Архив
Ербол Есмуханов,
кандидат технических наук, аудитор IRCA
Ключевым элементом любых систем менеджмента, например систем менеджмента качества или систем экологического менеджмента, является процесс аудита. Именно аудит является основным инструментом по проверке результативности и эффективности системы менеджмента, а в некоторых случаях даже инструментом для поиска возможностей улучшений. Как показывает практика, без проведения регулярных аудитов системы менеджмента невозможно обеспечить ее устойчивость и постоянную пригодность.
В современную эпоху глобализации мировой экономики важно получать сходные результаты при аудите сходных систем менеджмента. Без этого невозможно обеспечить единую международную систему признания соответствия, в частности сертификацию систем менеджмента. Такая сертификация необходима для улучшения условий международной торговли и кооперации. Поэтому и были разработаны единые требования к процессу аудита и оценке аудиторов систем менеджмента в международных стандартах ИСО 19011 и ИСО/МЭК 17021.
Первое издание первого стандарта ИСО 19011 «Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента» было опубликовано в 2002 году. В те времена было популярно два основных стандарта на системы менеджмента: ИСО 9001 на систему менеджмента качества и ИСО 14001 на систему экологического менеджмента. Но затем стали публиковаться новые стандарты по другим системам менеджмента, такие как: OHSAS 18001, ИСО 13485, ИСО 16949, ИСО 20000, ИСО 22000, ИСО 27001, ИСО 26000, ИСО 28000, ИСО 29001, TL 9000, EN 9100, ИСО/МЭК 90003, IRIS, IFS Food и т. п. В связи с этим назрела необходимость в создании единого стандарта по аудиту любых систем менеджмента, включая интегрированные системы менеджмента. Главное преимущество создание такого стандарта заключается в том, что, руководствуясь им, можно проводить комплексные аудиты, т. е. один аудит по нескольким дисциплинам систем менеджмента. В 2011 году было опубликовано второе издание ИСО 19011 «Руководящие указания по аудиту систем менеджмента», которое, как видно из его наименования, теперь применимо к любым системам менеджмента.
Другой стандарт ИСО/МЭК 17021 «Оценка соответствия — общие требования для органов, выполняющих аудит и сертификацию систем менеджмента» был опубликован в 2006 году для целей регулирования деятельности органов по сертификации систем менеджмента. Во многом этот стандарт опирался на ИСО 19011, в связи с этим и возникла возможность путаницы этих двух стандартов, особенно после выхода второго издания ИСО 19011. Для предупреждения такой проблемы и для четкого разграничения двух стандартов в том же 2011-ом было опубликовано второе издание ИСО/МЭК 17021 «Оценка соответствия. Требования к органам, обеспечивающим аудит и сертификацию систем менеджмента».
Основные отличия второго относительного первого издания ИСО 19011 следующие:
— область применения стандарта была расширена с аудита систем менеджмента качества и экологии до аудита любых систем менеджмента;
— прояснена взаимосвязь ИСО 19011 с ИСО/МЭК 17021;
— представлены методы дистанционного аудита и концепция рисков аудита;
— добавлен новый принцип аудита — конфиденциальность;
— преобразованы разделы 5, 6 и 7, практически они переписаны заново;
— дополнительная информация включена в новое приложение B, в результате чего удалены пояснения в рамках;
— усилены разделы по определению компетентности и процессу оценивания;
— иллюстрированные примеры знаний конкретных дисциплин и навыков включены в приложение А.
В целом стандарт ИСО 19011 был практически переписан заново, что не удивительно, учитывая радикальный переход от аудита конкретных систем менеджмента к аудиту любых систем менеджмента, включая интегрированные системы менеджмента.
Разделы ИСО 19011 до второго включительно имеют общий характер. Третий раздел касается терминологии и дает базовые определения касательно аудита, часть которых подробнее рассмотрим ниже.
Аудит — это прежде всего процесс, нацеленный на определение степени выполнения критерия аудита. В качестве критерия аудита систем менеджмента обычно используют нормативные или плановые документы (стандарты, процедуры, кодексы, политики, планы, программы и т. п.). Такие документы являются основой для определения соответствия системы менеджмента принятым требованиям, а также обоснованием для сертификации или оценки этих систем. Для повышения доверия к результатам аудита необходимо, чтобы процесс аудита был систематическим, независимым и документированным. Процесс аудита связан с получением свидетельств аудита (например, записей) и с их последующей оценкой для анализа системы менеджмента и получения соответствующего заключения по этой системе. Например, касательно возможности сертификации системы менеджмента на соответствие международному стандарту.
Аудиты по типу различаются на внутренние и внешние. Внутренние аудиты, иногда называемые аудиты первой стороны, проводятся обычно самой организацией или от ее имени для анализа системы менеджмента и для других внутренних целей (например, для подтверждения результативности системы менеджмента или для получения информации по улучшению системы менеджмента). Внешние аудиты включают аудиты второй и третьей стороны. Аудиты второй стороной проводятся сторонами, заинтересованными в деятельности организации, например потребителями или другими лицами от их имени. Аудиты третьей стороной проводятся внешними независимыми аудиторскими организациями, например регуляторами или теми, кто предоставляет сертификационные услуги (см. рисунок 1).
Как показано на рисунке 1, сложилась такая ситуация, когда стандарты ИСО/МЭК 17021 и ИСО 19011 применяются к разным типам аудитов. Второе издание ИСО 19011 предоставляет руководящие указания для всех пользователей, включая малые и средние организации, сконцентрировавшись на том, что обычно называется внутренними аудитами (аудиты первой стороны) и аудитами, проводимыми потребителями в отношении своих поставщиков (аудиты второй стороны). Второе издание ИСО/МЭК 17021 ориентировано на тех, кто вовлечен в сертификационные аудиты систем менеджмента. Несмотря на это, пользователи и того и другого стандарта могут извлечь пользу для себя из обоих этих стандартов.
Если две или более системы менеджмента по различным дисциплинам (например, качество, экология, здоровье и безопасность на производстве) вместе подвергаются аудиту, это называется комплексным аудитом. Комплексный аудит проводится обычно в отношении интегрированной системы менеджмента.
Если две или несколько аудиторских организаций проводят совместно аудит одной проверяемой организации, это называется совместным аудитом. Например, международный орган по сертификации не имеет аккредитации в Казахстане, но он может пригласить к совместному аудиту местный орган по сертификации, имеющий местную аккредитацию (см. рисунок 2).
Стандарты ИСО/МЭК 17021 и ИСО 19011 применимы к комплексному аудиту интегрированной системы менеджмента, в то время как для совместных аудитов более приемлем стандарт ИСО/МЭК 17021, как показано на рисунке 2.
Четвертый раздел ИСО 19011 описывает шесть основных принципов аудита, которые показаны на рисунке 3 и на которых основаны руководящие указания самого стандарта. Один из шести принципов, конфиденциальность, является новым, что связано с ростом значимости вопросов информационной безопасности в процессах аудита.
Эти шесть принципов должны помочь сделать аудит результативным и надежным инструментом по реализации политики руководства и информационному обмену для улучшения деятельности организации. Соблюдение этих принципов является необходимым условием для предоставления заключения аудита, соответствующего и обоснованного, для наделения полномочиями аудиторов, работающих независимо друг от друга, и для достижения одинаковых заключений при сходных обстоятельствах. Насколько можно доверять заключениям аудита? Каковы полномочия аудитора, т. е. на что он имеет право или каковы его обязанности? Ответы на эти вопросы заключены в принципах и в их соблюдении, особенно в тех случаях, когда аудитор работает самостоятельно, независимо от других аудиторов. Кроме того, программы аудитов предусматривают несколько аудитов, например предварительный, сертификационный, инспекционный, и вполне вероятно, что на разных аудитах будут разные аудиторы. Здесь необходимо получать сходные результаты, чтобы не было недоразумений и разногласий, а это обеспечивается принципами аудита.
Пятый раздел ИСО 19011 касается менеджмента программы аудита. Программа аудита — это совокупность одного или нескольких аудитов, запланированных на конкретный период времени и направленных на достижение конкретной цели. Менеджмент программы аудита осуществляется по хорошо известному циклу PDCA, как показано на рисунке 4.
На этапе «Plan» («Планирование») устанавливается программа аудита, в частности определяются:
— цели программы аудита, а также цели каждого аудитора;
— требования к ответственному лицу за программу аудита, касательно обязанностей и компетентности;
— продолжительность программы аудита;
— риски программы аудита;
— процедуры программы аудита;
— ресурсы программы аудита.
Этап «Do» («Выполнение») касается реализации программы аудита и включает:
— информирование заинтересованных сторон по программе аудита;
— определение целей, объема и критерия для каждого конкретного аудита;
— планирование аудитов;
— подбор аудиторской группы;
— обеспечение ресурсами аудитов;
— управление записями аудитов;
— собственно проведение аудита.
На этапе «Check» («Проверка») ведется мониторинг программы аудита, который проводится ответственным за программу аудита и который включает оценку:
— соответствия мероприятий программе аудита;
— членов аудиторской группы и собственно самой аудиторской группы;
— информации, поступившей по каналам обратной связи от проверяемой организации, аудиторов и прочих заинтересованных сторон.
На завершающем этапе «Act» («Действие улучшения») проводится анализ и улучшение программы аудита. Входные данными для улучшения являются результаты мониторинга программы аудита в форме записей аудита, включая обнаруженные тенденции и потребности заинтересованных сторон. Анализ программы аудита должен установить соответствие результатов процедурам и планам аудита, выявить новые методы, рассматривать риски и вопросы информационной безопасности. По результатам анализа должны быть представлены доклады высшему руководству с целью принятия решений по улучшению программы аудита, а также касательно профессионального развития аудиторов.
Шестой раздел ИСО 19011 касается вопросов подготовки и проведения аудита, как части программы аудита. Типичные действия при аудите показаны на рисунке 5.
В «Начале аудита» необходимо установить первоначальный контакт с проверяемой организацией и убедиться в осуществимости аудита. На осуществимость аудита влияет достаточность и достоверность информации, готовность проверяемой организации к адекватному сотрудничеству, а также наличие достаточного времени и ресурсов.
«Подготовка к проведению аудита» включает анализ документации, подготовку плана аудита, распределение работы внутри аудиторской группы и подготовку рабочих документов. При этом необходимо учесть такие факторы, как объем и сложность аудита, риски, какие системы менеджмента проверяются, методы выборки, состав аудиторов и т. п.
Последовательность «Проведения мероприятий аудита» представлена на рисунке 6.
Процедура проведения вступительного и заключительного совещания внешне не отличается от обычных протокольных совещаний. В некоторых случаях, например в малых организациях, такие совещания могут быть простыми сообщениями без ведения протоколов. Главная их цель — обмен необходимой информацией между аудиторской группой и представителями проверяемой организации. Обычно после вступительного совещания проводится «Анализ документации», которую по запросу предоставляет проверяемая организация. Далее следует «Информационный обмен», который касается анализа хода аудита внутри аудиторской группы, а также информирования заинтересованных сторон о ходе аудита, проблемах аудита, о скором и значительном риске, о недостижимости целей аудита и об любых изменениях в планах аудита. Следующий этап «Распределение ролей и обязанностей» касается наблюдателей и сопровождающих. Наблюдатель — лицо, сопровождающее аудиторскую группу, но не проводящее аудит. Сопровождающий — лицо, назначенное проверяемой организацией в помощь аудиторской группе. Процесс «Сбора и проверки информации» отображен на рисунке 7, который заключается в выборочном сборе информации, относящейся к объему аудита, для получения и оценивания свидетельств аудита по критерию аудита (например, по международному стандарту ИСО 9001). Результатом оценки свидетельств аудита является наблюдение аудита, которое может быть соответствием или несоответствием, а в некоторых случаях возможностью для улучшения. По всем полученным наблюдениям проводится анализ с целью выработки заключения аудита. Например, такое заключение может касаться вопроса соответствия системы менеджмента требованиям одного или нескольких международных стандартов.
«Подготовка и рассылка отчета по аудиту» осуществляется руководителем аудиторской группы. Отчет перед рассылкой должен быть проанализирован и утвержден согласно документированной процедуре.
«Завершение аудита» связано с выполнением всех запланированных мероприятий, а также с надлежащим сохранением или уничтожением записей аудита в целях информационной безопасности. Извлеченный опыт должен быть использован для улучшения программы аудита.
«Проведение последующего аудита» необходимо для проверки действий, установленных по заключению аудита. Например, корректирующих или предупреждающих действий, которые должны выполнить проверяемая организация в запланированном порядке. Допускается последующий аудит совмещать с очередным аудитом, например инспекционным.
Седьмой раздел ИСО 19011 посвящен вопросам компетентности и оценивания аудиторов. Несомненно, что от компетентности аудиторов зависит достижимость целей аудита, а также доверие к самому аудиту со стороны заинтересованных лиц. Особенностью второго издания ИСО 19011 является введение понятия «личное поведение», как показано на рисунке 8.
Подготовку аудиторов для организации проводят соответствующие консалтинговые организации. При выборе консалтинговой организации необходимо учитывать такие показатели, как: опыт работы, наличие международных сертификатов на системы менеджмента, членство в международных организациях и компетентность консультантов. Компетентность консультантов организации, прежде всего, демонстрируется успешными проектами. Несомненным лидером на рынке консалтинговых услуг Казахстана по внедрению международных стандартов является Казахстанская организация качества, которая имеет опыт более 700 успешных проектов. Казахстанская организация качества организует большое количество бизнес-семинаров, включая семинары по подготовке аудиторов.