Чем должен руководствоваться аудитор при проверке системы менеджмента? Международный стандарт ISO 19011:2018 дает список из семи принципов. Читайте комментарии к каждому принципу от практикующего аудитора.

О стандарте ISO 19011
Стандарт ISO 19011 разработан проектным комитетом ISO/PC 302 и не является обязательным для применения. Тем не менее, он упоминается во многих документах, связанных с системами менеджмента, например, в ISO 9001:2015 (см. пункт 9.2 «Внутренний аудит»).Стандарт ISO 19011 полезен при проведении аудитов не только системы менеджмента качества (СМК), но и для аудита систем экологического менеджмента, управления охраной труда, управления пищевой безопасностью, энергоменеджмента и т.п.
Кроме того, стандарт ISO 19011 поможет в проведении оценки поставщиков, а также оценки соответствия тех или иных процессов нормативным либо корпоративным требованиям.
ISO 19011:2018 базируется на семи принципах:
- Безупречность (Integrity)
- Правдивое представление (Fair representation)
- Надлежащее профессиональное усердие (Due professional care)
- Конфиденциальность (Confidentiality)
- Независимость (Independence)
- Подход, основанный на свидетельствах (Evidence-based approach)
- Риск-ориентированный подход (Risk-based approach)
1. Безупречность (Integrity)
Аудит должен проводиться этично, честно, ответственно. Аудитор должен быть непредвзятым и не поддаваться влиянию, если таковое оказывается, на его суждения в ходе проведения аудита.«Важно достойно выходить из конфликтных ситуаций, ведь все люди разные, не все любят, чтобы их проверяли, - комментирует Наталья Алиева, ведущий аудитор SGS. - И одна из задач аудитора – настроить проверяемых на позитив, сделать их соратниками, ведь смысл аудита – в том, чтобы сделать процесс, организацию более эффективной».
Принцип «безупречности» подразумевает, что аудитор должен быть компетентен в том, что он делает. Важно понимать то, что ты проверяешь. Если у аудитора недостаточно компетентности в каком-то вопросе, например, не хватает отраслевых знаний, он должен воспользоваться услугами «технического эксперта».
При проведении внутренних аудитов можно воспользоваться экспертизой коллег, разбирающихся в вопросе. Каждому аудитору, работающему в органе по сертификации, присваиваются определенные технические коды по отраслям, что позволяет направлять на аудит специалиста с соответствующими квалификацией и опытом.
2. Правдивое представление (Fair presentation)
Собранные аудитором свидетельства, составленный отчет, сделанные выводы должны правдиво и точно отражать действительность.Большая ошибка аудитора, когда он начинает по-своему трактовать требования, на основании своего прошлого опыта, и настаивает, что надо сделать так, как он привык, а не так, как удобно организации. Аудитор должен проводить оценку с позиции соответствия стандарту, а не с позиции исключительно своего бэкграунда.
Кроме того, аудитор должен изъясняться во время аудита без лукавства, точно, понятно, исчерпывающе.
А если в ходе аудита возникали какие-либо затруднения, разногласия, препятствия, это должно быть отражено в отчете. Например, проверяемые могут в чем-то не согласиться с аудитором. И если консенсус не найден, это фиксируется аудитором. «Мы обязательно говорим во время аудита, что, если представители проверяемой компании с чем-то не согласны, им следует открыто высказывать свое мнение», - поясняет Наталья Алиева.

3. Надлежащее профессиональное усердие (Due professional care)
Аудитор должен проявлять должное усердие во всех задачах, выполняемых в ходе аудита. Любое суждение аудитора должно быть обоснованным.В одной компании согласно программе внутренних аудитов главный механик должен был проверять службу главного энергетика и наоборот. Первые аудиты они провели и остались обоюдно довольны. Через некоторое время служба главного энергетика попадает в план внешнего надзорного аудита, в панике он прибегает в отдел СМК и просит независимым взглядом проверить, все ли в его службе в порядке. На вопрос «Тебя же проверял главный механик?» последовал честный ответ «Не проверял, мы с ним договорились и просто подписали друг другу отчеты».
Это наглядный пример «ненадлежащего профессионального усердия», когда аудиторы не поняли важность вверенных им задач и обманули доверие тех, кто поручил им это, т.е. руководства компании.
Аудитор должен понимать, для чего нужны результаты аудита, с какой целью он проводит аудит и стремиться эту цель достичь.
Должна быть проведена серьезная работа для поиска соответствий. Если найдено одно несоответствие, значит ли это, что можно на этом успокоиться? Нет, важно проверить все пункты стандарта/чек-листа. Одно дело, если среди множества несоответствий есть единичные соответствия. Другое дело, если среди множества соответствий есть единичное несоответствие.
«Когда речь идет об аудите системы менеджмента, то недостаточно проверить какой-то элемент системы, поставить галочки в вопроснике, важно увидеть целостную картину, на основании которой делать обоснованные выводы», - напоминает Наталья Алиева.
4. Конфиденциальность (Confidentiality)
Аудитор должен проявлять осмотрительность, необходимую для надлежащей защиты информации, полученной в ходе аудита. Речь идет о любой информации: как позитивного, так и негативного характера. Важно, чтобы эта информация не послужила способом получения личной выгоды аудитором либо заказчиком аудита, а также способом нанесения ущерба проверяемой организации.Например, недопустимо, чтобы аудитор, выявив какое-либо несоответствие, советовал обратиться в конкретную фирму, которая поможет с этим справиться. Или разглашал коммерческую тайну конкурентам.
«В SGS данный принцип включен в каждый договор с клиентом в качестве обязательства, которое мы как орган по сертификации берем на себя, - рассказывает Наталья Алиева. - Каждый сотрудник SGS, в том числе аудиторы, на ежегодной основе проходит обучение по Кодексу честности SGS, где освещаются и вопросы конфиденциальности».
Почему это касается всех, не только аудиторов? Потому что со свидетельствами, отчетами по результатам аудитов соприкасаются не только аудиторы, но и офисные сотрудники, которые осуществляют поддержку операционного процесса. И конечно, помимо осведомленности и ответственного отношения сотрудников, здесь большую роль играет система информационной безопасности, предотвращающая утечку информации с любых носителей.
5. Независимость (Independence)
Именно независимость аудитора от проверяемых процессов позволяет обеспечить объективность и непредвзятость выводов по итогам аудита. Важно исключить конфликт интересов.При аудитах третьей и второй стороны независимость находится под угрозой, если аудитор хорошо знает проверяемую компанию. Например, потому что часто бывает там на аудитах. Чтобы один и тот же человек не проверял предприятие на постоянной основе, важно ротировать аудиторов. Ведь аудитор – человек, у него могут складываться человеческие, порой товарищеские отношения с сотрудниками проверяемой организации, и это может мешать объективности и непредвзятости.
Та же ситуация, если внешний аудитор раньше работал в проверяемой компании или имел какие-то профессиональные отношения с ее сотрудниками. В SGS перед каждым аудитом аудитор подписывает заявление о том, что в течение последних 2-х лет он не оказывал консультационных услуг данной компании и не планирует оказывать в течение 2-х последующих. Не должно быть никаких коммерческих интересов, связывающих аудитора с проверяемой компанией.
Во время внутренних аудитов в небольших организациях выполнение принципа независимости может быть проблематично, однако важно приложить все усилия, чтобы устранить предвзятость и вовлеченность в проверяемую деятельность.
Пример из практики: на предприятии выделены процесс производства и процесс планирования производства. Оба процесса нужно проверить в ходе внутреннего аудита. Аудитором процесса планирование назначили начальника производства. У него накопилась масса претензий к планировщикам, план часто меняется и т.д. В итоге он предвзято проводит аудит, и дело заканчивается… дракой.
«Сложнее всего в ходе внутренних аудитов обеспечить независимость при проверке работы высшего руководства», - считает Наталья Алиева. Ведь любой сотрудник находится заведомо в зависимом положении от первого лица компании. Как тут лучше поступить, решать каждой компании индивидуально, здесь много зависит от корпоративной культуры и от опыта, личностных качеств внутренних аудиторов. Некоторые компании привлекают внешних аудиторов для проверки процессов, которые завязаны на высшем руководстве.
6. Подход, основанный на свидетельствах (Evidence-based approach)
Под свидетельствами аудита понимается тот набор фактов, которые собрал аудитор и которые можно впоследствии проверить с помощью записей. Именно эти свидетельства подтверждают выполнение либо невыполнение проверяемых требований.Если выполнение требования нельзя подтвердить с помощью свидетельств, то требование считается невыполненным.
Но это отнюдь не означает, что все свидетельства должны быть письменными. Ведь есть три способа собирать свидетельства:
- Анализ документации (инструкций, регламентов, журналов, актов, отчетов и т.п.)
- Интервью с персоналом (как с руководящим составом, так и с исполнителями)
- Наблюдение за процессом
Аудитор должен максимально точно описать свидетельство, полученное устно (со слов такого-то оператора, на такой-то линии, при выполнении такого-то процесса). То же самое относится к описанию наблюдений (какой именно процесс наблюдали, где, когда) и описанию документов (название, дата публикации, дата внесения изменений). Это нужно для того, чтобы свидетельство можно было перепроверить, тем самым устраняя возможные конфликты.
Поскольку аудит ограничен во времени и в ресурсах, 100%-объем информации собрать во время аудита, как правило, не возможно. Поэтому должна применяться репрезентативная выборка, позволяющая, с одной стороны, не закопаться в мелочах, а с другой, оценить целостность системы, взаимосвязи между процессами, подразделениями.
Наталья Алиева рекомендует применять принцип разумной достаточности. Собранных свидетельств должно быть достаточно для того, чтобы сделать выводы по итогам аудита, например, соответствует ли система менеджмента требованиям стандарта или нет. Т.е. нельзя говорить о несоответствии системы, основываясь на одиночных фактах.
7. Риск-ориентированный подход (Risk-based approach)
Данный принцип появился в стандарте ISO 19011 только в последней версии 2018 года. Таким образом, документ привели в соответствие с теми изменениями, которые произошли в результате выхода в свет Приложения L (до 2019 года известного как Приложение SL), повлиявшего на структуру и содержание всех стандартов на системы менеджмента. В частности, на роль риск-ориентированного мышления в системном менеджменте.Суть принципа в том, что планирование, проведение и отчетность аудита должны базироваться на результатах оценки рисков и возможностей. При этом аудиты должны быть заточены на области, представляющие значимость для заказчика аудита и ведущие к достижению целей аудита.
Вот лишь некоторые вопросы, которые могут возникнуть при оценке рисков и возможностей, связанных с аудитом:
- Достаточно ли времени выделено на аудит, исходя из целей аудита?
- Как лучше распределить время, чтобы успеть проверить все необходимые процессы и выполнить программу аудита?
- Как оптимизировать время на перемещения внутри предприятия?
- Обладает ли аудитор или группа аудиторов нужным набором компетенций?
- Готова ли организация или отдел, а точнее, работающие в нем люди, к сотрудничеству с аудитором, или они могут встать в глухую оборону?
- Не будут ли ответственные сотрудники во время аудита в командировке или заняты на совещании?
- Если на предприятии один внутренний аудитор, кто сможет проверить его работу?
- Можем ли мы проверить в ходе одного аудита выполнение требований сразу нескольких стандартов (ISO 9001, ISO 14001, ISO 45001, ISO 50001, ISO 22000 и т.п.)?
Принципы для небожителей или аудиторов?
Возможна ли реализация принципов, описанных в ISO 19011:2018 в реальной жизни, или они - лишь недостижимый ориентир?На самом деле, их применение действительно дает результат, т.е. аудит, проводимый согласно этим принципам, приносит ощутимую пользу. В связи с этим вот наши рекомендации:
- Если вы проводите/организуете внутренние аудиты в своей компании, следите за тем, чтобы эти принципы выполнялись всеми внутренними аудиторами.
- Если вы привлекаете внешних аудиторов по своей инициативе, при выборе подрядчика обращайте внимание на следование его сотрудников этим принципам.
- Если же внешние аудиторы приходят к вам по инициативе ваших партнеров, и у вас нет возможности сделать выбор, вы имеете полное право оспорить результаты аудита при несоблюдении аудиторами этих принципов.