Об'єкт - підрозділ / група підрозділів, що здійснюють діяльність СМК в цілому і її частинах. Об'єкт внутрішнього аудиту відповідає на питання що, яка діяльність підлягає аудиторській перевірці.
Сфера аудиту - документи / розділи документів, що регламентують вимоги до діяльності (об'єкту аудиту). Область внутрішнього аудиту відповідає на питання на відповідність чому, якої вимоги повинен проводитися аудит.
Організаційні принципи внутрішнього аудиту:
1. Принцип однаковості (кожен аудитор проводить аудит відповідно до вимог, встановлених на підприємстві).
2. Принцип системності (з планом перевірок і при проведенні певної кількості перевірок будуть охоплені всі області аудиту).
3. Принцип документованості (звіти за результатами перевірок).
4. Принцип люб'язності (заздалегідь попереджають).
5. Принцип регулярності.
6. Принцип незалежності.
7. Принцип відкритості (результати аудиту повинні бути відомі).
Аудит проводиться силами спеціальної служби внутрішнього аудиту.
Головний аудитор, аудитори - це співробітники підприємства, внутрішній аудит не є їх основною роботою.
Контроль за виконанням коригувальних дій.
7. Дії адміністратора, керівників підрозділу відповідно до результатів контролю, виконання коригувальних дій (заходів).
Планування основним документом є річний план внутрішніх перевірок. У ньому вказуються терміни проведення перевірок (4 перевірки в рік), об'єкти кожного аудиту, сферу аудиту, вказується група аудиторів і для них відповідні об'єкти і область аудиту. Застосовується 2 схеми проведення аудиту:
- вертикальна - перевіряються окремі підрозділи по всій області аудиту (вимогам);
- горизонтальна - перевіряються окремі підрозділи в частині вимог.
В результаті складається річний план внутрішнього аудиту (затверджується керівником служби внутрішнього аудиту). Він може коригуватися за рішенням особи затверджує даний план в наступних випадках:
1. при внесенні суттєвих змін в СМК, пов'язаних із структурною перебудовою / підвищення вимог до виконаних робіт;
2. при введенні нових процедур / процесів;
3. при надходженні інформації від замовників, контролюючих зовнішніх організацій про невідповідність якості продукції встановленим вимогам;
4. під час вступу вимог потенційних замовників продукції підприємства.
На підставі річного плану головні аудитори планують проведення окремих аудитів.
Підготовка до аудиту включає наступні роботи:
1. розробку програми аудиту;
2. розподіл робіт в аудиторській групі;
3. забезпечення аудиторської групи необхідною документацією;
4. інформатірованіе аудиторські підрозділи про майбутній аудиті;
5. програма аудиту готується головним аудитором.
Програма аудиту містить наступні розділи:
1. найменування об'єкта аудиту (підрозділу);
2. область аудиту (перелік документів на відповідність вимог, яких буде проводитися перевірка);
3. мета і завдання аудиту;
4. дата початку та тривалість;
5. календарний графік робіт аудиторської групи;
6. список посадових осіб, яким повинні бути направлені копії звіту про аудит.
При підготовці до аудиту, аудиторська група повинна бути забезпечена необхідними документами:
1. нормативні документи СМЯ, на відповідність вимог яких проводиться аудит;
2. документи, що полегшують обстеження об'єкта (опитувальні листи, контрольні запитальники, бланки для записів в ході спостереження);
3. форми, що відображають результати аудиту (форми для протоколювання невідповідностей, форми індивідуального звіту).
В опитувальних листах повинні бути приведені питання, відповіді на яких дозволять дати повний доказ того, що даний документ в підрозділі є, регулярно застосовується в роботі, персонал знає вимоги документа і систематично їх виконує.
В процесі аудиту, в залежності від того, як були сформульовані відповіді на питання опитувальника, аудитори ставлять додаткові питання конкретним перевіряється посадовим особам. Додаткові питання беруть з контрольного опитувальника. Типи питань наведені в таблиці.
Визначення та приклади
Питання, відповідь на який передбачає оцінку діяльності особистості (хто винен на ваш погляд в цій невідповідності)
Кращими типами питань для аудиторів є відкритий або роз'яснюють. Не рекомендуються - наводить, альтернативний, який стверджує і утруднює спілкування. Неприпустимим є персоніфікований тип питання.
При підготовці до аудітірованію підрозділів, його керівник:
1. інформує своїх співробітників про цілі, області, місце, дату початку і тривалості аудиту;
2. призначає відповідальних осіб з числа персоналу підрозділу для супроводу аудитора і роз'яснює їм обов'язки в ході аудиту;
3. за запитом аудитора надає їм необхідну інформацію про підрозділі;
4. співпрацює з головним аудитором для досягнення мети аудиту.
Проведення аудиту. Аудит включає:
1. проведення вступного наради;
2. обстеження об'єкта аудиту;
3. складання висновку за результатами аудиту;
4. проведення заключного наради.
Обстеження об'єкта аудиту передбачає вирішення наступних завдань:
1. підтвердження наявності та доступності всіх документів СМЯ обов'язкових для виконання даної процедури;
2. підтвердження відповідності діяльності підрозділів і його результатами, запитуваною СМК заходів;
3. підтвердження відповідності знань і умінь співробітників підрозділів встановленим вимогам в області якості.
В ході проведення аудиту, головний аудитор може вносити зміни в розподіл обов'язків членів аудиторської групи, може змінювати терміни проведення аудиту. Якщо мета аудиту виявляється недосяжною, головний аудитор доводить до відома про це керівника служби внутрішнього аудиту та керівника аудиторські підрозділи.
Після проведення обстеження, головний аудитор проводить заключна нарада в аудиторські підрозділі. Їм даються оцінки ефективності менеджменту, якщо відзначені невідповідності, то вони обов'язково записуються і доводяться до відома персоналу підрозділу. Головний аудитор дає рекомендації щодо усунення невідповідностей, але рішення про проведення коригувальних заходів приймає керівник аудиторські підрозділи.
Аналіз і узагальнення результатів аудиту.
За результатами обстеження аудитори складають індивідуальні звіти, які передаються головному аудитору, який на підставі звітів становить підсумковий звіт. Основні розділи підсумкового звіту:
1. найменування аудиторські підрозділи;
2. область аудиту;
3. склад аудиторської групи;
4. кількість виявлених невідповідностей (в т.ч. значних);
5. рішення про коригувальні дії;
6. оцінки ступеня адекватності діяльності підрозділів необхідної документації СМЯ;
7. підпису і дати;
8. додатки (протоколи про значні невідповідності).
Оригінал підсумкового звіту, програма, протоколи нарад, заповнені опитувальні листи, запитальники, протоколи про невідповідність, індивідуальні звіти аудиторів, копії планів коригувальних дій зберігаються безстроково в службі внутрішнього аудиту.
Результати аудиту реєструються в спеціальному журналі.
Методи аудиту поділяються на такі технологічні операції.
Операції технологій аудиту
- Проведення аудиту, складання звіту
Розробка і реалізація коригувальних дій.
У разі доведення невідповідності. Керівник підрозділу розробляє програму коригувальних дій, яка проводиться: самі коригувальні дії, очікувані результати, хто виконує і терміни. Після закінчення узгодженого часу, служба внутрішнього аудиту перевіряє контроль виконання коригувальних дій. При цьому перевіряється:
- наскільки усунені невідповідності;
- причини їх викликають.
Результати контролю реєструються в журналі коригувальних дій:
1. дата виявлення невідповідностей;
2. опис невідповідностей;
3. особа, що виявила невідповідність;
4. посадові особи, відповідальні за усунення невідповідностей;
5. причини невідповідності;
7. відмітка про усунення невідповідності із зазначенням дати і відповідальної особи;
8. необхідність наступної інспекції контролю та терміни його проведення (неповне усунення невідповідностей);
9. відмітка про закріплення досягнутого результату;
10. витрати на розробку і результати дій.