Аудит: професійний розвиток та участь

Бути ефективним аудитором вимагає постійного професійного розвитку та регулярної участі в аудитах.

За словами Ванденбемдена (член TC 176 з правом голосу та головою SC5), перед ним часто ставлять питання, як стати аудитором. Його перша відповідь: «Чому ви хочете бути аудитором?» Мотивація, бажання бути аудитором має вирішальне значення, щоб бути ефективним аудитором.

Крім того, Ванденбемден стверджує, що його хвилює, коли хтось висловлює: «Я втомився, що це не робиться, або що всім йде з рук те чи інше». Цей тип мотивації призводить до конфлікту та аудиту з неправильної причини. Мотивація повинна полягати в стимулюванні до вдосконалення та визначенні сфер, де є ризик.

Загалом, аудит порівнює те, що має бути, з тим, що є, під час отримання доказів, задокументованих для відстеження. Визначення аудиту в міжнародному стандарті ISO 19011 «Рекомендації щодо аудиту систем менеджменту» чітко описує аудит як «систематичний, незалежний і задокументований процес отримання аудиторських доказів (записів, констатацій фактів або іншої інформації, яка є доречною та піддається перевірці) і оцінки об’єктивно визначити ступінь дотримання критеріїв аудиту (набір політик, процедур або вимог).»

Важливо розуміти, що аудитори, навіть внутрішні аудитори, не є консультантами. Під час проведення аудиту основна увага приділяється отриманню доказів і проведенню порівняння для оцінки відповідності або наявності прогалини. Ванденбемден також рекомендує аудиторам розуміти наведені нижче основні принципи аудиту, задокументовані в ISO 19011: 2018.

Принципи аудиту

Чесність – це основа професіоналізму, і необхідно забезпечити компетентність аудитора, продемонструвати етичну поведінку, бути неупередженим під час проведення аудиту та чутливість до впливу на нього як аудитора

Справедливе подання. Результати аудиту, висновки аудиту та звіти аудиту повинні відображати точні та правдиві дії аудиту. Якщо були проблеми, то звіт повинен задокументувати їх на основі доказів. Якщо були виявлені сильні сторони або найкращі практики, їх також необхідно включити в звіт про аудит і документацію

Належна професійна ретельність. Аудитори проявляють ретельність відповідно до важливості завдання, яке вони виконують, і довіри, яку їм надають клієнти аудиту та інші зацікавлені сторони. Важливим фактором у виконанні своєї роботи з належною професійною ретельністю є здатність приймати обґрунтовані судження в усіх аудиторських ситуаціях

Конфіденційність. Аудитори повинні використовувати та захищати інформацію, отриману під час виконання своїх обов’язків, на власний розсуд. Аудиторська інформація не повинна використовуватися неналежним чином для отримання особистої вигоди аудитором або замовником аудиту, або таким чином, що завдає шкоди законним інтересам суб’єкта аудиту. Це поняття включає належне поводження з чутливою або конфіденційною інформацією

Незалежність. Аудитори повинні бути незалежними від діяльності, що перевіряється, де це практично можливо, і в усіх випадках повинні діяти у спосіб, вільний від упередженості та конфлікту інтересів. Що стосується внутрішніх аудитів, аудитори повинні бути незалежними від операційних керівників функції, що перевіряється.

Підхід на основі доказів – аудиторські докази можна перевірити. Загалом, він базуватиметься на зразках наявної інформації, оскільки аудит проводиться протягом обмеженого періоду часу та з обмеженими ресурсами. Слід застосовувати належне використання вибірки, оскільки це тісно пов’язане з довірою, яку можна покласти на висновки аудиту

Підхід, що ґрунтується на оцінці ризику. Підхід на основі ризику повинен впливати на планування, проведення та звіт про аудити, щоб переконатися, що аудити зосереджені на питаннях, які є значущими та відповідають цілям аудиту.

Редакція 2018 року включала підхід, орієнтований на ризик. Ризики та можливості вимагаються в стандартах управління відповідно до пункту 6.1. Але існує також операційний ризик, який аудитор повинен оцінити, який є функцією планування, реалізації та контролю процесу.

Нижче наведено червоні прапорці щодо ризику, який після виявлення потребує оцінки його впливу на ефективність процесу/системи управління:

  • Непослідовність у дотриманні процесів
  • Неузгодженість контролю документів
  • Непослідовність у веденні журналів або введенні даних у звіт оператора, контрольні списки та/або комп’ютерні форми
  • Знання персоналу своєї ролі та посадових обов’язків
  • Плинність ключового персоналу
  • Неефективне управління постачальниками, використання занадто великої кількості постачальників або субпідрядників
  • Непослідовні або часті сплески відмов або помилок
  • Результати внутрішнього аудиту не розглядаються або не є репрезентативними для перевірених процесів
  • Результати перевірки або тестування. Чи є вони на вищому чи нижньому рівні вимог, чи в змішаному діапазоні?

Виконуючи ці оцінки під час процесу аудиту, аудитор повинен стежити за аудиторським слідом. Аудиторський слід — це кроки, вжиті під час аудиту для визначення відповідності або невідповідності доказів аудиту відповідно до вимог критеріїв. Аудиторський слід простежується, доки не буде зроблено висновок із достатніми доказами відповідності чи невідповідності.

Аудитор має багато обов’язків під час аудиту та щодо програм аудиту. До них належать:

  • Розуміння вимог стандарту
  • Проведення «процесно-орієнтованих» аудитів
  • Планування аудитів та організація завдань команди
  • Аудит згідно з графіком та встановленим обсягом
  • Ефективне виявлення «низько висячих плодів», а потім зосередження на важливих питаннях
  • Вміти ідентифікувати інформацію, що підтверджує обсяг аудиту
  • Збір інформації шляхом вибірки відповідних документів і записів
  • Використання ефективних навичок співбесіди та розмовного стилю аудиту
  • Спостереження за діями, які підтримують встановлені критерії процесу (задокументовано)
  • Оцінка узгодженості дій між співробітниками та змінами (недокументовано)
  • Слухання відповідей аудиторів і співвіднесення їхніх коментарів із фактичним процесом
  • Виділення часу на порівняння зібраних доказів із критеріями
  • Переконайтеся, що докази чітко задокументовані в їхніх аудиторських записках
  • Аудитори повинні переконатися, що докази підтверджують результати та висновки аудиту
  • Аудитори ніколи не проводять аудит з подвоєною силою (жодних конфліктів інтересів)
  • Звіт про результати аудиту без надання коригувальних дій
  • Ніколи не святкуйте висновки аудиту.

Аудит процесів ефективності є метою аудиту системи якості. Цей тип аудиту перевіряє, чи процеси працюють у встановлених межах, визначених клієнтом або організацією. Це вимагає від аудитора перевірки ресурсів (обладнання, матеріалів, людей), які використовуються для перетворення вхідних даних у виходи, навколишнього середовища, дотримуваних методів (процедур, інструкцій) і зібраних заходів для визначення ефективності процесу. Аудит також включає оцінку адекватності та ефективності контролю процесу, встановленого процедурами, робочими інструкціями, блок-схемами, навчанням і специфікаціями процесу.

Аудитор може опинитися в ситуації, коли він виявляє прогалину, але не має достатньо доказів, щоб сказати, що це невідповідність. Ця ситуація дає можливість задокументувати можливість для покращення. Можливості для покращення включають такі ситуації, як:

  • Ефективність процесу
  • Невідповідність процесу
  • Узгодженість між процесами
  • Потреби в ресурсах
  • Надмірні зміни процесу або періоди виходу з-під контролю.

Підсумовуючи, щоб бути ефективним аудитором, необхідно розвивати, підтримувати та вдосконалювати свою компетентність шляхом постійного професійного розвитку та регулярної участі в аудитах.

Про автора

Джон Ванденбемден зараз входить до Комітету зі стандартів ASQ як представник відділу інспекції. Він є членом TC 176 з правом голосу та головою SC5, USTAG 69 та аудиту SRI та аудиту якості. Ванденбемден є колишнім головою Відділу інспекції ASQ, а також є найкращим спеціалістом з якості 2022 року.