Процесс аудита. Основные этапы аудита
1. Общие положения
Процесс аудита проходит в несколько этапов. Данная статья рассмотрит все этапы процесса аудита.
1.1 После подписания соглашения обеими сторонами, обеспечения оплаты оказываемых услуг со стороны заказчика, группа по аудиту проводит первый этап аудита у заказчика с целью:
-проверки документации системы менеджмента заказчика;
— оценки местоположения заказчика и специфических условий размещения производственных площадок, а также обсуждение с персоналом заказчика готовности ко второму этапу аудита;
— анализ состояния заказчика и понимания им требований стандарта, в частности тех, которые относятся к идентификации ключевых видов деятельности, или значимых аспектов, процессов, целей, а также к функционированию системы менеджмента;
— сбор необходимой информации относительно области системы менеджмента, в том числе:
производственных участков заказчика;
процессов и использованию оборудования;
уровня установленного контроля (в частности в случае заказчика с несколькими производственными площадками);
применимых нормативно-правовых требований;
— анализ распределения ресурсов для проведения 2 –го этапа и согласование с заказчиком деталей 2 –го этапа;
— обеспечение правильной расстановки акцентов при планировании 2 –гоэтапа на основе четкого понимания системы менеджмента заказчика и функционирования производственных площадок в контексте требований стандарта системы менеджмента или другого нормативного документа;
— оценка того, были ли спланированы и проведены внутренние аудиты и анализ со стороны руководства, и что уровень внедренности системы менеджмента подтверждает готовность заказчика к проведению 2–го этапа.
1.2 Проверка может включать дистанционный доступ к электронному сайту организации-заявителя, который содержит информацию, касающуюся аудита системы менеджмента.
1.3 При необходимости, если это требуется для достижения указанных выше целей, группа по аудиту может запросить у организации-заявителя дополнительные сведения или материалы, или же, направить своего представителя для сбора необходимой информации непосредственно в организации (предварительный аудит).
1.4 Проведение первого этапа аудита без выезда «на место» возможно в случае, если заказчик представил в ОПС СМ всю необходимую документацию и информацию по СМ, не вызывающие у эксперта неясных (спорных) вопросов. Также на этом этапе возможно не выезжать на «место» в случае, если имеется длительный опыт взаимодействия с проверяемой организацией в рамках работ по оценке и сертификации СМ и ОПС СМ в достаточном объеме знаком с СМ данной организации.
1.5 Первый этап процесса аудита завершается подготовкой обоснованного письменного Заключения по первому этапу аудита, содержащего идентификацию всех рассматриваемых областей, которые могут быть классифицированы как несоответствия при проведении 2-го этапа. Один экземпляр заключения представляется клиенту.
1.6 В Заключении описывается состояние готовности организации-заявителя, например, «проверенная система находится на ранних этапах развития и характеризуется большим количеством возможностей для последующего улучшения». Информация обо всех выявленных расхождениях должна быть четко указана со ссылкой на соответствующий пункт стандарта. Все выявленные недостатки должны быть отражены достаточно детальным образом, чтобы дать возможность клиенту осознать, какие от него требуются корректирующие действия.
1.7 Заключение по результатам первого этапа сертификационного аудита подписывается командой по аудиту, один экземпляр заключения подшивается в дело документа, другой экземпляр — передается организации-заявителю при проведении второго этапа сертификационного аудита под роспись.
1.8 Результаты первого этапа сертификационного аудита сообщаются организацией — заявителю посредством факсимильной связи или электронной почтой.
1.9 По результатам заключения делается вывод о готовности или неготовности клиента ко 2-му этапу.
1.10 В отрицательном случае клиенту предлагается доработать систему менеджмента, представить в ОПС СМ информацию о выполненных мероприятиях.
1.11 В случае значительных изменений, влияющих на систему менеджмента, ОПС СМ сообщает о необходимости повторить полностью или часть первого этапа, при этом организации-заявителю необходимо сообщить, что результаты 1-го этапа могут привести к переносу или аннулированию 2-го этапа.
Работа по повторному проведению первого этапа оплачивается заявителем в рамках дополнительного соглашения к заключенному договору на проведение работ по подтверждению соответствия систем менеджмента.
1.12 На основании результатов 1-го этапа планируется время проведения 2-го этапа аудита, с учетом потребности клиента — для доработки системы менеджмента и ОПС СМ – для анализа мероприятий по проведению 2-го этапа.
2. Планирование второго этапа процесса аудита
2.1 Перед проведением второго этапа аудита (далее аудит) руководитель группы по аудиту разрабатывает проект Плана аудита системы менеджмента.
Целью второго этапа аудита является оценка уровня внедрения, включая результативность, системы менеджмента заказчика. Второй этап аудита должен проводиться непосредственно у заказчика. Он должен включать в себя, по меньшей мере, следующее:
—получение информации и свидетельств соответствия всем требованиям применяемого стандарта на систему менеджмента или другого нормативного документа;
—мониторинг, измерение, регистрацию и анализ функционирования по ключевым показателям целей и задач (согласующихся с ожиданиями в применяемом стандарте на системы менеджмента или другом нормативном документе);
—оценку соответствия системы менеджмента и деятельности заказчика нормативно-правовым и договорным требованиям;
—оценку управления заказчиком своими процессами;
—проведение внутренних аудитов и анализа со стороны руководства;
—ответственность руководства за политику заказчика.
2.2 Задания, которые даются группе по аудиту, определяются и доводятся до организации-заказчика в плане аудита и требуют от группы аудиторов следующее:
— инспектировать и верифицировать структуру, политику, процессы, процедуры, записи и связанные с ними документы организации, касающиеся системы менеджмента;
— определять соответствие всех этих требований в предполагаемой области сертификации;
— определять, что все процессы и процедуры установлены, эффективно выполняются и поддерживаются в рабочем состоянии
— информировать клиента о действиях группы по аудиту, каких-либо несоответствиях.
2.3 При наличии у заявителя нескольких производственных площадок, расположенных в нескольких местах и осуществляющие одну и ту же деятельность, охватываемую системой менеджмента организации-заявителя, руководитель команды по аудиту учитывает выборки объекта оценки, для обеспечения надлежащего выполнение аудита системы менеджмента.
2.4 Не менее чем за 2 дня до планируемой даты аудита руководитель группы по аудиту направляет клиенту проект Плана аудита для согласования.
2.5 До начала аудита План аудита должен быть подписан руководителем группы по аудиту, согласованы с клиентом и утвержден руководителем ОПС СМ.
Один экземпляр Плана аудита подшивается в дело документа, другой экземпляр — передается организации-заявителю при проведении второго этапа сертификационного аудита под роспись.
3 Проведение второго этапа сертификационного аудита (аудит «на месте»)
3.1 Общие положения
Проведение второго этапа сертификационного аудита «на месте» включает:
— проведение вступительного совещания;
— проведение аудита на местах в соответствии с планом аудита, которое состоит из сбора, проверки и регистрации данных;
— совещание команды по аудиту для анализа полученных данных;
— подготовка предварительных выводов для заключительного совещания;
— разработка и внесение записей по корректирующим действиям в протоколы несоответствий до проведения заключительного совещания, по желанию заявителя;
— оформление акта по аудита;
— проведение заключительного совещания;
— действия с несоответствиями;
— составление отчета по аудиту.
4 Идентификация и регистрация наблюдений аудита
4.1Вступительное совещание проводит руководитель группы по аудиту с участием группы по аудиту и руководства организации-заявителя, руководителей проверяемых подразделений, и, когда это целесообразно, ответственных за процессы.
На вступительном совещании руководителем группы по аудиту разъясняется информация согласно содержанию Протокола вступительного совещания, также определяются руководством организации-заявителя сопровождающие лица.
4.2 Наблюдения аудита, обобщающие соответствия и детализирующие несоответствия, а также подтверждающие их свидетельства, идентифицируются, классифицируются и регистрируются для того, чтобы принять обоснованное решение по сертификации или сохранению сертификации в силе.
4.3 После обследования всех подлежащих аудиту площадок клиента, группа по аудиту тщательно анализирует результаты обследования с целью разделения зарегистрированных несоответствий по значимости.
4.4 Все обнаруженные несоответствия должны быть тщательно рассмотрены и классифицированы группой по аудиту в зависимости от степени несоответствия на значительные или незначительные.
4.5 Выявленное несоответствие регистрируются относительно конкретного требования критериев аудита; данные о несоответствии должны содержать четкую формулировку несоответствия и детализировать объективные свидетельства, на которых основано несоответствие.
4.6 Повторение незначительных несоответствий одного вида (связанных с одним и тем же процессом системы менеджмента) более чем в трех подразделениях, является основанием для перевода их в значительное несоответствие.
4.7 Окончательное решение по классификации несоответствий принимает руководитель группы по аудиту.
4.8 Обнаруженные несоответствия регистрируются в Протоколах несоответствий.
4.9 Протоколы о несоответствии должны быть рассмотрены руководителем группы по аудиту совместно с представителем руководства клиента и по ним приняты согласованные решения. Если не достигается соглашения о правомерности установленного наблюдения, то это указывается в аудиторском отчете по аудиту с изложением различных точек зрения. Протоколы о несоответствии передаются руководству клиента.
4.10 В последний день аудита «на месте» проводится рабочее совещание членов команды по аудиту, на котором происходит обмен информацией между членами команды по аудиту и представителями организации-заявителя о ходе выполнения аудита «на месте», а также выявленных несоответствиях и уведомлениях.
4.11 На данном совещании руководителем группы по аудиту оформляются Протоколы несоответствий, где ответственные за процессами или представитель организации-заявителя вписывает корректирующие действия.
4.12 Срок проведения корректирующих действий устанавливается руководителем команды по согласованию с организации — заявителем на рабочих совещаниях команды по аудиту, но не должен превышать 6 (шести) месяцев с момента заключительного совещания по аудиту.
4.13 По результатам аудита составляется Заключение по аудиту, содержащий результаты аудита, обязательное заключение о соответствии системы менеджмента требованиям стандартов и рекомендации о выдаче или об отказе в выдаче сертификата соответствия.
4.14 Заключение по аудиту подписывают члены группы по аудиту, кроме стажёров и наблюдателей, и руководитель организации (уполномоченное лицо). Один экземпляр Заключения передается клиенту, другой хранится в ОПС СМ.
4.15 После подписания Заключения по аудиту всеми заинтересованными лицами проводится заключительное совещание по плану с оформлением Протокола заключительного совещания.
4.16 Организации-заявителю предоставлена возможность задавать вопросы. Любые разногласия относительно данных или заключений аудита между группой по аудиту и организацией-заявителем должны быть рассмотрены и устранены по мере возможности.
5 Оценка выполнения корректирующих действий
5.1 Оценка выполнения корректирующих действий проводится одним из следующих способов:
— дополнительный визит в организацию с целью проверки фактического выполнения корректирующих действий (для значительных несоответствий);
— анализ документов, подтверждающих выполнение корректирующих действий (для незначительных несоответствий);
— принятие плана корректирующих действий и последующей оценкой результативности в ходе следующего аудита (для незначительных несоответствий, выявленных в ходе инспекционного контроля).
5.2 Информацию о результатах выполнения/невыполнения корректирующих действий руководитель группы по аудиту регистрирует в Протоколе о несоответствии в графе «Выполнены».
6 Решение по сертификации
6.1 Руководитель группы по аудиту представляет на рассмотрение комплект документов по результатам аудита системы менеджмента клиента, включающий:
— Заключение по первому этапу аудита;
— Заключение по аудиту;
— Протоколы о несоответствии (при наличии);
— Чек-листы;
— Аудиторский отчет;
— документы клиента, подтверждающие выполнение корректирующих мероприятий при их наличии (план корректирующих мероприятий, отчёт по выполнению корректирующих мероприятий и документы, подтверждающие выполнения мероприятий: протоколы технической учёбы, протоколы совещаний, копии приказов и т.п.).
6.3 Решение принимают лица, не принимавшие участие в аудите, обладающие компетенцией соответствующего уровня.
6.4 Лицо, принимавшее решение перед принятием решения по сертификации проводят результативный анализ, для того, что убедится, что:
— информация, предоставленная группой по аудиту в достаточной степени охватывает требования к сертификации и области сертификации;
— была проанализирована, признана и проверена результативность коррекций и корректирующих действий в отношении любых значительных несоответствий;
— были проанализированы и приняты запланированные коррекции и корректирующие действия в отношении любых незначительных несоответствий.
6.5 Критерием для принятия решения о выдаче сертификата соответствия СМ является отсутствие несоответствий или выполнение организацией-заявителем корректирующих действий в согласованные сроки ОПС СМ.
6.6 В этом случае принимается решение о выдаче сертификата соответствия и устанавливается срок действия сертификата не более трех лет.
6.7 При отрицательных результатах аудита руководитель группы по аудиту в трёх- дневный срок уведомляет клиента об отказе в выдаче сертификата с указанием причин отказа и информирует о возможности проведения повторного аудита на договорной основе.
6.8 Критерием для принятия решения о выдаче или отказе в выдаче сертификата соответствия является выполнение (невыполнение) клиентом корректирующих действий в согласованные сроки.
При принятии решении об отказе в выдаче сертификата соответствия заполняется специальная графа формы решения с указанием основания для отрицательного решения.
Если в проведении сертификационного процесса аудита участвует руководитель органа по подтверждению соответствия систем менеджмента, то он также не принимает решения по выдаче или отказе в выдаче сертификата соответствия на систему менеджмента организации, и, следовательно, решение о выдаче сертификата соответствия не подписывает. В этом случае решение подписывает уполномоченное им лицо, назначенное приказом.