включая аудиторов, группы по аудиту и лиц, отвечающих за управление программой аудита.
Настоящий стандарт предназначен для всех организаций, которым необходимо проводить внутренние или внешние аудиты систем менеджмента или управлять программой аудита.
Положения настоящего стандарта могут применяться и для других типов аудита при условии, что будет уделено особое внимание вопросам, связанным с требуемым для этих целей уровнем специальной компетентности.
2 Нормативные ссылки
В данном разделе не приведены нормативные ссылки. Он включен для сохранения идентичности нумерации разделов настоящего стандарта с другими стандартами ИСО на системы менеджмента.
3 Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1 аудит (audit): Систематический, независимый и документируемый процесс получения свидетельств аудита (3.3) и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита (3.2).
1 Внутренние аудиты, иногда называемые «аудитами первой стороны», проводятся самой организацией или от ее имени для анализа со стороны руководства или других внутренних целей (например, для подтверждения намеченных показателей результативности системы менеджмента или для получения информации по улучшению системы менеджмента) и могут служить основанием для декларации о соответствии. Во многих случаях, особенно в малых организациях, независимость при аудите может быть продемонстрирована отсутствием ответственности за деятельность, которая подвергается аудиту, или беспристрастностью и отсутствием конфликта интересов.
2 Внешние аудиты включают в себя аудиты, называемые «аудитами второй стороны» и «аудитами третьей стороны». Аудиты второй стороны проводят стороны, заинтересованные в деятельности организации, например, потребители или другие лица от их имени. Аудиты третьей стороны проводят внешние независимые организации, такие как регулирующие или надзорные органы или организации, проводящие регистрацию или сертификацию.
3 Аудит двух или нескольких систем менеджмента для различных аспектов (например, качество, охрана окружающей среды, охрана труда), проводимый одновременно, называют «комплексным аудитом».
4 Если две или несколько проверяющих организаций объединяют свои усилия для проведения аудита одной проверяемой организации (3.7), такой аудит называют совместным.
5 Адаптировано из ИСО 9000:2005, статья 3.9.1.
3.2 критерии аудита (audit criteria): Совокупность политик, процедур или требований, используемых в качестве эталона, в соотношении с которым сопоставляют свидетельства аудита (3.3), полученные при проведении аудита.
1 Адаптировано из ИСО 9000:2005, статья 3.9.3.
2 В случае, если критериями аудита являются правовые требования (включая законодательные или другие обязательные требования), то в выводах (наблюдениях) аудита (3.4) часто используются термины «соответствующий» или «несоответствующий».
3.3 свидетельство аудита (audit evidence): Записи, изложение фактов или другая информация, которые связаны с критериями аудита (3.2) и могут быть проверены.
[ИСО 9000:2005, статья 3.9.4]
3.4 выводы (наблюдения) аудита (audit findings): Результаты оценки собранных свидетельств аудита (3.3) на соответствие критериям аудита (3.2).
1 Выводы аудита указывают на соответствие или несоответствие.
2 Выводы аудита могут вести к идентификации возможностей для улучшения или отражению наилучших практик.
3 Если критерии аудита выбираются, исходя из правовых или других обязательных требований, то наблюдением (выводом) аудита определяется соответствие или несоответствие данным требованиям.
4 Адаптировано из ИСО 9000:2005, статья 3.9.5.
3.5 заключение по результатам аудита (audit conclusion): Выходные данные аудита (3.1) после рассмотрения целей аудита и всех выводов аудита (3.4).
3.6 заказчик аудита (audit client): Организация или лицо, заказавшие аудит.
1 В случае внутреннего аудита, заказчиком аудита может быть проверяемая организация (3.7) или лицо, ответственное за управление программой аудита. Запросы, касающиеся проведения внешнего аудита, могут поступать из таких источников, как контролирующие органы, стороны, с которыми организация имеет контрактные отношения, или потенциальные заказчики.
2 Адаптировано из ИСО 9000:2005, статья 3.9.7.
3.7 проверяемая организация (auditee): Организация, подвергающаяся аудиту.
Внутренний аудит системы менеджмента – формальность или инструмент управления?
Одним из обязательных требований ISO 9001 (пункт 9.2.2) к системе менеджмента качества является внедрение в организации программы внутренних аудитов. Аналогичный пункт мы видим во всех стандартах ISO на системы менеджмента: ISO 14001, ISO 22000, ISO 45001, ISO 50001 и т.п.
Увы, порой руководители высшего звена пренебрегают результатами внутренних аудитов, не придавая им особого значения. Линейные менеджеры и рядовые сотрудники также могут относиться к ним негативно, воспринимая их как дополнительную нагрузку, отвлечение от работы.
Как правило, отношение кардинально меняется, как только появляется понимание, зачем проводить внутренние аудиты, какой в них смысл и как оптимизировать эту деятельность.
Зачем руководителю внутренний аудит?
Если мы видим во внутренних аудитах лишь средство получения сертификата ISO, то толку от них для бизнеса не будет никакого.
На самом деле, внутренний аудит — это механизм обратной связи для высшего руководства, который позволяет выявить слабые звенья в системе менеджмента, области для улучшения, а также лучшие практики. Знание о текущих и потенциальных проблемах дает возможность их устранить либо предупредить, снижая потенциальные убытки. Применение лучших практик одного подразделения в работе другого повышает эффективность. Иными словам, имея эту информацию и грамотно ее используя, организация более эффективно достигнет поставленных бизнес-целей.
Казалось бы, есть процедуры отчетности, руководители подразделений регулярно докладывают о своих успехах, не достаточно ли этого для обратной связи? Управленческая мировая практика посредством стандартов ISO говорит, что нет.
Народная мудрость «за деревьями леса не увидеть» здесь вполне уместна. Аудитор помогает взглянуть на процесс под другим углом и заметить то, что менеджер или рядовой сотрудник не замечает или не хочет замечать в каждодневной рутине.
Кроме того, программа внутреннего аудита предполагает не только поиск узких мест, но и отслеживание результативности предпринятых для их устранения мер. Это позволяет руководителю не спустить обнаруженные несоответствия на тормозах, а довести их до логического завершения, а значит, обезопасить организацию от повторения тех же проблем.
Акцент на процессы, а не процедуры
В ISO 9001:2015 и других стандартах ISO нового поколения сделан акцент на процессный подход при проведении внутренних аудитов. То есть в ходе аудитов важно проверять не только и не столько соответствие деятельности установленным процедурам, сколько результативность процесса: как достигается цель этого процесса.
Данное уточнение делает внутренние аудиты еще более бизнес-ориентированными, позволяя действительно улучшать процессы, а не заниматься буквоедством. И если в ходе аудита реальный процесс оказывается более результативным, чем описанный в процедурах, это повод рассмотреть внесение изменений в документацию.
Принципиально ориентировать внутренних аудиторов на то, что аудит должен приносить организации пользу. Установка должна быть дана на выявление существенных моментов, а не проверку орфографии в документации.
Увы, встречаются ситуации, когда в ходе аудита выписываются несоответствия лишь по ведению документооборота, при этом аудитор игнорирует неоткалиброванный прибор, протечку смазочного масла или отсутствие СИЗ на операторе. Здравый смысл и широкий взгляд на процесс обеспечат добавленную ценность аудиту.
Кто не учитывает риски, тот не прав
Еще один фундаментальный момент, который повышает эффективность внутренних аудитов – это применение риск-ориентированного мышления. Не случайно в ISO 19011:2018 к шести уже привычным принципам проведения аудитов добавился седьмой: риск-ориентированный подход.
При составлении программы внутренних аудитов организация должна ответить на целый ряд вопросов – какие процессы проверять, как часто, насколько глубоко? Однозначного ответа на них не существует. Современные стандарты ISO поясняют, что на эти вопросы надо отвечать с учетом анализа рисков, которым подвержена организация.
Программа аудита должна фокусироваться на тех процессах и областях, где в прошлом возникали проблемы, либо где высока вероятность, что проблемы появятся. Процессы с более высоким уровнем риска либо с большим числом несоответствий должны иметь приоритет. Частота, длительность, охват аудита определяются исходя из того, насколько возникновение инцидентов в том или ином процессе критично с точки зрения достижения поставленных целей в области качества, экологии, охраны труда, финансовых целей компании в целом.
Например, может быть составлена матрица рисков, исходя из вероятности появления брака и степени риска повлиять на репутацию предприятия. В результате какие-то процессы будут аудироваться ежемесячно, какие-то ежегодно, а какие-то раз в 18 месяцев. Где-то проверка займет пару часов, где-то целый день.
При этом оценка рисков должна основываться на анализе контекста (той среды, в которой оперирует организация). Таким образом, при планировании аудитов следует учитывать как внешний контекст (на чем фокусируются надзорные органы, какие факторы критичны для наших клиентов и т.п.), так и внутренний (степень зрелости культуры предприятия, поведение персонала – насколько люди склонны действовать по правилам и т.п.). Тогда программа внутренних аудитов будет отвечать потребностям и реалиям конкретной организации.
Раз аудит, два аудит, три аудит. А может, хватит?
Если в компании внедрено несколько стандартов на системы менеджмента, может возникнуть проблема дублирования процесса аудирования и повышения нагрузки на аудируемый персонал. Например, отдел качества проводит внутренние аудиты по ISO 9001, отдел ОТ и экологии приходит в те же подразделения компании с аудитами по ISO 45001 и ISO 14001. Можно ли этого избежать?
Практика показывает, что эту проблему могут устранить интегрированные внутренние аудиты, даже если в компании системы менеджмента (качества, пищевой безопасности, охраны труда, энергоменеджмента, экологии) не интегрированы между собой. Организовать проведение внутреннего аудита сразу по нескольким стандартом по силам и в этом случае.
Внутренний аудитор – супермен в действии
Какими же супер-способностями должен обладать внутренний аудитор, чтобы аудит действительно приносил пользу?
В зависимости от масштабов задач и размера организации это может быть один аудитор, а может быть команда, состоящая из специалистов разной квалификации, из разных подразделений. Исходная позиция – аудитор должен быть объективен и беспристрастен, т.е. по возможности не быть задействован в процессе, который он проверяет (на малых предприятиях это бывает неосуществимо). Желательно, чтобы аудитор имел практический опыт «в полях», чтобы он понимал процесс и взаимосвязи в системе менеджмента.
Очевидно, что успех зависит от компетентности аудиторов. Аудитором не рождаются, этому можно и нужно учиться. Причем компетенции аудитора можно условно разделить на две категории: профессиональные и личностные. И вторая категория, пожалуй, не менее важна, чем первая. Например, аудитор должен уметь выстраивать отношения с проверяемыми так, чтобы получать искомую информацию, чтобы заручиться их принятием выводов и вовлечением в исправление несоответствий. Не последнюю роль здесь играет четкая установка, которую надо донести до проверяемых: в ходе аудита мы проверяем не людей, а процесс, причем, в первую очередь, чтобы помочь участникам процесса его улучшить. И выявленные проблемы имеют своей целью не наказать кого-либо, а устранить такие же проблемы в будущем, что для участника процесса имеет только положительный эффект.
Внутренний аудит: потери или инвестиции?
На внутренние аудиты тратятся временные ресурсы (как аудитора, так и тех, кого аудируют), также к ним могут добавиться и финансовые расходы (в случае наличия удаленных филиалов). Является ли это обременением для бизнеса?
Если аудитор во время аудита будет формально проверять пункты стандарта и лишь придираться к документам, то желание высшего руководства сократить расходы на проведение внутренних аудитов до минимума обоснованно. Если же подходить к этой деятельности как к инструменту, позволяющему организации достигать целей, если применять риск-ориентированный и процессный подходы, избегать дублирования, подбирать правильную команду аудиторов и применять результаты аудитов для развития бизнеса, то данные расходы становятся инвестиционными и дают ощутимую отдачу.