D) Конфиденциальность (confidentiality) - сохранность информации.
Аудиторы должны проявлять осмотрительность при использовании и обеспечении защиты и сохранности информации, полученной ими при проведении аудита. Информация, полученная при проведении аудита, не должна использоваться ненадлежащим образом для получения личной выгоды аудитором или заказчиком аудита или способом, наносящим ущерб законным интересам проверяемой организации. Соблюдение этого принципа включает в себя надлежащее обращение с конфиденциальной или классифицированной информацией.
e) Независимость (independence) - основа беспристрастности и объективности заключений по результатам аудита.
Аудиторы должны быть независимыми от проверяемой деятельности во всех случаях, когда это осуществимо, и всегда выполнять свою работу таким образом, чтобы быть свободными от предубеждений и конфликта интересов. При проведении внутренних аудитов аудиторы должны быть независимыми от руководителей подразделений и направлений деятельности, которые они проверяют. Аудиторы должны сохранять объективное мнение в течение всего процесса аудита для обеспечения того, чтобы выводы и заключения аудита основывались только на свидетельствах аудита.
Для малых организаций может оказаться невозможным обеспечение независимости внутренних аудиторов от проверяемой ими деятельности, однако следует предпринять все возможные усилия для исключения какой бы то ни было заинтересованности и обеспечения объективного рассмотрения проверяемой деятельности.
F) Подход, основанный на свидетельстве (evidence-based approach), - разумная основа для достижения надежных и воспроизводимых заключений аудита в процессе систематического аудита.
Свидетельство аудита должно быть проверяемым. Оно основано на выборках имеющейся информации, поскольку аудит осуществляется в ограниченный период времени и с ограниченными ресурсами. Соответствующее использование выборок тесно связано с доверием, с которым относятся к заключениям по результатам аудита.
2. Документация аудита: планирование, проведение, завершение аудита.
К числу документов, которые разрабатываются до начала аудита, относятся:
§ План аудита (или график аудита) - этот документ составляется при подготовке внутренних аудитов. Он может включать в себя названия проверяемых видов деятельности и подразделений, даты проведения аудитов, ответственных за проведение аудитов, вид аудита, порядок проведения аудитов. Форму и содержание плана аудита организация определяет сама. План аудита, как правило, составляется на год, при этом, план составляется таким образом, чтобы в течение года каждое из подразделений предприятия, и каждый процесс были проверены хотя бы один раз.
§ Программа аудита - разрабатывается на каждый конкретный аудит или несколько аудитов, в зависимости от размера, типа и сложности процессов в организации. Как правило, в программу аудита включается перечень документов системы качества и дополняющих документов, которые аудитор должен проверить, список работ, необходимых для планирования и организации аудита, ресурсы (людские, материальные, информационные и пр.). Также, в программе аудита указывается состав проверяемых подразделений, даты и время посещения подразделений. При внутренних аудитах содержание и форма программы аудита определяется самой организацией. При аудите второй или третьей стороной программа аудита предоставляется проверяющей организацией (заказчиком или органом по сертификации).
§ Вопросник(чек-лист) - этот документ может разрабатываться в ходе планирования аудита. Вопросник составляется на основании изучения документации и содержит вопросы, которые аудитор должен уточнить в ходе аудитных бесед. Часто, вопросник разрабатывается один раз и в дальнейшем только уточняется и корректируется перед каждым аудитом. Органы по сертификации, как правило, используют типовые вопросники, которые одновременно являются и протоколами аудитных бесед. Это несколько сокращает количество оформляемой документации.
К документам, которые разрабатываются в ходе проведения проверок, относятся:
· Протоколы аудитных бесед - в них аудитор фиксирует место и время проведения аудита, информацию о аудитируемых сотрудниках, проверяемый элемент деятельности организации, результаты бесед и осмотров. Вместо протоколов аудитных бесед может использоваться вопросник по аудиту.
· Протоколы отклонений (протокол регистрации несоответствий или лист несоответствий) - в этих протоколах представляются обнаруженные отклонения, дается оценка отклонений, и могут приводиться причины отклонений.
К документации, разрабатываемой по завершении аудитных бесед и проверок, относится:
§ Отчет по аудиту указывается фактическое состояние системы качества организации на момент проведения аудита, указываются выявленные отклонения и их причины, рассматривается значимость отклонений. В ряде случаев могут даваться выводы и предложения по улучшению существующего положения в системе качества, процессах или продуктах (услугах) организации.
3. Компетентность и оценка аудиторов.
Общие требования к знаниям и навыкам аудиторов систем менеджмента Аудиторам следует обладать знаниями и навыками в областях, указанных ниже.
a) Принципы, процедуры и методы проведения аудита.
Эти знания и навыки позволяют аудитору применять соответствующие принципы, процедуры и методы при проведении различных аудитов, обеспечивая уверенность в том, что они проходят последовательным и систематическим образом. Аудитору следует быть способным:
· применять на практике принципы, процедуры и методы проведения аудита;
· результативно планировать и организовывать работу;
· проводить аудит в соответствии с согласованным графиком;
· устанавливать приоритеты и концентрироваться на тех вопросах, которые имеют существенное значение;
· и т.д.