Аудит (audit) – систематичний, незалежний і задокументований процес отримання об’єктивних доказів та їхнього об’єктивного оцінювання, щоб визначити ступінь дотримання критеріїв аудиту.

    Примітка 1. Аудит може бути внутрішнім аудитом (першою стороною) чи зовнішнім аудитом (другою чи третьою стороною), а також може бути комбінованим аудитом (що об’єднує дві чи більше дисциплін).

    Примітка 2. Внутрішній аудит здійснює сама організація або зовнішня сторона від її імені.

    Примітка 3. «Докази аудиту» та «критерії аудиту» визначено в ISO 19011.

    Внутрішні аудити систем менеджменту можуть проводити працівники підприємства, які пройшли навчання на спеціальних курсах, тренінгах і отримали підтвердний документ (сертифікат, посвідчення, свідоцтво тощо), що підтверджує компетентність внутрішнього аудитора стосовно знання стандартів ISO 19011, ISO 22000 ISO 9001, ISO 14001 та правильності складання програми аудитів, їхнього проведення, складання звіту та визначення коригувальних дій тощо. Головну вимогу до всіх категорій аудиторів викладено у ДСТУ ISO 19011:2019, що є основою для введення розділів стандартів, які мають більш чітке спрямування.

    Аудитор має набувати, підтримувати та поліпшувати свою компетентність постійним підвищенням кваліфікації та регулярною участю в аудитах, а також одним із способів:

• Набуттям додаткового досвіду роботи;
• Підготовленням;
• Приватним навчанням;
• Тренінгами;
• Відвідуванням нарад, семінарів і конференцій;
• Вжиттям інших доречних заходів.

Аудитор має бути здатним:

• розуміти види ризиків та можливостей, пов’язані з аудитом, а також принципи ризикоорієнтованого підходу до аудитування;
• результативно планувати та організовувати роботу;
• проводити аудит за узгодженим графіком;
• визначати пріоритети та зосереджувати зусилля на суттєвих питаннях;
• результативно усно та письмово спілкуватися (особисто чи за допомогою перекладачів);
• збирати інформацію результативним опитуванням, слуханням, спостеріганням та аналізуванням задокументованої інформації, зокрема протоколів і даних;
• розуміти доцільність і наслідки використання вибіркових методів аудитування;
• розуміти й враховувати судження технічних експертів;
• аудитувати процес від початку до кінця, зокрема взаємозв’язки з іншими процесами та різними функційними підрозділами, за можливості;
•  перевіряти доречність і точність зібраної інформації;
• підтверджувати достатність і доречність доказу аудиту для підтримування даних і висновків;
• оцінювати ті чинники, які можуть впливати на надійність даних і висновків аудиту;
• документувати аудиторську роботу та дані аудиту, а також складати звіти про аудит;
• забезпечувати конфіденційність і захищеність інформації.

    Відповідно до ДСТУ ISO 19011:2019 внутрішні аудитори мають мати наступні знання та навички:

1. Знання стандартів на системи управління та інших нормативно-технічних документів:

 Опанування вимог нормативних документів дадуть змогу аудитору осягнути сферу аудиту та застосовувати критерії аудиту. Треба, щоб ці знання та навички стосувалися:

• стандартів на системи управління чи інших нормативних документів або настанов/ допоміжних документів, використовуваних для встановлення критеріїв або методів аудиту;
• застосування стандартів на системи управління об’єктом аудиту чи іншими організаціями;
• взаємозв’язків і взаємодій між процесами системи (систем) управління;
• розуміння важливості та пріоритетності різних стандартів або нормативно-технічних документів;
•  застосування стандартів або нормативно-технічних документів у різних ситуаціях аудиту.

2. Обізнаність щодо діяльності організації та середовища її функціювання

Ці знання та навички дадуть змогу аудитору зрозуміти структуру, призначеність об’єкта аудиту та методи управління ним. Треба, щоб ці знання та навички стосувалися:

• потреб та очікувань відповідних зацікавлених сторін, які впливають на систему управління;
• типу організації, її підпорядкованості, розміру, структури, функцій та зв’язків;
• загальних понять і процесів у сфері бізнесу та управління, а також пов’язаної з ними термінології, зокрема щодо планування, складання бюджету та керування персоналом;
• культурних і соціальних аспектів об’єкта аудиту.

3.  Опанування застосовних законодавчих та регламентувальних вимог, а також інших вимог

Ці знання та навички дадуть змогу аудитору осягнути вимоги організації та дотримуватися їх. Треба, щоб конкретні знання та навички стосовно юрисдикції чи робіт, процесів, продукції та послуг об’єкта аудиту стосувалися:

• законодавчих і регламентувальних вимог та відповідних органів влади; базової правової термінології;
• укладання контрактів і юридичної відповідальності. Знання законодавчих і регламентувальних вимог не передбачає проведення правової експертизи, а аудит системи управління не треба розглядати як аудит відповідності законодавству.

    Групі аудиту треба мати колективну компетентність у конкретній сфері спеціалізації та предметній галузі.

Розподіл відповідальності при проведенні внутрішнього аудиту наведений в таблиці.