Оценка риска при проведении внутреннего аудита

Существуют различные виды рисков при проведении внутренних аудитов, которые, в соответствии со стандартом ГОСТ Р ИСО 19 011−2012 необходимо идентифицировать и оценивать вероятность их появления. В общем случае при проведении внутренних аудитов могут возникать следующие риски:

• — ошибки при планировании аудитов, например, процесс СМК неэффективен, а количество аудитов этого процесса установлено, как для эффективных процессов СМК;
• — не достижение целей аудита, например, из-за недостатка времени отводимого на конкретный аудит, из-за некомпетентности аудиторов, из-за отсутствия в группе технических экспертов, из-за противодействия руководства и персонала проверяемого подразделения;
• — неполучение объективной и достоверной информации в ходе аудита, например, из-за недостаточной квалификации специалистов проверяемого подразделения, из-за некомпетентности аудиторов, из-за противодействия руководства и персонала проверяемого подразделения;
• — разглашения конфиденциальной информации, полученной аудитором в ходе аудита, третьим лицам, например, предприятию-конкуренту;
• — получения травм аудитором в ходе аудита, например, при проведении аудита потенциально опасных производств;
• — нарушения технологического процесса, вызванного присутствием аудитора, например, ухудшение чистового режима в помещениях для сборки радио-электронной аппаратуры и т. п.

На конкретном предприятии могут быть и другие виды рисков, которые определяются особенностями выпускаемой продукции, кадровым составом предприятия, его структурой и т. п.

Для того, чтобы снизить вероятность возникновения рисков необходимо в документированной процедуре по проведению аудитов предусмотреть: аудит должностной кадровый.

• — обязательное согласование годовых программ аудитов со службой качества и ответственным от высшего руководства за СМК до их утверждения;
• — выделение необходимого времени на аудиты, исходя из их объема, при планировании конкретных аудитов;
• — критерии подбора аудиторов, технических экспертов, лиц, сопровождающих аудиторов, по компетентности, в зависимости от проверяемого участка работы;
• — установление обязанностей и ответственности должностных лиц проверяемого подразделения за достоверность и полноту представляемой информации;
• — ответственность аудиторов и других лиц, принимающих участие в аудите, за разглашение конфиденциальной информации;
• — проведение инструктажа по охране труда и обеспечение аудиторов средствами индивидуальной защиты, при необходимости;
• — информирование аудиторов о возможности нарушения техпроцессов, а также обеспечение аудиторов необходимой спецодеждой и защитными устройствами и т. п.

Перед началом конкретного аудита руководитель группы по аудиту вместе с членами группы должен оценить вероятность возникновения рисков и принять меры по их устранению.