ГОСТ Р ИСО 19011-2012 Руководящие указания по аудиту систем менеджмента
Приложение В
(справочное)
Дополнительное руководящее указание для аудиторов по планированию и проведению аудитов
В.1 Применение методов аудита
Для выполнения аудита могут применяться различные методы. В настоящем приложении приведены объяснения, относящиеся к широко применяемым в настоящее время методам аудита. Методы, выбираемые для проведения аудита, зависят от установленных целей, области применения и критериев аудита, а также от сроков и мест проведения аудитов. При выборе метода проведения аудита следует также учитывать имеющийся на данный момент уровень аудиторской компетентности и любые неопределенности (погрешности), возникающие вследствие применения этих методов. Применение множества и использование сочетания различных методов может оптимизировать продуктивность и эффективность процесса, связанного с аудитом, и его результаты.
При выполнении аудита происходит взаимодействие среди людей с системой менеджмента, проверяемой при аудите, и с технологией, используемой при проведении аудита. В таблице В.1 представлены примеры методов аудита, которые могут быть использованы отдельно или в сочетании с другими методами для того, чтобы достичь поставленных целей аудита. В случае, если при проведении аудита задействована группа по аудиту, включающая в себя многочисленных членов, то могут одновременно применяться методы, предусматривающие проведение мероприятий аудита как непосредственно на местах производственной деятельности, так и на расстоянии с использованием соответствующих средств коммуникации.
Примечание - Дополнительная информация, касающаяся посещений подразделений проверяемой организации на местах, приведена в В.6.
Таблица В.1 - Применяемые методы проведения аудита
Степень вовлеченности между организацией-аудитором и проверяемой организацией | Местоположение аудитора | |
на местах производственной деятельности организации | на расстоянии | |
Взаимодействие людей | Проведение интервью. | Через интерактивные средства коммуникации: |
Без взаимодействия людей | Проведение анализа документации (например, анализ записей, данных). | Проведение анализа документации (например, анализ записей, данных). |
Мероприятия аудита на местах выполняются на месте производственной деятельности проверяемой организации. Мероприятия аудита на расстоянии выполняются в любом месте, кроме мест расположения подразделений и производственной деятельности проверяемой организации, независимо от расстояния. | ||
Ответственность за эффективное применение методов аудита для любого аудита на стадии планирования остается либо за лицом, ответственным за управление программой аудита, или за руководителем группы по аудиту. Руководитель группы по аудиту несет ответственность за проведение мероприятий аудита.
Возможность проведения мероприятий аудита на расстоянии зависит от степени доверия между аудитором и персоналом проверяемой организации.
На уровне программы аудита следует обеспечить, что использование методов аудита на расстоянии и на местах является приемлемым для того, чтобы обеспечить достижение целей программы аудита.
В.2 Проведение анализа документов
Аудиторы должны рассмотреть, является ли информация, представленная в документах:
- полной (все ожидаемые сведения содержатся в представленном документе);
- правильной (содержимое документа соответствует другим надежным источникам, таким как стандарты и правила);
- совместимой (положения документа согласуются между собой и связанными с ним документами);
- актуальной (положения, содержащиеся в документе, имеют силу на момент проверки);
- охватывают ли анализируемые документы область применения аудита и предоставляют ли они достаточную информацию для поддержания целей аудита;
- способствует ли использование информации и коммуникационных технологий согласно применяемым методам аудита эффективному проведению данного аудита: при этом необходимо уделить особое внимание информационной безопасности, обусловленной применяемыми правилами по обеспечению защиты данных (особенно для информации, которая выходит за рамки области применения аудита, но которая содержится в представленной документации).
Примечание - Анализ документации может указать на эффективность управления документами в рамках системы менеджмента проверяемой организации.
В.3 Осуществление представительной выборки
В.3.1 Общие положения
Представительную выборку для аудита производят в случае, когда представляется нецелесообразным или дорогостоящим изучать всю имеющуюся информацию во время проведения аудита, например, когда записей слишком много или они слишком разбросаны географически, чтобы могло быть оправдано изучение каждой позиции в имеющейся совокупности. Такая выборка из большой совокупности является процессом отбора менее чем 100% единиц (позиций) из имеющегося в полном объеме набора данных (генеральной совокупности) для получения и оценивания свидетельств в отношении отдельной характеристики такой совокупности, с тем чтобы сформировать заключение, касающееся данной совокупности.
Цель осуществления представительной выборки для аудита - это предоставить информацию для аудитора, с тем чтобы иметь уверенность в том, что цели аудита могут быть или будут достигнуты.
Риск, связанный с использованием выборки, состоит в том, что отобранные выборки могут быть непоказательными в отношении той генеральной совокупности, из которой они отобраны, и, следовательно, это может повлиять на заключение аудитора таким образом, что оно будет отличаться от заключения, которое было бы достигнуто, если бы проводилось изучение всей имеющейся совокупности данных. Могут иметься и другие риски в зависимости от изменчивости или непостоянства в рамках той генеральной совокупности, из которой проводится выборка, или в зависимости от выбранного метода.
Осуществление выборки для аудита, как правило, включает в себя следующие шаги:
- постановку целей плана осуществления выборки;