Esecuzione dell’audit Il contatto iniziale con l’azienda soggetta ad audit prevede che il leader del team di audit si metta in contatto con il referente presso l’auditee per informarlo relativamente agli obiettivi, allo scope ed ai metodi dell’audit. Vengono inoltre esposti quali saranno i membri del team e vengono fatte eventuali richieste di permesso necessarie per controllare al meglio l’azienda, oltre che richieste per i documenti e le date stabilite. Viene dunque definita la Fattibilità dell’audit valutando la disponibilità dell’auditee a collaborare, le risorse assegnate per l’audit e se le informazioni date dall’azienda sono sufficienti alla pianificazione dell’attività di audit.
Conduzione delle attività di audit Confermare l'accordo di tutte le parti relativamente al piano di audit Presentare il gruppo di audit Assicurarsi che possano essere eseguite tutte le attività di audit pianificate Riunione di Apertura Determinare la conformità del sistema, dei documenti, rispetto ai criteri di audit Raccogliere le informazioni a supporto delle attività di audit Esecuzione del riesame dei documenti durante la conduzione dell’audit Strutturare la comunicazione all’interno del team di audit, e tra il team di audit e l’auditee Definizione obblighi per la sicurezza degli osservatori, e per far si che non interferiscano nell’audit Assicurarsi che le guide assistano gli auditor: su chi intervistare, per l’accesso a determinati siti, per assicurarsi il rispetto delle norme di sicurezza Comunicazione durante l’audit e responsabilità per guide e osservatori Le informazioni pertinenti agli obiettivi, al campo di applicazione e ai criteri dell’audit, dovrebbero essere raccolte mediante un appropriato campionamento e dovrebbero essere verificate Le evidenze dell’audit dovrebbero essere valutate a fronte dei criteri di audit al fine di determinare le risultanze dell’audit. Quest’ultime possono indicare conformità o non conformità ai criteri di audit. Raccolta informazioni ed elaborazione risultanze dell’audit Il gruppo di audit deve: riesaminare le risultanze degli audit, concordare le conclusioni dell’audit, elaborare raccomandazioni, (se specificato dal piano di audit), discutere azioni conseguenti all’audit Preparazione delle conclusioni dell’audit Riunione finale tra i membri dell’audit e l’azienda auditee per discutere delle conclusioni dell’audit Conduzione della riunione di chiusura
Completamento dell’audit Il responsabile del gruppo di audit dovrebbe riportare i risultati di audit attraverso un rapporto di audit, fornendo una registrazione completa, accurata, concisa e chiara dell'audit svolto. Deve contenere: gli obiettivi dell’audit, lo scope, l’identificazione dei soggetti, le date e i siti, i criteri, le risultanze e le conclusioni dell’audit. L'audit è concluso quando sono state eseguite tutte le attività di audit previste, o come altrimenti concordato con il committente dell'audit (per esempio potrebbe verificarsi una situazione inattesa che impedisce la conclusione dell’audit secondo il piano) Dovrebbe essere verificato il completamento e l'efficacia delle azioni di correzione intraprese post audit. Questa verifica può far parte di un audit successivo.