что такое аудит второй стороны
Что такое аудит второй стороны
ГОСТ Р ИСО 19011-2012
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
РУКОВОДЯЩИЕ УКАЗАНИЯ ПО АУДИТУ СИСТЕМ МЕНЕДЖМЕНТА
Guidelines for auditing management systems
Дата введения 2013-02-01
Предисловие
1 ПОДГОТОВЛЕН Открытым акционерным обществом «Всероссийский научно-исследовательский институт сертификации» (ОАО «ВНИИС») на основе собственного перевода на русский язык англоязычной версии международного стандарта, указанного в пункте 4
2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии
4 Настоящий стандарт идентичен международному стандарту ИСО 19011:2011* «Руководящие указания по аудиту систем менеджмента» (ISO 19011:2011 «Guidelines for auditing management systems», IDT)
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соотвентствие с ГОСТ Р 1.5 (пункт 3.5)
6 ПЕРЕИЗДАНИЕ. Июль 2018 г.
Введение
После публикации в 2002 году первого издания настоящего стандарта появилось множество публикаций новых стандартов по системам менеджмента. В результате возникла необходимость в рассмотрении более широкой области применения для аудитов систем менеджмента, так же, как и в предоставлении соответствующих руководящих указаний, которые стали более универсальными, с тем, чтобы их было можно применять для различных областей (дисциплин) менеджмента.
В 2006 году комитет ИСО по оценке соответствия (КАСКО) разработал ИСО/МЭК 17021, устанавливающий требования для сертификации систем менеджмента третьей стороной, в котором нашли отражение руководящие указания, содержащиеся в первом издании настоящего стандарта.
Второе издание ИСО/МЭК 17021, опубликованное в 2011 году, было расширено, с тем чтобы трансформировать руководящие указания, предложенные в настоящем стандарте, в требования к сертификационным аудитам для систем менеджмента. В связи с этим второе издание настоящего стандарта предоставляет руководящие указания для всех пользователей, включая организации малого и среднего бизнеса, и делает основной акцент на том, что общепринято называть «внутренними аудитами» (аудиты первой стороны) и «аудитами со стороны потребителей своих поставщиков» (аудиты второй стороны). В то время как стороны, принимающие участие в проведении сертификационных аудитов систем менеджмента, руководствуются требованиями ИСО/МЭК 17021:2011, для них могут также оказаться полезными руководящие указания, приведенные в настоящем стандарте.
Взаимосвязь между вторым изданием настоящего стандарта и ИСО/МЭК 17021:2011 приведена в таблице 1.
Аудит третьей стороны
Иногда называемый «аудитом первой стороны»
Иногда называемый «аудитом второй стороны»
В целях проверки соблюдения законодательства и аналогичных целей
Для проведения сертификации (см. также требования ИСО/МЭК 17021:2011)
Настоящий стандарт не устанавливает требований, а содержит руководящие указания по управлению программой аудита, планированию и проведению аудита системы менеджмента, а также по вопросам компетентности и оценивания аудитора и группы по аудиту.
Организации в рамках своей деятельности могут использовать несколько документированных систем менеджмента. Для того, чтобы не усложнять текст настоящего стандарта, предпочтительно употребление «система менеджмента» в единственном числе, но каждый конкретный читатель может адаптировать внедрение положений настоящего стандарта применительно к своей собственной конкретной ситуации. Это также применимо к использованию терминов «лицо» и «лица», «аудитор» и «аудиторы».
Настоящий стандарт предназначен для широкого круга потенциальных пользователей, включающих в себя аудиторов, организации, внедряющие системы менеджмента, и организации, нуждающиеся в проведении аудитов систем менеджмента согласно контрактным или другим обязательствам. При этом пользователи настоящего стандарта могут применять настоящие руководящие указания при разработке своих собственных требований, относящихся к аудиту.
Руководящие указания, содержащиеся в настоящем стандарте, могут использоваться для целей, связанных с декларированием соответствия, а также могут быть полезными для организаций, участвующих в деятельности по подготовке аудиторов или сертификации персонала.
Руководящие указания, содержащиеся в настоящем стандарте, не устанавливают жестких рамок и допускают гибкость в своем применении. Как указано в пунктах по тексту настоящего стандарта, применение настоящих руководящих указаний может различаться в зависимости от размера, уровня развития и совершенства системы менеджмента организации, от характера деятельности и сложности проверяемой организации, а также от целей и области применения проводимых аудитов.
Настоящий стандарт вводит понятие риска применительно к аудиту систем менеджмента. Применяемый здесь подход относится как к рискам, связанным с недостижением процессом аудита поставленных целей, так и к рискам, связанным с возможностью помешать осуществлению деятельности и процессов проверяемой организации из-за проведения мероприятий по аудиту. При этом не дается отдельного руководства по процессу управления рисками для организации, но признается то, что при проведении аудита организации могут сосредоточить свои усилия на наиболее важных вопросах для системы менеджмента.
Настоящим стандартом принимается подход, называемый «комплексным аудитом», при котором две или несколько систем менеджмента, охватывающие различные аспекты менеджмента, проверяются совместно. В случаях, когда эти системы интегрированы в одну систему менеджмента, принципы и процессы проведения аудита будут такими же, как и для комплексного аудита.
Раздел 3 устанавливает ключевые термины и определения, используемые в настоящем стандарте. Были предприняты все усилия для того, чтобы эти определения не вступали в противоречия с определениями, используемыми в других стандартах.
Раздел 4 описывает принципы, на которых базируется процесс аудита. Эти принципы помогают пользователю понять суть процесса аудита и важны для понимания указаний, представленных в разделах 5-7.
Раздел 5 содержит руководящие указания по разработке и управлению программами аудита, по постановке целей программ аудита и координации мероприятий, выполняемых при проведении аудита.
Раздел 6 содержит руководящие указания по планированию и проведению аудита системы менеджмента.
Раздел 7 содержит руководящие указания, относящиеся к компетентности и оценке аудиторов систем менеджмента и групп по аудиту.
Приложение А поясняет применение содержащихся в разделе 7 руководящих указаний для различных аспектов менеджмента.
Приложение В содержит дополнительное руководство для аудиторов по планированию и проведению аудитов.
1 Область применения
Настоящий стандарт содержит руководящие указания по аудиту систем менеджмента, включая принципы аудита, управление программами аудита и проведение аудитов системы менеджмента, а также указания по оценке компетентности лиц, участвующих в процессе аудита, включая аудиторов, группы по аудиту и лиц, отвечающих за управление программой аудита.
Настоящий стандарт предназначен для всех организаций, которым необходимо проводить внутренние или внешние аудиты систем менеджмента или управлять программой аудита.
Положения настоящего стандарта могут применяться и для других типов аудита при условии, что будет уделено особое внимание вопросам, связанным с требуемым для этих целей уровнем специальной компетентности.
2 Нормативные ссылки
В данном разделе не приведены нормативные ссылки. Он включен для сохранения идентичности нумерации разделов настоящего стандарта с другими стандартами ИСО на системы менеджмента.
3 Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1 аудит (audit): Систематический, независимый и документируемый процесс получения свидетельств аудита (3.3) и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита (3.2).
1 Внутренние аудиты, иногда называемые «аудитами первой стороны», проводятся самой организацией или от ее имени для анализа со стороны руководства или других внутренних целей (например, для подтверждения намеченных показателей результативности системы менеджмента или для получения информации по улучшению системы менеджмента) и могут служить основанием для декларации о соответствии. Во многих случаях, особенно в малых организациях, независимость при аудите может быть продемонстрирована отсутствием ответственности за деятельность, которая подвергается аудиту, или беспристрастностью и отсутствием конфликта интересов.
2 Внешние аудиты включают в себя аудиты, называемые «аудитами второй стороны» и «аудитами третьей стороны». Аудиты второй стороны проводят стороны, заинтересованные в деятельности организации, например, потребители или другие лица от их имени. Аудиты третьей стороны проводят внешние независимые организации, такие как регулирующие или надзорные органы или организации, проводящие регистрацию или сертификацию.
3 Аудит двух или нескольких систем менеджмента для различных аспектов (например, качество, охрана окружающей среды, охрана труда), проводимый одновременно, называют «комплексным аудитом».
4 Если две или несколько проверяющих организаций объединяют свои усилия для проведения аудита одной проверяемой организации (3.7), такой аудит называют совместным.
5 Адаптировано из ИСО 9000:2005, статья 3.9.1.
3.2 критерии аудита (audit criteria): Совокупность политик, процедур или требований, используемых в качестве эталона, в соотношении с которым сопоставляют свидетельства аудита (3.3), полученные при проведении аудита.
1 Адаптировано из ИСО 9000:2005, статья 3.9.3.
2 В случае, если критериями аудита являются правовые требования (включая законодательные или другие обязательные требования), то в выводах (наблюдениях) аудита (3.4) часто используются термины «соответствующий» или «несоответствующий».
3.3 свидетельство аудита (audit evidence): Записи, изложение фактов или другая информация, которые связаны с критериями аудита (3.2) и могут быть проверены.
[ИСО 9000:2005, статья 3.9.4]
3.4 выводы (наблюдения) аудита (audit findings): Результаты оценки собранных свидетельств аудита (3.3) на соответствие критериям аудита (3.2).
1 Выводы аудита указывают на соответствие или несоответствие.
2 Выводы аудита могут вести к идентификации возможностей для улучшения или отражению наилучших практик.
3 Если критерии аудита выбираются, исходя из правовых или других обязательных требований, то наблюдением (выводом) аудита определяется соответствие или несоответствие данным требованиям.
4 Адаптировано из ИСО 9000:2005, статья 3.9.5.
3.5 заключение по результатам аудита (audit conclusion): Выходные данные аудита (3.1) после рассмотрения целей аудита и всех выводов аудита (3.4).
3.6 заказчик аудита (audit client): Организация или лицо, заказавшие аудит.
1 В случае внутреннего аудита, заказчиком аудита может быть проверяемая организация (3.7) или лицо, ответственное за управление программой аудита. Запросы, касающиеся проведения внешнего аудита, могут поступать из таких источников, как контролирующие органы, стороны, с которыми организация имеет контрактные отношения, или потенциальные заказчики.
2 Адаптировано из ИСО 9000:2005, статья 3.9.7.
3.7 проверяемая организация (auditee): Организация, подвергающаяся аудиту.
Какая разница между аудитом первой, второй и третьей стороны?
Опубликовано: 26.09.2017 Рубрика: Вопрос Ответ Автор: Единый Стандарт
Источник: автором статьи является Марк Хаммар, сертифицированный в ASQ (Американское общество качества – American Society for Quality, – ред.) менеджер по качеству и деловому совершенству. В сфере качества Марк работает с 1994 года. Автор статьи имеет практический опыт в области аудита, улучшения процессов, подготовки процедур для систем качества (СМК, – ред.) и систем экологического менеджмента (СЭМ, – ред.). Также Марк Хаммар – сертифицированный ведущий аудитор по стандартам ISO 9001, AS 9100 и ISO 14001.
В мире менеджмента качества существует много разных имен для различных типов аудитов. Терминов так много, что возникает путаница. Прибавьте к этому, что несколько понятий могут означать одно и то же – и вот, готовый рецепт недоразумений, которые ждут многих людей. Разъяснения, которые мы рискнем тут предложить, помогут в решении проблемы. В менеджменте качества бытует три главных типа аудита, классификация основывается на отношении между аудитором и теми, чью работу аудитируют. Существует аудит третьей стороны, второй стороны и первой стороны. Ниже я постараюсь объяснить, что входит в каждый тип и постараюсь пояснить противоречия с понятиями.
Аудит третьей стороны
К аудиту третьей стороны прибегают, когда компания решает создать систему менеджмента качества (СМК, – ред.), которая соответствует определенной совокупности установленных требований к такой системе. Например, подобной совокупностью требований является ISO 9001. В такой ситуации организация нанимает независимую компанию, которая осуществит аудит, призванный подтвердить, что требования к СМК действительно выполнены. Такие независимые компании называются органами по сертификации или регистрами (термин почти не употребляется в русскоязычной практике, – ред.). Они предлагают услугу сопоставления работы действующей СМК с требованиями выбранного стандарта и наблюдения за системой, которое позволяет убедиться, что она отвечает требованиям на постоянной систематической основе. Когда орган по сертификации приходит к выводу, что система качества компании соответствует стандарту, он выдает ей сертификат. Данный документ может использоваться клиентами прошедших сертификацию компаний, чтобы получить уверенность в том, что их собственные заявления о соответствии выбранным стандартам – не пустой звук. Аудит третьей стороны распадается на еще несколько подтипов проверок, которые органы по сертификации проводят у своих визави: сертификационные аудиты, инспекционные аудиты – еще их называют проверочными и, наконец, ресертификационные аудиты. Для пояснений, относительно связи между понятиями: сертификация, поддержка соответствия и ресертификационный аудит, читайте раздел «Цикл непрерывного соответствия компании стандарту ISO 9001» в статье «Сертификация ISO 9001: что она означает для отдельных лиц и компаний?».
Аудит второй стороны
Аудитом второй стороны называют аудит, который проводится компанией у своего поставщика, целью аудита в этом случае является установление соответствия контрактным обязательствам. В договоре может быть предусмотрен специальный контроль над выполнением некоторых операций (например, пайка и сварка, – ред.), могут иметься требования по прослеживаемости деталей (заказчику необходимо знать какие детали используются в какой конечной продукции, – ред.), могут присутствовать особые требования по стандартам стерильности, особые требования по документированию, любые другие требования, которые могут быть обусловлены интересами компании-закупщика. Аудиты по данным контрактным обязательствам могут быть выездными с присутствием сотрудников предприятия-закупщика на производстве или даже документарными, предусматривающими изучение документов, присланных поставщиком. Клиент может проводить аудит по любой части контракта – чтобы они не сочли важным для себя. Важно подчеркнуть, что аудиты второй стороны проводятся заказчиком у поставщика и не имеют ничего общего с сертификацией. Многие специалисты до сих пор уверены, что аудиты второй стороны уже не нужны, если у компании есть сертификат соответствия ISO 9001, выданный независимой компанией, но это не обязательно так. Даже если сертификат есть, закупщик все же может пожелать проверить самостоятельно некоторые аспекты работы подрядчика, особенно, если они не связаны с подсистемами СМК по ISO 9001. Сертификация на соответствие ISO 9001 в органе по сертификации не требуется многими компаниями, но в некоторых контрактах такой пункт все же присутствует и компании могут проводить аудит соответствия по этому пункту стандарта.
Аудит первой стороны
Аудиты первой стороны чаще называют внутренними аудитами. Это когда кто-то внутри самой организации проводит аудит процессов системы менеджмента качества с целью определить, осуществляются ли они в соответствии с установленной в организации процедурой. Этот аудитор может быть сотрудником самой компании или человеком, специально нанятым организацией для проведения внутренних аудитов, к примеру, консультант, но принципиально важно, что специалист, который проводит аудиторскую проверку – делает это в интересах самой компании, а не ее партнера или органа по сертификации. Цели подобного аудита могут варьироваться. Аудитор может искать проблемные области, в которых процессы нескоординированны между собой, в центре его внимания могут быть возможности по улучшению и результативность системы менеджмента качества. По исходным условиям – этот тип аудита должен гораздо глубже проникать в проблемы, чем другие и аудит первой стороны – один из лучших способов найти потенциал для улучшений в работе. Читайте наш материал «Пять главных шагов внутреннего аудита ISO 9001».
Понимайте разницу и не путайтесь
Нужно ли вам проводить у ваших поставщиков аудиты второй стороны, дабы лучше понять: способны ли они удовлетворить ваши нужды? Как можно добиться большего от аудитов третьей стороны? Если вы будете лучше понимать, что разные типы аудита точно означают для вас, вы сможете более эффективно пользоваться их возможностями для улучшения в вашей системе менеджмента качества.
Перевод: сотрудник «Единый Стандарт» Валентин Рахманов.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
Отличительные черты внутреннего и внешнего аудита
Внутренний и внешний аудит — две стороны одной медали. И медаль эта — компания. Аудит проводят специалисты разного уровня и разного подчинения. Но все они призваны найти в компании слабые места и тех, кто использовал их ради собственной выгоды, а также определить остальные участки, которые можно оптимизировать. Часто результаты работы внутреннего аудита используют для проведения внешнего аудита. В этом материале собраны различия внешнего и внутреннего аудита.
Что такое внутренний аудит
Внутренний аудит — это вид независимой оценки работы компании или ее составляющих. Результаты внутреннего аудита помогают руководству увидеть эффективность работы менеджмента по определенным показателям. Также позволяют проверить достоверность финансовой отчетности, качество и соблюдение порядка ведения бухучета, сохранность активов, недоработки по документообороту, соблюдение буквы закона при выполнении операций и любую другую деятельность департаментов или функционирование системы компании по заказу руководства.
Внутренний аудит проводят сами сотрудники предприятия. В это подразделение должны входить специалисты, не имеющие отношения к бухучету или любому другому проверяемому направлению. Иначе это противоречит принципу незаинтересованности. Интересно, что принцип независимости для отдела внутреннего аудита носит внешний характер, поскольку проверяющие все же находятся в подчинении у руководства компании.
Департамент внутреннего аудита может существовать в компании отдельной единицей на постоянной основе или работать в формате комиссии. Приоритеты работы этого отдела определяет руководство компании.
Преимущества внутреннего аудита состоят в том, что его проводят сотрудники компании, которые погружены в ее процессы и хорошо ориентируются в них. Они заинтересованы в обнаружении ошибок и недоработок, а их заключения могут влиять на управленческие решения и процессы в компании для улучшения результатов.
Недостатки внутреннего аудита заключаются в том, что сотрудники фирмы работают на определенном участке и не могут дать объективную оценку при проверке. Чаще всего проведение внутреннего аудита связано с передачей материальной ответственности, поиском схем мошенничества, обнаружением или предотвращением хищений, повышением эффективности работы определенного участка компании.
Услугами службы внутреннего аудита пользуются открытые акционерные общества с филиалами и структурными подразделениями, холдинги с несколькими юридическими лицами, региональные компании, а также фирмы, ведущие отчетность по МСФО.
Что такое внешний аудит
Внешний аудит — это независимая оценка работы компании. Ее проводят специалисты аудиторской фирмы. Специалистов, которые проводят внешний аудит в компании, не должны связывать никакие родственные связи с руководством проверяемой компании, должности в ней или другие обязательства, кроме указанных в договоре на проверку. Его проводят по требованию собственников и акционеров компании, а также согласно законам.
Внешний аудит проводят:
Процесс проведения внешнего аудита тщательно планируется, его ход и участки работы прописывают в договоре с компанией-клиентом. Сам коллектив уведомляют о грядущей проверке и знакомят с ее целью. Конечным результатом работы внешнего аудита выступает аудиторское заключение в письменной форме. Оно содержит полные данные об аудиторе, сроке проверки, ее объекте и результатах. Эти данные могут использоваться для управленческих решений в дальнейшем.
Преимущества внешнего аудита заключаются в том, что специалисты, которые его выполняют, независимы от руководства компании и работают в интересах заказчика. Они предоставляют оценку состояния компании, дают “взгляд со стороны” и могут также, кроме проверки документов, провести опрос сотрудников, анкетирование, проверить рабочие процессы на местах.
Недостатки внешнего аудита кроются в трактовке обнаруженных ошибок и несоответствий в документах и отчетах. Так сказано в исследовании, опубликованном в журнале The Accounting Review сотрудниками факультета EY Эрин Гамильтон и Джейсоном Смитом из Университета Невады, Лас-Вегас.
«Фундаментальное различие между ошибкой в бухгалтерском учете и мошенничеством заключается в намерении, лежащем в основе искажения, поэтому, если менеджеры совершают мошенничество способами, которые кажутся непреднамеренными, аудиторы могут ошибочно полагать, что полученные искажения являются невинными ошибками, а не попытками мошенничества», — говорит Смит.
Интересно, что в 2-х проведенных исследователями экспериментах выяснилось, что менеджеры склоняются чаще опускать расходы, чем завышать доходы компании.
Отличительные черты внутреннего и внешнего аудита
В фокусе внимания внутреннего и внешнего аудита находится компания и ее функционирование. Их отличают между собой специалисты, которые проводят аудит, а также заказчики, частота и тип проведения этих работ.
Список отличительных черт внутреннего и внешнего аудита представлен в сравнительной таблице.
Таблица. Сравнительная характеристика внешнего и внутреннего аудита
| Характеристика | Внутренний аудит | Внешний аудит |
|---|---|---|
| Вид работ | Подготовка информационных материалов о состоянии подразделения или процесса на предприятии | Подготовка соответствующих заключений о достоверности данных, соблюдении требований законодательства, анализ деятельности |
| Исполнители | Сотрудники предприятия | Специалисты независимой организации |
| Специальные требования к исполнителям | Отсутствуют | Наличие квалификационного аттестата (для аудитора). Членство в саморегулируемой организации аудиторов (для аудиторской организации) |
| Объект аудита | Любой процесс, функциональное направление или система деятельности в организации | Финансовая отчетность организации, другие объекты по запросу заказчика |
| Цель работ | Оценка эффективности, экономичности и соответствия законодательству | Оценка достоверности финансовой отчетности организации, контроль соблюдения законодательства, поиск возможностей оптимизации ресурсов |
| Нормативная база | Внутренние документы компании | Законодательные акты и международные стандарты |
| Оплата услуг | По должностному окладу | На основании договора |
| Срок выполнения | Непрерывно, по запросу | 1 раз в год или чаще, по запросу |
| Влияние на организацию | Высокое. Есть возможность внести корректировки в принятые управленческие решения ради повышения эффективности | Низкое, поскольку проверяют результаты принятых управленческих решений |
| Уровень независимости | Низкий. Подчиняется руководству предприятия | Высокий. Осуществляют деятельность на договорной основе |
| Пользователи заключений | Руководство предприятия | Акционеры, инвесторы, налоговые службы, банки, бизнес-партнеры, органы власти |
Внешнему аудитору важно защищать интересы клиентов компании. Внутреннему — интересы самой компании. Второй будет более ценным специалистом, поскольку работает на своей территории и сканирует компанию на наличие ошибок, “пробоин” и мошенничеств. Если вы хотите расширить карьерные перспективы и научиться эффективно работать в качестве специалиста по непрерывному улучшению процессов компании, то вам подойдут курсы по внутреннему аудиту.