6. Actions in the audit

6.1 General
This section provides guidance on planning and conducting audits as part of the audit program. In Fig. 2 gives an overview of the major actions in the audit. The degree of applicability of the provisions of this section depends on the volume and complexity of the audit and the intended use of the audit findings.

Note. The dotted line shows that any subsequent audits are usually not considered as part of an audit.

In Fig. 2 - Overview of actions in an audit

6.2 Beginning the audit

6.2.1 Purpose of the audit team leader
Persons appointed responsible for the management of the audit program should appoint the audit team for a specific audit.
In the case of a joint audit inspection prior to the audit organization should come to an agreement on the specific responsibilities of each organization, particularly with respect to powers of a group leader assigned to the audit.

6.2.2 Definition of objectives, scope and audit criteria
As part of the overall objectives of the audit program, the specific audit should be based on documented objectives, scope and criteria.
The objectives of the audit determined that the audit is to be achieved, and may include the following:
a) determination of the extent to which the management system of the audited entity, or parts of the audit criteria;
b) assess the ability of management to ensure compliance with legislative, regulatory and contractual requirements;
a) Evaluating the performance management system in achieving the goals;
d) identification of areas of possible improvement of the management system.
The volume describes the audit scope and boundaries of the audit, such as physical location, organizational units, activities and processes to be checked, as well as the time required for testing.
Audit criteria are used as a guide in determining whether, and may include applicable policies, procedures, standards, laws and requirements, including the management system requirements, contractual requirements or codes of industrial / business sector.
Audit objectives should be defined by the customer audit. The scope and audit criteria must be defined jointly by the customer audit and the audit team leader in accordance with the procedures for the audit program. Any changes to the objectives, scope and audit criteria to be agreed upon by the same parties.
In the case of an integrated audit, the audit team leader should ensure that the objectives, scope and audit criteria that the integrated audit.

6.2.3 Determining the feasibility of an audit
The feasibility of the audit should be determined taking into account such factors as:
a) the adequacy and consistency of information for planning the audit;
b) a willingness to cooperate on the part of the audited entity;
c) the time and resources.
If auditing is not feasible, then after consultation with the auditee the audit client should be offered an alternative.
6.2.4 Selection of audit team
If the audit found feasible, should be selected audit team, taking into account the competencies required to achieve the objectives of the audit. If only one auditor, the latter shall comply with all prescribed duties of the audit team leader. Chapter 7 provides guidance on determining the necessary competencies and describes the process of evaluation of auditors.
In determining the amount and composition of the audit team should consider the following:
a) the objectives, scope and audit criteria, as well as its approximate duration;
b) whether the audit or joint complex;
c) the overall competence of the audit team needed to achieve the audit objectives;
d) legislative, regulatory, contractual requirements and the requirements of the accreditation / certification , if applicable;
d) the need to ensure the independence of the audit team inspected the activities and avoid conflicts of interest;
e) the ability of members of the audit team to work together and to work effectively with the auditee;
g) the language of auditing and understanding of the social and cultural characteristics of the auditee, it can be achieved either by their own experiences auditor or by a technical expert.
The process of ensuring the overall competence of the audit team should include the following steps:
- Identify knowledge and skills necessary to achieve the objectives of the audit;
- Select members of the audit team so that the audit team had all the necessary knowledge and skills.
If the necessary knowledge and skills provided by the auditors included in the audit group, not in full, missing knowledge and skills can be filled by the inclusion of a group of technical experts. Technical experts must work under the guidance of an auditor.
The auditors, trainees can be included in the audit group, but should act only under the direction and supervision of the auditor.
As a customer audit and auditee may request the replacement of specific members of the audit team on reasonable grounds, based on the principles of auditing described in § 4. Examples of reasonable grounds to include a conflict of interest (for example, a member of the audit team - a former employee of the organization being audited, or has provided consulting services to it), and unethical behavior in the past. Such reasons must be communicated to the head of the audit team and to those responsible for managing the audit program, which should resolve the situation together with the audit client and auditee before making a decision to replace members of the group.

6.2.5 Establish initial contact with the auditee
Initial contact with the auditee may be informal or formal, but must be installed by persons designated responsible for managing the audit program, or the head of the audit team. Objectives of initial contact:
a) establish channels of communication with a representative of the auditee;
b) confirmation of authority to conduct audits;
c) providing information on the alleged dates of audit and audit team composition;
g) request for access to relevant documents, including reporting;
d) determination of the applicable safety regulations at the site of the audit;
e) Preparation of activities of the audit;
g) an agreement on the presence of observers and the need for accompanying the audit team.

6.3 Administer the document analysis
Prior to the audit field work should be carried out analysis of the audited entity documentation to determine compliance with documented system of audit criteria. Documentation may include relevant documents management system, including reporting, and reports from previous audits. The analysis should take into account the size, type and complexity of the organization and the purpose and scope of the audit. In some cases, this analysis may be deferred until the start of the audit field work, if it does not impair the effectiveness of the audit. In other cases, it may be necessary prior visit to the audit to obtain an overview of the available information.
If the documentation is found to be inadequate, the audit team leader should inform the audit client, the persons designated responsible for the management of the program audit and the auditee. Must be decided whether the audit be continued or suspended until resolution of all issues in the documentation.
6.4 Preparation of the audit field

6.4.1 Preparing the audit plan
The head of the audit team should prepare an audit plan as a basis for agreement between the audit team, auditee and audit client. The plan should facilitate the scheduling and coordination of the audit.
The level of detail of the audit plan should reflect the volume and complexity of the audit. Thus, the details may be different for initial and subsequent audits, as well as for internal and external audit. The audit plan should be flexible enough to allow changes, such as changing the volume of the audit, which may be necessary to the extent of the audit in the field.
The audit plan should include the following:
a) The purpose of the audit;
b) the audit criteria and any reference documents;
c) the extent of audit, including the identification of organizational and functional units and processes to be audited;
g) date and place where the action should be undertaken by the Audit on the ground;
d) expected time and duration of action for audit in place, including meetings with the leadership of the organization being audited and the audit team meeting;
e) roles and responsibilities of audit team members and accompanying persons;
g) the allocation of appropriate resources to critical areas of the audit.
If applicable, the audit plan should also include the following:
h) identification of the representative of the auditee in the audit;
i) the audit working language and the language of accounting documents, if different from the language of the auditor and / or the auditee;
A) sections of the report of the Audit;
l) support (travel, equipment, field, etc.);
m) confidentiality issues;
n) any subsequent audits.
The plan must be reviewed and approved the audit client and auditee submitted prior to the audit field.
Any objections from the auditee should be resolved jointly head the audit team, auditee and audit client. Any revised audit plan should be agreed by the parties involved to continue the audit.

6.4.2 Distribution of responsibilities in the audit group
The head of the audit team, through consultation with the audit team should establish the responsibility of each team member to check the specific processes, functions, sites, areas or activities. Such appointments shall take into account the need to ensure the independence, competence and effectiveness of auditor resources, as well as various roles and responsibilities of auditors and auditors-in-training, and technical experts. In the course of the audit to achieve its objectives in the allocation of responsibilities may be amended.

6.4.3 Preparation of working papers
Members of the audit team should review the relevant information relating to the allocation of responsibilities in an audit, and prepare working papers necessary as reference material and for recording the results of the audit. Such working papers may include:
a) Checklists (checklists), and sampling plans for the audit and
b) The forms for registration information, such as additional evidence, surveillance audits and minutes of meetings.
Using check-lists and forms should not restrict the amount of action on the audit, which may vary depending on the information gathered during the audit.
Working documents, including records on the results of their use should be kept at least until the end of the audit. Storage of documents after the end of the audit described in paragraphs 6.7. These documents contain confidential or proprietary information should be kept as long as members of the audit team in accordance with relevant safety requirements.
6.5 Audit of the field

6.5.1 Conducting the opening meeting
Opening the meeting should be held with participation of the audited entity or, if applicable, the persons responsible for the functions or processes to be checked. The objectives of the meeting:
a) confirmation of the audit plan;
b) a summary of the actions of the Audit;
a) confirmation of communication channels, and
d) providing opportunities for the auditee to ask questions.
<! - / * Font Definitions * / @ font-face {font-family: Tahoma; panose-1: 2 11 6 4 3 5 4 4 2 4; mso-font-charset: 204; mso-generic-font-family : swiss; mso-font-pitch: variable; mso-font-signature: -2147483648 1627421319 0 66 047 8 0;} / * Style Definitions * / p.MsoNormal, li.MsoNormal, div.MsoNormal {mso-style-parent: »"; margin-top: 0cm; margin-right: 0cm; margin-bottom: 6.0pt; margin-left: 0cm; mso-pagination: widow-orphan; tab-stops: 14.2pt; font-size: 10.0pt; font-family: »Times New Roman»; mso-fareast-font-family: »Times New Roman»; mso-fareast-language: EN-US;} @ page Section1 {size: 612.0pt 792.0pt; margin: 2.0cm 42.5pt 2.0cm 3.0cm; mso-header-margin: 36.0pt; mso-footer-margin: 36.0pt; mso-paper-source: 0;} div.Section1 {page: Section1;} ->

6.5.2 Communication in the audit
Depending on the size and complexity of the audit may need to be formal arrangements for communication between the audit team and the auditee during the audit.
The audit team should confer periodically to exchange information, assess the audit and, if necessary, redistribution of responsibilities among auditors.
During the audit, the audit team leader should periodically communicate to the auditee and audit client's information about the audit and any issues, if applicable. Evidence collected during the audit, which suggests an immediate and significant risk (eg, safety, environment or quality), should be immediately brought to the attention of the audited entity and, if applicable, the customer audit. Any problem on a matter not within the scope of the audit shall be marked and brought to the attention of the audit team leader to inform the customer of possible audit and the auditee.
If the available evidence points to the audit that the audit objectives are unattainable, then the head of the audit team should communicate the reasons for the audit client and auditee to determine further action. These actions may include re-confirm or change the audit plan, or a change in objectives or scope of the audit, or termination of the audit.
Any need to change the scope of the audit, which may become apparent as the implementation of audit field work, should be reviewed and approved by the audit client and, if applicable, the auditee.

6.5.3 Roles and responsibilities of observers and accompanying
Accompanying and observers may accompany the audit team, but they are not members. They should not affect or interfere with the audit.
If the accompanying been appointed auditee, then they should help the audit team and to act at the request of the head of the audit team. Their duties may include the following:
a) establishment of contacts and time for the interview;
b) visits to specific sites or site in the organization;
c) to provide review and compliance with the members of the audit team rules relating to safety in the field of security and procedures;
d) statement as a witness on behalf of the organization being audited;
d) an explanation or assistance in gathering information.

6.5.4 Сбор и проверка информации
В процессе проведения аудита, информация, относящаяся к целям, объему и критериям аудита, включая информацию по взаимодействию функций, видов деятельности и процессов, должна собираться методом соответствующей выборки и должна быть проверяема. Только проверяемая информация может стать свидетельством аудита. Свидетельства аудита должны регистрироваться.
Свидетельства аудита основываются на выборке из имеющейся информации. Поэтому, при проведении аудита присутствует элемент неопределенности, и лица, подготавливающие заключение по результатам аудита, должны осознавать это.
In Fig. 3 дает общее представление о процессе, начиная со сбора информации и заканчивая составлением заключения по результатам аудита.

Методы сбора информации включают:
- опрос;
- наблюдение за деятельностью;
- анализ документации.
<!– /* Font Definitions */ @font-face {font-family:Tahoma; panose-1:2 11 6 4 3 5 4 4 2 4; mso-font-charset:204; mso-generic-font-family:swiss; mso-font-pitch:variable; mso-font-signature:1627421319 -2147483648 8 0 66047 0;} /* Style Definitions */ p.MsoNormal, li.MsoNormal, div.MsoNormal {mso-style-parent:»"; margin-top:0cm; margin-right:0cm; margin-bottom:6.0pt; margin-left:0cm; mso-pagination:widow-orphan; tab-stops:14.2pt; font-size:10.0pt; font-family:»Times New Roman»; mso-fareast-font-family:»Times New Roman»; mso-fareast-language:EN-US;} @page Section1 {size:612.0pt 792.0pt; margin:2.0cm 42.5pt 2.0cm 3.0cm; mso-header-margin:36.0pt; mso-footer-margin:36.0pt; mso-paper-source:0;} div.Section1 {page:Section1;} –>

< ![endif]–>

6.5.5 Формирование наблюдений аудита
Свидетельства аудита должны быть оценены с точки зрения критериев аудита для формирования наблюдений аудита. Наблюдения аудита могут указывать либо на соответствие, либо на несоответствие критериям аудита. Если это было определено целями аудита, наблюдения аудита могут указывать на возможности для улучшения.
При необходимости, аудиторская группа должна собираться для анализа наблюдений аудита на соответствующих стадиях в процессе аудита.
Соответствия критериям аудита должны быть обобщены и соотнесены с подразделениями, функциями и процессами, которые прошли аудит. Если это предусмотрено планом аудита, то отдельные наблюдения аудита о соответствии и подтверждающие его свидетельства также должны регистрироваться.
Несоответствия и подтверждающие их свидетельства аудита должны регистрироваться. Несоответствия могут быть классифицированы. Они должны быть проанализированы совместно с представителем проверяемой организации для получения подтверждения того, что свидетельства аудита верны и несоответствия понятны. Должно быть сделано все возможное для преодоления любых разногласий относительно свидетельств и/или наблюдений аудита, нерешенные вопросы должны быть зарегистрированы.

6.5.6 Подготовка заключений по результатам аудита
До заключительного совещания аудиторская группа должна собраться, чтобы:
а) проанализировать наблюдения аудита и любую другую соответствующую информацию, собранную в процессе аудита, с точки зрения целей аудита;
б) согласовать заключения по результатам аудита, с учетом элемента неопределенности, свойственного процессу аудита;
в) подготовить рекомендации, если это предусмотрено целями аудита;
г) обсудить последующий аудит, если это было включено в план аудита.
<!– /* Font Definitions */ @font-face {font-family:Tahoma; panose-1:2 11 6 4 3 5 4 4 2 4; mso-font-charset:204; mso-generic-font-family:swiss; mso-font-pitch:variable; mso-font-signature:1627421319 -2147483648 8 0 66047 0;} /* Style Definitions */ p.MsoNormal, li.MsoNormal, div.MsoNormal {mso-style-parent:»"; margin-top:0cm; margin-right:0cm; margin-bottom:6.0pt; margin-left:0cm; mso-pagination:widow-orphan; tab-stops:14.2pt; font-size:10.0pt; font-family:»Times New Roman»; mso-fareast-font-family:»Times New Roman»; mso-fareast-language:EN-US;} @page Section1 {size:612.0pt 792.0pt; margin:2.0cm 42.5pt 2.0cm 3.0cm; mso-header-margin:36.0pt; mso-footer-margin:36.0pt; mso-paper-source:0;} div.Section1 {page:Section1;} –>

< ![endif]–>

6.5.7 Проведение заключительного совещания
В ходе заключительного совещания под председательством руководителя аудиторской группы должны быть представлены наблюдения аудита и заключения по результатам аудита таким образом, чтобы они были понятны и признаны проверяемой организацией, а также, если применимо, согласованы сроки представления проверяемой организацией плана корректирующих и предупреждающих действий. Участниками заключительного совещания должны быть представители проверяемой организации, а также могут быть заказчик аудита и другие стороны. В случае возникновения в процессе аудита ситуаций, которые могут отразиться на надежности заключений по результатам аудита, руководитель аудиторской группы должен сообщить об этом проверяемой организации.
Во многих случаях, например, при проведении внутреннего аудита в малой организации, заключительное совещание может состоять только из доведения до сведения наблюдений аудита и заключения по результатам аудита.
В других случаях, совещание должно быть официальным с ведением протокола и списка присутствующих.
Любые разногласия в отношении наблюдений аудита и/или заключений по результатам аудита между аудиторской группой и проверяемой организацией должны быть обсуждены и, если возможно, разрешены. В противном случае все мнения должны быть зарегистрированы.
Если это предусмотрено целями аудита, должны быть представлены рекомендации по улучшению. При этом следует подчеркнуть, что рекомендации не являются обязательными.

6.6 Подготовка, утверждение и рассылка отчета по аудиту

6.6.1 Подготовка отчета по аудиту
Руководитель аудиторской группы должен нести ответственность за подготовку и содержание отчета по аудиту.
Отчет по аудиту должен предоставлять полные, точные, четкие и достаточные записи по аудиту, и должен включать или содержать ссылки на следующее:
а) цели аудита;
б) объем аудита, в частности, идентификацию проверенных организационных и функциональных единиц или процессов и охваченный период времени;
в) идентификацию заказчика аудита;
г) идентификацию руководителя и членов аудиторской группы;
д) даты и места, где проводился аудит на местах;
е) критерии аудита;
ж) наблюдения аудита;
з) заключения по результатам аудита.
Отчет по аудиту должен также включать или содержать ссылки на следующее, если применимо:
и) план аудита;
к) перечень представителей проверяемой организации;
л) краткое изложение процесса аудита, включая элемент неопределенности и/или проблемы, которые могут отразиться на надежности заключения по результатам аудита;
м) подтверждение, что цели аудита достигнуты в объеме аудита в соответствии с планом аудита;
н) любые неохваченные области, входящие в объем аудита;
о) любые неразрешенные разногласия между аудиторской группой и проверяемой организацией;
п) рекомендации по улучшению, если это предусмотрено целями аудита;
р) при необходимости, согласованные планы последующих аудитов;
с) заявление о конфиденциальном характере содержания;
т) лист рассылки отчета по аудиту.
6.6.2 Утверждение и рассылка отчета по аудиту
Отчет по аудиту должен быть выпущен в согласованные сроки. Если это невозможно, то причины задержки должны быть доведены до сведения заказчика аудита, и должна быть согласована новая дата выпуска.
Отчет по аудиту должен быть датирован, проанализирован и утвержден в соответствии с процедурами по программе аудита.
Далее утвержденный отчет по аудиту подлежит рассылке получателям, определенным заказчиком аудита.
Отчет по аудиту является собственностью заказчика аудита. Члены аудиторской группы, и все получатели отчета должны учитывать и обеспечивать конфиденциальность содержания отчета.

6.7 Завершение аудита
Аудит считается завершенным, если все действия, установленные планом аудита, выполнены, и утвержденный отчет по аудиту разослан.
Относящиеся к аудиту документы должны быть сохранены или уничтожены по соглашению между участвующими сторонами и в соответствии с процедурами по программе аудита и применимыми законодательными, регламентирующими и контрактными требованиями.
Если это не требуется законодательством, аудиторская группа и лица, ответственные за руководство программой аудита, не должны разглашать содержание документов, любую другую информацию, полученную в ходе аудита, или содержание отчета по аудиту любой другой стороне без определенного одобрения заказчика аудита и, если применимо, без одобрения проверяемой организации. Если требуется раскрыть содержание документа по аудиту, то заказчик аудита и проверяемая организация должны быть уведомлены об этом как можно скорее.

6.8 Проведение последующего аудита
В заключении по результатам аудита может быть указано на необходимость корректирующих, предупреждающих действий или действий по улучшению, если применимо. Такие действия обычно разрабатываются и проводятся проверяемой организацией в течение согласованного срока и не рассматриваются как часть аудита. Проверяемая организация должна информировать заказчика аудита о статусе таких действий.
Выполнение и результативность корректирующего действия должны проверяться. Эта проверка может быть частью очередного аудита.
В программе аудита может быть определено проведение последующего аудита членами аудиторской группы, имеющими ценный опыт. В таких случаях следует обратить внимание на обеспечение независимости при очередном аудите.