ГОСУДАРСТВЕННЫЙ СТАНДАРТ СТБ ИСО 19011-2003

РЕСПУБЛИКИ БЕЛАРУСЬ

РУКОВОДЯЩИЕ УКАЗАНИЯ ПО АУДИТУ

СИСТЕМ МЕНЕДЖМЕНТА КАЧЕСТВА И/ИЛИ

СИСТЕМ ЭКОЛОГИЧЕСКОГО МЕНЕДЖМЕНТА

К I РУЮЧЫЯ ЎКАЗАНН I ПА А Ў ДЫТУ

СI СТЭМ МЕНЭДЖМЕНТУ ЯКАСЦ I I/ АЛЬБО

С I СТЭМ ЭКАЛАГ IЧНАГА МЕНЕДЖМЕНТУ

(ISO 19011:2002, IDT)

Издание официальное

Госстандарт

Минск

_________________________________________________________________________________

УДК 658.562.014:006.354 МКС 03.120.10 (КГС Т 59) IDT

Ключевые слова: аудит, аудитор, система менеджмента качества, система экологического менеджмента, компетентность, критерий, программа аудита

Предисловие

1 ПОДГОТОВЛЕН научно-производственным республиканским унитарным предприятием “Белорусский государственный институт стандартизации и сертификации (БелГИСС)”

ВНЕСЕН Управлением сертификации Госстандарта Республики Беларусь

2 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ постановлением Госстандарта Республики Беларусь от ___________________ № ________________

3 Настоящий стандарт идентичен международному стандарту ISO 19011:2002 Guidelines for quality and/or environmental management systems auditing (ИСО 19011:2002 Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента).

Международный стандарт разработан ИСО/ТК 176 «Менеджмент качества и обеспечение качества» (подкомитетом 3 «Вспомогательные технологии») и ИСО/ТК 207 «Экологический менеджмент» (подкомитетом 2 «Экологический аудит и экологические оценки»).

Перевод с английского языка (en).

Официальные экземпляры международных стандартов, на основе которого подготовлен настоящий государственный стандарт и на которые даны ссылки, имеются в БелГИСС.

Сведения о соответствии международных стандартов, на которые даны ссылки, государственным стандартам, принятым в качестве идентичных и модифицированных государственных стандартов, приведены в дополнительном приложении А.

Степень соответствия – идентичная (IDT)

4 ВВЕДЕН ВПЕРВЫЕ

Настоящий стандарт не может быть тиражирован и распространен без разрешения Госстандарта Республики Беларусь

Издан на русском языке

Введение.................................................................................................................................................
1 Область применения..........................................................................................................................

3 Термины и определения.....................................................................................................................
4 Принципы ведения аудита..................................................................................................................
5 Управление программой аудита........................................................................................................
5.1 Общие положения............................................................................................................................
5.2 Цели и объем программы аудита....................................................................................................
5.3 Ответственность за программу аудита, ресурсы и процедуры....................................................
5.4 Процедуры программы аудита........................................................................................................
5.5 Записи по программе аудита..........................................................................................................
5.6 Мониторинг и анализ программы аудита.......................................................................................
6 Проведение аудита.............................................................................................................................
6.1 Общие положения............................................................................................................................
6.2 Организация проведения аудита.....................................................................................................
6.3 Анализ документов..........................................................................................................................
6.4 Подготовка к проведению аудита на месте...................................................................................
6.5 Проведение аудита на месте...........................................................................................................

6.7 Завершение аудита………………………………………………………………………………..
6.8 Действия по результатам аудита…………………………………………………………………
7 Компетентность и оценка аудиторов………………………………………………………………
7.1 Общие положения…………………………………………………………………………………
7.2 Личные качества…………………………………………………………………………………..
7.3 Знания и навыки…………………………………………………………………………………..
7.4 Образование, опыт работы, подготовка аудитора и опыт проведения аудита………………..
7.5 Поддержание и повышение компетентности……………………………………………………
7.6 Оценка аудиторов…………………………………………………………………………………
Приложение А Сведения о соответствии международных стандартов, на которые даны ссылки, государственным стандартам, принятым в качестве идентичных и модифицированных государственных стандартов……………………………………………………………………………

Введение

Международные стандарты ИСО серий 9000 и 14000 придают особое значение аудитам, как методу менеджмента для обеспечения мониторинга и верификации эффективности применения политики организации в области качества и/или экологического менеджмента. Аудиты являются также существенной частью деятельности по оценке соответствия при сертификации/регистрации, при оценке поставщиков, инспекционном контроле.

Настоящий стандарт содержит руководящие указания по управлению программами аудита, проведению внутренних или внешних аудитов систем менеджмента качества и/или систем экологического менеджмента, а также по компетентности и оценке аудиторов. Стандарт предназначен для потенциальных пользователей, включая аудиторов; организаций, внедряющих системы менеджмента качества и экологического менеджмента; организаций, в которых необходимо провести аудиты систем менеджмента качества и/или систем экологического менеджмента согласно договорам; организаций, участвующих в сертификации или обучении аудиторов (экспертов), а также для использования при сертификации/регистрации систем менеджмента, аккредитации или стандартизации в области оценки соответствия.

Указания настоящего стандарта являются гибкими. Использование этих указаний может быть различным в зависимости от размера, вида деятельности, сложности проверяемых организаций, а также целей и области аудита. В выделенных рамках представлены дополнительные указания или примеры по конкретным вопросам в виде практических рекомендаций. В некоторых случаях они направлены на поддержку использования настоящего стандарта на малых предприятиях.

При совместном внедрении систем менеджмента качества и систем экологического менеджмента пользователь настоящего стандарта сам решает вопрос о проведении раздельных аудитов или комплексного аудита.

Пользователь может рассматривать применение или распространение руководящих указаний настоящего стандарта к другим видам аудитов, включая аудиты других систем менеджмента.

Настоящий стандарт содержит только общие указания, однако, пользователи могут использовать их для разработки своих собственных требований, связанных с аудитом.

Руководящие указания настоящего стандарта могут быть полезными для лиц или организаций, заинтересованных в мониторинге соответствия требованиям, например требованиям технических условий на продукцию, законов или регламентов.

Применительно к условиям Республики Беларусь аудиторы должны иметь законченное высшее образование в отличие от рекомендуемого ИСО 19011 среднего образования для аудитора.

Настоящий стандарт заменит ИСО 10011-1, ИСО 10011-2, ИСО 10011-3, ИСО 14010, ИСО 14011, ИСО 14012.

ГОСУДАРСТВЕННЫЙ СТАНДАРТ РЕСПУБЛИКИ БЕЛАРУСЬ

РУКОВОДЯЩИЕ УКАЗАНИЯ ПО АУДИТУ СИСТЕМ МЕНЕДЖМЕНТА

КАЧЕСТВА И/ИЛИ СИСТЕМ ЭКОЛОГИЧЕСКОГО МЕНЕДЖМЕНТА

К I РУЮЧЫЯ Ў КАЗАНН I ПА АЎДЫТУ СI СТЭМ МЕНЭДЖМЕНТУ ЯКАСЦ I

I/ АЛЬБО С I СТЭМ ЭКАЛАГ IЧНАГА МЕНЕДЖМЕНТУ

GUIDELINES FOR QUALITY AND/OR ENVIRONMENTAL MANAGEMENT

SYSTEMS AUDITING

__________________________________________________________________________________________

Дата введения 2003- - .

1 Область применения

Настоящий стандарт содержит руководящие указания по принципам и правилам проведения аудита систем менеджмента качества и экологического менеджмента.

Настоящий стандарт предназначен для организаций, которым необходимо проводить внутренние и/или внешние аудиты систем менеджмента качества и/или систем экологического менеджмента или для управления программами аудита.

Применение настоящего стандарта к другим видам аудитов возможно при условии, что особое внимание будет уделено определению компетентности членов группы по аудиту.

2 Нормативные ссылки

Настоящий стандарт содержит требования из других публикаций посредством датированных и недатированных ссылок. При датированных ссылках на публикации последующие изменения или последующие редакции этих публикаций действительны для настоящего стандарта, если они введены в действие путем изменения или путем подготовки новой редакции. При недатированных ссылках на публикации действительно последнее издание приведенной публикации.

ИСО 9000:2000 Системы менеджмента качества. Основные положения и словарь

ИСО 14050:2002 Управление окружающей средой. Словарь

3 Термины и определения

В настоящем стандарте применяют термины и определения по ИСО 9000 и ИСО 14050, если они не заменены терминами и определениями, приведенными ниже.

Термин, определяемый в каком-либо другом месте настоящего раздела, выделен полужирным шрифтом. За ним в скобках следует его порядковый номер. Такой термин может быть заменен его полным определением.

3.1 Аудит (проверка) - систематический, независимый и документированный процесс получения свидетельств аудита (3.3) и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита (3.2).

Примечание 1 - Внутренние аудиты, называемые «аудиты первой стороной», проводятся обычно самой организацией или от ее имени для внутренних целей и могут служить основанием для декларации о соответствии. Во многих случаях, особенно на малых предприятиях, независимость при аудите демонстрируют отсутствием ответственности за деятельность, которая подвергается аудиту.

Издание официальное

римечание 2 - Внешние аудиты включают аудиты, называемые «аудиты второй стороной» или «аудиты третьей стороной». Аудиты второй стороной проводятся сторонами, заинтересованными в деятельности организации, например потребителями или другими лицами от их имени. Аудиты третьей стороной проводят-

ся внешними независимыми организациями, которые осуществляют сертификацию или регистрацию на соответствие требованиям ИСО 9001 или ИСО 14001.

Примечание 3 - Аудит систем менеджмента качества и систем экологического менеджмента, проводимый одновременно, называют комплексным аудитом.

Примечание 4 - Если аудит проверяемой организации (3.7) проводят одновременно две или несколько организаций, такой аудит называют совместным аудитом.

3.2 Критерии аудита - совокупность политики, процедур или требований.

Издание официальное

Примечание - Критерии аудита используют для сопоставления с ними свидетельств аудита (3.3).

3.3 Свидетельство аудита - записи, изложение фактов или другая информация, связанная с критериями аудита (3.2) и которая может быть проверена.

Примечание - Свидетельство аудита может быть качественным или количественным.

3.4 Наблюдения аудита - результат оценки собранных свидетельств аудита (3.3) на соответствие критериям аудита (3.2).

Примечание - Наблюдения аудита могут указывать на соответствие или несоответствие критериям аудита (3.2) или на возможности улучшения.

3.5 Заключение по результатам аудита - выходные данные аудита (3.1), предоставленные группой по аудиту (3.9) после рассмотрения целей аудита и всех наблюдений аудита (3.4).

3.6 Заказчик аудита - организация или лицо, заказавшие аудит (3.1) .

Примечание - Заказчиком аудита может быть проверяемая организация (3.7) или любая другая организация, которая обладает законным правом или правом по контракту заказывать проведение аудита (3.1).

3.7 Проверяемая организация - организация, подвергающаясяаудиту.

3.8 Аудитор - лицо, обладающее компетентностью (3.14) для проведения аудита (3.1).

3.9 Группа по аудиту - один или несколько аудиторов (3.8), проводящих аудит (3.1), при необходимости поддерживаемые техническими экспертами (3.10).

Примечание 1 - Один из аудиторов в группе по аудиту, как правило, назначается руководителем группы по аудиту.

Примечание 2 - Группа по аудиту может включать стажеров.

3.10 Технический эксперт - лицо, предоставляющее группе по аудиту (3.9) свои знания или опыт по специальному вопросу.

Примечание 1 - Знания или опыт по специальному вопросу могут быть отнесены к организации, процессу или деятельности, подвергаемым аудиту (3.1), а также к вопросам языка или культуры страны, в которой проводится аудит.

Приложение 2 - Технический эксперт не участвует в группе по аудиту в качестве аудитора (3.8).

3.11 Программа аудита -один или несколько аудитов (3.1), запланированных на конкретный период времени и направленных на достижение конкретной цели.

Примечание - Программа аудита включает всю деятельность, необходимую для "планирования, организации и проведения аудитов (3.1).

3.12 План аудита - описание деятельности и мероприятий по проведению аудита (3.1).

3.13 Область аудита - содержание и границы аудита (3.1).

Примечание - Область аудита обычно включает местонахождение, организационную структуру, виды деятельности и процессов, а также охватываемый период времени.

3.14 Компетентность - проявленные личные качества и выраженная способность применять свои знания и навыки.

4 Принципы проведения аудита

Аудит характеризуется использованием определенных принципов. Принципы делают аудит эффективным и надежным инструментом осуществления политики и средств менеджмента, обеспечивая информацией, на основе которой организация может улучшать свои характеристики. Соблюдение принципов аудита является предпосылкой для объективных заключений по результатам аудита.

К личным качествам аудитора применимы следующие принципы:

a) этичность поведения - основа профессионализма.

Ответственность, честность, соблюдение конфиденциальности и рассудительность являются основными качествами аудитора.

b) беспристрастность - обязательства аудитора представлять объективные отчеты.

Наблюдения аудитов, заключения по результатам аудита и записи должны отражать правдивую, точную и полную информацию по аудиту. Неразрешенные проблемы или разногласия между группой по аудиту и проверяемой организацией отражают в отчетах (актах).

c) рассудительность - умение принимать правильные решения при проведении аудита.

Аудиторы должны проявлять такую степень внимания, которая соответствует важности выполняемого задания и доверительности со стороны заказчиков и других заинтересованных сторон. Важным фактором является наличие у аудиторов необходимой компетентности.

Принципы проведения аудита, относящиеся к процессу аудита и связанные с характеристиками аудита следующие:

d) независимость - основа для беспристрастности и объективности заключений по результатам аудита.

Аудиторы должны быть независимы в своей деятельности и свободны от предубеждений и конфликтов интересов. Аудиторы должны сохранять объективное мнение во время всего процесса аудита с целью обеспечения того, что в основе наблюдений и заключений находятся только свидетельства аудита;

e) подход, основанный на свидетельствах - основание для достижения надежных и воспроизводимых заключений аудита в процессе систематического аудита.

Свидетельства аудита основаны на выборках существующей информации, поскольку аудит осуществляется в ограниченный период времени и с ограниченными ресурсами. Надлежащее использование выборок тесно связано с конфиденциальностью информации, содержащейся в заключении по результатам аудита.

Все документы, представленные в каталоге, не являются их официальным изданием и предназначены исключительно для ознакомительных целей. Электронные копии этих документов могут распространяться без всяких ограничений. Вы можете размещать информацию с этого сайта на любом другом сайте.

ГОСТ Р ИСО 19011-2003

РУКОВОДЯЩИЕ УКАЗАНИЯ ПО АУДИТУ
СИСТЕМ МЕНЕДЖМЕНТА КАЧЕСТВА
И/ИЛИ СИСТЕМ ЭКОЛОГИЧЕСКОГО
МЕНЕДЖМЕНТА

ГОССТАНДАРТ РОССИИ

Москва

Предисловие

1 РАЗРАБОТАН Всероссийским научно-исследовательским институтом сертификации (ВНИИС) Госстандарта России

ВНЕСЕН Научно-техническим управлением Госстандарта России

2 ПРИНЯТ И ВВЕДЕН В ДЕЙСТВИЕ Постановлением Госстандарта России от 29 декабря 2003 г. № 432-ст

3 Настоящий стандарт представляет собой полный идентичный текст международного стандарта ИСО 19011: 2002 «Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента», за исключением введения, раздела и примечаний 1 и 2 к таблице

4 ВВЕДЕН ВПЕРВЫЕ

Введение

Международные стандарты ИСО серий 9000 и 14000 придают особое значение аудитам как методу менеджмента для обеспечения мониторинга и верификации результативности внедрения политики организации в области качества и/или экологического менеджмента. Аудиты являются также существенной частью деятельности по оценке соответствия при сертификации/регистрации, оценке поставщиков, инспекционном контроле.

Настоящий стандарт содержит руководящие указания по управлению программами аудита, проведению внутренних или внешних аудитов систем менеджмента качества и/или систем экологического менеджмента, а также по компетентности и оценке аудиторов (экспертов). Стандарт предназначен для потенциальных пользователей, включая аудиторов (экспертов); организаций, внедряющих системы менеджмента качества и экологического менеджмента; организаций, в которых необходимо провести аудиты систем менеджмента качества и/или систем экологического менеджмента согласно договорам организаций, участвующих в сертификации или в обучении аудиторов (экспертов), а также для использования при сертификации/регистрации систем менеджмента; аккредитации или стандартизации в области оценки соответствия.

При совместном внедрении систем менеджмента качества и экологического менеджмента пользователь настоящего стандарта сам решает вопрос о проведении раздельных аудитов или комплексного аудита.

Настоящий стандарт содержит только общие указания, однако пользователи могут использовать их для разработки своих собственных требований, связанных с аудитом.

Руководящие указания настоящего стандарта могут быть полезны для лиц или организаций, заинтересованных в мониторинге соответствия требованиям, например требованиям технических условий на продукцию, законов или регламентов.

Стандарт ИСО 19011 был разработан совместно Техническим комитетом ИСО/ТК 176 «Менеджмент качества и обеспечение качества» (подкомитетом ПК 3, Вспомогательные технологии) и Техническим комитетом ИСО/ТК 207 «Экологический менеджмент» (подкомитетом ПК 2 «Экологический аудит и экологические оценки»).

Международный стандарт ИСО 19011 отменяет действие и заменяет стандарты ИСО 10011-1-90 - ИСО 10011-3-91 , ИСО 14010-96 - ИСО 14012-96.

На сегодняшний день понятийный аппарат на русском языке по системам менеджмента окончательно не сформирован и в ряде случаев для одних и тех же понятий в различных документах используют разные термины.

Например, для одного и того же понятия используют термины «управление окружающей средой» (ГОСТ Р ИСО 14001-98), «менеджмент охраны окружающей среды» (ГОСТ Р ИСО 9000-2001) и «экологический менеджмент». В настоящем стандарте предлагается использовать термин «экологический менеджмент», как более соответствующий смыслу термина « environmental management ».

Вместо термина «наблюдения аудита» (audit findings ) в настоящем стандарте в отличие от ГОСТ Р ИСО 9000-2001 использован термин «выводы аудита», вместо термина «группа по аудиту» (audit team ) - термин «аудиторская группа».

В отличие от рекомендуемого ИСО 19011-2002 среднего образования для аудиторов в настоящем стандарте рекомендовано, соответственно, высшее образование.

ГОСТ Р ИСО 19011-2003

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

РУКОВОДЯЩИЕ УКАЗАНИЯ ПО АУДИТУ СИСТЕМ МЕНЕДЖМЕНТА КАЧЕСТВА И/ИЛИ СИСТЕМ ЭКОЛОГИЧЕСКОГО МЕНЕДЖМЕНТА

Guidelines for quality and/or environmental management systems auditing

Дата введения 2004-04-01

1 Область применения

Настоящий стандарт содержит руководящие указания по принципам аудита, управлению программами аудита, проведению аудитов систем менеджмента качества и систем экологического менеджмента, а также по компетентности аудиторов для проведения этих аудитов.

Настоящий стандарт предназначен для организаций, которым необходимо проводить внутренние и/или внешние аудиты систем менеджмента качества и/или систем экологического менеджмента или управлять программами аудита.

2 Нормативные ссылки

В настоящем стандарте использованы ссылки на следующие стандарты:

ГОСТ Р ИСО 9000-2001 Системы менеджмента качества. Основные положения и словарь

ГОСТ Р ИСО 14050-99 Управление окружающей средой. Словарь

3 Термины и определения

В настоящем документе используются термины по ГОСТ Р ИСО 9000 и ГОСТ Р ИСО 14050 , если они не заменены терминами и определениями, приведенными ниже.

3.1 аудит (проверка) (далее - аудит) ( audit ): Систематический, независимый и документируемый процесс получения свидетельств аудита (3.3) и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита (3.2).

Примечания

1 Внутренние аудиты, называемые «аудитами первой стороны», проводит для внутренних целей сама организация или от ее имени. Результаты внутреннего аудита могут служить основанием для декларации о соответствии. Во многих случаях, особенно на малых предприятиях, независимость при аудите демонстрируют отсутствием ответственности за деятельность, которая подвергается аудиту.

2 Внешние аудиты включают аудиты, называемые «аудитами второй стороны» и «аудитами третьей стороны». Аудиты второй стороны проводят стороны, заинтересованные в деятельности организации, например потребители или другие лица от их имени. Аудиты третьей стороны проводят внешние независимые организации, которые проводят сертификацию или регистрацию на соответствие требованиям ИСО 9001 или ИСО 14001.

3 Аудит систем менеджмента качества и экологического менеджмента, проводимый одновременно, называют комплексным аудитом.

4 Если аудит проверяемой организации проводят одновременно две или несколько организаций, такой аудит называют совместным.

3.2 критерии аудита ( audit criteria ): Совокупность политики, процедур или требований.

Примечание - Критерии аудита используют для сопоставления с ними свидетельств аудита (3.3).

3.3 свидетельства аудита ( audit evidence ): Записи, изложение фактов или другая информация, которые имеют отношение к критериям аудита (3.2) и могут быть проверены.

Примечание - Свидетельства аудита могут быть качественными или количественными.

3.4 выводы (наблюдения) аудита (далее - выводы аудита) ( audit findings ): Результат оценки собранных свидетельств аудита (3.3) на соответствие критериям аудита (3.2).

Примечание - Выводы аудита могут указывать на соответствие или несоответствие критериям аудита (3.2) или на возможности улучшения.

3.5 заключение по результатам аудита ( audit conclusion ): Выходные данные аудита (3.1), представленные аудиторской группой (3.9) после рассмотрения целей аудита и всех выводов аудита (3.4).

3.6 заказчик аудита ( audit client ): Организация или лицо, заказавшие аудит (3.1).

Примечание - Заказчик может быть проверяемой организацией (3.7) или любой другой организацией, которая имеет законное право потребовать аудит (3.1).

3.7 проверяемая организация ( auditee ): Организация, подвергающаяся аудиту.

3.9 аудиторская группа (комиссия) (далее - аудиторская группа) ( audit team ): Один или несколько аудиторов (3.8), проводящих аудит (3.1), при необходимости поддерживаемые техническими экспертами (3.10).

Примечания

1 Одного из аудиторов в аудиторской группе, как правило, назначают руководителем группы.

2 Аудиторская группа может включать стажеров.

3.10 технический эксперт ( technical expert ): Лицо, предоставляющее аудиторской группе (3.9) свои знания или опыт по специальному вопросу.

Примечания

1 Знания или опыт по специальному вопросу могут быть отнесены к организации, процессу или деятельности, подвергаемым аудиту (3.1), а также к вопросам языка или культуры.

2 Технический эксперт не участвует в аудиторской группе в качестве аудитора (3.8).

3.11 программа аудита ( audit programme ): Совокупность одного или нескольких аудитов (3.1), запланированных на конкретный период времени и направленных на достижение конкретной цели.

Примечание - Программа аудита включает всю деятельность, необходимую для планирования, организации и проведения аудитов (3.1).

3.12 план аудита ( audit plan ): Описание деятельности и мероприятий по проведению аудита (3.1).

3.13 область аудита ( audit scope ): Содержание и границы аудита (3.1).

3.14 компетентность ( copmetence ): Проявленные личные качества и выраженная способность применять свои знания и навыки.

4 Принципы проведения аудита

Принципы проведения аудита делают аудит результативным и надежным методом поддержания политики руководства и контроля, обеспечивая информацией, на основе которой организация может улучшать свои характеристики, а также являются предпосылкой для объективных заключений по результатам аудита.

К принципам проведения аудита относят:

а) этичность поведения (ethical conduct ) - основа профессионализма.

Существенными при аудите являются ответственность, неподкупность, умение хранить тайну и осмотрительность;

б) беспристрастность (fair presentation ) - обязательство представлять правдивые и точные отчеты.

Выводы аудитов, заключения по результатам аудита и записи отражают правдиво и точно деятельность по аудиту. Неразрешенные проблемы или разногласия между аудиторской группой и проверяемой организацией отражают в отчетах (актах);

в) профессиональная осмотрительность (due professional care ) - прилежание и умение принимать правильные решения при проведении аудита.

Профессиональная осмотрительность аудиторов соответствует важности выполняемого задания и доверительности со стороны заказчиков и других заинтересованных сторон. Важным фактором является необходимая компетентность;

г) независимость (independence ) - основа беспристрастности и объективности заключений по результатам аудита.

Аудиторы независимы в своей деятельности и свободны от предубеждений и конфликтов интересов. Аудиторы сохраняют объективное мнение во время всего процесса аудита с целью обеспечения того, что в основе выводов и заключений находятся только свидетельства аудита;

д) подход, основанный на свидетельстве (evidence - based approach ), - разумная основа для достижения надежных и воспроизводимых заключений аудита в процессе систематического аудита.

Свидетельство аудита основано на выборках существующей информации, поскольку аудит осуществляется в ограниченный период времени и с ограниченными ресурсами. Соответствующее использование выборок тесно связано с доверием, с которым относятся к заключениям по результатам аудита.

5 Управление программой аудита

5.1 Общие положения

В зависимости от размера, вида деятельности и сложности проверяемой организации программа аудита может включать один и более аудитов. Эти аудиты могут иметь различные цели и включать совместный или комплексный аудит.

Программа аудита также включает деятельность, необходимую для планирования и организации определенного количества и вида аудитов и обеспечения их ресурсами, необходимыми для эффективного и результативного проведения аудитов в заданные сроки.

В организации могут быть разработаны несколько программ аудита.

Высшее руководство организации должно предоставлять полномочия для управления программой аудита.

Ответственным за управление программой аудита следует:

а) определять, внедрять, контролировать, анализировать и совершенствовать программы аудита;

б) определять и обеспечивать программу необходимыми ресурсами. Схема процесса управления программой аудита приведена на рисунке .

Рисунок 1 - Последовательность процессов управления программой аудита

Примечания

1 Рисунок иллюстрирует применение цикла Р D СА (планирование - выполнение - проверка - действие).

2 Цифры в скобках указывают соответствующий пункт или раздел настоящего стандарта.

Если в организации, в которой проводится аудит, одновременно действуют системы менеджмента качества и экологического менеджмента, то возможно, что программа аудита будет включать комплексный аудит. Необходимо обратить особое внимание на компетентность аудиторской группы.

При совместном аудите согласно программе сотрудничают две или более проверяющие организации. При этом необходимо обратить особое внимание на разделение обязанностей, обеспечение дополнительными ресурсами. Аудиторские группы должны обладать дополнительной компетентностью и иметь соответствующие процедуры. Эти вопросы необходимо согласовать до начала аудита.

Практическая помощь - Примеры программ аудита

Программа аудита включает следующее:

а) ряд внутренних аудитов системы менеджмента качества организации, проводимых в текущем году;

б) аудиты второй стороны систем менеджмента потенциальных поставщиков «критичной» продукции, проводимые в течение 6 мес;

в) аудиты по сертификации/регистрации и инспекционные аудиты, проводимые органом по сертификации/регистрации систем экологического менеджмента в качестве третьей стороны, в период времени, согласованный между органом по сертификации и заказчиком.

Программа аудита также включает планирование, обеспечение ресурсами, разработку процедур для проведения аудитов в объеме программы.

5.2 Цели и объем программы аудита

5.2.1 Цели программы аудита

Для того чтобы спланировать аудиты и провести их, необходимо определить цели программ аудитов.

Для определения целей необходимо рассмотреть:

а) приоритеты руководства;

б) коммерческие намерения;

в) требования системы менеджмента;

г) законодательные требования, требования регламентов и требования, предусмотренные контрактом;

д) необходимость оценки поставщика;

е) требования потребителя;

ж) потребности заинтересованных сторон;

и) риски организации.

(Поправка , ИУС 5-2007)

5.2.2 Объем программы аудита

На объем программы аудита влияют размер, вид деятельности, сложность структуры проверяемой организации, а также:

а) область, цели и продолжительность каждого осуществляемого аудита;

б) частота проводимых аудитов;

в) количество, важность, комплексность, степень сходства, местоположение подразделений, подлежащих аудиту;

г) стандарты, законодательные, нормативные и контрактные требования и другие критерии аудита;

д) потребности в аккредитации или регистрации/сертификации;

е) заключения по результатам предыдущих аудитов или анализ результатов предыдущих программ аудитов;

ж) любые проблемы, связанные с языком, культурой или социальными вопросами; и) мнения заинтересованных сторон;

к) существенные изменения в организации или ее деятельности.

5.3 Ответственность за программу аудита, ресурсы и процедуры

5.3.1 Ответственность за программу аудита

Ответственность за управление программой аудита возлагают на одно или нескольких лиц, имеющих общее представление о принципах аудита, компетентности аудитора и применении методов аудита. Эти лица также должны обладать навыками менеджмента, техническими и экономическими знаниями в той области, которая будет проверяться.

Ответственные за управление программой аудита должны:

а) определять цели и объем программы аудита;

б) определять ответственность и процедуры, а также гарантировать обеспечение необходимыми ресурсами;

в) внедрять программу аудита;

г) вести записи по программе аудита;

д) осуществлять мониторинг, анализ и улучшение программы аудита.

5.3.2 Ресурсы для программы аудита

При определении ресурсов для программы аудита необходимо учитывать:

а) финансовые ресурсы для развития, внедрения, управления и улучшения деятельности по аудиту;

б) методы проведения аудитов;

в) процессы по достижению и поддержанию компетентности и улучшению деятельности аудиторов;

г) наличие аудиторов и технических экспертов, обладающих компетентностью, требуемой для достижения конкретных целей программы аудита;

д) объем программы аудита;

е) время в пути аудиторов, обустройство и другие потребности для проведения аудита.

5.3.3 Процедуры программы аудита

Процедуры программы аудита включают в себя:

а) планирование и составление планов - графиков аудитов;

б) обеспечение компетентности аудиторов и руководителей групп по аудиту;

в) подбор соответствующих аудиторских групп и распределение ролей и ответственности;

г) проведение аудитов;

д) выполнение действий по результатам аудита, если требуется;

е) поддержание записей по программе аудита;

ж) мониторинг показателей результативности программы аудита;

и) отчетность перед высшим руководством по всей проделанной работе по программе аудита.

Для малых предприятий упомянутая деятельность может быть выполнена в виде одной процедуры.

5.4 Внедрение программы аудита

Внедрение программы аудита включает в себя:

а) доведение программы аудита до участвующих сторон;

б) координация и календарное планирование аудитов и другой деятельности, связанной с программой аудита;

в) определение и поддержание процесса оценки аудиторов и их непрерывного профессионального роста согласно подразделам и соответственно;

г) формирование аудиторских групп;

д) предоставление необходимых ресурсов группам по аудиту;

е) проведение аудитов в соответствии с программой аудитов;

ж) управление записями по аудиту;

и) анализ и утверждение отчетов по аудиту и их рассылка заказчикам аудитов и заинтересованным сторонам;

к) действия по результатам аудита, если это требуется.

5.5 Записи по программе аудита

Записи по программе аудита должны включать в себя:

а) записи, связанные с отдельными аудитами:

Планы аудита,

Отчеты (акты) по аудиту,

Отчеты о несоответствиях,

Отчеты по корректирующим и предупреждающим действиям,

Отчеты о действиях по результатам аудита, если это требуется;

б) результаты анализа программы аудита;

в) записи о персонале, привлекаемом к аудиту:

Оценка компетентности аудитора и его деятельности,

Выбор аудиторской группы,

Поддержание и повышение компетентности.

Записи должны храниться и должным образом быть защищены.

5.6 Мониторинг и анализ программы аудита

Должен проводиться мониторинг внедрения программы аудита, а через определенные интервалы времени - анализ достижения целей и идентификация возможностей улучшения программы. О результатах анализа необходимо докладывать высшему руководству.

Показатели деятельности должны быть использованы для мониторинга следующих характеристик:

Возможности аудиторской группы реализовать план аудита;

Соответствие программам аудитов и планам-графикам;

Обратная связь от заказчиков аудита, проверяемых организаций, и аудиторов.

Анализ программы аудита должен охватывать:

а) результаты мониторинга и установленные тенденции;

б) соответствие процедурам;

в) выявление потребностей и ожиданий заинтересованных сторон;

г) записи по программе аудита;

д) альтернативные или новые методики в области аудита;

е) согласованность действий аудиторских групп в сходных ситуациях.

Результаты анализа программы аудита могут привести к корректирующим и предупреждающим действиям и улучшению программы аудита.

6 Проведение аудита

6.1 Общие положения

Частью программы аудита являются указания по планированию и проведению аудитов. Типовая блок-схема проведения аудита приведена на рисунке . Степень распространения требований настоящего раздела зависит от области применения, сложности конкретного аудита и предполагаемого использования заключений по результатам аудита.

Примечание - Пунктирные линии указывают на то, что действия по результатам аудита не являются частью аудита.

Рисунок 2 - Типовая схема проведения аудита

6.2 Организация проведения аудита

6.2.1 Назначение руководителя аудиторской группы

Ответственные за управление программой аудита должны назначать руководителя конкретной аудиторской группы.

При проведении совместного аудита до начала аудита важно достичь соглашения между проверяющими организациями относительно обязанностей каждой организации и, в частности, относительно полномочий руководителя аудиторской группы, назначенного на аудит.

6.2.2 Определение целей, области и критериев аудита

Для каждого аудита необходимо определить цели, область и критерии в пределах программы аудита.

Цели аудита включают в себя:

а) определение степени соответствия системы менеджмента проверяемой организации или ее частей критериям аудита;

б) оценку возможности системы менеджмента обеспечивать соответствие законодательным требованиям, нормативным требованиям и требованиям контракта;

в) оценку результативности системы менеджмента для достижения конкретных целей;

г) идентификацию областей потенциального улучшения системы менеджмента.

Область аудита описывает содержание и границы аудита, месторасположение, структурные подразделения, деятельность и процессы, которые подвергаются аудиту, а также сроки аудита.

Критерии аудита используют в виде основы для сравнения, по которой определяют соответствие. Критерии могут включать политику, процедуры, стандарты, законы, нормы, регламенты, требования к системе менеджмента, требования контрактов или своды правил секторов экономики или предпринимательской деятельности.

Цели аудита определяет заказчик аудита. Область и критерии аудита определяет заказчик аудита и руководитель аудиторской группы в соответствии с процедурами программы аудита. Любые изменения целей, области или критериев аудита должны быть согласованы с участвующими сторонами.

При комплексном аудите руководитель аудиторской группы должен обеспечить соответствие целей, области и критериев аудита сущности комплексного аудита.

6.2.3 Определение возможности проведения аудита

При проведении аудита следует учитывать следующие факторы:

Достаточность и наличие необходимой информации для планирования аудита;

Адекватное сотрудничество с проверяемой организацией;

Наличие времени и необходимых ресурсов.

В случае невозможности проведения аудита необходимо предложить заказчику альтернативное решение на основе консультаций с проверяемой организацией.

6.2.4 Формирование аудиторской группы

После решения о возможности проведения аудита необходимо сформировать аудиторскую группу с учетом компетентности, необходимой для достижения целей аудита. Если аудит проводит один аудитор, он должен выполнять все обязанности, возлагаемые на руководителя аудиторской группы.

При определении численности и состава аудиторской группы необходимо учитывать следующие факторы:

а) цели, область, критерии и продолжительность аудита;

б) вид аудита (комплексный или совместный);

в) общую компетентность группы по аудиту, необходимую для достижения целей аудита;

г) законодательные требования, требования регламентов, требования контрактов и требования органов по аккредитации/сертификации;

д) необходимость обеспечения независимости аудиторской группы от проверяемой деятельности и избежания конфликта интересов;

е) возможности членов аудиторской группы результативно сотрудничать с проверяемой организацией и совместно работать;

ж) язык аудита и понимание специфических социальных и культурных ценностей организации (с учетом собственного опыта аудиторов или при поддержке технического эксперта).

Процесс обеспечения общей компетентности аудиторской группы должен включать следующие этапы:

Определение знаний и навыков, необходимых для достижения целей аудита;

Выбор членов аудиторской группы таким образом, чтобы в группе по аудиту имелись все необходимые знания и опыт.

Если аудиторы в аудиторской группе не обладают необходимыми знаниями и опытом, в группу включают технических экспертов. Технические эксперты должны работать под руководством аудиторов.

В группу по аудиту можно включать стажеров, но они не должны заниматься аудитом без руководства или методической помощи со стороны аудиторов.

И заказчик, и проверяемая организация имеют право требовать замены членов аудиторской группы по объективным причинам (член аудиторской группы работал ранее в проверяемой организации или же оказывал ей услуги по консалтингу, предыдущее неэтичное поведение). Причины доводят до сведения руководителя аудиторской группы и ответственного за управление программой аудита, которые должны согласовать с заказчиком аудита и проверяемой организацией решение по замене членов аудиторской группы.

6.2.5 Установление первоначального контакта с проверяемой организацией

Первоначальный контакт официального или неофициального характера с проверяемой организацией для проведения аудита устанавливает ответственный за управление программой аудита или руководитель аудиторской группы. Цель первоначального контакта:

а) определение каналов обмена информацией с представителем проверяемой организации;

б) подтверждение полномочий для проведения аудита;

в) предоставление информации по предлагаемому графику аудита и составу аудиторской группы;

г) получение разрешения на доступ к соответствующим документам, включая записи;

д) определение необходимых правил обеспечения безопасности работ на месте;

е) определение подготовительных мероприятий к аудиту;

ж) согласование присутствия наблюдателей и сопровождающих для аудиторской группы.

6.3 Анализ документов

Прежде чем начать деятельность по аудиту на месте, анализируют документы проверяемой организации, документы по системе менеджмента, записи, а также отчеты по предыдущим аудитам с целью определения соответствия системы документам и критериям аудита. Анализ должен учитывать размер, вид деятельности и сложность организации, а также цели и область аудита. В некоторых случаях этот анализ может быть отложен до начала проведения аудита на месте, если это не нанесет ущерба результативности проведения аудита. В других случаях может оказаться необходимым посетить место проведения аудита для получения необходимой информации.

Если документация признана неадекватной, то руководитель аудиторской группы должен проинформировать заказчика аудита, ответственных за управление программой аудита и проверяемую организацию. Необходимо принять решение по продолжению или приостановке аудита до тех пор, пока проблемы с документацией не будут разрешены.

6.4 Подготовка к проведению аудита на месте

6.4.1 Подготовка плана аудита

Руководитель аудиторской группы должен подготовить план аудита для согласования с заказчиком аудита, аудиторской группой и проверяемой организацией. На основании плана уточняют сроки выполнения отдельных работ, предусмотренных планом. В плане аудита должны найти отражение область и уровень сложности аудита в зависимости, например, от того, первоначальный это или последующий аудит, внутренний или внешний аудит. План аудита должен быть достаточно гибким, чтобы по мере осуществления аудита на месте при необходимости можно было внести изменения, например в область аудита.

План аудита должен включать:

а) цели аудита;

б) критерии аудита и ссылочные документы;

в) область аудита, включая идентификацию организационных и функциональных подразделений и процессов, которые будут проверяться;

г) даты и места проведения аудита;

д) ожидаемое время и продолжительность проведения аудита на месте, включая совещания с руководством проверяемой организации и совещания групп по аудиту;

е) роли и обязанности членов аудиторской группы и сопровождающих лиц;

ж) распределение соответствующих ресурсов по «критичным местам» проведения аудита.

При необходимости в план аудита включают:

и) определение представителей проверяемой организации для участия в аудите;

к) рабочий язык и язык отчета (акта) по аудиту там, где он отличается от родного языка аудитора и (или) проверяемой организации;

м) материально-техническое обеспечение (средства передвижения, оборудование на месте и др.);

н) все, что касается обеспечения конфиденциальности;

о) любые действия по результатам аудита.

План должен быть проанализирован, принят заказчиком аудита и представлен проверяемой организации перед началом аудита на месте.

Любые возражения со стороны проверяемой организации должны быть разрешены с руководителем аудиторской группы и заказчиком аудита. Любой пересмотренный план аудита должен быть согласован с заинтересованными сторонами.

6.4.2 Распределение работ между членами аудиторской группы

Руководитель аудиторской группы должен распределить ответственность между членами группы за аудит конкретных процессов, подразделений, участков, областей или видов деятельности. Такое распределение должно учитывать потребность в независимости, компетентности аудиторов и результативном использовании ресурсов, а также различную ответственность аудиторов, стажеров и технических экспертов. Для достижения целей в процессе аудита могут быть сделаны изменения в распределении ответственности.

6.4.3 Подготовка рабочих документов

Члены аудиторской группы должны анализировать информацию, относящуюся к распределению ответственности, и готовить для регистрации результатов аудита рабочие документы:

Контрольные листы и планы выборок для аудита;

Формы для регистрации данных, таких как подтверждающие свидетельства, выводы аудита и протоколы совещаний.

Использование контрольных листов и форм не должно ограничивать объем проверок при аудите, которые могут измениться в результате анализа собранных во время аудита данных.

Рабочие документы, включая записи, являющиеся результатом использования документов, следует хранить до завершения аудита. Хранение документов после завершения аудита описано в . Документы, содержащие конфиденциальную или частную информацию, должны сохраняться надлежащим образом.

6.5 Проведение аудита на месте

6.5.1 Проведение предварительного совещания

Предварительное совещание проводят с руководством проверяемой организации или, где это возможно, с теми, кто отвечает за проверяемые подразделения или процессы. Цель предварительного совещания:

а) подтверждение плана аудита;

б) предоставление краткого обзора плана выполнения аудита;

в) подтверждение каналов обмена информацией;

г) предоставление возможностей проверяемой организации задать вопросы.

Практическая помощь - Предварительное совещание

Как правило, при внутренних аудитах малых предприятий на предварительном совещании объявляют о том, что аудит начинается, и объясняют характер аудита.

В других случаях предварительное совещание считают официальным и ведут регистрацию присутствующих на нем. В роли председателя должен быть руководитель аудиторской группы. На совещании необходимо выполнить следующее:

а) представить участников, включая их роль в аудите;

б) подтвердить цели, области, критерий аудита;

в) подтвердить график проведения аудита и другие соглашения с проверяемой организацией, связанные с аудитом (даты и время заключительного совещания, любые промежуточные совещания аудиторской группы и руководства проверяемой организации и дальнейшие изменения);

г) ознакомить с методами и процедурами аудита, включая информирование проверяемой организации о том, что свидетельства аудита будут основаны на выборках доступных данных и в аудите будет присутствовать элемент неопределенности;

д) подтвердить официальные каналы связи между аудиторской группой и проверяемой организацией;

е) подтвердить язык, используемый при аудите;

ж) подтвердить, что проверяемая организация будет информирована о ходе аудита во время его проведения;

и) подтвердить, что любые ресурсы и средства, необходимые аудиторской группе, будут доступны;

к) подтвердить обеспечение конфиденциальности;

л) подтвердить обеспечение безопасности работы, ознакомление с процедурами на случай чрезвычайной ситуации и обеспечение безопасности для аудиторской группы;

м) подтвердить наличие, роль и фамилии всех сопровождающих лиц;

н) ознакомить с методами составления отчетов, включая классификацию несоответствий;

о) информировать об условиях, при которых аудит может быть прекращен;

п) информировать о системе рассмотрения апелляций по проведению или заключениям по результатам аудита.

6.5.2 Обмен информацией в ходе аудита

В зависимости от сложности аудита может возникнуть необходимость в заключении официального соглашения по обмену информацией в ходе аудита между аудиторской группой и проверяемой организацией.

В аудиторской группе периодически проводят обмен информацией, оценивают ход аудита и, при необходимости, перераспределяют обязанности между членами аудиторской группы.

Во время аудита руководитель аудиторской группы должен периодически обмениваться информацией о ходе аудита и всех связанных с этим вопросах с проверяемой организацией и заказчиком аудита. Свидетельство, полученное во время аудита, относительно предполагаемого непосредственного и существенного риска (например, связанного с безопасностью, охраной окружающей среды или качеством) должно быть без задержки доведено до сведения проверяемой организации и, если необходимо, заказчика аудита. Информация, выходящая за пределы области аудита, должна также приниматься во внимание и доводиться до сведения руководителя аудиторской группы, чтобы осуществить обмен информацией с проверяемой организацией и заказчиком аудита. Если свидетельство аудита указывает на невыполнимость целей аудита, руководитель аудиторской группы должен доложить проверяемой организации и заказчику о причинах принятия соответствующих мер, включающих корректировку и переутверждение плана аудита, изменение целей или области аудита, или прекращение аудита.

Любые изменения области аудита, которые могут быть заметными в ходе выполнения аудита, следует анализировать и утверждать должным образом.

6.5.3 Роль и обязанности сопровождающих лиц и наблюдателей

Сопровождающие лица и наблюдатели не являются аудиторами, поэтому они не должны оказывать влияния на проведение аудита или вмешиваться в проведение аудита.

Сопровождающие лица, назначенные проверяемой организацией, должны оказывать помощь группе, действовать по просьбе руководителя аудиторской группы и выполнять следующие обязанности:

а) обеспечение контактов и назначение времени для бесед;

б) обеспечение посещений определенных мест производственной площадки или организации;

в) обеспечение того, чтобы правила и процедуры по безопасности были известны и соблюдались членами аудиторской группы;

г) исполнение роли лиц, свидетельствующих в ходе аудита от имени проверяемой организации;

д) предоставление разъяснений или оказание помощи при сборе информации.

6.5.4 Сбор и верификация информации

Во время аудита информация, относящаяся к целям аудита, области и критериям аудита, включая информацию, касающуюся взаимодействия между подразделениями, деятельности и процессов, должна быть собрана путем необходимых выборок и верифицирована. Свидетельством аудита может быть только информация, которая может быть верифицирована. Свидетельства аудита должны быть зарегистрированы.

Свидетельство аудита основано на выборках подходящих данных. Поэтому имеется элемент неопределенности при проведении аудита, и выводы аудита должны учитывать эту неопределенность.

На рисунке приведена блок-схема процесса, начиная от сбора информации до получения заключения по результатам аудита.

Рисунок 3 - Блок-схема процесса - от сбора информации до получения заключений по результатам аудита

Методы сбора информации включают:

Опросы;

Наблюдения за деятельностью;

Анализ документов.

Практическая помощь - Источники информации

Выбранные источники информации зависят от области и комплексности аудита и включают в себя:

а) опросы работников;

б) наблюдения за деятельностью, окружающей производственной средой и условиями работы;

в) документы (политика, цели, планы, процедуры, стандарты, инструкции, лицензии и разрешительные документы, спецификации, чертежи, контракты и заказы);

г) записи (протоколы) проверок, протоколы совещаний, отчеты (акты) по аудитам, записи по мониторингу программ и результаты измерений;

д) итоговые данные, показатели анализа и результативности;

е) информацию по программам выборочного исследования проверяемой организации и управлению выборками и процессами измерений;

ж) отчеты, источниками которых могут быть, например, обратная связь от потребителей, другая соответствующая информация, получаемая извне, оценки поставщиков;

и) компьютеризованные базы данных и веб-сайты

Практическая помощь - Проведение опросов

Опросы проводят с учетом ситуации и опрашиваемого лица. При этом аудитор должен принимать во внимание следующее:

а) опросы проводят в подразделениях с лицами, выполняющими работы или решающими задачи в пределах области аудита;

б) опрос работников проводят в обычное рабочее время и, где это возможно, на рабочем месте;

в) опрашиваемое лицо должно быть психологически подготовлено к опросу, опрос следует вести доброжелательно;

г) необходимо объяснить причину опроса и осуществляемые записи;

д) опрос можно начинать с просьбы рассказать о своей работе;

е) необходимо избегать наводящих вопросов;

ж) результаты опроса должны быть обобщены и проанализированы вместе с опрашиваемым лицом;

и) необходимо поблагодарить опрашиваемое лицо за сотрудничество.

6.5.5 Формирование выводов аудита

Для получения выводов аудита свидетельства аудита должны быть сопоставлены с критериями аудита. Выводы аудита указывают на соответствие или несоответствие критериям аудита. Если это определено целями аудита, выводы аудита могут определять возможности для улучшения.

Аудиторская группа, при необходимости, должна собираться для анализа выводов аудита на определенных этапах во время аудита.

Соответствия критериям аудита должны быть обобщены с указанием мест расположения, подразделений или процессов, которые подвергались аудиту. Если это предусмотрено планом аудита, отдельные выводы аудита о соответствии и подтверждающие их свидетельства также должны быть записаны.

Несоответствия и подтверждающие их свидетельства аудита должны быть записаны и классифицированы (ранжированы). Они должны быть проанализированы с проверяемой организацией для подтверждения объективности свидетельств аудита. Необходимо устранить разногласия во мнениях по свидетельствам аудита и/или выводам аудита, а неразрешенные проблемы документально оформить.

6.5.6 Подготовка заключения по результатам аудита

Аудиторская группа до заключительного совещания должна выполнить следующее:

а) рассмотреть выводы аудита и другую соответствующую информацию, собранную во время аудита, на соответствие целям аудита;

б) согласовать заключения по результатам аудита с учетом неопределенности, присущей процессу аудита;

г) обсудить действия по результатам аудита, если это входит в план аудита.

Практическая помощь - Заключения по результатам аудита

Заключения по результатам аудита должны содержать:

а) степень соответствия системы менеджмента критериям аудита;

б) результативность внедрения, поддержания и улучшения системы менеджмента;

в) возможности процесса анализа со стороны руководства для обеспечения постоянной пригодности системы менеджмента, ее адекватности, результативности и улучшения.

Если это определено целями аудита, то заключения по результатам аудита могут включать рекомендации относительно улучшений, взаимоотношений в бизнесе (предпринимательской деятельности), сертификации/регистрации или дальнейшей деятельности по аудиту.

6.5.7 Проведение заключительного совещания

Цель заключительного совещания, председателем которого является руководитель аудиторской группы, - представить выводы и заключения по аудиту таким образом, чтобы они были признаны проверяемой организацией, и, при необходимости, были согласованы сроки предоставления плана корректирующих и предупреждающих действий. Участники заключительного совещания должны представлять проверяемую организацию, заказчика аудита и другие стороны. Если это необходимо, руководитель аудиторской группы должен изложить свое мнение проверяемой организации относительно сложившихся во время аудита ситуаций, которые могут уменьшить доверие к заключениям по результатам аудита.

Во многих случаях, например, при внутреннем аудите малого предприятия на заключительном совещании просто сообщаются выводы и заключение по результатам аудита.

В других ситуациях при аудите совещание должно быть официальным с ведением протокола и списка присутствующих.

Любые разногласия по выводам и/или заключению по результатам аудита между аудиторской группой и проверяемой организацией должны быть обсуждены и, по возможности, разрешены. Если нет единого мнения, то это должно быть зарегистрировано.

Если это предусмотрено целями аудита, то должны быть представлены рекомендации по улучшению с указанием, что они не носят обязательного характера.

6.6 Подготовка, утверждение и рассылка отчета (акта) по аудиту

6.6.1 Подготовка отчета (акта) по аудиту

Руководитель аудиторской группы отвечает за подготовку и содержание отчета (акта) по аудиту. Отчет (акт) по аудиту должен содержать полные, точные, сжатые и понятные записи по аудиту и должен включать ответы на следующие вопросы:

а) цели аудита;

б) область аудита, в частности, идентификация проверенных организационных и функциональных подразделений или процессов и охватываемый период времени;

в) идентификация заказчика аудита;

г) идентификация руководителя и членов аудиторской группы;

д) даты и места проведения аудита на месте;

е) критерии аудита;

ж) выводы аудита;

и) заключения по результатам аудита.

При необходимости в отчет (акт) по аудиту должны быть включены:

к) план аудита;

л) список представителей проверяемой организации;

м) итоги проведения аудита, включая неопределенности и/или любые встретившиеся препятствия при его проведении, которые могут уменьшить достоверность заключения по результатам аудита;

н) подтверждение достижения целей аудита в пределах области аудита в соответствии с планом аудита;

о) области, не охваченные аудитом, но находящиеся в области аудита;

п) неразрешенные противоречия между аудиторской группой и проверяемой организацией;

с) согласованный план действий по результатам аудита, при необходимости;

т) заявление о конфиденциальном характере содержимого отчета;

Отчет (акт) по аудиту должен быть подготовлен в согласованные сроки. Если это невозможно, то о причинах задержки необходимо сообщить заказчику аудита и согласовать новый срок его подготовки

Отчет (акт) по аудиту должен быть датирован, проанализирован и утвержден в соответствии с процедурами программы аудита.

Отчет (акт) по аудиту должен быть разослан получателям, определенным заказчиком аудита.

Отчет (акт) по аудиту является собственностью заказчика аудита. Члены аудиторской группы и все, кто получает отчет (акт) по аудиту, должны соблюдать требования конфиденциальности содержимого отчета (акта).

6.7 Завершение аудита

Аудит считается завершенным, если все процедуры, предусмотренные планом аудита, выполнены, и утвержденный отчет (акт) по аудиту разослан.

Документы, имеющие отношение к аудиту, следует хранить или уничтожать на основании соглашения между участвующими сторонами в соответствии с процедурами программы аудита, соглашением между сторонами и в соответствии с действующим законодательством, нормативными требованиями и требованиями контрактов.

Если это не предусмотрено законом, аудиторская группа и ответственные за управление программой аудита не должны раскрывать содержимого документов и другой информации, полученной во время аудита, или отчетов по аудиту любой другой стороне без ясного разрешения заказчика аудита и, где это требуется, разрешения проверяемой организации. Если необходимо раскрыть содержание документов аудита, заказчик аудита и проверяемая организация должны быть проинформированы об этом как можно скорее.

6.8 Действия по результатам аудита

Заключения по результатам аудита могут указывать на необходимость корректирующих, предупреждающих действий или, при необходимости, действий по улучшению. Последующие действия не рассматривают как часть аудита, и вопрос об их проведении в согласованные сроки обычно решает проверяемая организация, которая должна информировать заказчика аудита о состоянии выполнения этих действий.

Завершение и результативность корректирующих действий должны быть верифицированы. Верификация может быть частью последующего аудита.

Программа аудита может предусматривать выполнение определенных действий после аудита членами аудиторской группы, что может добавить ценность аудиту, учитывая опыт аудиторов. В таких случаях следует позаботиться об обеспечений независимости при проведении последующих аудитов.

7 Компетентность и оценка аудиторов

7.1 Общие положения

Доверие к аудиту зависит от компетентности аудиторов. Аудиторы должны продемонстрировать:

Личные качества (см. );

Способность применить знания и навыки, указанные в , приобретенные во время учебы, работы, стажировки и опыта при проведении аудита, описанные в .

Концепция компетентности аудиторов показана на рисунке . Некоторые области знаний и навыков, описанные в , являются общими для аудиторов систем менеджмента качества и систем экологического менеджмента, а некоторые - специфическими для аудиторов по отдельным дисциплинам.

Аудиторы совершенствуют, поддерживают и улучшают свою компетентность в процессе постоянного профессионального развития и регулярного участия в аудитах (см. ).

Процесс оценки аудиторов и руководителей аудиторских групп приведен в .

Рисунок 4 - Концепция компетентности

7.2 Личные качества

Личные качества аудиторов должны позволять им действовать в соответствии с принципами проведения аудита. Аудитор должен быть:

а) порядочным - правдивым, искренним, честным, сдержанным и благоразумным;

б) открытым - воспринимать альтернативные идеи или точки зрения;

в) дипломатичным - умеющим тактично взаимодействовать с людьми;

г) наблюдательным - активно знакомиться с окружением и деятельностью;

д) проницательным - интуитивно оценивать ситуации;

е) разносторонним - быть готовым к различным ситуациям;

ж) упорным - настойчивым, ориентированным на достижение целей;

и) решительным - своевременно принимать решения на основе логических соображений и анализа;

к) самостоятельным - действовать и выполнять свои функции независимо, в то же время результативно сотрудничать с другими.

7.3 Знания и навыки

7.3.1 Общие знания и навыки аудиторов систем менеджмента качества и систем экологического менеджмента

Аудиторы должны обладать знаниями и навыками в следующих областях:

а) принципы, процедуры и методы аудита

Для того, чтобы аудитор имел возможность выбора и систематического проведения аудита надлежащим образом, он должен быть готов к выполнению следующих действий:

Применению принципов, процедур и методов аудита,

Результативному планированию и организации работ,

Проведению аудита в течение установленного срока,

Установлению приоритетов и ориентации на существенные моменты,

Сбору данных посредством результативного опроса, выслушивания, наблюдений и анализа документов, записей и данных,

Пониманию соответствующих методов и результатов выборочного исследования для аудита,

Проверке точности собранных данных,

Подтверждению достаточности и приемлемости свидетельств аудита для подкрепления выводов аудита и заключений,

Оценке факторов, влияющих на достоверность выводов и заключений по результатам аудита,

Использованию рабочих документов для записи деятельности при аудите,

Подготовке отчетов по аудиту,

Сохранению конфиденциальности данных,

Результативному обмену информацией посредством личных знаний языка или с помощью переводчика;

б) система менеджмента и ссылочные документы

Для применения критериев аудита, знания и навыки в этой области должны охватывать:

Применение систем менеджмента к различным организациям,

Взаимодействие элементов системы менеджмента,

Стандарты по системе менеджмента качества или системе экологического менеджмента, применяемые процедуры или другие документы по системам менеджмента, используемые в качестве критериев аудита,

Различия и приоритеты ссылочных документов,

Применение ссылочных документов к различным ситуациям при аудите.

Системы информации и методы санкционирования доступа, обеспечения безопасности, рассылки и управления документами, данными и записями;

в) организационные моменты

Для понимания принципов работы проверяемой организации знания и навыки в этой области должны охватывать:

Размеры, структуру, функции организации и взаимосвязи (подразделений) внутри нее,

Общие бизнес-процессы и соответствующую терминологию,

Культурные и социальные обычаи проверяемой организации;

г) применяемые законы, технические регламенты и другие требования, относящиеся к предмету

Для работы в этой области необходимые знания и навыки должны охватывать:

Местные, региональные и национальные кодексы, законы, нормативные правовые акты и технические регламенты,

Контракты и договоры,

Международные соглашения и конвенции,

Другие требования, которые касаются организации и выполнять которые организация обязалась.

7.3.2 Общие знания и навыки руководителей аудиторских групп

Руководители аудиторских групп должны иметь дополнительные знания и навыки по руководству аудитом для результативного и эффективного проведения аудита. Руководитель аудиторской группы должен быть подготовлен к выполнению следующих действий:

Планированию аудита и результативное использование ресурсов в ходе аудита;

Представлению аудиторской группы при взаимодействии с заказчиком аудита и проверяемой организацией;

Организации и направления работы членов аудиторской группы;

Обеспечению руководства и сопровождению работы стажеров;

Руководству аудиторской группой для получения заключения по результатам аудита;

Предупреждению и разрешению конфликтов;

- подготовке и завершению отчета (акта) по аудиту.

7.3.3 Специальные знания и навыки аудиторов системы менеджмента качества Аудиторы системы менеджмента качества должны обладать знаниями и навыками в следующих областях:

а) методы и технологии, имеющие отношение к качеству.

Для проверки систем менеджмента качества и получения необходимых выводов по аудиту знания и навыки в этой области должны охватывать:

- терминологию по качеству,

- принципы менеджмента качества и их применение,

- методы менеджмента качества и их применение (например, статистическое управление процессами, анализ видов отказов и их последствий и др.);

б) процессы и продукция, включая услуги.

Для понимания технологических особенностей, при которых проводится аудит, знания и навыки в этой области должны охватывать:

- терминологию в определенной отрасли;

- технические характеристики процессов и продукции, включая услуги;

- процессы и практику работы в определенной отрасли (области экономики).

7.3.4 Специальные знания и навыки аудиторов системы экологического менеджмента Аудиторы системы экологического менеджмента должны обладать знаниями и навыками в следующих областях:

а) методы и технологии экологического менеджмента.

Для проверки систем экологического менеджмента знания и навыки в этой области должны охватывать:

- терминологию по экологии,

- принципы экологического менеджмента и их применение,

- методы экологического менеджмента (такие, как оценка экологической результативности, оценка жизненного цикла, оценка эффективности экологического менеджмента и др.);

б) наука об окружающей среде и технологиях, связанных с охраной окружающей среды.

Для понимания основы взаимоотношений между человеческой деятельностью и окружающей средой знания и навыки в этой области должны охватывать:

- воздействие человеческой деятельности на окружающую среду,

- взаимодействие экосистем,

- компоненты окружающей среды (например, воздух, вода, земля),

- управление использованием природных ресурсов (например, ископаемые виды топлива, вода, флора и фауна),

- основные методы охраны окружающей среды;

в) технические и экологические аспекты деятельности.

Для понимания взаимодействия проверяемой организации с окружающей средой, знания и навыки в этой области должны охватывать:

- терминологию в определенной отрасли экономики,

- экологические аспекты и воздействия на окружающую среду,

- методы оценивания значимости экологических аспектов,

- критичные характеристики рабочих процессов, продукции и услуг,

- методы мониторинга и измерений,

- технологии предотвращения загрязнений.

7.4 Образование, опыт работы, обучение на аудитора и опыт проведения аудита

7.4.1 Аудиторы

У аудиторов должны быть необходимое образование, опыт работы, курс обучения по аудиту и опыт проведения аудита:

а) образование должно быть завершенным, позволяющим овладеть знаниями и навыками, описанными в ;

б) опыт работы должен способствовать повышению знаний и навыков, описанных в и . Практический опыт работы должен быть в технической сфере, сфере управления или в профессиональной области, включая опыт принятия решений, разрешения проблем и обмена информацией с другим управленческим или специальным персоналом, сотрудниками того же уровня, потребителями и/или другими заинтересованными сторонами.

Часть практического опыта работы должна быть получена на должностях, где выполняемая работа содействует развитию знаний и опыта в следующих областях:

- менеджмент качества для аудиторов систем менеджмента качества;

- экологический менеджмент для аудиторов систем экологического менеджмента;

в) полный курс обучения на аудитора в самой организации или в сторонней организации должен обеспечивать развитие знаний и навыков, описанных в , и ;

г) опыт проведения аудитов по деятельности, описанной в разделе , должен быть приобретен под руководством аудитора, который компетентен в качестве руководителя аудиторской группы в этой области знаний.

Примечание - Степень руководства и управления ( и и таблица ), необходимые для аудита, отданы на усмотрение ответственных лиц по управлению программой аудита и руководителя аудиторской группы. Выполнение функций руководства и управления не предполагает осуществление постоянного надзора.

7.4.2 Руководитель аудиторской группы

Руководителю аудиторской группы следует приобрести дополнительный опыт по аудиту, чтобы повышать знания и навыки, описанные в . Дополнительный опыт должен накапливаться при исполнении обязанностей руководителя аудиторской группы под руководством и наблюдением другого аудитора, который компетентен в качестве руководителя аудиторской группы.

7.4.3 Аудиторы, осуществляющие аудит систем менеджмента качества и экологического менеджмента

Аудиторы, осуществляющие аудит системы менеджмента качества и системы экологического менеджмента, должны:

а) пройти обучение и иметь практический опыт работы, необходимые для приобретения знаний и опыта по второму направлению;

б) провести аудиты, охватывающие систему менеджмента по второму направлению под наблюдением и руководством аудитора, компетентного в качестве руководителя аудиторской группы по второму направлению.

Руководитель аудиторской группы по одному направлению должен отвечать указанным требованиям для того, чтобы стать руководителем аудиторской группы по второму направлению.

7.4.4 Уровень образования, опыт работы, обучение на аудитора и опыт проведения аудита

Организации должны определять требования к образованию, опыту работы, обучению на аудитора и опыту проведения аудита, которые требуются аудитору для того, чтобы приобрести знания и опыт, соответствующие программе аудита с применением этапов 1 и 2 процесса оценки, описанного в .

Опыт показывает, что уровни, указанные в таблице , соответствуют аудиторам, проводящим сертификационные или им подобные аудиты. В зависимости от программы аудита необходимый уровень может быть выше или ниже.

Таблица 1 - Пример уровней образования, опыта работы, обучения по аудиту, опыта проведения аудитов для аудиторов, осуществляющих аудиты по сертификации или аналогичные аудиты

Параметр		Аудитор по двум направлениям	Руководитель аудиторской группы
Образование		Высшее образование (см. примечание 1)	Высшее образование (см. примечание 1)
Общий опыт работы	Пять лет (см. примечание 2)	Пять лет (см. примечание 2)	Пять лет (см. примечание 2)
Опыт работы в области менеджмента качества или экологического менеджмента		Два года по второму направлению (см. примечание 3)	Не менее двух лет из общих пяти лет
Обучение на аудитора	40 ч обучения аудиту	24 ч обучения по второму направлению (см. примечание 4)	40 ч обучения аудиту
Опыт проведения аудитов	Четыре завершенных аудита не менее чем за 20 дней для накопления опыта проведения аудита в качестве стажера под руководством аудитора, обладающего компетентностью руководителя аудиторской группы (см. примечание 5). Аудиты должны проходить в течение трех последних лет	Три завершенных аудита не менее чем за 15 дней для накопления опыта проведения аудита по второму направлению под руководством аудитора, обладающего компетентностью руководителя аудиторской группы (см. примечание 5).	Три завершенных аудита не менее чем за 15 дней в качестве исполняющего обязанности руководителя аудиторской группы под руководством аудитора, компетентного как руководитель аудиторской группы (см. примечание 5). Аудиты должны проходить в течение двух последних лет
Примечания 1 Высшее образование представляет собой часть национальной системы образования. 2 Количество лет опыта работы может быть сокращено на один год в случае, когда лицо получило соответствующее высшее образование по системам менеджмента. 3 Опыт работы по второму направлению может совпадать с опытом работы по первому направлению. 4 Обучение по второму направлению заключается в приобретении знаний соответствующих стандартов, законов, технических регламентов, правил, принципов, методов и методик. 5 Завершенный аудит - это аудит, охватывающий все этапы, описанные в подразделах - . Общий опыт по аудиту должен охватывать весь стандарт на систему менеджмента.

7.5 Поддержание и повышение компетентности

7.5.1 Постоянный рост профессионализма

Постоянный рост профессионализма необходим для поддержания и улучшения знаний, навыков и совершенствования личных качеств. Он может быть достигнут посредством дополнительного практического опыта, обучения, стажировок, самоподготовки, занятий с репетиторами, посещения совещаний, семинаров и конференций или других видов деятельности.

Деятельность по постоянному профессиональному росту должна учитывать изменения в личных потребностях аудиторов и организаций, в практике проведения аудитов, изменения стандартов и других требований.

7.5.2 Поддержание компетентности в проведении аудитов

Аудиторы должны поддерживать и демонстрировать свою компетентность в проведении аудита постоянным участием в аудитах систем менеджмента качества и (или) систем экологического менеджмента.

7.6 Оценка аудиторов

7.6.1 Общие положения

Оценка аудиторов и руководителей аудиторских групп должна быть спланирована, реализована и запротоколирована в соответствии с процедурами программы аудита с целью обеспечения объективных, последовательных, достоверных и надежных результатов. Процесс оценки должен выявить потребности в обучении и приобретении других навыков.

Оценка аудиторов происходит на следующих этапах:

- начальное оценивание лиц, желающих стать аудиторами;

- оценивание аудиторов, как части процесса формирования аудиторской группы, описанного в ;

- постоянное оценивание характеристик аудитора с целью идентификации потребностей, необходимых для поддержания и улучшения знаний и навыков.

- цели и объем программы аудита;

- требования сертификации/регистрации и аккредитации;

- роль процесса аудита для руководства проверяемой организации;

- уровень конфиденциальности, требуемый в программе аудита;

- сложность проверяемой системы менеджмента.

Этап 2 Определение критериев оценки

Критерии могут быть количественными (опыт работы в годах, образование, количество проведенных аудитов, количество часов обучения аудиту) или качественными (демонстрируемые личные качества, знания или характеристики навыков при обучении или при нахождении на рабочем месте).

Этап 3 Выбор соответствующего метода оценки

Метод оценки выбирает лицо или комиссия по таблице . При использовании таблицы необходимо обратить внимание на следующее:

- описанные методы представляют диапазон возможностей и не могут быть применимы во всех ситуациях;

- различные описанные методы могут отличаться по своей надежности;

- обычно для достижения того, чтобы результат был объективным, согласующимся, беспристрастным и достоверным, выбирают сочетание методов.

Этап 4 Проведение оценки

Собранную информацию о персонале сравнивают с критериями, установленными на этапе 2. Если персонал не соответствует критериям, указывают на необходимость дополнительного обучения, опыта работы и (или) участия в аудите, после чего проводят повторную оценку.

В таблице приведены примеры использования и документирования этапов оценки для гипотетической программы внутреннего аудита.

Таблица 2 - Методы оценки

Метод оценки
Анализ записей (документов)	Проверка квалификации аудитора	Анализ записей (документов) об образовании, обучении, производственном опыте и опыте по аудиту
Положительная и отрицательная обратная связь	Обратная связь обеспечивает данными о том, как воспринимается деятельность аудитора	Инспектирование деятельности, вопросники, резюме, рекомендации, жалобы, анализ деятельности, отзывы коллег
Собеседование	Оценка личных качеств и навыков по умению взаимодействовать, уточнение информации и знаний по тестам и получение дополнительной информации	Собеседование с глазу на глаз и по телефону
Наблюдение	Оценка личных качеств и способности применения знаний и навыков	Ролевые игры, наблюдения в процессе аудита, деятельность на рабочем месте
Тестирование	Оценка личных качеств и их применение	Устные и письменные экзамены, психометрические тесты
Анализ деятельности после аудита	Получение информации там, где прямое наблюдение невозможно или неприемлемо	Анализ отчета по аудиту и обсуждение с заказчиком аудита, проверяемой организацией, коллегами и с аудитором

Таблица 3 - Применение процесса оценки аудитора в гипотетической программе внутреннего аудита

Область компетентности	Этап 1 Личные качества, знания и навыки	Этап 2 Критерии оценки	Этап 3 Методы оценки
Личные качества	Этичность, открытость, дипломатичность, наблюдательность, восприимчивость, многосторонность, упорство, решительность, уверенность	Удовлетворительная деятельность на рабочем месте	Оценка деятельности
Общие знания и навыки
Принципы аудита, процедуры и методы аудита	Способность проводить аудит согласно внутренним процедурам, обмен информацией с коллегами на рабочем месте	Завершенный курс обучения по внутреннему аудиту. Участие в трех аудитах в качестве члена группы по внутреннему аудиту	Анализ записей по обучению. Наблюдение. Отзывы коллег
Документы систем менеджмента и ссылочные документы	Умение применять подходящие части Руководства по системе менеджмента и связанные с этим процедуры	Чтение и понимание процедур в Руководстве по системе менеджмента применительно к целям, области и критериям аудита	Анализ записей по обучению. Тестирование, собеседование
Организационные ситуации	Способность эффективно функционировать с учетом уровня культуры организации, организационных структур и структуры отчетности	Работа в организации, по крайней мере, один год в качестве наблюдателя	Анализ записей по работе
Применяемые законы, технические регламенты и другие требования	Способность идентифицировать и понимать применение соответствующих законов и норм, относящихся к процессам, продукции и/или обязательствам по охране окружающей среды	Полный курс обучения по законам, нормам, относящимся к деятельности и процессам, подвергающимся аудиту	Анализ записей по обучению
Конкретные знания и навыки в области качества
Методы и способы, имеющие отношение к качеству	Способность описывать внутренние методы управления качеством, умение отличать требования к испытаниям (тестированию) во время процесса производства и к заключительным испытаниям	Полный курс обучения по применению методов управления (контроля) качества.	Анализ записей по обучению.
Методы и способы, имеющие отношение к качеству		Демонстрация на рабочем месте использования процедур испытаний во время процесса производства и при заключительных испытаниях	Наблюдение
Процессы и продукция, включая услуги	Способность идентифицировать продукцию, процессы производства, технические условия и конечное пользование	Работа при планировании производства в качестве служащего. Работа в отделе по предоставлению услуг	Анализ записей по работе
Конкретные знания и навыки в области охраны окружающей среды (экологии)
Методы и технологии экологического менеджмента	Способность понимать методы для оценки деятельности в области экологического менеджмента.	Полный курс обучения по оценке деятельности в области охраны окружающей среды	Анализ записей по обучению
Наука и технология в области охраны окружающей среды	Способность понимать как методы защиты от загрязнения и контроля выбросов (сбросов), используемые организацией, связаны со значимыми экологическими аспектами организации	Шесть месяцев работы в области защиты от загрязнений и контроля выбросов (сбросов) на производстве с аналогичной производственной средой	Анализ записей по работе
Технический и экологический аспекты деятельности	Умение оценивать воздействие условий производства организации на окружающую среду (например, материалы, их взаимодействие друг с другом и потенциальное воздействие на окружающую среду в случае их утечки или выброса). Умение оценивать процедуры реагирования на чрезвычайные ситуации в случае инцидентов, связанных с окружающей средой	Полный курс внутреннего обучения по хранению материалов, их смешиванию, использованию, утилизации и их воздействию на окружающую среду.	Анализ записей по обучению, содержанию курса и результатов.
Технический и экологический аспекты деятельности		Полный курс обучения по плану действий при чрезвычайных ситуациях в качестве члена группы чрезвычайного реагирования	Анализ обучения и записей по работе

Ключевые слова: система менеджмента качества, система экологического менеджмента, аудит, аудитор, аудиторская группа, программа аудита, проведение аудита, проверяемая организация, заказчик, компетентность аудитора, оценка аудитора

Предисловие

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании», а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 «Стандартизация в Российской Федерации. Основные положения»

Сведения о стандарте

1 ПОДГОТОВЛЕН Открытым акционерным обществом «Всероссийский научно-исследовательский институт сертификации» (ОАО «ВНИИС») на основе собственного аутентичного перевода на русский язык стандарта, указанного в пункте 4

2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 19 июля 2012 г. № 196-ст

4 Настоящий стандарт идентичен международному стандарту ИСО 19011:2011 «Руководящие указания по аудиту систем менеджмента» (ISO 19011:2011 «Guidelines for auditing management systems»)

5 ВЗАМЕН ГОСТ P ИСО 19011-2003

Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе «Национальные стандарты», а текст изменений и поправок - в ежемесячно издаваемых информационных указателях «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответствующая информация, уведомления и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

1 Область применения. 4

3 Термины и определения. 4

4 Принципы проведения аудита. 7

5 Управление программой аудита. 8

5.1 Общие положения. 8

5.2 Разработка целей программы аудита. 9

5.3 Разработка программы аудита. 10

5.4 Внедрение программы аудита. 12

5.5 Мониторинг программы аудита. 16

5.6 Анализ и улучшение программы аудита. 16

6 Проведение аудита. 16

6.1 Общие положения. 16

6.2 Организация проведения аудита. 17

6.3 Подготовка к проведению аудита на месте. 18

6.4 Проведение аудита на месте. 20

6.6 Завершение аудита. 26

6.7 Действия по результатам аудита. 26

7 Компетентность и оценка аудиторов. 26

7.1 Общие положения. 26

7.2 Определение компетентности аудитора для удовлетворения потребностей программы аудита. 27

7.3 Определение критериев оценки аудитора. 31

7.4 Выбор соответствующего метода оценки аудитора. 31

7.5 Проведение оценки аудитора. 32

7.6 Поддержание и повышение компетентности аудитора. 32

Приложение А (справочное) Руководящие указания и пояснительные примеры в отношении специальных знаний и навыков аудиторов в области отдельных дисциплин менеджмента. 32

Приложение В (справочное) Дополнительное руководящее указание для аудиторов по планированию и проведению аудитов. 38

Библиография. 44

Введение

После публикации в 2002 году первого издания настоящего стандарта появилось множество публикаций новых стандартов по системам менеджмента. В результате возникла необходимость в рассмотрении более широкой области применения для аудитов систем менеджмента, так же, как и в предоставлении соответствующих руководящих указаний, которые стали более универсальными, с тем чтобы их было можно применять для различных областей (дисциплин) менеджмента.

В 2006 году комитет ИСО по оценке соответствия (КАСКО) разработал ИСО/МЭК 17021, устанавливающий требования для сертификации систем менеджмента третьей стороной, в котором нашли отражение руководящие указания, содержащиеся в первом издании настоящего стандарта.

Второе издание ИСО/МЭК 17021, опубликованное в 2011 году, было расширено, с тем чтобы трансформировать руководящие указания, предложенные в настоящем стандарте, в требования к сертификационным аудитам для систем менеджмента. В связи с этим второе издание настоящего стандарта предоставляет руководящие указания для всех пользователей, включая организации малого и среднего бизнеса, и делает основной акцент на том, что общепринято называть «внутренними аудитами» (аудиты первой стороны) и «аудитами со стороны потребителей своих поставщиков» (аудиты второй стороны). В то время как стороны, принимающие участие в проведении сертификационных аудитов систем менеджмента, руководствуются требованиями ИСО/МЭК 17021:2011, для них могут также оказаться полезными руководящие указания, приведенные в настоящем стандарте.

Взаимосвязь между вторым изданием настоящего стандарта и ИСО/МЭК 17021:2011 приведена в таблице 1.

Таблица 1 - Область применения настоящего стандарта и его взаимосвязь с ИСО/МЭК 17021:2011

Настоящий стандарт не устанавливает требований, а содержит руководящие указания по управлению программой аудита, планированию и проведению аудита системы менеджмента, а также по вопросам компетентности и оценивания аудитора и группы по аудиту.

Организации в рамках своей деятельности могут использовать несколько документированных систем менеджмента. Для того, чтобы не усложнять текст настоящего стандарта, предпочтительно употребление «система менеджмента» в единственном числе, но каждый конкретный читатель может адаптировать внедрение положений настоящего стандарта применительно к своей собственной конкретной ситуации. Это также применимо к использованию терминов «лицо» и «лица», «аудитор» и «аудиторы».

Настоящий стандарт предназначен для широкого круга потенциальных пользователей, включающих в себя аудиторов, организации, внедряющие системы менеджмента, и организации, нуждающиеся в проведении аудитов систем менеджмента согласно контрактным или другим обязательствам. При этом пользователи настоящего стандарта могут применять настоящие руководящие указания при разработке своих собственных требований, относящихся к аудиту.

Руководящие указания, содержащиеся в настоящем стандарте, могут использоваться для целей, связанных с декларированием соответствия, а также могут быть полезными для организаций, участвующих в деятельности по подготовке аудиторов или сертификации персонала.

Руководящие указания, содержащиеся в настоящем стандарте, не устанавливают жестких рамок и допускают гибкость в своем применении. Как указано в пунктах по тексту настоящего стандарта, применение настоящих руководящих указаний может различаться в зависимости от размера, уровня развития и совершенства системы менеджмента организации, от характера деятельности и сложности проверяемой организации, а также от целей и области применения проводимых аудитов.

Настоящий стандарт вводит понятие риска применительно к аудиту систем менеджмента. Применяемый здесь подход относится как к рискам, связанным с недостижением процессом аудита поставленных целей, так и к рискам, связанным с возможностью помешать осуществлению деятельности и процессов проверяемой организации из-за проведения мероприятий по аудиту. При этом не дается отдельного руководства по процессу управления рисками для организации, но признается то, что при проведении аудита организации могут сосредоточить свои усилия на наиболее важных вопросах для системы менеджмента.

Настоящим стандартом принимается подход, называемый «комплексным аудитом», при котором две или несколько систем менеджмента, охватывающие различные аспекты менеджмента, проверяются совместно. В случаях, когда эти системы интегрированы в одну систему менеджмента, принципы и процессы проведения аудита будут такими же, как и для комплексного аудита.

Раздел 3 устанавливает ключевые термины и определения, используемые в настоящем стандарте. Были предприняты все усилия для того, чтобы эти определения не вступали в противоречия с определениями, используемыми в других стандартах.

Раздел 4 описывает принципы, на которых базируется процесс аудита. Эти принципы помогают пользователю понять суть процесса аудита и важны для понимания указаний, представленных в разделах 5 - 7.

Раздел 5 содержит руководящие указания по разработке и управлению программами аудита, по постановке целей программ аудита и координации мероприятий, выполняемых при проведении аудита.

Раздел 6 содержит руководящие указания по планированию и проведению аудита системы менеджмента.

Раздел 7 содержит руководящие указания, относящиеся к компетентности и оценке аудиторов систем менеджмента и групп по аудиту.

Приложение А поясняет применение содержащихся в разделе 7 руководящих указаний для различных аспектов менеджмента.

Приложение В содержит дополнительное руководство для аудиторов по планированию и проведению аудитов.

ГОСТ Р ИСО 19011-2012

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

РУКОВОДЯЩИЕ УКАЗАНИЯ ПО АУДИТУ СИСТЕМ МЕНЕДЖМЕНТА

Guidelines for auditing management systems

Дата введения - 2013-02-01

1 Область применения

Настоящий стандарт содержит руководящие указания по аудиту систем менеджмента, включая принципы аудита, управление программами аудита и проведение аудитов системы менеджмента, а также указания по оценке компетентности лиц, участвующих в процессе аудита, включая аудиторов, группы по аудиту и лиц, отвечающих за управление программой аудита.

Настоящий стандарт предназначен для всех организаций, которым необходимо проводить внутренние или внешние аудиты систем менеджмента или управлять программой аудита.

Положения настоящего стандарта могут применяться и для других типов аудита при условии, что будет уделено особое внимание вопросам, связанным с требуемым для этих целей уровнем специальной компетентности.

В данном разделе не приведены нормативные ссылки. Он включен для сохранения идентичности нумерации разделов настоящего стандарта с другими стандартами ИСО на системы менеджмента.

3 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1 аудит (audit): Систематический, независимый и документируемый процесс получения свидетельств аудита (3.3) и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита (3.2).

Примечания

1 Внутренние аудиты, иногда называемые «аудитами первой стороны», проводятся самой организацией или от ее имени для анализа со стороны руководства или других внутренних целей (например, для подтверждения намеченных показателей результативности системы менеджмента или для получения информации по улучшению системы менеджмента) и могут служить основанием для декларации о соответствии. Во многих случаях, особенно в малых организациях, независимость при аудите может быть продемонстрирована отсутствием ответственности за деятельность, которая подвергается аудиту, или беспристрастностью и отсутствием конфликта интересов.

2 Внешние аудиты включают в себя аудиты, называемые «аудитами второй стороны» и «аудитами третьей стороны». Аудиты второй стороны проводят стороны, заинтересованные в деятельности организации, например, потребители или другие лица от их имени. Аудиты третьей стороны проводят внешние независимые организации, такие как регулирующие или надзорные органы или организации, проводящие регистрацию или сертификацию.

3 Аудит двух или нескольких систем менеджмента для различных аспектов (например, качество, охрана окружающей среды, охрана труда), проводимый одновременно, называют «комплексным аудитом».

4 Если две или несколько проверяющих организаций объединяют свои усилия для проведения аудита одной проверяемой организации (3.7), такой аудит называют совместным.

5 Адаптировано из ИСО 9000:2005, статья 3.9.1.

3.2 критерии аудита (audit criteria): Совокупность политик, процедур или требований, используемых в качестве эталона, в соотношении с которым сопоставляют свидетельства аудита (3.3), полученные при проведении аудита.

Примечания

1 Адаптировано из ИСО 9000:2005, статья 3.9.3.

2 В случае, если критериями аудита являются правовые требования (включая законодательные или другие обязательные требования), то в выводах (наблюдениях) аудита (3.4) часто используются термины «соответствующий» или «несоответствующий».

3.3 свидетельство аудита (audit evidence): Записи, изложение фактов или другая информация, которые связаны с критериями аудита (3.2) и могут быть проверены.

Примечание - Свидетельство аудита может быть качественным или количественным.

[ИСО 9000:2005, статья 3.9.4]

3.4 выводы (наблюдения) аудита (audit findings): Результаты оценки собранных свидетельств аудита (3.3) на соответствие критериям аудита (3.2).

Примечания

1 Выводы аудита указывают на соответствие или несоответствие.

2 Выводы аудита могут вести к идентификации возможностей для улучшения или отражению наилучших практик.

3 Если критерии аудита выбираются, исходя из правовых или других обязательных требований, то наблюдением (выводом) аудита определяется соответствие или несоответствие данным требованиям.

4 Адаптировано из ИСО 9000:2005, статья 3.9.5.

3.5 заключение по результатам аудита (audit conclusion): Выходные данные аудита (3.1) после рассмотрения целей аудита и всех выводов аудита (3.4).

Примечание - Адаптировано из ИСО 9000:2005, статья 3.9.6.

3.6 заказчик аудита (audit client): Организация или лицо, заказавшие аудит.

Примечания

1 В случае внутреннего аудита заказчиком аудита может быть проверяемая организация (3.7) или лицо, ответственное за управление программой аудита. Запросы, касающиеся проведения внешнего аудита, могут поступать из таких источников, как контролирующие органы, стороны, с которыми организация имеет контрактные отношения, или потенциальные заказчики.

2 Адаптировано из ИСО 9000:2005, статья 3.9.7.

3.7 проверяемая организация (auditee): Организация, подвергающаяся аудиту. [ИСО 9000:2005, статья 3.9.8]

3.8 аудитор (auditor): Лицо, которое проводит аудит (3.1).

3.9 группа по аудиту (audit team): Один или несколько аудиторов (3.8),проводящих аудит (3.1), при необходимости поддерживаемые техническими экспертами (3.15).

Примечания

1 Один из аудиторов в группе по аудиту, как правило, назначается руководителем группы.

2 Группа по аудиту может включать в себя аудиторов-стажеров.

[ИСО 9000:2005, статья 3.9.10]

3.10 технический эксперт (technical expert): Лицо, обладающее специальными знаниями или опытом, необходимыми группе по аудиту (3.9).

Примечания

1 Специальные знания или опыт включают в себя знания или опыт, относящиеся к организации, процессу или деятельности, подвергаемым аудиту, а также знание языка и культуры страны, в которой проводится аудит.

2 Технический эксперт не имеет полномочий аудитора (3.8) в группе по аудиту.

[ИСО 9000:2005, статья 3.9.11]

3.11 наблюдатель (observer): Лицо, сопровождающее группу по аудиту (3.9), но не проводящее аудит.

Примечания

1 Наблюдатель не входит в состав группы по аудиту (3.9) и не влияет или не вмешивается в проведение аудита (3.1).

2 Наблюдателем может быть представитель проверяемой организации (3.7), контролирующего органа или другой заинтересованной стороны, который наблюдает за проведением аудита (3.1).

3.12 сопровождающий (guide): Лицо, назначаемое проверяемой организацией (3.7) для оказания помощи и содействия группе по аудиту (3.9).

3.13 программа аудита (audit programme): Совокупность мероприятий по проведению одного или нескольких аудитов (3.1), запланированных на конкретный период времени и направленных на достижение конкретной цели.

Примечание - Адаптировано из ИСО 9000:2005, статья 3.9.3.

3.14 область аудита (audit scope): Содержание и границы аудита (статья 3.1).

Примечание - Область аудита обычно включает в себя местонахождение, организационную структуру, виды деятельности и процессы, а также охватываемый период времени.

[ИСО 9000:2005, статья 3.9.13]

3.15 план аудита (audit plan): Описание деятельности и мероприятий по проведению аудита (статья 3.1).

[ИСО 9000:2005, статья 3.9.12]

3.16 риск (risk): Воздействие неопределенности на достижение целей.

Примечание - Адаптировано из Руководства ИСО 73:2009, определение 1.1.

3.17 компетентность (competence): Способность применять знания и навыки для достижения намеченных результатов.

Примечание - Под способностью понимается соответствующее применение и проявление личных качеств во время проведения аудита.

3.18 соответствие (conformity): Выполнение требования. [ИСО 9000:2005, статья 3.6.1]

3.19 несоответствие (nonconformity): Невыполнение требования. [ИСО 9000:2005, статья 3.6.2]

3.20 система менеджмента (management system): Система для разработки политики и целей и достижения этих целей.

Примечание - Система менеджмента организации может включать в себя различные системы менеджмента, такие как система менеджмента качества, система финансового менеджмента или система экологического менеджмента.

[ИСО 9000:2005, статья 3.2.2]

4 Принципы проведения аудита

Процесс проведения аудита основан на соблюдении нескольких принципов. Эти принципы позволяют сделать аудит результативным и надежным инструментом поддержания политики руководства и управления, обеспечивая получение информации, на основе которой организация может улучшать характеристики своей деятельности. Соблюдение этих принципов является необходимым условием для предоставления объективных и достаточных заключений по результатам аудита и позволяет аудиторам, работающим независимо друг от друга, приходить к аналогичным заключениям при одних и тех же обстоятельствах.

Руководящие указания, приведенные в разделах 5 - 7, базируются на следующих шести принципах.

а) Целостность (integrity) - основа профессионализма.

Аудиторам и лицам, управляющим программой аудита, следует:

Выполнять свою работу честно, старательно и ответственно;

Соблюдать и относиться с уважением к любым применяемым законодательным требованиям;

Демонстрировать свою техническую компетентность при выполнении работы;

Выполнять свою работу беспристрастно, оставаться честными и непредвзятыми во всех своих действиях;

Быть осмотрительными и не поддаваться каким-либо влияниям, которые могут оказывать на их суждения или выводы другие заинтересованные стороны.

b) Беспристрастность (fair presentation) - обязательство предоставлять правдивые и точные отчеты.

В выводах (наблюдениях) аудитов, заключениях по результатам аудита и отчетах следует отражать деятельность по аудиту правдиво и точно. Неразрешенные проблемы и разногласия между группой по аудиту и проверяемой организацией следует отражать в отчетах. Обмен информацией должен быть правдивым, точным, объективным, своевременным, понятным и полным.

c) Профессиональная осмотрительность (due professional care) - прилежание и умение принимать правильные решения при проведении аудита.

Профессиональная осмотрительность аудиторов соответствует важности выполняемого задания и доверительности со стороны заказчика аудита и других заинтересованных сторон. Важным фактором при выполнении аудиторами своей работы с профессиональной осмотрительностью является способность принимать обоснованные решения в любых ситуациях в ходе выполнения аудита.

d) Конфиденциальность (confidentiality) - сохранность информации.

Аудиторы должны проявлять осмотрительность при использовании и обеспечении защиты и сохранности информации, полученной ими при проведении аудита. Информация, полученная при проведении аудита, не должна использоваться ненадлежащим образом для получения личной выгоды аудитором или заказчиком аудита или способом, наносящим ущерб законным интересам проверяемой организации. Соблюдение этого принципа включает в себя надлежащее обращение с конфиденциальной или классифицированной информацией.

e) Независимость (independence) - основа беспристрастности и объективности заключений по результатам аудита.

Аудиторы должны быть независимыми от проверяемой деятельности во всех случаях, когда это осуществимо, и всегда выполнять свою работу таким образом, чтобы быть свободными от предубеждений и конфликта интересов. При проведении внутренних аудитов аудиторы должны быть независимыми от руководителей подразделений и направлений деятельности, которые они проверяют. Аудиторы должны сохранять объективное мнение в течение всего процесса аудита для обеспечения того, чтобы выводы и заключения аудита основывались только на свидетельствах аудита.

Для малых организаций может оказаться невозможным обеспечение независимости внутренних аудиторов от проверяемой ими деятельности, однако следует предпринять все возможные усилия для исключения какой бы то ни было заинтересованности и обеспечения объективного рассмотрения проверяемой деятельности.

f) Подход, основанный на свидетельстве (evidence-based approach), - разумная основа для достижения надежных и воспроизводимых заключений аудита в процессе систематического аудита.

Свидетельство аудита должно быть проверяемым. Оно основано на выборках имеющейся информации, поскольку аудит осуществляется в ограниченный период времени и с ограниченными ресурсами. Соответствующее использование выборок тесно связано с доверием, с которым относятся к заключениям по результатам аудита.

5 Управление программой аудита

5.1 Общие положения

Организации, которой требуется проводить аудиты, следует подготовить программу аудита, позволяющую определять результативность системы менеджмента данной организации. Программа аудита может включать в себя аудиты, охватывающие один или несколько стандартов по системам менеджмента, проводимые по отдельности или в каком-либо сочетании.

Высшее руководство должно обеспечить, чтобы цели программы аудита были установлены, и назначить одно или несколько компетентных лиц, ответственных за управление программой аудита. Объем и содержание программы аудита должны зависеть от размера и характера деятельности проверяемой организации, а также от специфики, сложности и степени зрелости системы менеджмента, подлежащей аудиту. Основное внимание следует уделить адекватному распределению ресурсов программы аудита для проведения аудита наиболее важных элементов системы менеджмента. Они могут включать в себя ключевые характеристики качества продукции, опасности, связанные с охраной здоровья и техникой безопасности, или важные экологические аспекты и управление ими.

Примечание - Данный подход широко известен как проведение аудитов на основе рисков. Настоящий стандарт не дает дальнейших руководящих указаний по проведению аудитов на основе рисков.

Программа аудита должна включать в себя информацию и ресурсы, необходимые для организации аудитов и их результативного и эффективного проведения в установленные временные сроки, а также может включать в себя следующее:

Цели для программы аудита и отдельных аудитов;

Объем/количество/типы/места проведения и график проведения аудитов;

Процедуры программы аудита;

Критерии аудита;

Методы аудита;

Формирование группы (групп) по аудиту;

Необходимые ресурсы, включая расходы на командировки и размещение аудиторов;

Процессы, связанные с соблюдением конфиденциальности, обеспечением защиты информации и другие подобные вопросы.

Необходимо осуществлять мониторинг и измерения, связанные с внедрением программы аудита, для обеспечения достижения поставленных целей. Для того чтобы идентифицировать возможные улучшения, программу аудита следует анализировать.

На рисунке 1 представлена последовательность процессов управления программой аудита.

Рисунок 1 - Последовательность процессов управления программой аудита

Примечания

1 Рисунок 1 также показывает применение цикла PDCA (планирование - выполнение - проверка - действие) в настоящем стандарте.

2 Нумерация разделов/подразделов приводится в соответствии с разделами/подразделами настоящего стандарта.

5.2 Разработка целей программы аудита

Высшему руководству следует обеспечить разработку целей программы аудита, для того чтобы руководить планированием и проведением аудитов, ему также следует обеспечить результативное внедрение программы аудита. Цели программы аудита должны согласовываться и содействовать реализации политики и целей системы менеджмента.

Цели могут быть основаны на рассмотрении следующего:

a) приоритетов руководства;

b) коммерческих и/или деловых намерений;

c) характеристик процессов, продуктов и проектов, а также любых изменений к ним;

d) требований системы (систем) менеджмента;

e) правовых и других требований, которые организация принимает на себя;

f) необходимости в оценке поставщиков;

g) потребностей и ожиданий заинтересованных сторон (включая потребителей);

h) показателей и характеристик деятельности проверяемой организации, что отражается в случаях возникновения нарушений, дефектов, инцидентов или жалоб потребителей;

i) рисков для проверяемой организации;

j) результатов предыдущих аудитов;

k) уровня достигнутого развития системы менеджмента.

Примеры целей программы аудита могут включать в себя следующее:

Содействие улучшению системы менеджмента и ее характеристик;

Выполнение внешних требований, например сертификации, на соответствие требованиям стандарта системы менеджмента;

Проверку соответствия контрактным требованиям;

Получение или поддержание уверенности в возможностях поставщика;

Оценку совместимости и согласованности целей системы менеджмента с политикой системы менеджмента и общими бизнес-целями организации.

5.3 Разработка программы аудита

5.3.1 Роль и ответственность лица, управляющего программой аудита

Лицу, управляющему программой аудита, следует:

Установить объем программы аудита;

Определить и оценить риски, связанные с программой аудита;

Определить обязанности по аудиту;

Определить процедуры программы аудита;

Определить необходимые ресурсы;

Обеспечить внедрение программы аудита, включающее в себя определение целей аудита, области и критериев отдельных аудитов, определение методов аудита и формирование группы аудиторов;

Обеспечить управление и сохранность соответствующих записей по программе аудита;

Осуществлять мониторинг, анализ и улучшение программы аудита.

Лицу, на которое возложена ответственность за управление программой аудита, необходимо информировать высшее руководство о содержании и состоянии программы аудита и, при необходимости, получать его одобрение.

5.3.2 Компетентность лица, ответственного за управление программой аудита

Лицо, ответственное за управление программой аудита, должно быть достаточно компетентным для эффективного и результативного управления программой аудита и связанными с ней рисками, а также иметь следующие знания и навыки:

Принципов, процедур, методов и технических средств проведения аудита;

Документов системы менеджмента и других необходимых для работы документов;

Продукции и процессов организации;

Применяемых законодательных и других требований, относящихся к деятельности и/или продукции организации, подлежащей аудиту;

Потребителей, поставщиков и других заинтересованных сторон проверяемой организации, где это применимо.

Необходимо, чтобы лицо, ответственное за управление программой аудита, участвовало в мероприятиях по постоянному повышению своего профессионального уровня для того, чтобы поддерживать на должном уровне свои знания и навыки, необходимые для управления программой аудита.

5.3.3 Определение объема программы аудита

Лицу, ответственному за управление программой аудита, следует определить объем программы аудита, который может различаться в зависимости от размера и характера деятельности проверяемой организации, а также от характера, функциональных особенностей, сложности и уровня развития проверяемой системы менеджмента и тех ее элементов, которым придается наиболее важное значение.

Примечание - В отдельных случаях в зависимости от структуры и видов деятельности проверяемой организации программа аудита может состоять только из одного аудита (например, деятельность в рамках небольшого проекта).

Другие факторы, влияющие на объем программы аудита, включают в себя следующее:

Конкретную цель, область применения, продолжительность каждого аудита и общее количество планируемых аудитов, включая там, где это возможно, мероприятия по исполнению решений аудитов;

Количество, важность, сложность, степень сходства видов осуществляемой деятельности и местоположение подразделений, осуществляющих деятельность, подлежащую аудиту;

Факторы, влияющие на эффективность системы менеджмента;

Применимые критерии аудита, такие как запланированные мероприятия для соответствующих стандартов по системам менеджмента, законодательные, контрактные и другие требования, которые организация обязана выполнять;

Заключения по результатам предыдущих внутренних или внешних аудитов;

Результаты предыдущего анализа программы аудита;

Вопросы, связанные с языком, культурной и социальной средой;

Мнения и озабоченность заинтересованных сторон, например, жалобы потребителей или несоответствие законодательным требованиям;

Существенные изменения в проверяемой организации или ее деятельности;

Наличие информации и приемов ее передачи для обеспечения мероприятий по проведению аудита, в частности использование методов аудита на расстоянии от проверяемого объекта (см. В.1 приложения В);

Возникновение событий внутреннего и внешнего характеров, таких как дефекты продукции, утечки секретной информации, инциденты, связанные с охраной здоровья и техникой безопасности, действия преступного характера или инциденты в области экологии.

5.3.4 Идентификация и оценка рисков программы аудита

Существуют различные риски, связанные с разработкой, внедрением, мониторингом и анализом программы аудита, что может оказывать влияние на цели программы аудита. Лицу, ответственному за управление программой аудита, следует рассматривать эти риски при разработке программы аудита. Риски могут быть связаны с:

Планированием, например, ошибкой, связанной с постановкой соответствующих целей аудита и определением объема программы аудита;

Ресурсами, например выделение недостаточного периода времени для разработки программы аудита или проведения аудита;

Формированием группы по аудиту, например недостаточной совокупной компетентностью группы для эффективного проведения аудита;

Внедрением, например, неэффективным доведением и получением информации по программе аудита;

Записями и их управлением, например проблемами с обеспечением необходимой защиты записей аудита, чтобы демонстрировать эффективность программы аудита;

Мониторингом, анализом, улучшением программы аудита, например неэффективным мониторингом результатов программы аудита.

5.3.5 Разработка процедур по программе аудита

Лицу, ответственному за управление программой аудита, следует разработать одну или несколько процедур, включающих в себя, где это применимо, следующее:

Планирование и составление графиков аудитов с учетом рисков, связанных с программой аудита;

Обеспечение защиты и конфиденциальности информации;

Обеспечение компетентности аудиторов и руководителей групп по аудиту;

Подбор соответствующих групп по аудиту и распределение ролей и обязанностей;

Проведение аудитов, включая использование соответствующих методов на основе выборок;

Выполнение действий по результатам аудита, если это требуется;

Составление отчетов для заказчика аудита (например, для высшего руководства) об основных достижениях программы аудита;

Поддержание записей по программе аудита;

Осуществление мониторинга анализа реализации, рисков и эффективности программы аудита.

5.3.6 Идентификация ресурсов для программы аудита

При идентификации ресурсов для программы аудита лицу, ответственному за управление программой аудита, следует учитывать:

Финансовые ресурсы, необходимые для развития, внедрения, управления и улучшения деятельности по аудиту;

Методы/технические приемы и средства проведения аудитов;

Наличие аудиторов и технических экспертов, обладающих компетентностью, требуемой для достижения конкретных целей программы аудита;

Объем программы аудита и риски по аудиту;

Время в пути и затраты на транспорт, размещение и другие потребности организационного характера для проведения аудита;

Объем и уровень развития информационных и коммуникационных систем.

5.4 Внедрение программы аудита

5.4.1 Общие положения

Лицу, ответственному за управление программой аудита, следует осуществлять внедрение программы аудита посредством:

Доведения до соответствующих участвующих сторон тех частей программы аудита, которые непосредственно к ним относятся, и периодическое информирование данных сторон о прогрессе в реализации положений программы;

Определения целей, области и критериев для каждого проводимого аудита;

Координации и календарного планирования аудитов и другой деятельности, связанной с программой аудита;

Обеспечения формирования групп по аудиту, обладающих необходимой компетентностью;

Предоставления необходимых ресурсов группам по аудиту;

Обеспечения проведения аудитов в соответствии с программой аудита и в установленные сроки;

Обеспечения ведения записей по мероприятиям аудита и надлежащего управления и сохранности этих записей.

5.4.2 Определение целей, области и критериев для каждого конкретного аудита

В основу каждого отдельного аудита должны быть заложены документированные цели, область применения и критерии для данного аудита. Они должны определяться лицом, отвечающим за управление программой аудита, и согласовываться с общими целями программы аудита.

Цели аудита включают в себя определение того, что должно быть сделано при проведении конкретного аудита, а также следующее:

Определение степени соответствия проверяемой системы менеджмента или ее составных частей согласно критериям аудита;

Определение степени соответствия видов деятельности, процессов и продукции требованиям и процедурам системы менеджмента;

Оценку способности системы менеджмента обеспечивать соответствие законодательным и контрактным требованиям, а также другим требованиям, которые организация обязана выполнять;

Идентификацию областей потенциального улучшения системы менеджмента;

Обращение с конфиденциальной информацией, включая степень ее раскрытия.

Область каждого аудита должна согласовываться с программой аудита и его целями. Она включает в себя такие факторы, как структурные подразделения, подлежащие аудиту, их месторасположение, проверяемые виды деятельности и процессы, а также продолжительность и сроки аудита.

Критерии аудита используют в виде основы для сравнения, по которой определяют соответствие, и могут включать в себя применяемые политики, цели, процедуры, стандарты, законодательные требования, требования системы менеджмента, контрактные требования или своды правил, регулирующих деятельность в конкретном секторе или других запланированных мероприятий.

В случае любых изменений, касающихся целей, области применения и критериев для аудита, при необходимости, следует соответствующим образом модифицировать программу аудита.

Когда две или более системы менеджмента, устанавливающие требования для различных дисциплин или областей деятельности, проверяются вместе (комплексный аудит), важно, чтобы цели, область применения и критерии для данного аудита согласовывались с целями соответствующих программ аудита.

5.4.3 Выбор методов аудита

Лицу, ответственному за управление программой аудита, следует подобрать и определить методы для эффективного проведения аудита в зависимости от установленных целей, области применения и критериев для данного аудита.

Примечание - Руководящие указания по определению методов аудита приведены в приложении В.

В случае, когда две или несколько проверяющих организаций проводят совместно аудит одной организации, лицам, ответственным за управление различными программами аудита, следует договориться о методе данного аудита и рассмотреть вопросы, касающиеся наличия необходимых ресурсов и планирования мероприятий данного аудита. Если в проверяемой организации функционируют две или несколько систем менеджмента для различных дисциплин, то в программу данного аудита могут быть включены комплексные аудиты.

5.4.4 Формирование группы по аудиту

Лицу, ответственному за управление программой аудита, следует назначить членов группы по аудиту, включая руководителя группы и любых технических экспертов, требуемых для проведения конкретного аудита.

Группа по аудиту должна формироваться с учетом компетентности, необходимой для достижения целей конкретного аудита в рамках установленной для этого аудита области применения. Если аудит проводит один аудитор, он должен выполнять все обязанности, возлагаемые на руководителя группы по аудиту.

Примечание - Раздел 7 содержит руководящие указания по определению компетентности, требуемой для членов группы по аудиту, и описывает процессы для проведения оценки аудиторов.

При определении численности и состава группы по аудиту для конкретного аудита необходимо учитывать следующие факторы:

a) общую компетентность группы по аудиту, требуемую для достижения целей аудита, области и критериев аудита;

b) сложность аудита, если аудит представляет собой комбинированный или совместный аудит;

c) выбранные методы аудита;

d) законодательные и другие требования, такие как требования контрактов, которые организация принимает на себя;

e) необходимость обеспечения независимости группы по аудиту от проверяемых видов деятельности и отсутствия конфликта интересов [см. принцип е) в разделе 4];

f) возможности членов группы по аудиту эффективно взаимодействовать с представителями проверяемой организации и работать совместно;

g) язык аудита и понимание специфических социальных и культурных ценностей проверяемой организации (с учетом собственного опыта аудиторов или при поддержке технического эксперта).

Для обеспечения общей компетентности группы по аудиту следует предпринять следующие шаги:

Определение знаний и навыков, необходимых для достижения целей аудита;

Выбор членов группы по аудиту таким образом, чтобы группа обладала всеми необходимыми знаниями и опытом.

Технические эксперты должны работать под руководством аудитора, но не выполнять действия в качестве аудитора.

В группу по аудиту можно включать стажеров, но они должны участвовать в процессе аудита под руководством аудитора и получать необходимую методическую помощь.

Как заказчик аудита, так и проверяемая организация могут потребовать замены членов группы по аудиту по объективным причинам, основанным на принципах проведения аудита, изложенных в разделе 4 настоящего стандарта. Примеры объективных причин включают в себя ситуации, связанные с конфликтом интересов (например, в случае проведения аудитов второй или третьей стороны член группы по аудиту работал ранее в проверяемой организации или оказывал ей услуги по консалтингу), отсутствием необходимой компетентности или имевшим ранее место фактам неэтичного поведения. Такие причины следует сообщить руководителю группы по аудиту и лицу, ответственному за управление программой аудита, которые должны согласовать с заказчиком аудита и проверяемой организацией эти вопросы, перед тем как принимать любые решения, касающиеся замены членов группы по аудиту.

В ходе проведения аудита может понадобиться внесение изменений в состав группы по аудиту, например, если возникают ситуации, связанные с конфликтом интересов или недостаточной компетентностью группы по аудиту. Если такие ситуации возникают, то эти вопросы подлежат обсуждению с соответствующими сторонами (например, руководителем группы по аудиту, лицом, ответственным за управление программой аудита, заказчиком аудита или проверяемой организацией), перед тем как делать любые изменения или корректировки.

5.4.5 Поручение ответственности руководителю группы по аудиту за проведение конкретного аудита

Лицу, ответственному за управление программой аудита, следует поручить ответственность за проведение конкретного аудита руководителю группы по аудиту.

Это следует сделать заблаговременно, чтобы оставалось достаточно времени до запланированной даты аудита, с тем чтобы обеспечить результативное планирование данного аудита.

Для обеспечения результативного проведения намеченного аудита необходимо, чтобы руководителю группы по аудиту была предоставлена следующая информация:

a) цели аудита;

b) критерии аудита и любые ссылочные документы;

c) область аудита, включая идентификацию организационных и функциональных подразделений и процессов, подлежащих аудиту;

d) методы и процедуры аудита;

e) состав группы по аудиту;

f) сведения для контактов с проверяемой организацией, места проведения аудита, даты и продолжительность проводимых в рамках аудита мероприятий;

g) распределение соответствующих ресурсов для проведения аудита;

h) данные, необходимые для оценки и принятия мер в отношении выявленных рисков, связанных с достижением целей данного аудита.

Предоставляемая информация, при необходимости, должна также включать в себя:

Рабочий язык при проведении аудита и язык, используемый при оформлении отчетов, в случаях, где язык отличается от родного языка аудитора и/или проверяемой организации;

Вопросы, имеющие отношение к конфиденциальности и информационной безопасности, если это требуется программой аудита;

Любые требования по обеспечению безопасности труда и здоровья аудиторов;

Любые требования по безопасности и уполномочиванию аудиторов;

Любые действия по результатам аудита, например по результатам предыдущего аудита, если это применяется;

Координацию с другими видами деятельности по аудиту, в случае совместного проведения аудита несколькими организациями.

При проведении совместного аудита несколькими проверяющими организациями важно до начала выполнения работ по аудиту достичь соглашения между этими организациями, касающегося конкретных обязанностей каждой стороны, особенно в отношении полномочий руководителя группы по аудиту, назначенного для проведения аудита.

5.4.6 Управление выходными данными программы аудита

Лицу, ответственному за управление программой аудита, следует обеспечить выполнение следующих действий:

Анализ и согласование отчетов по результатам аудитов, включая оценку приемлемости и адекватности полученных выводов аудита;

Проведение анализа корневых причин и результативности корректирующих и предупреждающих действий;

Определение необходимости в отношении любых мероприятий по исполнению решений аудита.

5.4.7 Управление и поддержание записей по программе аудита

Лицу, ответственному за управление программой аудита, следует обеспечить создание, управление и поддержание соответствующих записей, с тем чтобы демонстрировать внедрение программы аудита. Следует установить процессы, обеспечивающие соблюдение требуемой конфиденциальности в отношении записей аудита.

Записи должны включать в себя:

а) записи, связанные с программой аудита, такие как:

Документированная программа и цели,

Риски, связанные с программой аудита,

Анализы результативности программы аудита;

б) записи, связанные с отдельным аудитом, такие как:

Планы аудита и отчеты по аудиту,

Отчеты о несоответствиях,

Отчеты по корректирующим и предупреждающим действиям,

Отчеты о действиях по результатам аудита, если это требуется;

с) записи о персонале, привлекаемом к аудиту, включающие в себя:

Оценку компетентности членов группы по аудиту и их деятельности,

Выбор группы по аудиту и членов команды,

Поддержание и повышение компетентности.

Форма и объем сведений, представленных в записях, должны демонстрировать, что поставленные цели программы аудита были достигнуты.

5.5 Мониторинг программы аудита

Лицу, управляющему программой аудита, следует контролировать ее реализацию с учетом необходимости оценивать:

a) соответствие программам аудитов, календарным планам и целям аудита;

b) деятельность членов группы по аудиту;

c) способность групп по аудиту реализовать план аудита;

d) обратную связь от высшего руководства, проверяемых организаций, аудиторов и других заинтересованных сторон.

Некоторые факторы могут выявить потребность внесения изменений в программу аудита по ходу ее реализации, такие как:

Исходные данные, выявленные при аудите;

Демонстрируемый уровень результативности системы менеджмента;

Изменения в системе менеджмента заказчика или проверяемой организации;

Изменения в стандартах, правовых и контрактных требованиях и других требованиях, которые организация стремится выполнить;

Замена поставщика.

5.6 Анализ и улучшение программы аудита

Лицу, ответственному за управление программой аудита, следует анализировать программу аудита для оценки степени выполнения ее целей. Выводы, сделанные из анализа программы аудита, следует использовать для процесса постоянного улучшения.

Необходимо, чтобы анализ программы аудита охватывал:

a) результаты мониторинга и установленные в ходе его выполнения тенденции;

b) соответствие процедурам программы аудита;

c) выявление потребностей и ожиданий заинтересованных сторон;

d) записи по программе аудита;

e) альтернативные или новые методы в области аудита;

f) результативность мер по управлению рисками, связанными с программой аудита;

g вопросы, связанные с конфиденциальностью и информационной безопасностью, относящиеся к программе аудита.

Лицу, ответственному за управление программой аудита, следует осуществлять анализ общего внедрения программы аудита, идентифицировать области для улучшения, при необходимости вносить поправки в программу аудита, а также:

Анализировать постоянное развитие профессионального уровня аудиторов в соответствии с 7.4 - 7.6;

Предоставлять отчеты по результатам анализа программы аудита высшему руководству.

6 Проведение аудита

6.1 Общие положения

Настоящий раздел содержит руководящие указания по планированию и проведению деятельности по аудиту в рамках программы аудита. Рисунок 2 дает обзор типовых действий при проведении аудита. Степень применения положений настоящего раздела зависит от целей и области применения конкретного аудита.

Примечание - Нумерация подразделов приводится в соответствии с нумерацией подразделов настоящего стандарта.

Рисунок 2 - Типовые действия при проведении аудита

6.2 Организация проведения аудита

6.2.1 Общие положения

Когда приступают к проведению аудита, ответственность за его проведение остается за назначенным руководителем группы по аудиту (5.4.5) до завершения данного аудита (6.6).

Для того чтобы приступить к проведению аудита, нужно рассмотреть шаги, приведенные на рисунке 2; однако их последовательность может отличаться в зависимости от проверяемой организации, процессов и конкретных обстоятельств, относящихся к данному аудиту.

6.2.2 Установление первоначального контакта с проверяемой организацией Первоначальный контакт с проверяемой организацией для проведения аудита может иметь официальный или неформальный характер и должен устанавливаться руководителем группы по аудиту. Целями первоначального контакта являются:

Установление связи и каналов передачи информации с представителями проверяемой организации;

Подтверждение полномочий для проведения аудита;

Предоставление информации, касающейся области аудита, методов аудита и состава группы по аудиту, в том числе технических экспертов;

Получение разрешения на доступ к соответствующим документам для планирования целей и задач, включая записи;

Определение применяемых к проверяемой организации законодательных и контрактных требований, а также других требований, относящихся к видам осуществляемой деятельности и продукции проверяемой организации;

Подтверждение соглашения с проверяемой организацией относительно степени раскрытия и обращения с информацией, носящей конфиденциальный характер;

Определение необходимых подготовительных мероприятий по аудиту, включая даты планов-графиков;

Определение любых требований, связанных с обеспечением доступа, здоровья и безопасности или других требований;

Согласование присутствия наблюдателей и потребности в сопровождающих для группы по аудиту;

Определение любых областей заинтересованности или озабоченности проверяемой организации в связи с конкретным намеченным аудитом.

6.2.3 Определение возможности проведения аудита

Для обеспечения уверенности в том, что поставленные цели аудита могут быть достигнуты, нужно определить возможность проведения аудита.

При определении возможности проведения аудита нужно учитывать такие факторы, как наличие:

Необходимой и достаточной информации для планирования аудита;

Адекватного содействия и сотрудничества со стороны проверяемой организации;

Достаточного времени и ресурсов для выполнения аудита.

6.3 Подготовка к проведению аудита на месте

6.3.1 Выполнение анализа документов при подготовке к аудиту

Необходимо проанализировать документацию соответствующей системы менеджмента проверяемой организации, с тем чтобы:

Собрать информацию для подготовки мероприятий аудита и подходящие рабочие документы (6.3.4), например относящиеся к процессам, должностным обязанностям;

Осуществить обзор документации системы для выявления возможных пробелов.

Примечание - Руководящие указания по выполнению анализа документации приведены в В.2 приложения В.

Документация должна включать в себя, насколько это применимо, документы и записи системы менеджмента, а также отчеты по предыдущим аудитам. При анализе документации следует учитывать размер, характер деятельности, сложность проверяемой организации и ее системы менеджмента, а также цели и область применения аудита.

6.3.2 Подготовка плана аудита

6.3.2.1 Руководителю группы по аудиту следует подготовить план аудита, основанный на информации, содержащейся в программе аудита и документации, предоставленной проверяемой организацией. План аудита должен рассматривать последствия аудита с учетом его влияния на процессы проверяемой организации и обеспечивать основу для соглашения между заказчиком аудита, группой по аудиту и проверяемой организацией относительно проведения аудита. Этот план должен способствовать наилучшей координации, последовательности и сроков выполнения работ по аудиту для наиболее эффективного достижения результата.

Объем сведений, представленных в плане аудита, должен отражать область применения и сложность аудита, а также влияние факторов неопределенности на достижение целей аудита. При подготовке плана аудита руководитель группы по аудиту должен быть осведомлен:

О соответствующих методах выборочного контроля (см. В.3 приложения В);

Характерных чертах и особенностях состава группы по аудиту и ее коллективном уровне компетентности;

Рисках для проверяемой организации, возникающих вследствие проведения аудита.

Например, риски для организации могут возникать вследствие присутствия членов группы по аудиту, влияющих на обеспечение требований в области охраны труда, экологии и качества, и их присутствие может представлять определенную угрозу для продукции, услуг, персонала или инфраструктуры проверяемой организации (например, случай привнесения загрязнения в приспособления для очистки помещений).

Для комплексных аудитов следует уделить особое внимание вопросам взаимодействия между операционными процессами и гармонизации целей и приоритетов различных систем менеджмента в случае соперничества между ними.

6.3.2.2 Масштаб и содержание плана аудита могут различаться, например, между первоначальным и последующими аудитами, также, как и между внутренними и внешними аудитами. План аудита должен допускать достаточную гибкость, чтобы по мере осуществления мероприятий по аудиту в него, в случае необходимости внесения корректировок или изменений, можно было внести требуемые изменения.

План аудита должен включать в себя или содержать ссылки на:

Цели аудита;

Область аудита, включая идентификацию организационных и функциональных подразделений и процессов, которые будут проверяться;

Критерии аудита и ссылочные документы;

Места проведения аудита, даты, ожидаемое время и продолжительность намеченных мероприятий по аудиту, включая совещания с руководством проверяемой организации, а также другие совещания;

Используемые при проведении аудита методы, включая объем или степень выборочного контроля, необходимого для получения достаточных свидетельств аудита, и проект программы выборочного контроля, если она применяется;

Роли и обязанности членов группы по аудиту, а также сопровождающих лиц и наблюдателей;

Распределение соответствующих ресурсов по «критичным местам» проведения аудита. При необходимости в план аудита следует также включить:

Определение представителей проверяемой организации для участия в аудите;

Рабочий язык для проведения аудита и язык для составления отчета в тех случаях, где он отличается от родного языка аудитора и (или) проверяемой организации;

Материально-техническое обеспечение и коммуникационные средства, включая средства и необходимые подготовительные мероприятия на местах проверяемых подразделений;

Любые специальные меры, предпринимаемые в отношении рисков и влияния неопределенности на цели аудита;

Вопросы, относящиеся к конфиденциальности и сохранности информации;

Действия по результатам проверок, например, предыдущего аудита;

Вопросы координации, связанные с проведением других работ по аудиту, в случае совместного аудита.

План аудита может быть проанализирован и одобрен заказчиком аудита, и его следует представить на рассмотрение проверяемой организации. Любые возражения со стороны проверяемой организации, относящиеся к плану аудита, необходимо разрешить между руководителем группы по аудиту, проверяемой организацией и заказчиком аудита.

6.3.3 Распределение работ между членами группы по аудиту

Руководитель группы по аудиту в ходе консультаций с членами группы по аудиту должен обозначить и распределить ответственность между каждым членом группы за аудит конкретных процессов, работ, функциональных подразделений или участков производственной деятельности. При таком распределении следует учитывать независимость и компетентность аудиторов и результативное использование ресурсов, а также различные роли и обязанности аудиторов, стажеров и технических экспертов.

Руководитель группы по аудиту должен проводить рабочие совещания группы по аудиту для того, чтобы распределять рабочие задания и решать вопросы, касающиеся возможных изменений. По ходу проведения аудита могут быть сделаны изменения в рабочие задания или в выполнение работ, для того чтобы обеспечить достижение поставленных целей аудита.

6.3.4 Подготовка рабочих документов

Члены группы по аудиту должны собирать и анализировать информацию, относящуюся к зоне их ответственности, и осуществлять подготовку рабочих документов надлежащим образом для фиксации и протоколирования свидетельств аудита. Такие рабочие документы могут включать в себя:

Контрольные листы;

Планы выборок для аудита;

Формы для регистрации данных, таких как подтверждающие свидетельства, выводы аудита и протоколы совещаний.

Примечание - Руководящие указания по подготовке рабочих документов приведены в В.4 приложения В.

Рабочие документы, включая записи, являющиеся результатом использования документов, следует хранить, по меньшей мере, до завершения аудита. Хранение документов после завершения аудита представлено в 6.6. Для документов, содержащих конфиденциальную или частную информацию, членам группы по аудиту следует надлежащим образом обеспечить хранение и защиту.

6.4 Проведение аудита на месте

6.4.1 Общие положения

Мероприятия или работы по аудиту обычно проводятся в определенной последовательности согласно тому, как приведено на рисунке 2. Эта последовательность может меняться в соответствии с условиями конкретных аудитов.

6.4.2 Проведение предварительного совещания Целью предварительного совещания являются:

a) подтверждение согласия всех сторон (например, проверяемой организации, группы по аудиту) относительно плана аудита;

b) представление членов группы по аудиту:

c) обеспечение уверенности в том, что все запланированные в рамках аудита мероприятия могут быть выполнены.

Предварительное совещание проводят с руководством проверяемой организации и, когда это возможно, с теми лицами, которые отвечают за проверяемые подразделения или процессы. В ходе этого совещания предоставляется возможность задать вопросы.

Объем и степень предоставляемых сведений должны соответствовать степени осведомленности проверяемой организации с процессом аудита. Во многих случаях, например, при проведении внутренних аудитов в небольших организациях, предварительное совещание может состоять лишь из объявления о том, что началось проведение аудита, и объяснения сущности или специфики аудита.

В других случаях предварительное совещание может иметь официальный характер, при котором проводится регистрация присутствующих на нем лиц. Предварительное совещание должно проходить под руководством руководителя группы по аудиту, в обязанности которого входит:

Представить участников, включая наблюдателей и сопровождающих лиц, и объяснить их роль в аудите;

Подтвердить цели, область и критерии аудита;

Подтвердить с проверяемой организацией план аудита и другие необходимые мероприятия, связанные с аудитом, такие как дата и время заключительного совещания, любые промежуточные совещания группы по аудиту и руководства проверяемой организации и любые дальнейшие изменения;

Ознакомить с методами, которые будут использоваться при проведении аудита, включая информирование проверяемой организации о том, что свидетельства аудита будут основаны на выборках доступных данных;

Представить методы по управлению рисками, связанными с аудитом, которые могут иметь место для организации вследствие присутствия на местах членов группы по аудиту;

Подтвердить официальные каналы связи между группой по аудиту и проверяемой организацией;

Подтвердить язык, используемый при аудите;

Подтвердить, что во время аудита проверяемая организация будет информироваться о ходе его проведения;

Подтвердить, что необходимые группе по аудиту ресурсы и средства будут доступны;

Подтвердить обеспечение конфиденциальности и информационной безопасности;

Подтвердить обеспечение безопасности работы и ознакомление с соответствующими процедурами по обеспечению безопасности, а также в случае возникновения чрезвычайной ситуации для группы по аудиту;

Ознакомить с методом регистрации и составления отчетов по выявленным при проведении аудита фактам, включая их классификацию и любое ранжирование;

Проинформировать об условиях, при которых аудит может быть прекращен;

Проинформировать о заключительном совещании;

Проинформировать о том, каким образом следует обращаться с теми фактами, которые могут быть выявлены во время аудита;

Проинформировать о любой системе обратной связи с проверяемой организацией по рассмотрению выводов или заключений по результатам аудита, включая жалобы или апелляции.

6.4.3 Выполнение анализа документов во время проведения аудита Необходимо проанализировать документацию проверяемой организации, с тем чтобы:

Определить соответствие системы (насколько это отражено в документации) критериям аудита;

Собрать информацию для содействия реализации намеченных мероприятий в рамках проводимого аудита.

Примечание - Руководящие указания по выполнению анализа документации, приведены в В.2 приложения В.

Данный анализ может осуществляться в сочетании с другими видами деятельности по аудиту и может продолжаться походу выполнения мероприятий аудита, если это не сказывается негативным образом на результативности проведения аудита.

Если необходимая документация не может быть предоставлена в сроки, определенные планом аудита, руководителю группы по аудиту следует проинформировать лицо, ответственное за управление программой аудита, и проверяемую организацию. В зависимости от области применения и целей аудита следует принять решение о целесообразности продолжения проведения аудита или о приостановке его проведения до тех пор, пока не будут разрешены все вопросы, связанные с документацией.

6.4.4 Обмен информацией во время проведения аудита

В ходе аудита может возникнуть необходимость в заключении официальных соглашений по обмену информацией между группой по аудиту и проверяемой организацией, заказчиком аудита и, возможно, с внешними органами (например, контролирующими органами), особенно в тех случаях, когда законодательные нормы содержат требования об обязательном уведомлении о несоответствиях.

В группе по аудиту периодически проводят обмен информацией, оценивают ход аудита и, при необходимости, перераспределяют обязанности между членами группы по аудиту.

Во время аудита руководитель группы по аудиту должен периодически обмениваться информацией о ходе аудита и связанных с этим вопросах с проверяемой организацией и, при необходимости, с заказчиком аудита. Свидетельство, полученное во время аудита относительно предполагаемого непосредственного и существенного риска для проверяемой организации, должно быть без задержки доведено до сведения проверяемой организации и, если необходимо, заказчику аудита. Информация, выходящая за пределы области аудита, должна также приниматься во внимание и доводиться до руководителя группы по аудиту, чтобы была обеспечена возможность для ее передачи заказчику аудита или проверяемой организации.

Если имеющееся свидетельство аудита указывает на невыполнимость целей аудита, руководителю группы по аудиту следует доложить заказчику аудита или проверяемой организации о причинах для принятия соответствующих мер. Такие меры могут включать в себя внесение изменений и переутверждение плана аудита, изменение целей или области аудита, или прекращение аудита.

Любую необходимость во внесении изменений в план аудита, которая может выявляться походу выполнения мероприятий аудита, следует анализировать и согласовывать с лицом, ответственным за управление программой аудита, и, при необходимости, с проверяемой организацией.

6.4.5 Роль и обязанности сопровождающих лиц и наблюдателей

Сопровождающие лица и наблюдатели (например, представители регулирующего органа или других заинтересованных сторон) могут присутствовать при работе группы по аудиту. Они не должны оказывать влияние или вмешиваться в проведение аудита. В случае, если это не может быть гарантировано, руководитель группы по аудиту имеет право отказать наблюдателям в участии в некоторых мероприятиях аудита.

Для наблюдателей любые обязательства, относящиеся к здоровью, безопасности и конфиденциальности, должны оговариваться и регулироваться между заказчиком аудита и проверяемой организацией.

Сопровождающие лица, назначенные проверяемой организацией, должны оказывать помощь группе по аудиту и действовать по просьбе руководителя группы по аудиту. Сопровождающие лица должны выполнять следующие обязанности:

a) содействовать аудиторам, обеспечивать контакты и назначение времени для бесед (интервью);

b) организовывать доступ для посещения определенных объектов или рабочих участков проверяемой организации;

c) обеспечивать то, чтобы правила и процедуры по безопасности были известны и соблюдались членами группы по аудиту и наблюдателями.

Роль руководства может также включать в себя следующее:

Исполнять роли лиц, свидетельствующих в ходе аудита от имени проверяемой организации;

Предоставлять разъяснения или оказывать помощь при сборе информации.

6.4.6 Сбор и верификация информации

Во время проведения аудита информация, относящаяся к целям аудита, области и критериям аудита, включая информацию, касающуюся взаимодействия между подразделениями, деятельности и процессов, должна быть собрана путем необходимых выборок и верифицирована. В качестве свидетельства аудита следует принимать только ту информацию, которая может быть верифицирована. Свидетельства аудита должны быть зарегистрированы. Если во время сбора свидетельств группе по аудиту станут известны любые новые или измененные риски, их следует рассмотреть и принять соответствующие меры.

Примечание - Руководящие указания по выборкам, приведены в В.3 приложения В.

На рисунке 3 представлена блок-схема процесса, начиная от сбора информации до получения заключений по результатам аудита.

Методы сбора информации включают в себя следующее:

Наблюдения за деятельностью;

Анализ документов, включая записи.

Примечания

1 Руководящие указания, касающиеся источников информации, приведены в В.5 приложения В.

2 Руководящие указания, касающиеся посещения объектов и подразделений, приведены в В.6 приложения В.

3 Руководящие указания, по проведению опросов приведены в В.7 приложения В.

Рисунок 3 - Блок-схема процесса, начиная от сбора информации до получения заключений
по результатам аудита

6.4.7 Формирование выводов аудита

Для получения выводов аудита свидетельства аудита должны быть сопоставлены и оценены относительно критериев аудита. Выводы аудита могут указывать на соответствие или несоответствие критериям аудита. В случае, если это не может быть гарантировано, руководитель группы по аудиту имеет право отказать наблюдателям в участии в некоторых мероприятиях аудита.

Группе по аудиту, по мере необходимости, следует собираться для анализа выводов аудита на определенных этапах его Несоответствия и подтверждающие их свидетельства аудита должны быть записаны. Несоответствия могут быть классифицированы (ранжированы). Они должны быть проанализированы с проверяемой организацией для подтверждения объективности свидетельств аудита и для подтверждения того, что выявленные несоответствия правильно понимаются. Следует принять все возможные меры по разрешению любых разногласий во мнениях по свидетельствам и/или выводам аудита, а неразрешенные вопросы следует документально оформить.

Группе по аудиту, по мере необходимости, следует собираться для анализа выводов аудита на определенных этапах его проведения.

Примечание - Дополнительные руководящие указания по идентификации и оценке выводов аудита приведены в В.8 приложения В.

6.4.8 Подготовка заключений по результатам аудита

Группе по аудиту до заключительного совещания следует выполнить следующее:

a) проанализировать выводы аудита и любую другую соответствующую информацию, собранную во время аудита, на соответствие целям аудита;

b) согласовать заключения по результатам аудита с учетом неопределенности, присущей процессу аудита;

d) обсудить действия по результатам аудита, если это требуется. Заключения аудита могут содержать следующую информацию, касающуюся:

Степени соответствия критериям аудита и основательности системы менеджмента, включая эффективность системы менеджмента в достижении заявленных целей;

Эффективности внедрения, поддержания и улучшения системы менеджмента;

Возможностей процесса анализа со стороны руководства для обеспечения постоянной пригодности системы менеджмента, ее адекватности, эффективности и улучшения;

Достижения целей аудита, степени охвата области аудита и выполнения критериев аудита;

Корневых причин выявленных фактов (наблюдений), если это предусмотрено планом аудита;

Сопоставления и обобщения аналогичных или схожих по своему характеру фактов, выявленных при проведении аудита в различных областях, для определения тенденций (трендов).

Если это определено планом аудита, то заключения по результатам аудита могут вести к рекомендациям по улучшению или будущим видам деятельности по аудиту.

6.4.9 Проведение заключительного совещания

Проведение заключительного совещания должно быть организовано руководителем группы по аудиту таким образом, чтобы представленные выводы и заключения аудита были понятны и признаны проверяемой организацией. К участию в заключительном совещании следует привлекать руководителей проверяемой организации и, там, где это целесообразно, сотрудников, отвечающих за функции или процессы, которые были проверены в ходе аудита, а также заказчика аудита и другие стороны.

Если это необходимо, руководитель группы по аудиту должен сообщать проверяемой организации о сложившихся во время проведения аудита ситуациях, которые могут уменьшить доверие к информации, изложенной в заключениях по результатам аудита. Если это определено в системе менеджмента или соглашением с лицом, отвечающим за управление программой аудита, участникам следует согласовать сроки разработки и внедрения плана мероприятий по результатам аудита, включающего корректирующие и предупреждающие действия.

Объем и степень предоставляемых сведений должны соответствовать степени осведомленности проверяемой организации о процессе аудита. В других случаях, например, при внутренних аудитах, заключительное совещание является менее формальным и может состоять только из сообщения о выводах и заключениях по результатам аудита.

При необходимости, на заключительном совещании следует довести до сведения проверяемой организации следующее:

Что собранные во время аудита свидетельства основаны на выборке данных и информации, имевшейся на момент проведения аудита;

Метод протоколирования и составления отчетов, включая любую классификацию или ранжирование данных;

Процесс обработки и трактовки выводов аудита и возможные последствия, связанные с принятием решений по выявленным фактам;

Выводы аудита таким способом, чтобы они были понятны и признаны проверяемой организацией;

Любые последующие действия по результатам аудита (например, выполнение корректирующих действий, обработку претензий, процесс апелляций).

Любые разногласия по выводам и/или заключениям аудита между группой по аудиту и проверяемой организацией должны быть обсуждены и, по возможности, разрешены. В случае, если разногласия не удается разрешить, то все мнения должны быть зарегистрированы.

Если это предусмотрено целями аудита, могут быть предоставлены рекомендации по улучшению. Следует указать, что рекомендации не носят обязательного характера.

6.5.1 Подготовка отчета по аудиту

Руководитель группы по аудиту несет ответственность за подготовку и содержание отчета по аудиту.

Отчет по аудиту должен содержать полные, точные, четко сформулированные и понятные записи по аудиту и, в соответствии с процедурами аудита, должен включать в себя или содержать ссылку на следующее:

a) цели аудита;

b) область аудита, в частности, идентификацию проверенных организационных и функциональных подразделений или процессов и охватываемый период времени;

c) идентификацию заказчика аудита;

d) идентификацию членов группы по аудиту и представителей проверяемой организации, принимавших участие в проведении аудита;

e) даты и места проведения аудита на месте;

f) критерии аудита;

g) выводы аудита;

h) заключения по результатам аудита;

i) заявление о степени соответствия критериям аудита.

При необходимости в отчет по аудиту могут также быть включены:

План аудита, включая график;

Итоговое изложение процесса аудита, включая неопределенности и/или любые встретившиеся препятствия при его проведении, которые могут уменьшить достоверность заключений по результатам аудита;

Подтверждение достижения целей аудита в пределах области аудита в соответствии с планом аудита;

Области, не охваченные аудитом, но находящиеся в области аудита;

Итоговая сводка, содержащая заключения по результатам аудита и подтверждающие их выводы (наблюдения) аудита;

Неразрешенные противоречия между группой по аудиту и проверяемой организацией;

Возможности для улучшения, если это предусмотрено целями аудита;

Выявленные сильные стороны и лучшие практики;

Согласованный план действий по результатам аудита, если такой план имеется;

Заявление о конфиденциальном характере содержимого отчета;

Любые последствия для программы аудита или последующих аудитов;

Примечание - Отчет по аудиту может быть разработан до заключительного совещания.

Отчет по аудиту должен быть подготовлен и представлен в согласованные сроки. В случае задержки, о ее причинах следует сообщить проверяемой организации и лицу, ответственному за управление программой аудита.

Отчет по аудиту должен иметь дату выпуска, надлежащим образом проанализирован и утвержден в соответствии с процедурами программы аудита.

Затем отчет по аудиту должен быть разослан получателям, определенным процедурами аудита.

6.6 Завершение аудита

Аудит считается завершенным, если все запланированные мероприятия аудита были выполнены или же на основании, согласованном с заказчиком аудита (например, могут быть непредвиденные ситуации, которые препятствуют тому, чтобы аудит был завершен в соответствии с разработанным планом).

Документы, относящиеся к аудиту, следует хранить или уничтожать на основании соглашения между участвующими сторонами в соответствии с процедурами программы аудита и применяемыми законодательными и другими требованиями.

Если это не предусмотрено законом, группа по аудиту и лицо, ответственное за управление программой аудита, не должны раскрывать содержимого документов и другой информации, полученной во время аудита, или отчета по аудиту любой другой стороне без ясного разрешения заказчика аудита и, где это требуется, разрешения проверяемой организации. Если необходимо раскрыть содержание документов аудита, заказчик аудита и проверяемая организация должны быть незамедлительно об этом проинформированы.

Из наблюдений и выводов, полученных при проведении аудита, проверяемой организации следует извлекать необходимые уроки для включения соответствующих действий в процесс постоянного улучшения своей системы менеджмента.

6.7 Действия по результатам аудита

Заключения по результатам аудита могут в зависимости от целей аудита указывать на необходимость выполнения коррекций, корректирующих и предупреждающих действий или действий по улучшению. Такие действия, как правило, разрабатываются и выполняются проверяемой организацией в согласованные временные сроки. При необходимости, проверяемой организации следует информировать лицо, ответственное за управление программой аудита, и группу аудиторов о состоянии выполнения этих действий.

Выполнение и результативность этих действий должны быть верифицированы. Такая верификация может быть частью последующего аудита.

7 Компетентность и оценка аудиторов

7.1 Общие положения

Доверие к процессу аудита и его способность достигнуть поставленные цели зависит от компетентности лиц, участвующих в планировании и проведении аудитов, включая аудиторов и руководителей групп по аудиту. Компетентность следует оценивать посредством процесса, учитывающего личные качества и способность применять знания и навыки, приобретенные посредством обучения, производственного опыта, подготовки в качестве аудитора и опыта в проведении аудита. Этот процесс должен учитывать потребности программы аудита и ее цели. Некоторые знания и навыки, описанные в 7.2.3, являются общими и универсальными для аудиторов любой дисциплины или области, охватываемой соответствующей системой менеджмента, остальные имеют особый характер, учитывающий конкретную специфику дисциплины или области, охватываемой системой менеджмента. При этом нет необходимости в том, чтобы каждый аудитор в группе по аудиту имел одинаковый уровень компетентности; при этом необходимо, чтобы общая компетентность группы по аудиту была достаточной для выполнения целей аудита.

Оценку компетентности аудиторов необходимо планировать, осуществлять и документально оформлять в соответствии с программой аудита, включая процедуры для получения объективного, надежного и соответствующего имеющимся потребностям результата. Процесс оценки должен включать в себя следующие четыре этапа:

a) определение компетентности персонала для проведения аудита, требуемой для программы аудита;

b) определение критериев оценки;

c) выбор соответствующего метода оценки;

d) проведение оценки.

Результат процесса оценки должен служить основой для:

Формирования группы по аудиту (5.4.4);

Определения потребности в обучении и подготовке или других потребностей, связанных с увеличением уровня компетентности;

Оценки текущей работы аудиторов.

Аудиторы должны развивать, поддерживать и улучшать свою компетентность посредством постоянного профессионального развития и регулярного участия в аудитах (7.6).

Процесс оценки аудиторов и руководителей группы по аудиту описан в 7.4 и 7.5.

Оценка руководителей групп по аудиту должна проводиться согласно критериям, установленным в 7.2.2 и 7.2.3.

Компетентность, необходимая лицу, управляющему программой аудита, описана в 5.3.2.

7.2 Определение компетентности аудитора для удовлетворения потребностей программы аудита

7.2.1 Общие положения

При принятии решений, касающихся необходимого уровня знаний и навыков, следует учитывать следующее:

Размер, вид деятельности и структурные особенности проверяемой организации;

Аспекты деятельности (дисциплины) системы менеджмента, подлежащей аудиту;

Цели и объем программы аудита;

Другие требования, например, устанавливаемые внешними органами, если они применяются;

Роль процесса аудита в системе менеджмента проверяемой организации;

Сложность, объем и структуру системы менеджмента, подлежащей аудиту;

Имеющуюся неопределенность, связанную с достижением целей аудита.

Эту информацию следует соотнести с информацией, приведенной в 7.3.1 - 7.3.3.

7.2.2 Личные качества

Аудиторы должны обладать необходимыми личными качествами, позволяющими им действовать в соответствии с принципами проведения аудита, изложенными в разделе 4. Аудиторы должны проявлять профессиональное отношение и личные качества во время проведения аудита, включающие в себя:

Этичность - честность, правдивость, искренность и благоразумие;

Открытость и непредубежденность - желание и готовность воспринимать альтернативные идеи или точки зрения;

Дипломатичность - тактичность при обращении с людьми;

Наблюдательность - активное наблюдение за окружающей обстановкой и видами деятельности;

Восприимчивость - осведомленность и способность к пониманию ситуаций;

Универсальность - возможность быстро адаптироваться к различным ситуациям;

Упорство - настойчивость, нацеленность на достижение целей;

Решительность - своевременное принятие решений на основе логических соображений и анализа;

Самостоятельность - действовать и выполнять свои функции независимо, результативно взаимодействуя с другими;

Принципиальность - готовность действовать ответственно и этично даже в тех случаях, когда эти действия могут не встречать одобрения или приводить к разногласиям или конфронтации;

Готовность к самосовершенствованию - обучение в процессе работы, стремление к достижению наилучших результатов при проведении аудитов;

Высокая культура поведения - соблюдение и уважительное отношение к культурным ценностям проверяемой организации;

Умение сотрудничать и работать с людьми - результативное взаимодействие с другими, включая членов группы по аудиту и персонал проверяемой организации.

7.2.3 Знания и навыки

7.2.3.1 Общие положения

Аудиторы должны обладать знаниями и навыками, необходимыми для достижения намеченных результатов аудитов, проведение которых им будет поручено. Все аудиторы должны обладать общими знаниями и навыками, и также предполагается, что они будут обладать некоторыми специальными знаниями и навыками в конкретных дисциплинах и отраслях менеджмента. Руководители групп по аудиту должны иметь дополнительные знания и навыки, необходимые для обеспечения надлежащего руководства группой по аудиту.

7.2.3.2 Общие знания и навыки аудиторов систем менеджмента Аудиторы должны обладать знаниями и навыками в следующих областях:

а) Принципы, процедуры и методы аудита - знания и навыки в этой области позволяют аудитору применять подходящие принципы, процедуры и методы для различных аудитов и обеспечивать проведение данных аудитов последовательным и систематическим образом. Аудитор должен быть способен:

Применять принципы, процедуры, методы и приемы аудита;

Эффективно планировать и организовывать работу;

Проводить аудит в течение установленного срока;

Устанавливать приоритеты и быть сфокусированным на существенных вопросах;

Собирать информацию посредством эффективного опроса, выслушивания, наблюдений и анализа документов, записей и данных;

Понимать и учитывать мнения экспертов;

Понимать пригодность, соответствие и последствия использования тех или иных приемов выборочного исследования для аудита;

Верифицировать точность собранной информации;

Подтверждать достаточность и приемлемость свидетельств аудита для обоснования выводов аудита и заключений;

Оценивать факторы, которые могут повлиять на достоверность выводов и заключений по результатам аудита;

Использовать рабочие документы для регистрации деятельности по аудиту;

Готовить отчеты по аудиту;

Сохранять конфиденциальность и безопасность информации, документов и записей;

Осуществлять эффективный обмен информацией, используя вербальные и письменные средства коммуникации (включая использование услуг переводчиков);

Понимать типы рисков, связанных с проведением аудитов.

b) Система менеджмента и ссылочные документы - знания и навыки в этой области позволяют аудитору понимать область применения аудита и применять критерии аудита. Данные знания и навыки должны охватывать следующее:

Стандарты по системам менеджмента и другие документы, используемые в качестве критериев аудита;

Применение стандартов по системам менеджмента проверяемой организацией и другими организациями, когда это применимо;

Взаимодействие элементов системы менеджмента;

Понимание иерархии ссылочных документов (их различий и приоритетов);

Применение ссылочных документов к различным ситуациям при аудите.

c) Специфика организационной деятельности - знания и навыки в этой области позволяют аудитору понимать структуру, бизнес и применяемые организацией методы управления и должны охватывать следующее:

Типы, управление, размер, структуру, функции организации и взаимосвязи внутри нее;

Общие бизнес-понятия и концепции менеджмента, бизнес-процессы и соответствующую терминологию, включая планирование, составление финансовых смет и бюджета организации, управление персоналом;

Культурные и социальные аспекты проверяемой организации.

d) Применяемые к проверяемой организации законодательные, контрактные и другие требования - знания и навыки в этой области позволяют аудитору быть осведомленным и работать в рамках законодательных и контрактных требований, относящихся к деятельности организации. Знания и навыки, характерные для конкретной области юрисдикции или видов деятельности и продукции проверяемой организации, должны охватывать следующее:

Законы, нормативные правовые акты и правила и их правоприменительную практику;

Основополагающую юридически-правовую терминологию;

Контракты и другие юридические обязательства.

7.2.3.3 Специальные знания и навыки аудиторов систем менеджмента по дисциплинам и конкретным отраслям менеджмента

Аудиторы должны иметь специальные знания и навыки по соответствующим дисциплинам и отраслям менеджмента, которые будут достаточными для проведения аудита конкретного типа системы менеджмента и отрасли.

При этом нет необходимости в том, чтобы каждый аудитор в группе по аудиту имел одинаковый уровень компетентности; однако необходимо, чтобы общая компетентность группы по аудиту была достаточной для достижения целей аудита.

Специальные знания и навыки аудиторов по конкретным дисциплинам и отраслям менеджмента включают в себя следующее:

Требования и принципы системы менеджмента, характерные для конкретной дисциплины, и их применение;

Законодательные требования, относящиеся к данной дисциплине или отрасли, необходимые для того, чтобы знать требования, относящиеся к конкретной юрисдикции и обязательствам проверяемой организации, ее деятельности и продукции;

Требования заинтересованных сторон, относящиеся к конкретной дисциплине;

Базовые понятия и основные принципы данной дисциплины менеджмента и применение характерных для данной дисциплины методов, технических приемов, процессов и практик в той степени, чтобы быть способным исследовать данную систему менеджмента и делать соответствующие выводы и заключения по результатам аудита;

Специальные знания в области дисциплины менеджмента, относящиеся к конкретной отрасли, специфике операций или проверяемым местам производственной деятельности, в той степени, чтобы было возможно оценивать виды деятельности проверяемой организации, ее процессы и продукцию (товары и услуги);

Принципы, методы и технические приемы управления рисками, относящиеся к данной дисциплине или отрасли, с тем чтобы возможно было оценивать и контролировать риски, связанные с программой аудита.

Примечание - Руководящие указания и пояснительные примеры в отношении знаний и навыков аудиторов, характерные для отдельных дисциплин менеджмента, приведены в приложении А.

7.2.3.4 Общие знания и навыки руководителя группы по аудиту

Руководители групп по аудиту должны иметь дополнительные знания и навыки для управления и руководства аудитом для обеспечения результативного и эффективного проведения аудита. Руководитель группы по аудиту должен иметь знания и навыки, необходимые для:

a) уравновешивания сильных сторон и недостатков членов конкретной группы по аудиту;

b) выработки гармоничных рабочих отношений между членами группы по аудиту;

c) управления процессом аудита, включающего в себя:

Планирование аудита и эффективное использование ресурсов во время аудита,

Управление имеющейся неопределенностью, которая связана с достижением целей аудита,

Обеспечение безопасности, касающейся здоровья членов группы по аудиту во время проведения аудита, включая соблюдение аудиторами соответствующих требований в области охраны труда и корпоративной безопасности,

Организацию и направления работы членов группы по аудиту,

Обеспечение руководства и сопровождение работы стажеров,

Предупреждение и, в случае необходимости, разрешение конфликтных ситуаций;

d) представления группы по аудиту при взаимодействии и обеспечении обмена информацией с заказчиком аудита и проверяемой организацией;

e) руководства группой по аудиту для достижения заключений по результатам аудита; и

f) подготовки и представления итогового отчета по результатам аудита.

7.2.3.5 Знания и навыки для аудита систем менеджмента, включающих в себя различные дисциплины

Аудиторы, которые собираются в качестве членов группы по аудиту участвовать в проведении проверок систем менеджмента, включающих в себя несколько дисциплин, должны обладать компетентностью, необходимой для проведения аудиторской проверки хотя бы одного из этих аспектов систем менеджмента, и понимать аспекты, связанные с взаимодействием и взаимным влиянием друг на друга между различными системами менеджмента.

Руководители групп по аудиту, проводящие аудиты систем менеджмента, включающих в себя различные аспекты, должны понимать требования стандартов, предназначенных для каждой системы менеджмента, и должны четко осознавать границы своих знаний и навыков применительно к каждому из этих аспектов менеджмента.

7.2.4 Достижение требуемого уровня компетентности аудиторов

Знания и навыки аудиторов могут приобретаться посредством использования сочетания следующих элементов:

Образование/обучение в соответствии с установленной программой и проверкой знаний и практический опыт, способствующий развитию и повышению уровня знаний и навыков для той дисциплины системы менеджмента и сектора, которые аудитор намеревается проверять в рамках аудитов;

Программы обучения и подготовки персонала, охватывающие общие знания и навыки;

Опыт работы на соответствующей технической, управленческой или профессиональной позиции, включающий в себя практический опыт принятия решений, заключений, разрешения проблем и непосредственного общения с руководителями, специалистами, коллегами, потребителями и другими заинтересованными сторонами;

Опыт проведения аудитов, приобретенный при работе под наблюдением аудитора в той же самой области или дисциплине менеджмента, которую аудитор намеревается проверять.

7.2.5 Руководители группы по аудиту

Руководителю группы по аудиту следует приобрести дополнительный опыт по аудиту, чтобы совершенствовать знания и навыки, описанные в 7.3.2. Этот дополнительный опыт должен накапливаться при исполнении обязанностей под руководством и наблюдением руководителя группы по аудиту.

7.3 Определение критериев оценки аудитора

Критерии могут быть качественными (такие как демонстрируемые личные качества, знания или характеристики навыков при обучении или при выполнении обязанностей на рабочем месте) и количественными (такие как опыт работы и обучения в годах, количество проведенных аудитов, количество часов обучения и подготовки по аудиту).

7.4 Выбор соответствующего метода оценки аудитора

Оценку следует проводить, используя два или несколько методов, выбранных из таблицы 1. При использовании таблицы 1 необходимо обратить внимание на следующее:

Приведенные методы представляют диапазон возможностей и не могут быть применимы во всех ситуациях;

Различные приведенные методы могут отличаться по своей надежности;

Обычно для обеспечения того, чтобы результат был объективным, согласующимся, беспристрастным и достоверным, необходимо выбирать сочетание методов.

Таблица 1 - Возможные для применения методы оценки

Метод оценки
Анализ записей	Проверка квалификации аудитора	Анализ записей об образовании, обучении, производственном опыте и опыте по аудиту
Обратная связь	Обеспечивает информацией о том, как воспринимается деятельность аудитора	Инспектирование деятельности, опросы, резюме, рекомендации, жалобы, оценка деятельности, отзывы коллег
Собеседование	Оценка личных качеств и коммуникационных навыков, проверка информации и знаний по тестам и получение дополнительной информации	Персональное собеседование
Наблюдение	Оценка личных качеств и способности применения знаний и навыков	Ролевые игры, наблюдения в процессе аудита, деятельность на рабочем месте
Тестирование	Оценка личных качеств, знаний, навыков и их применение	Устные и письменные экзамены, психометрическое тестирование
Анализ деятельности после аудита	Получение информации о работе аудитора во время выполнения действий по аудиту, определение его сильных сторон и недостатков	Анализ отчета по аудиту, опросы и обсуждение с руководителем группы по аудиту, членами группы по аудиту и, при необходимости, использование обратной связи для получения информации от проверяемой организации

7.5 Проведение оценки аудитора

На этом этапе собранную информацию о сотруднике сравнивают с критериями, установленными в 7.3. В случае, если сотрудник, участие которого предполагается в программе по аудиту, не соответствует критериям, то указывают на необходимость проведения дополнительного обучения, опыта работы и/или участия в аудите, после чего проводят повторную оценку.

В приложении В приведены некоторые рассматриваемые примеры.

7.6 Поддержание и повышение компетентности аудитора

Аудиторы и руководители группы по аудиту должны поддерживать свою компетентность в области аудита посредством регулярного участия в аудитах системы менеджмента и постоянного роста профессионализма. Постоянный профессиональный рост включает в себя поддержание и улучшение компетентности. Он может быть достигнут посредством дополнительного практического опыта, обучения, стажировок, самоподготовки, занятий с репетиторами, посещения совещаний, семинаров и конференций или других видов деятельности. Аудиторы, руководители группы по аудиту и сотрудники, отвечающие за управление программой аудита, должны постоянно улучшать и совершенствовать свою компетентность.

Организация, имеющая потребность в проведении аудитов, должна внедрить подходящие механизмы для постоянной оценки деятельности аудиторов, руководителей групп по аудиту и лиц, ответственных за управление программой аудита.

Деятельность по постоянному профессиональному росту должна учитывать следующее:

Изменения в личных потребностях аудиторов и организаций, отвечающих за проведение аудита;

Практику проведения аудитов;

Соответствующие стандарты и другие требования.

Приложение А
(справочное)

Руководящие указания и пояснительные примеры в отношении
специальных знаний и навыков аудиторов в области отдельных
дисциплин менеджмента

А.1 Общие положения

В настоящем приложении приведены наиболее характерные примеры специальных знаний и навыков для аудиторов систем менеджмента в области отдельных дисциплин менеджмента, предназначенные для того, чтобы помочь лицу, ответственному за управление программой аудита, отобрать или произвести оценку аудиторов.

Другие примеры специальных знаний и навыков для аудиторов, характерные для дисциплин менеджмента, могут также быть разработаны применительно к системам менеджмента. Предполагается, что там, где это возможно, такие примеры будут приведены в той же общей структуре для обеспечения возможности их сравнения.

А.2 Пояснительный пример в отношении специальных знаний и навыков аудиторов в области

менеджмента безопасности при транспортировании

Знания и навыки, относящиеся к менеджменту безопасности при транспортировании и к применению методов, технических приемов, процессов и практик в этой области, должны быть достаточными для того, чтобы позволить аудитору надлежащим образом изучить данную систему менеджмента и сделать соответствующие выводы и заключения по результатам аудита.

Терминологию менеджмента безопасности;

Понимание системного подхода, относящегося к обеспечению безопасности;

Оценку рисков и их уменьшение;

Анализ факторов, связанных с деятельностью человека, относящихся к менеджменту безопасности при транспортировании;

Поведение и взаимодействие людей;

Взаимодействие и взаимное влияние факторов, относящихся к людям, машинам, процессам и производственной среде;

Потенциальные опасности и другие факторы на рабочих местах, влияющие на безопасность;

Методы и практики по расследованию происшествий и мониторинг показателей деятельности в области безопасности;

Оценку происшествий и несчастных случаев на производстве;

Разработку показателей деятельности и соответствующих метрик в области профилактических мер и мер по своевременному реагированию.

Примечание - Дополнительную информацию см. в ИСО 39001 (на стадии подготовки) по системам менеджмента безопасности дорожного движения, разработанном ИСО/ПК 241.

А.3 Пояснительный пример в отношении специальных знаний и навыков аудиторов в области экологического менеджмента

Примеры знаний и навыков в этой области включают в себя:

Терминологию в области охраны окружающей среды;

Экологические метрики и статистические методы;

Методологию измерений и мониторинга;

Взаимодействие экосистем и их биологическое разнообразие;

Экологические среды и их носители (например, воздух, вода, земля, растительный и животный мир);

Технические приемы для определения рисков (например, оценку экологических аспектов/воздействий, включая методы для оценки их значительности);

Оценку жизненного цикла;

Оценивание экологических показателей;

Предотвращение и контроль загрязнения окружающей среды (например, наилучшие из имеющихся технических приемов для контроля загрязнения или в области энергоэффективности);

Снижение потребления сырьевых источников, уменьшение образования и повторное использование отходов (практики и процессы переработки и повторных циклов);

Использование опасных веществ;

Расчет и управление выбросами в атмосферу парниковых газов;

Менеджмент природных ресурсов (например, природное топливо, вода, флора и фауна, земля);

Экологическое проектирование;

Экологическую отчетность и оглашение экологических данных;

Эффективное управление ресурсами при реализации процессов жизненного цикла продукции;

Технологии с применением возобновляемых ресурсов и пониженным образованием углекислого газа.

Примечание - Дополнительную информацию см. в соответствующих стандартах в области экологического менеджмента, разработанных ИСО/ТК 207.

А.4 Пояснительный пример в отношении специальных знаний и навыков аудиторов в области менеджмента качества

Знания и навыки, относящиеся к этой дисциплине менеджмента и к применению методов, технических приемов, процессов и практик в этой области, должны быть достаточными для того, чтобы позволить аудитору надлежащим образом изучить данную систему менеджмента и сделать соответствующие выводы и заключения по результатам аудита.

Примеры знаний и навыков в этой области включают в себя:

Терминологию, относящуюся к качеству, менеджменту, организации, процессам и продукции, характеристикам, соответствию, документации, аудиту и процессам, связанным с проведением измерений;

Подходы, ориентированные на потребителя; процессы, связанные с потребителями, мониторинг и измерение удовлетворенности потребителей, обращение с жалобами, правила поведения и разрешение разногласий;

Лидерство, роль высшего руководства, управление устойчивым успехом организации, подход менеджмента качества, реализующий финансовые и экономические преимущества через управление качеством, системы менеджмента качества и модели совершенства в области управления качеством;

Вовлечение персонала, факторы, связанные с деятельностью персонала, компетентность, подготовку и осведомленность персонала;

Процессный подход, технические приемы для анализа процессов, возможностей и управления процессами, методы работы с рисками;

Системный подход к менеджменту (логическое обоснование систем менеджмента качества, основные ориентиры систем менеджмента качества и других систем менеджмента, документация систем менеджмента качества), виды и стоимость, проекты, планы в области качества, управление конфигурацией;

Постоянное улучшение, инновации и обучение;

Подход по принятию решений, основанный на фактах, технические приемы по оценке рисков (идентификация, анализ и оценивание рисков), деятельность по оцениванию менеджмента качества (аудит, анализ и самооценка), техника проведения измерений и мониторинга, требования к процессам проведения измерений и к измерительному оборудованию, анализ корневых причин, статистические методы;

Характеристики процессов и продукции, включая услуги;

Взаимовыгодные отношения с поставщиками, требования к системам менеджмента качества и требования к продукции, специальные требования к менеджменту качества в различных отраслях экономики.

Примечание - Дополнительную информацию см. в соответствующих стандартах в области менеджмента качества, разработанных ИСО/ТК 176.

А.5 Пояснительный пример в отношении специальных знаний и навыков аудиторов в области управления записями

Примеры знаний и навыков в этой области включают в себя:

Записи, процессы управления записями и терминологию систем менеджмента для записей;

Разработку показателей деятельности и метрик в этой области;

Проведение исследования и оценку практик по ведению записей посредством проведения опросов, наблюдения и валидации;

Анализ выборок записей, созданных в бизнес-процессах, ключевые характеристики записей, систем записей, процессов и средств управления записями;

Оценку рисков (например, оценка рисков при неудачных действиях по созданию адекватных записей, а также по поддержанию и управлению этими записями, относящимися к бизнес-процессам организации);

Продуктивность и адекватность соответствующих процессов для создания, сохранения и управления записями;

Оценку адекватности и результативности систем записей (включая бизнес-системы для создания и управления записями), пригодность используемых технологических средств, технических приспособлений и оборудования;

Различные уровни компетентности в области управления записями на всех уровнях организации и проведение оценки данной компетентности;

Значение содержания, рассматриваемого контекста, структуры, представления и управления информацией (обмена данных) для определения и управления записями и системами записей;

Методы для разработки специальных инструментов для ведения и поддержания записей;

Технологии, используемые для создания, сохранения, преобразования и передачи, а также для обеспечения долгосрочной сохранности электронных/цифровых записей;

Идентификацию и значение документации, связанной с авторизацией, для процессов, связанных с записями.

Примечание - Дополнительную информацию см. в соответствующих стандартах в области управления записями, разработанных ИСО/ТК 46/ПК 11.

А.6 Пояснительный пример в отношении специальных знаний и навыков аудиторов в области менеджмента по обеспечению безопасности, постоянной готовности, устойчивого и непрерывного организационного управления

Примеры знаний и навыков в этой области включают в себя:

Процессы, научные подходы и практические приемы, лежащие в основе менеджмента обеспечения безопасности, постоянной готовности, устойчивого и непрерывного организационного управления;

Методы разведывательного характера по сбору информации и мониторингу в области безопасности;

Управление рисками, связанными с чрезвычайными и аварийными ситуациями (прогнозирование, предотвращение, защита и уменьшение негативных последствий, принятие мер оперативного реагирования и устранение последствий чрезвычайной ситуации);

Оценку рисков (идентификацию и оценку стоимости имущества, идентификацию, анализ и оценку рисков) и анализ негативного воздействия (на людей, материальные и нематериальные активы, а также на окружающую среду);

Принятие мер по рискам (адаптивного, упреждающего и противодействующего характера);

Методы для обеспечения безопасности и защиты людей;

Методы и практики для защиты имущества и физической безопасности;

Методы и практики по управлению деятельностью в области профилактики, предупреждения и обеспечения мер безопасности;

Методы и практики по управлению в кризисных ситуациях, по адекватному реагированию и минимизации последствий происшествий;

Методы и практики по управлению действиями в чрезвычайных и аварийных ситуациях, по поддержанию непрерывности организационного управления и по восстановлению нормального режима работы;

Методы и практики по мониторингу, измерению и регистрации показателей деятельности (включая методологии в области исследований и тестирования).

Примечание - Дополнительную информацию см. в соответствующих стандартах в области менеджмента обеспечения безопасности, постоянной готовности, устойчивого и непрерывного организационного управления, разработанных ИСО/ТК 8, ИСО/ТК 223 и ИСО/ТК 247.

А.7 Пояснительный пример в отношении специальных знаний и навыков аудиторов в области менеджмента информационной безопасности

Примеры знаний и навыков в этой области включают в себя:

Руководящие указания стандартов, таких как ИСО/МЭК 27000, ИСО/МЭК 27001, ИСО/МЭК 27002, ИСО/МЭК 27003, ИСО/МЭК 27004 и ИСО/МЭК 27005;

Идентификацию и оценку требований потребителей и других заинтересованных сторон;

Законы и правила, касающиеся информационной безопасности (например, интеллектуальная собственность; содержание, защита и сохранение организационных записей; защита и конфиденциальность данных, применение средств в области шифрования, антитеррористические меры, электронная коммерция, электронные и цифровые подписи, надзор рабочих мест, эргономика рабочих мест, контроль телекоммуникационной связи и мониторинг данных (например, электронной почты), работа с компьютером, сбор свидетельств в электронном виде, тестирование на проникновение для оценки безопасности компьютерных систем или сетей от атак или попыток проникновения и т. д.);

Процессы, научные подходы и практические приемы, лежащие в основе менеджмента информационной безопасности;

Оценку рисков (идентификация, анализ и проведение оценки) и тенденций в технике, угроз и уязвимых мест;

Управление рисками в области информационной безопасности;

Методы и практики, касающиеся средств управления в области информационной безопасности (электронные и физические);

Методы и практики по обеспечению сохранения целостности информации и по ее защите в случае несанкционированных попыток внести изменения;

Методы и практики для измерения и оценки эффективности системы менеджмента информационной безопасности и связанных с ней мер в области управления;

Методы и практики для измерения, мониторинга и регистрации показателей деятельности (включая тестирование, аудиты и анализы).

Примечание - Дополнительную информацию см. в соответствующих стандартах в области менеджмента информационной безопасности, разработанных объединенным техническим комитетом ИСО/МЭК ОТК 1/ПК 27.

А.8 Пояснительный пример в отношении специальных знаний и навыков аудиторов в области менеджмента профессиональной безопасности и охраны здоровья

А.8.1 Общие знания и навыки

Примеры знаний и навыков в этой области включают в себя:

Идентификацию опасностей, включая факторы, влияющие на работу персонала на рабочем месте, и другие факторы (такие как физические, химические и биологические факторы, а также пол, возраст, физические ограничения, влияющие на трудоспособность, или другие физиологические, психологические факторы или факторы, относящиеся к охране здоровья);

Оценку рисков, определение мер по управлению, передачу сведений о рисках [определение мер в области управления должно основываться на «иерархии мер по управлению» (см. OHSAS 18001:2007, пункт 4.3.1)];

Оценивание здоровья и факторов, связанных с деятельностью человека (включая физиологические и психологические факторы), и принципы для проведения их оценки;

Метод для мониторинга воздействий на персонал вредных или опасных факторов и для оценки рисков в области профессиональной безопасности и охраны здоровья персонала (включая риски, возникающие вследствие указанных выше факторов, связанных с деятельностью персонала, или имеющие отношение к производственной гигиене), и связанные с этим стратегии по устранению или минимизации таких воздействий;

Особенности поведения людей, взаимодействие между людьми, между людьми и машинами, процессами и производственной средой (включая рабочие места, принципы организации рабочих мест с учетом эргономических факторов и техники безопасности, информационные и коммуникационные технологии);

Оценивание различных типов и уровней компетентности в области профессиональной безопасности и охраны здоровья, требуемых на всех уровнях организации, и проведение оценки данной компетентности;

Методы по стимулированию участия и вовлечению работников в деятельность в данной области менеджмента;

Методы поощрения правильного или образцового поведения персонала и личной ответственности работников (в отношении курения, потребления веществ с наркотическими свойствами, алкоголя, проблем, связанных с избыточным весом, стрессами, агрессивным поведением и т. д.) как в рабочее, так и свободное от работы время;

Разработку, применение и оценивание показателей деятельности и соответствующих метрик в области профилактических мер и мер по своевременному реагированию;

Принципы и практики для идентификации возможных аварийных ситуаций, а также по планированию соответствующих действий, предотвращению, адекватному реагированию и устранению последствий аварийных ситуаций;

Методы для расследования и оценивания происшествий (включая несчастные случаи на производстве и профессиональные заболевания);

Определение и использование информации, относящейся к охране здоровья работников (включая данные мониторинга по воздействию вредных и опасных факторов на производстве и заболеваниям работников), с учетом требований по обеспечению конфиденциальности в отношении отдельных аспектов информации такого характера;

Понимание информации в области медицины (включая медицинскую терминологию, для того чтобы понимать сведения, относящиеся к предотвращению травм и профессиональных заболеваний);

Величины систем предельно допустимого воздействия вредных и опасных факторов на производстве;

Методы проведения мониторинга и регистрации показателей в области профессиональной безопасности и охраны здоровья;

Понимание законодательных и других требований в области профессиональной безопасности и охраны здоровья в достаточной степени, для того чтобы аудитор мог оценивать систему менеджмента в области профессиональной безопасности и охраны здоровья.

А.8.2 Знания и навыки, относящиеся к проверяемой в ходе аудита отрасли

Знания и навыки, относящиеся к проверяемой в ходе аудита отрасли, должны быть достаточными для того, чтобы аудитор мог изучить проверяемую систему менеджмента в контексте тех требований, которые применяются в данной отрасли, и сделать соответствующие выводы и заключения по результатам аудита. Примеры знаний и навыков в этой области включают в себя:

Процессы, оборудование, сырьевые материалы, опасные вещества, производственные циклы, меры по обслуживанию и ремонту, материально-техническому обеспечению, организацию цепочки производственных процессов, практики и методы работы, организацию посменной работы, корпоративной культуры, лидерство, поведение и мотивацию персонала, а также другие вопросы, характерные для данной производственной деятельности или отрасли;

Типовые опасности и риски, включая факторы, связанные с деятельностью персонала или влияющие на его здоровье, характерные для данной отрасли.

Примечание - Дополнительную информацию см. в соответствующих стандартах в области профессиональной безопасности и охраны здоровья, разработанных проектной группой OHSAS.

Приложение В
(справочное)

Дополнительное руководящее указание для аудиторов
по планированию и проведению аудитов

В.1 Применение методов аудита

Для выполнения аудита могут применяться различные методы. В настоящем приложении приведены объяснения, относящиеся к широко применяемым в настоящее время методам аудита. Методы, выбираемые для проведения аудита, зависят от установленных целей, области применения и критериев аудита, а также от сроков и мест проведения аудитов. При выборе метода проведения аудита следует также учитывать имеющийся на данный момент уровень аудиторской компетентности и любые неопределенности (погрешности), возникающие вследствие применения этих методов. Применение множества и использование сочетания различных методов может оптимизировать продуктивность и эффективность процесса, связанного с аудитом, и его результаты.

При выполнении аудита происходит взаимодействие среди людей с системой менеджмента, проверяемой при аудите, и с технологией, используемой при проведении аудита. В таблице В.1 представлены примеры методов аудита, которые могут быть использованы отдельно или в сочетании с другими методами для того, чтобы достичь поставленных целей аудита. В случае, если при проведении аудита задействована группа по аудиту, включающая в себя многочисленных членов, то могут одновременно применяться методы, предусматривающие проведение мероприятий аудита как непосредственно на местах производственной деятельности, так и на расстоянии с использованием соответствующих средств коммуникации.

Примечание - Дополнительная информация, касающаяся посещений подразделений проверяемой организации на местах, приведена в В.6.

Таблица В.1 - Применяемые методы проведения аудита

Степень вовлеченности между организацией-аудитором и проверяемой организацией	Местоположение аудитора
	на местах производственной деятельности организации	на расстоянии
Взаимодействие людей	Проведение интервью. Заполнение проверочных листов и вопросников с участием персонала проверяемой организации. Проведение анализа документации с участием представителей проверяемой организации.	Через интерактивные средства коммуникации: Проведение интервью; Заполнение проверочных листов и вопросников; Проведение анализа документации с участием представителей проверяемой организации
Без взаимодействия людей	Наблюдение за выполнением работы. Посещение производственных подразделений. Заполнение проверочных листов. Осуществление представительных выборок	Проведение анализа документации (например, анализ записей, данных). Наблюдение за выполнением работы с помощью технических средств, обеспечивающих надзор за производственной деятельностью, с учетом социальных и юридических требований. Анализ данных
Мероприятия аудита на местах выполняются на месте производственной деятельности проверяемой организации. Мероприятия аудита на расстоянии выполняются в любом месте, кроме мест расположения подразделений и производственной деятельности проверяемой организации, независимо от расстояния. Интерактивные мероприятия аудита включают в себя взаимодействие персонала проверяемой организации и группы по аудиту. Неинтерактивные мероприятия аудита не включают в себя взаимодействия с представителями проверяемой организации, но включают в себя взаимодействие с оборудованием, средствами инфраструктуры и документацией.

Ответственность за эффективное применение методов аудита для любого аудита на стадии планирования остается либо за лицом, ответственным за управление программой аудита, или за руководителем группы по аудиту. Руководитель группы по аудиту несет ответственность за проведение мероприятий аудита.

Возможность проведения мероприятий аудита на расстоянии зависит от степени доверия между аудитором и персоналом проверяемой организации.

На уровне программы аудита следует обеспечить, что использование методов аудита на расстоянии и на местах является приемлемым для того, чтобы обеспечить достижение целей программы аудита.

B.2 Проведение анализа документов

Аудиторы должны рассмотреть, является ли информация, представленная в документах:

Полной (все ожидаемые сведения содержатся в представленном документе);

Правильной (содержимое документа соответствует другим надежным источникам, таким как стандарты и правила);

Совместимой (положения документа согласуются между собой и связанными с ним документами);

Актуальной (положения, содержащиеся в документе, имеют силу на момент проверки);

Охватывают ли анализируемые документы область применения аудита и предоставляют ли они достаточную информацию для поддержания целей аудита;

Способствует ли использование информации и коммуникационных технологий согласно применяемым методам аудита эффективному проведению данного аудита: при этом необходимо уделить особое внимание информационной безопасности, обусловленной применяемыми правилами по обеспечению защиты данных (особенно для информации, которая выходит за рамки области применения аудита, но которая содержится в представленной документации).

Примечание - Анализ документации может указать на эффективность управления документами в рамках системы менеджмента проверяемой организации.

B.3 Осуществление представительной выборки

B.3.1 Общие положения

Представительную выборку для аудита производят в случае, когда представляется нецелесообразным или дорогостоящим изучать всю имеющуюся информацию во время проведения аудита, например, когда записей слишком много или они слишком разбросаны географически, чтобы могло быть оправдано изучение каждой позиции в имеющейся совокупности. Такая выборка из большой совокупности является процессом отбора менее чем 100 % единиц (позиций) из имеющегося в полном объеме набора данных (генеральной совокупности) для получения и оценивания свидетельств в отношении отдельной характеристики такой совокупности, с тем чтобы сформировать заключение, касающееся данной совокупности.

Цель осуществления представительной выборки для аудита - это предоставить информацию для аудитора, с тем чтобы иметь уверенность в том, что цели аудита могут быть или будут достигнуты.

Риск, связанный с использованием выборки, состоит в том, что отобранные выборки могут быть непоказательными в отношении той генеральной совокупности, из которой они отобраны, и, следовательно, это может повлиять на заключение аудитора таким образом, что оно будет отличаться от заключения, которое было бы достигнуто, если бы проводилось изучение всей имеющейся совокупности данных. Могут иметься и другие риски в зависимости от изменчивости или непостоянства в рамках той генеральной совокупности, из которой проводится выборка, или в зависимости от выбранного метода.

Осуществление выборки для аудита, как правило, включает в себя следующие шаги:

Постановку целей плана осуществления выборки;

Выбор объема и композиции той генеральной совокупности, из которой будет производиться выборка;

Выбор метода проведения выборки;

Определение объема производимой выборки;

Проведение выборки;

Сбор материала, проведение оценки, регистрации и документирования результатов.

В ходе проведения выборки, следует уделить внимание качеству имеющихся данных, поскольку недостаточные или неточные выборочные данные не обеспечат получение требуемого результата. Отбор подходящих выборок должен основываться как на методе производства выборки, так и на типе требуемых данных, например для того, чтобы делать заключения по отдельному образцу или выводы по всей совокупности.

Составление отчетов по сделанной выборке может учитывать размер выборки, применяемый метод отбора и оценки, сделанные на основе выборки, и уровень достоверности.

При проведении аудитов могут использоваться выборки по усмотрению, т. е. сделанные на основе решения аудитора (см. В.3.2), или статистические выборки (см. В.3.3).

B.3.2 Выборки, сделанные по усмотрению

Выборки, сделанные по усмотрению, полагаются на знания, навыки и опыт группы по аудиту (см. раздел 7). Для осуществления таких выборок может учитываться следующее:

Предыдущий опыт проведения аудитов в данной области применения аудита;

Сложность требований (включая законодательные требования) для достижения целей данного аудита;

Сложность и взаимодействие процессов и элементов системы менеджмента организации;

Степень изменения в технологии, системе менеджмента или человеческом факторе;

Идентифицированные до этого времени зоны ключевых рисков и области улучшения;

Результаты мониторинга систем менеджмента.

Недостатком выборок, сделанных по усмотрению на основе решения проверяющей стороны, является то, что может не быть статистической оценки влияния неопределенности (погрешности), присутствующей в выводах аудита и полученных заключениях.

В.3.3 Статистическая выборка

В случае, если принято решение использовать статистическую выборку, то план проведения такой выборки должен основываться на целях аудита и на той информации, которая известна о характеристиках всей генеральной совокупности, из которой будут проводиться данные выборки.

Расчет статистической выборки использует процесс отбора выборок, основанный на теории вероятности. Выборка на основе характерного признака используется в случаях, когда имеются только два возможных исхода для каждой выборки (например, верный/неверный или годен/негоден). Выборка на основе переменного параметра используется в случаях, когда результаты выборки наблюдаются в сплошном диапазоне.

План проведения выборки должен учитывать, будут ли исследуемые результаты выборки подходить под анализ на основе характерного признака или на основе переменного параметра. Например, в случае, если оценивается соответствие законченных форм (разновидностей) требованиям, установленным в процедуре, то мог бы использоваться подход на основе характерного признака. В случае, если исследуется возникновение инцидентов, связанных с безопасностью пищевой продукции, или количество нарушений при обеспечении безопасности, то подход на основе переменной величины скорее всего был бы более подходящим.

Ключевыми элементами, которые могут повлиять на план проведения выборки для аудита, являются:

Размер организации;

Количество компетентных аудиторов;

Периодичность аудитов в течение года;

Сроки конкретного аудита;

Любой требуемый внешними источниками уровень достоверности результатов аудита.

Когда разработан план проведения статистической выборки, то важным соображением будет уровень риска, связанный с использованием выборки, на который организация-аудитор готова согласиться. Это часто называется «допустимым уровнем достоверности». Например, 5 %-ный риск, связанный с использованием выборки, соответствует допустимому уровню достоверности, равному 95 %. Связанный с использованием выборки 5 %-ный риск означает, что организация-аудитор согласна принять риск, что 5 из 100 (или 1 из 20) исследуемых выборок не будут отражать реальные значения, которые были бы показаны в случае, если бы проводилось исследование всей генеральной совокупности в ее полном объеме.

Когда используется статистическая выборка, аудиторы должны надлежащим образом документировать выполненную работу. Это должно включать в себя описание генеральной совокупности прецедентов, для которой было намечено осуществление выборки, критерии выборки, используемые для проведения оценки (например, что представляет собой приемлемая выборка), статистические параметры и методы, которые были использованы, число выборок, подвергнутых оценке, и полученные результаты.

B.4 Подготовка рабочих документов

При подготовке рабочих документов группа по аудиту применительно к каждому документу должна рассматривать приведенные ниже вопросы.

a) Какие записи по аудиту будут создаваться с помощью этого рабочего документа?

b) Какая деятельность по аудиту связана с этим конкретным рабочим документом?

c) Кто будет пользователем этого рабочего документа?

d) Какая информация требуется, чтобы подготовить этот рабочий документ?

Для комплексных аудитов рабочие документы должны разрабатываться, чтобы избежать дублирования действий при проведении аудита. Это достигается путем:

Сведения в одну группу аналогичных требований, относящихся к различным критериям;

Согласования позиций, содержащихся в соответствующих контрольных листах и вопросниках. Рабочие документы должны быть адекватными, для того чтобы в достаточной мере охватывать элементы

всей системы менеджмента в рамках области применения аудита, и они могут быть представлены на любом носителе.

B.5 Выбор источников информации

Выбранные источники информации могут различаться в зависимости от области применения и сложности аудита и могут включать в себя следующее:

Интервью с работниками и другими лицами;

Наблюдения за осуществляемыми действиями и окружающей производственной средой и условиями;

Документы, такие как политики, цели, планы, процедуры, стандарты, инструкции, лицензии и разрешения, спецификации, чертежи, контракты и заказы;

Записи, такие как записи инспекционного контроля, протоколы совещаний, отчеты по проведению аудитов, записи, относящиеся к программе мониторинга, и результаты измерений;

Сводки данных, анализы и показатели деятельности;

Информацию о планах проведения выборок проверяемой организации и процедурах для управления процессами, связанными с проведением выборок и измерений;

Отчеты из других источников, например, обратная связь с потребителем, внешние обзоры и измерения, другая подходящая информация от внешних сторон и оценки поставщиков;

Базы данных и интернет-сайты;

Моделирование.

B.6 Руководство по посещению проверяемой организации

Для того чтобы мероприятия, осуществляемые в ходе аудита, не мешали осуществлению рабочих процессов проверяемой организации, а также для обеспечения гарантий здоровья и безопасности группы по аудиту во время аудита следует рассматривать следующее:

a) планирование посещения:

Получение разрешения и допуска к тем объектам проверяемой организации, которые следует посетить в соответствии с областью применения аудита,

Предоставление аудиторам всей необходимой информации (например, инструктаж), касающейся безопасности, санитарной обстановки (например, карантин), вопросов, связанных с профессиональной безопасностью и охраной здоровья, культурных норм поведения для посещения объектов, включая требуемые или рекомендуемые вакцинации и уровни допуска, если это применимо,

Договор с проверяемой организацией, что все требуемые средства индивидуальной защиты будут иметься для группы по аудиту, если это применимо,

За исключением внеплановых аудитов для специальной цели, обеспечение того, что персонал посещаемого объекта будет проинформирован о целях и области применения аудита;

b) действия на посещаемых объектах:

Избежать привнесения любых ненужных помех в осуществление рабочих процессов,

Обеспечить надлежащее использование средств индивидуальной защиты членами группы по аудиту,

Обеспечить доведение информации по процедурам, устанавливающим порядок действий в чрезвычайных и аварийных ситуациях (например, аварийные выходы, места сбора),

Обсудить график мероприятий аудита с целью минимизации возможных помех для распорядка производственной деятельности проверяемой организации,

Обеспечить соразмерность численности группы по аудиту и числа сопровождающих лиц и наблюдателей в соответствии с областью применения аудита, для того чтобы избежать, насколько это возможно, вмешательства в рабочие процессы,

Не прикасаться или каким-либо образом не обращаться с любым оборудованием, если на это не имеется специального разрешения, даже когда аудиторы имеют достаточный уровень компетентности или соответствующую лицензию,

Если во время посещения проверяемой организации произошло какое-либо происшествие или инцидент, то руководитель группы по аудиту должен проанализировать сложившуюся ситуацию с представителями проверяемой организации и, в случае необходимости, с заказчиком аудита и прийти к соглашению относительно того, следует ли прерывать или продолжать аудит или о том, что следует внести изменения в график проведения мероприятий аудита,

В случае проведения фото- или видеосъемки проверяющей стороной следует заранее запросить соответствующее разрешение у руководства проверяемой организации и рассмотреть вопросы, связанные с обеспечением надлежащей защиты и конфиденциальности, и следует избегать фотографирования частных лиц без их разрешения,

При снятии копий или взятии экземпляров документов любого вида следует заранее запросить соответствующее разрешение у руководства проверяемой организации и рассмотреть вопросы, связанные с обеспечением надлежащей защиты и конфиденциальности,

При сборе данных и записей следует избегать сбора персональной информации, касающейся сотрудников, если это не требуется целями или критериями аудита.

B.7 Проведение опросов и интервьюирование сотрудников

Интервьюирование является одним из важнейших средств по сбору информации, и его следует проводить с учетом конкретной ситуации или опрашиваемых лиц, будь это беседа при непосредственной встрече или посредством использования соответствующих средств коммуникации. При этом аудитору нужно учитывать следующее:

Интервью должны проводиться с лицами соответствующих уровней или функциональных подразделений, выполняющих действия или задачи в рамках области применения аудита;

Интервью, как правило, должны проводиться в рабочее время и там, где это целесообразно, на рабочем месте опрашиваемого сотрудника;

Нужно постараться создать непринужденную атмосферу до начала и во время проведения интервью;

Следует объяснить причины для проведения интервью и любые производимые записи;

Интервью можно начать с просьбы к опрашиваемым лицам описать выполняемую ими работу;

Следует тщательно выбирать тип задаваемых вопросов (например, прямые, наводящие вопросы, вопросы, предусматривающие единственный ответ);

Результаты, полученные в ходе интервью, должны быть суммированы и проанализированы с опрашиваемым сотрудником;

Следует поблагодарить опрошенных сотрудников за их участие и содействие.

В.8 Выводы аудита

B.8.1 Определение выводов аудита

При определении выводов аудита следует рассматривать следующее:

Меры, предпринятые по результатам предыдущих записей и заключений аудита;

Требования заказчика аудита;

Выводы (наблюдения), превосходящие границы обычной практики, или возможности для улучшения;

Размер представительной выборки;

B.8.2 Регистрация соответствий

Для записей о соответствии следует рассмотреть следующее:

Идентификацию критериев аудита, по которым выявляется соответствие;

Свидетельство аудита для подтверждения соответствия;

Декларацию о соответствии, если это применимо.

B.8.3 Регистрация и протоколирование несоответствий

Для записей о несоответствии следует рассмотреть следующее:

Декларацию о несоответствии;

Свидетельство аудита;

Соответствующие выводы аудита, если это применимо.

B.8.4 Обращение с выводами, относящимися к сложносоставным критериям

Во время проведения аудита представляется возможным идентифицировать наблюдения (выводы), относящиеся к критериям со сложной структурой. В случае, когда при проведении комплексного аудита аудитор идентифицирует вывод (наблюдение), связанный с одним критерием или характерным признаком, аудитор должен рассмотреть возможное воздействие на согласованность с данным критерием или на аналогичные критерии других систем менеджмента.

В зависимости от предварительных договоренностей с заказчиком аудита проверяющая сторона может собирать и фиксировать либо:

Отдельные выводы для каждого критерия-признака;

В зависимости от предварительных соглашений с заказчиком аудита проверяющая сторона может указать проверяемой организации на то, каким образом ей следует реагировать и какие действия необходимо предпринять по результатам этих выводов, и проконтролировать разработку соответствующих мероприятий.

Библиография

		Sampling procedures for inspection by variables - Part 4: Procedures for assessment of declared quality levels
		Quality management systems - Fundamentals and vocabulary
		Quality management systems - Requirements
		Environmental management systems - Requirements with guidance for use
		Environmental management - Vocabulary
	ISO/IEC 17021:2011	Conformity assessment - Requirements for bodies providing audit and certification of management systems
		Information technology - Service management - Part 1: Service management system requirements
		Food safety management systems - Requirements for any organization in the food chain
		Information technology - Security techniques - Information security management systems - Overview and vocabulary
		Information technology - Security techniques - Information security management systems - Requirements
		Information technology - Security techniques - Code of practice for information security management
		Information technology - Security techniques - Information security management system implementation guidance
		Information technology - Security techniques - Information security management - Measurement
		Information technology - Security techniques - Information security risk management
		Specification for security management systems for the supply chain
		Information and documentation - Management system for records - Requirements 1)

		Risk management - Principles and guidelines
		Road traffic safety (RTS) management systems - Requirements with guidance for use 2)
2) В стадии подготовки.
		Energy management systems - Requirements with guidance for use
	ISO Guide 73:2009	Risk management - Vocabulary
	OHSAS 18001:2007	Occupational health and safety management systems - Requirements
	ISO 9001 Auditinq Practices Group papers available at www.iso.orq/tc176/ISO9001AuditinqPracticesGroup
	ISO 19011 additional quidelines available at: www.iso.orq/19011auditinq

Ключевые слова: система менеджмента качества, принципы менеджмента качества, процессный подход, постоянное улучшение, термины и определения

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"

1 ПОДГОТОВЛЕН Открытым акционерным обществом "Всероссийский научно-исследовательский институт сертификации" (ОАО "ВНИИС") на основе собственного аутентичного перевода на русский язык стандарта, указанного в пункте 4

Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомления и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

Второе издание ИСО/МЭК 17021, опубликованное в 2011 году, было расширено, с тем чтобы трансформировать руководящие указания, предложенные в настоящем стандарте, в требования к сертификационным аудитам для систем менеджмента. В связи с этим второе издание настоящего стандарта предоставляет руководящие указания для всех пользователей, включая организации малого и среднего бизнеса, и делает основной акцент на том, что общепринято называть "внутренними аудитами" (аудиты первой стороны) и "аудитами со стороны потребителей своих поставщиков" (аудиты второй стороны). В то время как стороны, принимающие участие в проведении сертификационных аудитов систем менеджмента, руководствуются требованиями ИСО/МЭК 17021:2011, для них могут также оказаться полезными руководящие указания, приведенные в настоящем стандарте.

Организации в рамках своей деятельности могут использовать несколько документированных систем менеджмента. Для того, чтобы не усложнять текст настоящего стандарта, предпочтительно употребление "система менеджмента" в единственном числе, но каждый конкретный читатель может адаптировать внедрение положений настоящего стандарта применительно к своей собственной конкретной ситуации. Это также применимо к использованию терминов "лицо" и "лица", "аудитор" и "аудиторы".

Предисловие

1 ПОДГОТОВЛЕН Открытым акционерным обществом «Всероссийский научно-исследовательский институт сертификации» (ОАО «ВНИИС») на основе собственного перевода на русский язык англоязычной версии международного стандарта, указанного в пункте 4

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5 (пункт 3.5)

5 ВЗАМЕН ГОСТ P ИСО 19011-2003

6 ПЕРЕИЗДАНИЕ. Июль 2018 г.

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-Ф3 «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок - в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

1 Область применения. 4

3 Термины и определения. 4

4 Принципы проведения аудита. 7

5 Управление программой аудита. 8

5.1 Общие положения. 8

5.2 Разработка целей программы аудита. 9

5.3 Разработка программы аудита. 10

5.4 Внедрение программы аудита. 12

5.5 Мониторинг программы аудита. 16

5.6 Анализ и улучшение программы аудита. 16

6 Проведение аудита. 16

6.1 Общие положения. 16

6.2 Организация проведения аудита. 17

6.3 Подготовка к проведению аудита на месте. 18

6.4 Проведение аудита на месте. 20

6.6 Завершение аудита. 26

6.7 Действия по результатам аудита. 26

7 Компетентность и оценка аудиторов. 26

7.1 Общие положения. 26

7.2 Определение компетентности аудитора для удовлетворения потребностей программы аудита. 27

7.3 Определение критериев оценки аудитора. 31

7.4 Выбор соответствующего метода оценки аудитора. 31

7.5 Проведение оценки аудитора. 32

7.6 Поддержание и повышение компетентности. 32

Библиография. 44

Введение

Второе издание ИСО/МЭК 17021, опубликованное в 2011 году, было расширено с тем, чтобы трансформировать руководящие указания, предложенные в настоящем стандарте, в требования к сертификационным аудитам для систем менеджмента. В связи с этим вторая версия настоящего стандарта предоставляет руководящие указания для всех пользователей, включая организации малого и среднего бизнеса, и делает основной акцент на том, что общепринято называть «внутренними аудитами» (аудиты первой стороны) и «аудитами со стороны потребителей своих поставщиков» (аудиты второй стороны). В то время как стороны, принимающие участие в проведении сертификационных аудитов систем менеджмента, руководствуются требованиями ИСО/МЭК 17021:2011, для них могут также оказаться полезными руководящие указания, приведенные в настоящем стандарте.

Взаимосвязь между вторым изданием настоящего стандарта и ИСО/МЭК 17021:2011 приведена в таблице 1.

Таблица 1 - Область применения настоящего стандарта и его взаимосвязь с ИСО/МЭК 17021:2011

Руководящие указания, содержащиеся в настоящем стандарте, могут использоваться для целей, связанных с декларированием соответствия, а также могут быть полезным для организаций, участвующих в деятельности по подготовке аудиторов или сертификации персонала.

Раздел 6 содержит руководящие указания по планированию и проведению аудита системы менеджмента.

Приложение В содержит дополнительное руководство для аудиторов по планированию и проведению аудитов.

ГОСТ Р ИСО 19011-2012

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

РУКОВОДЯЩИЕ УКАЗАНИЯ ПО АУДИТУ СИСТЕМ МЕНЕДЖМЕНТА

Guidelines for auditing management systems

Дата введения - 2013-02-01

1 Область применения

2 Нормативные ссылки

3 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

Примечания

5 Адаптировано из ИСО 9000:2005, статья 3.9.1.

Примечания

1 Адаптировано из ИСО 9000:2005, статья 3.9.3.

Примечание - Свидетельство аудита может быть качественным или количественным.

[ИСО 9000:2005, статья 3.9.4]

Примечания

1 Выводы аудита указывают на соответствие или несоответствие.

2 Выводы аудита могут вести к идентификации возможностей для улучшения или отражению наилучших практик.

4 Адаптировано из ИСО 9000:2005, статья 3.9.5.

Примечание - Адаптировано из ИСО 9000:2005, статья 3.9.6.

3.6 заказчик аудита (audit client): Организация или лицо, заказавшие аудит.

Примечания

2 Адаптировано из ИСО 9000:2005, статья 3.9.7.

3.7 проверяемая организация (auditee): Организация, подвергающаяся аудиту.

[ИСО 9000:2005, статья 3.9.8]

3.8 аудитор (auditor): Лицо, которое проводит аудит (3.1).

Примечания

1 Один из аудиторов в группе по аудиту, как правило, назначается руководителем группы.

2 Группа по аудиту может включать в себя аудиторов-стажеров.

[ИСО 9000:2005, статья 3.9.10]

Примечания

2 Технический эксперт не имеет полномочий аудитора (3.8) в группе по аудиту.

[ИСО 9000:2005, статья 3.9.11]

3.11 наблюдатель (observer): Лицо, сопровождающее группу по аудиту (3.9), но не проводящее аудит.

Примечания

Примечание - Адаптировано из ИСО 9000:2005, статья 3.9.3.

3.14 область аудита (audit scope): Содержание и границы аудита (статья 3.1).

[ИСО 9000:2005, статья 3.9.13]

3.15 план аудита (audit plan): Описание деятельности и мероприятий по проведению аудита (статья 3.1).

[ИСО 9000:2005, статья 3.9.12]

3.16 риск (risk): Воздействие неопределенности на достижение целей.

Примечание - Адаптировано из Руководства ИСО 73:2009, определение 1.1.

3.17 компетентность (competence): Способность применять знания и навыки для достижения намеченных результатов.

3.18 соответствие (conformity): Выполнение требования.

[ИСО 9000:2005, статья 3.6.1]

3.19 несоответствие (nonconformity): Невыполнение требования.

[ИСО 9000:2005, статья 3.6.2]

3.20 система менеджмента (management system): Система для разработки политики и целей и достижения этих целей.

[ИСО 9000:2005, статья 3.2.2]

4 Принципы проведения аудита

Руководящие указания, приведенные в разделах 5 - 7, базируются на следующих шести принципах.

a) Целостность (integrity) - основа профессионализма.

Аудиторам и лицам, управляющим программой аудита, следует:

Выполнять свою работу честно, старательно и ответственно;

Соблюдать и относиться с уважением к любым применяемым законодательным требованиям;

Демонстрировать свою техническую компетентность при выполнении работы;

Выполнять свою работу беспристрастно, оставаться честными и непредвзятыми во всех своих действиях;

b) Беспристрастность (fair presentation) - обязательство предоставлять правдивые и точные отчеты.

d) Конфиденциальность (confidentiality) - сохранность информации.

e) Независимость (independence) - основа беспристрастности и объективности заключений по результатам аудита.

5 Управление программой аудита

5.1 Общие положения

Цели для программы аудита и отдельных аудитов;

Объем/количество/типы/места проведения и график проведения аудитов;

Процедуры программы аудита;

Критерии аудита;

Методы аудита;

Формирование группы (групп) по аудиту;

Необходимые ресурсы, включая расходы на командировки и размещение аудиторов;

На рисунке 1 представлена последовательность процессов управления программой аудита.

Рисунок 1 - Последовательность процессов управления программой аудита

Примечания

2 Нумерация разделов/подразделов приводится в соответствии с разделами/подразделами настоящего стандарта.

5.2 Разработка целей программы аудита

Цели могут быть основаны на рассмотрение следующего:

a) приоритетов руководства;

b) коммерческих и/или деловых намерений;

c) характеристик процессов, продуктов и проектов, а также любые изменения к ним;

d) требований системы (систем) менеджмента;

e) правовых и других требований, которые организация принимает на себя;

f) необходимости в оценке поставщиков;

g) потребностей и ожиданий заинтересованных сторон (включая потребителей);

i) рисков для проверяемой организации;

j) результатов предыдущих аудитов;

k) уровня достигнутого развития системы менеджмента.

Примеры целей программы аудита могут включать в себя следующее:

Содействие улучшению системы менеджмента и ее характеристик;

Проверку соответствия контрактным требованиям;

Получение или поддержание уверенности в возможностях поставщика;

5.3 Разработка программы аудита

5.3.1 Роль и ответственность лица, управляющего программой аудита

Лицу, управляющему программой аудита, следует:

Установить объем программы аудита;

Определить и оценить риски, связанные с программой аудита;

Определить обязанности по аудиту;

Определить процедуры программы аудита;

Определить необходимые ресурсы;

Обеспечить управление и сохранность соответствующих записей по программе аудита;

Осуществлять мониторинг, анализ и улучшение программы аудита.

5.3.2 Компетентность лица, ответственного за управление программой аудита

Принципов, процедур, методов и технических средств проведения аудита;

Документов системы менеджмента и других необходимых для работы документов;

Продукции и процессов организации;

Потребителей, поставщиков и других заинтересованных сторон проверяемой организации, где это применимо.

5.3.3 Определение объема программы аудита

Примечание - В отдельных случаях в зависимости от структуры и видов деятельности проверяемой организации, программа аудита может состоять только из одного аудита (например, деятельность в рамках небольшого проекта).

Другие факторы, влияющие на объем программы аудита, включают в себя следующее:

Факторы, влияющие на эффективность системы менеджмента;

Заключения по результатам предыдущих внутренних или внешних аудитов;

Результаты предыдущего анализа программы аудита;

Вопросы, связанные с языком, культурной и социальной средой;

Существенные изменения в проверяемой организации или ее деятельности;

5.3.4 Идентификация и оценка рисков программы аудита

Внедрением, например, неэффективным доведением и получением информации по программе аудита;

Записями и их управлением, например, проблемами с обеспечением необходимой защиты записей аудита, чтобы демонстрировать эффективность программы аудита;

5.3.5 Разработка процедур по программе аудита

Планирование и составление графиков аудитов с учетом рисков, связанных с программой аудита;

Обеспечение защиты и конфиденциальности информации;

Обеспечение компетентности аудиторов и руководителей групп по аудиту;

Подбор соответствующих групп по аудиту и распределение ролей и обязанностей;

Проведение аудитов, включая использование соответствующих методов на основе выборок;

Выполнение действий по результатам аудита, если это требуется;

Поддержание записей по программе аудита;

Осуществление мониторинга анализа реализации, рисков и эффективности программы аудита.

5.3.6 Идентификация ресурсов для программы аудита

Финансовые ресурсы, необходимые для развития, внедрения, управления и улучшения деятельности по аудиту;

Методы/технические приемы и средства проведения аудитов;

Объем программы аудита и риски по аудиту;

Объем и уровень развития информационных и коммуникационных систем.

5.4 Внедрение программы аудита

5.4.1 Общие положения

Определения целей, области и критериев для каждого проводимого аудита;

Координации и календарного планирования аудитов и другой деятельности, связанной с программой аудита;

Обеспечения формирования групп по аудиту, обладающих необходимой компетентностью;

Предоставления необходимых ресурсов группам по аудиту;

Обеспечения проведения аудитов в соответствии с программой аудита и в установленные сроки;

Обеспечения ведения записей по мероприятиям аудита и надлежащего управления и сохранности этих записей.

5.4.2 Определение целей, области и критериев для каждого конкретного аудита

Идентификацию областей потенциального улучшения системы менеджмента;

Обращение с конфиденциальной информацией, включая степень ее раскрытия.

5.4.3 Выбор методов аудита

Примечание - Руководящие указания по определению методов аудита приведены в приложении В.

5.4.4 Формирование группы по аудиту

a) общую компетентность группы по аудиту, требуемую для достижения целей аудита, области и критериев аудита;

b) сложность аудита, если аудит представляет собой комбинированный или совместный аудит;

c) выбранные методы аудита;

Для обеспечения общей компетентности группы по аудиту следует предпринять следующие шаги:

Определение знаний и навыков, необходимых для достижения целей аудита;

Выбор членов группы по аудиту таким образом, чтобы группа обладала всеми необходимыми знаниями и опытом.

Если уровень компетентности аудиторов в группе по аудиту не является достаточным, то для обеспечения необходимой компетентности в эту группу могут быть включены технические эксперты. Технические эксперты должны работать под руководством аудитора, но не выполнять действия в качестве аудитора.

5.4.5 Поручение ответственности руководителю группы по аудиту за проведение конкретного аудита

a) цели аудита;

b) критерии аудита и любые ссылочные документы;

d) методы и процедуры аудита;

e) состав группы по аудиту;

g) распределение соответствующих ресурсов для проведения аудита;

Предоставляемая информация, при необходимости, должна также включать в себя:

Любые требования по обеспечению безопасности труда и здоровья аудиторов;

Любые требования по безопасности и уполномочиванию аудиторов;

Любые действия по результатам аудита, например по результатам предыдущего аудита, если это применяется;

5.4.6 Управление выходными данными программы аудита

Лицу, ответственному за управление программой аудита, следует обеспечить выполнение следующих действий:

Проведение анализа корневых причин и результативности корректирующих и предупреждающих действий;

Определение необходимости в отношении любых мероприятий по исполнению решений аудита.

5.4.7 Управление и поддержание записей по программе аудита

Записи должны включать в себя:

а) записи, связанные с программой аудита, такие как:

Документированная программа и цели,

Риски, связанные с программой аудита,

Анализы результативности программы аудита;

б) записи, связанные с отдельным аудитом, такие как:

Планы аудита и отчеты по аудиту,

Отчеты о несоответствиях,

Отчеты по корректирующим и предупреждающим действиям,

Отчеты о действиях по результатам аудита, если это требуется;

с) записи о персонале, привлекаемом к аудиту, включающие в себя:

Оценку компетентности членов группы по аудиту и их деятельности,

Выбор группы по аудиту и членов команды,

Поддержание и повышение компетентности.

5.5 Мониторинг программы аудита

a) соответствие программам аудитов, календарным планам и целям аудита;

b) деятельность членов группы по аудиту;

c) способность групп по аудиту реализовать план аудита;

Исходные данные, выявленные при аудите;

Демонстрируемый уровень результативности системы менеджмента;

Изменения в системе менеджмента заказчика или проверяемой организации;

Замена поставщика.

5.6 Анализ и улучшение программы аудита

Необходимо, чтобы анализ программы аудита охватывал:

a) результаты мониторинга и установленные в ходе его выполнения тенденции;

b) соответствие процедурам программы аудита;

c) выявление потребностей и ожиданий заинтересованных сторон;

d) записи по программе аудита;

e) альтернативные или новые методы в области аудита;

f) результативность мер по управлению рисками, связанными с программой аудита;

g) вопросы, связанные с конфиденциальностью и информационной безопасностью, относящиеся к программе аудита.

Анализировать постоянное развитие профессионального уровня аудиторов в соответствии с 7.4 - 7.6;

Предоставлять отчеты по результатам анализа программы аудита высшему руководству.

6 Проведение аудита

6.1 Общие положения

Рисунок 2 - Типовые действия при проведении аудита

6.2 Организация проведения аудита

6.2.1 Общие положения

6.2.2 Установление первоначального контакта с проверяемой организацией

Первоначальный контакт с проверяемой организацией для проведения аудита может иметь официальный или неформальный характер и должен устанавливаться руководителем группы по аудиту. Целями первоначального контакта являются:

Установление связи и каналов передачи информации с представителями проверяемой организации;

Подтверждение полномочий для проведения аудита;

Получение разрешения на доступ к соответствующим документам для планирования целей и задач, включая записи;

Определение необходимых подготовительных мероприятий по аудиту, включая даты планов-графиков;

Согласование присутствия наблюдателей и потребности в сопровождающих для группы по аудиту;

6.2.3 Определение возможности проведения аудита

При определении возможности проведения аудита нужно учитывать такие факторы, как наличие:

Необходимой и достаточной информации для планирования аудита;

Адекватного содействия и сотрудничества со стороны проверяемой организации;

Достаточного времени и ресурсов для выполнения аудита.

6.3 Подготовка к проведению аудита на месте

6.3.1 Выполнение анализа документов при подготовке к аудиту

Осуществить обзор документации системы для выявления возможных пробелов.

Примечание - Руководящие указания по выполнению анализа документации приведены в В.2 приложения В.

6.3.2 Подготовка плана аудита

О соответствующих методах выборочного контроля (см. В.3 приложения В);

Характерных чертах и особенностях состава группы по аудиту и ее коллективном уровне компетентности;

Рисках для проверяемой организации, возникающих вследствие проведения аудита.

6.3.2.2 Масштаб и содержание плана аудита могут различаться, например, между первоначальным и последующими аудитами, так же, как и между внутренними и внешними аудитами. План аудита должен допускать достаточную гибкость, чтобы по мере осуществления мероприятий по аудиту в него, в случае необходимости внесения корректировок или изменений, можно было внести требуемые изменения.

План аудита должен включать в себя или содержать ссылки на:

Цели аудита;

Критерии аудита и ссылочные документы;

Роли и обязанности членов группы по аудиту, а также сопровождающих лиц и наблюдателей;

Распределение соответствующих ресурсов по «критичным местам» проведения аудита.

При необходимости в план аудита следует также включить:

Определение представителей проверяемой организации для участия в аудите;

Любые специальные меры, предпринимаемые в отношении рисков и влияния неопределенности на цели аудита;

Вопросы, относящиеся к конфиденциальности и сохранности информации;

Действия по результатам проверок, например, предыдущего аудита;

Вопросы координации, связанные с проведением других работ по аудиту, в случае совместного аудита.

6.3.3 Распределение работ между членами группы по аудиту

6.3.4 Подготовка рабочих документов

Контрольные листы;

Планы выборок для аудита;

Формы для регистрации данных, таких как подтверждающие свидетельства, выводы аудита и протоколы совещаний.

Примечание - Руководящие указания по подготовке рабочих документов приведены в В.4 приложения В.

6.4 Проведение аудита на месте

6.4.1 Общие положения

6.4.2 Проведение предварительного совещания

Целью предварительного совещания являются:

b) представление членов группы по аудиту:

c) обеспечение уверенности в том, что все запланированные в рамках аудита мероприятия могут быть выполнены.

Представить участников, включая наблюдателей и сопровождающих лиц, и объяснить их роль в аудите;

Подтвердить цели, область и критерии аудита;

Подтвердить официальные каналы связи между группой по аудиту и проверяемой организацией;

Подтвердить язык, используемый при аудите;

Подтвердить, что во время аудита проверяемая организация будет информироваться о ходе его проведения;

Подтвердить, что необходимые группе по аудиту ресурсы и средства будут доступны;

Подтвердить обеспечение конфиденциальности и информационной безопасности;

Проинформировать об условиях, при которых аудит может быть прекращен;

Проинформировать о заключительном совещании;

6.4.3 Выполнение анализа документов во время проведения аудита

Необходимо проанализировать документацию проверяемой организации, с тем чтобы:

Определить соответствие системы (насколько это отражено в документации) критериям аудита;

Собрать информацию для содействия реализации намеченных мероприятий в рамках проводимого аудита.

Примечание - Руководящие указания по выполнению анализа документации, приведены в В.2 приложения В.

Данный анализ может осуществляться в сочетании с другими видами деятельности по аудиту и может продолжаться по ходу выполнения мероприятий аудита, если это не сказывается негативным образом на результативности проведения аудита.

6.4.4 Обмен информацией во время проведения аудита

6.4.5 Роль и обязанности сопровождающих лиц и наблюдателей

a) содействовать аудиторам, обеспечивать контакты и назначение времени для бесед (интервью);

b) организовывать доступ для посещения определенных объектов или рабочих участков проверяемой организации;

Роль руководства может также включать в себя следующее:

Исполнять роли лиц, свидетельствующих в ходе аудита от имени проверяемой организации;

Предоставлять разъяснения или оказывать помощь при сборе информации.

6.4.6 Сбор и верификация информации

Примечание - Руководящие указания по выборкам, приведены в В.3 приложения В.

Методы сбора информации включают в себя следующее:

Наблюдения за деятельностью;

Анализ документов, включая записи.

Примечания

1 Руководящие указания, касающиеся источников информации, приведены в В.5 приложения В.

2 Руководящие указания, касающиеся посещения объектов и подразделений, приведены в В.6 приложения В.

3 Руководящие указания, по проведению опросов приведены в В.7 приложения В.

Рисунок 3 - Блок-схема процесса, начиная от сбора информации до получения заключений
по результатам аудита

6.4.7 Формирование выводов аудита

Несоответствия и подтверждающие их свидетельства аудита должны быть записаны. Несоответствия могут быть классифицированы (ранжированы). Они должны быть проанализированы с проверяемой организацией для подтверждения объективности свидетельств аудита и для подтверждения того, что выявленные несоответствия правильно понимаются. Следует принять все возможные меры по разрешению любых разногласий во мнениях по свидетельствам и/или выводам аудита, а неразрешенные вопросы следует документально оформить.

6.4.8 Подготовка заключений по результатам аудита

Группе по аудиту до заключительного совещания следует выполнить следующее:

b) согласовать заключения по результатам аудита с учетом неопределенности, присущей процессу аудита;

d) обсудить действия по результатам аудита, если это требуется.

Заключения аудита могут содержать следующую информацию, касающуюся:

Эффективности внедрения, поддержания и улучшения системы менеджмента;

Достижения целей аудита, степени охвата области аудита и выполнения критериев аудита;

Корневых причин выявленных фактов (наблюдений), если это предусмотрено планом аудита;

6.4.9 Проведение заключительного совещания

Метод протоколирования и составления отчетов, включая любую классификацию или ранжирование данных;

Выводы аудита таким способом, чтобы они были понятны и признаны проверяемой организацией;

6.5 Подготовка и рассылка отчета по аудиту

6.5.1 Подготовка отчета по аудиту

Руководитель группы по аудиту несет ответственность за подготовку и содержание отчета по аудиту.

a) цели аудита;

c) идентификацию заказчика аудита;

e) даты и места проведения аудита на месте;

f) критерии аудита;

g) выводы аудита;

h) заключения по результатам аудита;

i) заявление о степени соответствия критериям аудита.

При необходимости в отчет по аудиту могут также быть включены:

План аудита, включая график;

Подтверждение достижения целей аудита в пределах области аудита в соответствии с планом аудита;

Области, не охваченные аудитом, но находящиеся в области аудита;

Неразрешенные противоречия между группой по аудиту и проверяемой организацией;

Возможности для улучшения, если это предусмотрено целями аудита;

Выявленные сильные стороны и лучшие практики;

Согласованный план действий по результатам аудита, если такой план имеется;

Заявление о конфиденциальном характере содержимого отчета;

Любые последствия для программы аудита или последующих аудитов;

Примечание - Отчет по аудиту может быть разработан до заключительного совещания.

Затем отчет по аудиту должен быть разослан получателям, определенным процедурами аудита.

6.6 Завершение аудита

6.7 Действия по результатам аудита

7 Компетентность и оценка аудиторов

7.1 Общие положения

a) определение компетентности персонала для проведения аудита, требуемой для программы аудита;

b) определение критериев оценки;

c) выбор соответствующего метода оценки;

d) проведение оценки.

Результат процесса оценки должен служить основой для:

Формирования группы по аудиту (5.4.4);

Оценки текущей работы аудиторов.

Процесс оценки аудиторов и руководителей группы по аудиту описан в 7.4 и 7.5.

Оценка руководителей групп по аудиту должна проводиться согласно критериям, установленным в 7.2.2 и 7.2.3.

Компетентность, необходимая лицу, управляющему программой аудита, описана в 5.3.2.

7.2 Определение компетентности аудитора для удовлетворения потребностей программы аудита

7.2.1 Общие положения

При принятии решений, касающихся необходимого уровня знаний и навыков, следует учитывать следующее:

Размер, вид деятельности и структурные особенности проверяемой организации;

Аспекты деятельности (дисциплины) системы менеджмента, подлежащей аудиту;

Цели и объем программы аудита;

Другие требования, например, устанавливаемые внешними органами, если они применяются;

Роль процесса аудита в системе менеджмента проверяемой организации;

Сложность, объем и структуру системы менеджмента, подлежащей аудиту;

Имеющуюся неопределенность, связанную с достижением целей аудита.

Эту информацию следует соотнести с информацией, приведенной в 7.3.1 - 7.3.3.

7.2.2 Личные качества

Этичность - честность, правдивость, искренность и благоразумие;

Открытость и непредубежденность - желание и готовность воспринимать альтернативные идеи или точки зрения;

Дипломатичность - тактичность при обращении с людьми;

Наблюдательность - активное наблюдение за окружающей обстановкой и видами деятельности;

Восприимчивость - осведомленность и способность к пониманию ситуаций;

Универсальность - возможность быстро адаптироваться к различным ситуациям;

Упорство - настойчивость, нацеленность на достижение целей;

Решительность - своевременное принятие решений на основе логических соображений и анализа;

7.2.3 Знания и навыки

7.2.3.1 Общие положения

7.2.3.2 Общие знания и навыки аудиторов систем менеджмента

Аудиторы должны обладать знаниями и навыками в следующих областях:

a) Принципы, процедуры и методы аудита - знания и навыки в этой области позволяют аудитору применять подходящие принципы, процедуры и методы для различных аудитов и обеспечивать проведение данных аудитов последовательным и систематическим образом. Аудитор должен быть способен:

Применять принципы, процедуры, методы и приемы аудита;

Эффективно планировать и организовывать работу;

Проводить аудит в течение установленного срока;

Устанавливать приоритеты и быть сфокусированным на существенных вопросах;

Понимать и учитывать мнения экспертов;

Верифицировать точность собранной информации;

Оценивать факторы, которые могут повлиять на достоверность выводов и заключений по результатам аудита;

Использовать рабочие документы для регистрации деятельности по аудиту;

Готовить отчеты по аудиту;

Сохранять конфиденциальность и безопасность информации, документов и записей;

Понимать типы рисков, связанных с проведением аудитов.

Стандарты по системам менеджмента и другие документы, используемые в качестве критериев аудита;

Взаимодействие элементов системы менеджмента;

Понимание иерархии ссылочных документов (их различий и приоритетов);

Применение ссылочных документов к различным ситуациям при аудите.

Типы, управление, размер, структуру, функции организации и взаимосвязи внутри нее;

Культурные и социальные аспекты проверяемой организации.

Законы, нормативные правовые акты и правила и их правоприменительную практику;

Основополагающую юридически-правовую терминологию;

Контракты и другие юридические обязательства.

7.2.3.3 Специальные знания и навыки аудиторов систем менеджмента по дисциплинам и конкретным отраслям менеджмента.

Требования и принципы системы менеджмента, характерные для конкретной дисциплины, и их применение;

Требования заинтересованных сторон, относящиеся к конкретной дисциплине;

7.2.3.4 Общие знания и навыки руководителя группы по аудиту

a) уравновешивания сильных сторон и недостатков членов конкретной группы по аудиту;

b) выработки гармоничных рабочих отношений между членами группы по аудиту;

c) управления процессом аудита, включающего в себя:

Планирование аудита и эффективное использование ресурсов во время аудита,

Управление имеющейся неопределенностью, которая связана с достижением целей аудита,

Организацию и направления работы членов группы по аудиту,

Обеспечение руководства и сопровождение работы стажеров,

Предупреждение и, в случае необходимости, разрешение конфликтных ситуаций;

e) руководства группой по аудиту для достижения заключений по результатам аудита; и

f) подготовки и представления итогового отчета по результатам аудита.

7.2.3.5 Знания и навыки для аудита систем менеджмента, включающих в себя различные дисциплины

7.2.4 Достижение требуемого уровня компетентности аудиторов

Знания и навыки аудиторов могут приобретаться посредством использования сочетания следующих элементов:

Программы обучения и подготовки персонала, охватывающие общие знания и навыки;

7.2.5 Руководители группы по аудиту

7.3 Определение критериев оценки аудитора

7.4 Выбор соответствующего метода оценки аудитора

Приведенные методы представляют диапазон возможностей и не могут быть применимы во всех ситуациях;

Различные приведенные методы могут отличаться по своей надежности;

Таблица 1 - Возможные для применения методы оценки

Метод оценки
Анализ записей	Проверка квалификации аудитора	Анализ записей об образовании, обучении, производственном опыте и опыте по аудиту
Обратная связь	Обеспечивает информацией о том, как воспринимается деятельность аудитора	Инспектирование деятельности, опросы, резюме, рекомендации, жалобы, оценка деятельности, отзывы коллег
Собеседование	Оценка личных качеств и коммуникационных навыков, проверка информации и знаний по тестам и получение дополнительной информации	Персональное собеседование
Наблюдение	Оценка личных качеств и способности применения знаний и навыков	Ролевые игры, наблюдения в процессе аудита, деятельность на рабочем месте
Тестирование	Оценка личных качеств, знаний, навыков и их применение	Устные и письменные экзамены, психометрическое тестирование
Анализ деятельности после аудита	Получение информации о работе аудитора во время выполнения действий по аудиту, определение его сильных сторон и недостатков	Анализ отчета по аудиту, опросы и обсуждение с руководителем группы по аудиту, членами группы по аудиту и, при необходимости, использование обратной связи для получения информации от проверяемой организации

7.5 Проведение оценки аудитора

В приложении В приведены некоторые рассматриваемые примеры.

7.6 Поддержание и повышение компетентности аудитора

Деятельность по постоянному профессиональному росту должна учитывать следующее:

Изменения в личных потребностях аудиторов и организаций, отвечающих за проведение аудита;

Практику проведения аудитов;

Соответствующие стандарты и другие требования.

Приложение А
(справочное)

А.1 Общие положения

А.2 Пояснительный пример в отношении специальных знаний и навыков аудиторов в области менеджмента безопасности при транспортировании

Терминологию менеджмента безопасности;

Понимание системного подхода, относящегося к обеспечению безопасности;

Оценку рисков и их уменьшение;

Поведение и взаимодействие людей;

Потенциальные опасности и другие факторы на рабочих местах, влияющие на безопасность;

Оценку происшествий и несчастных случаев на производстве;

Примеры знаний и навыков в этой области включают в себя:

Терминологию в области охраны окружающей среды;

Экологические метрики и статистические методы;

Методологию измерений и мониторинга;

Взаимодействие экосистем и их биологическое разнообразие;

Экологические среды и их носители (например, воздух, вода, земля, растительный и животный мир);

Оценку жизненного цикла;

Оценивание экологических показателей;

Использование опасных веществ;

Расчет и управление выбросами в атмосферу парниковых газов;

Менеджмент природных ресурсов (например, природное топливо, вода, флора и фауна, земля);

Экологическое проектирование;

Экологическую отчетность и оглашение экологических данных;

Эффективное управление ресурсами при реализации процессов жизненного цикла продукции;

Технологии с применением возобновляемых ресурсов и пониженным образованием углекислого газа.

Примеры знаний и навыков в этой области включают в себя:

Постоянное улучшение, инновации и обучение;

Характеристики процессов и продукции, включая услуги;

А.5 Пояснительный пример в отношении специальных знаний и навыков аудиторов в области управления записями

Примеры знаний и навыков в этой области включают в себя:

Записи, процессы управления записями и терминологию систем менеджмента для записей;

Разработку показателей деятельности и метрик в этой области;

Продуктивность и адекватность соответствующих процессов для создания, сохранения и управления записями;

Методы для разработки специальных инструментов для ведения и поддержания записей;

Идентификацию и значение документации, связанной с авторизацией, для процессов, связанных с записями.

Примеры знаний и навыков в этой области включают в себя:

Методы разведывательного характера по сбору информации и мониторингу в области безопасности;

Принятие мер по рискам (адаптивного, упреждающего и противодействующего характера);

Методы для обеспечения безопасности и защиты людей;

Методы и практики для защиты имущества и физической безопасности;

Примеры знаний и навыков в этой области включают в себя:

Идентификацию и оценку требований потребителей и других заинтересованных сторон;

Процессы, научные подходы и практические приемы, лежащие в основе менеджмента информационной безопасности;

Оценку рисков (идентификация, анализ и проведение оценки) и тенденций в технике, угроз и уязвимых мест;

Управление рисками в области информационной безопасности;

А.8.1 Общие знания и навыки

Примеры знаний и навыков в этой области включают в себя:

Методы по стимулированию участия и вовлечению работников в деятельность в данной области менеджмента;

Методы поощрения правильного или образцового поведения персонала и личной ответственности работников (в отношении курения, потребления веществ с наркотическими свойствами, алкоголя, проблем, связанных с избыточным весом, стрессами, агрессивным поведением и т.д.) как в рабочее, так и свободное от работы время;

Величины систем предельно допустимого воздействия вредных и опасных факторов на производстве;

А.8.2 Знания и навыки, относящиеся к проверяемой в ходе аудита отрасли

Приложение В
(справочное)

Дополнительное руководящее указание для аудиторов
по планированию и проведению аудитов

В.1 Применение методов аудита

Таблица В.1 - Применяемые методы проведения аудита

Степень вовлеченности между организацией-аудитором и проверяемой организацией	Местоположение аудитора
на местах производственной деятельности организации	на расстоянии
Взаимодействие людей	Проведение интервью. Заполнение проверочных листов и вопросников с участием персонала проверяемой организации. Проведение анализа документации с участием представителей проверяемой организации.	Через интерактивные средства коммуникации: Проведение интервью; Заполнение проверочных листов и вопросников; Проведение анализа документации с участием представителей проверяемой организации
Без взаимодействия людей	Наблюдение за выполнением работы. Посещение производственных подразделений. Заполнение проверочных листов. Осуществление представительных выборок	Проведение анализа документации (например, анализ записей, данных). Наблюдение за выполнением работы с помощью технических средств, обеспечивающих надзор за производственной деятельностью, с учетом социальных и юридических требований. Анализ данных
Мероприятия аудита на местах выполняются на месте производственной деятельности проверяемой организации. Мероприятия аудита на расстоянии выполняются в любом месте, кроме мест расположения подразделений и производственной деятельности проверяемой организации, независимо от расстояния. Интерактивные мероприятия аудита включают в себя взаимодействие персонала проверяемой организации и группы по аудиту. Неинтерактивные мероприятия аудита не включают в себя взаимодействия с представителями проверяемой организации, но включают в себя взаимодействие с оборудованием, средствами инфраструктуры и документацией.

B.2 Проведение анализа документов

Аудиторы должны рассмотреть, является ли информация, представленная в документах:

Полной (все ожидаемые сведения содержатся в представленном документе);

Правильной (содержимое документа соответствует другим надежным источникам, таким как стандарты и правила);

Совместимой (положения документа согласуются между собой и связанными с ним документами);

Актуальной (положения, содержащиеся в документе, имеют силу на момент проверки);

B.3 Осуществление представительной выборки

B.3.1 Общие положения

Осуществление выборки для аудита, как правило, включает в себя следующие шаги:

Постановку целей плана осуществления выборки;

Выбор объема и композиции той генеральной совокупности, из которой будет производиться выборка;

Выбор метода проведения выборки;

Определение объема производимой выборки;

Проведение выборки;

Сбор материала, проведение оценки, регистрации и документирования результатов.

При проведении аудитов могут использоваться выборки по усмотрению, т.е. сделанные на основе решения аудитора (см. В.3.2), или статистические выборки (см. В.3.3).

B.3.2 Выборки, сделанные по усмотрению

Выборки, сделанные по усмотрению, полагаются на знания, навыки и опыт группы по аудиту (см. раздел 7).

Для осуществления таких выборок может учитываться следующее:

Предыдущий опыт проведения аудитов в данной области применения аудита;

Сложность требований (включая законодательные требования) для достижения целей данного аудита;

Сложность и взаимодействие процессов и элементов системы менеджмента организации;

Степень изменения в технологии, системе менеджмента или человеческом факторе;

Идентифицированные до этого времени зоны ключевых рисков и области улучшения;

Результаты мониторинга систем менеджмента.

В.3.3 Статистическая выборка

Ключевыми элементами, которые могут повлиять на план проведения выборки для аудита, являются:

Размер организации;

Количество компетентных аудиторов;

Периодичность аудитов в течение года;

Сроки конкретного аудита;

Любой требуемый внешними источниками уровень достоверности результатов аудита.

B.4 Подготовка рабочих документов

a) Какие записи по аудиту будут создаваться с помощью этого рабочего документа?

b) Какая деятельность по аудиту связана с этим конкретным рабочим документом?

c) Кто будет пользователем этого рабочего документа?

d) Какая информация требуется, чтобы подготовить этот рабочий документ?

Сведения в одну группу аналогичных требований, относящихся к различным критериям;

Согласования позиций, содержащихся в соответствующих контрольных листах и вопросниках.

Рабочие документы должны быть адекватными, для того чтобы в достаточной мере охватывать элементы всей системы менеджмента в рамках области применения аудита, и они могут быть представлены на любом носителе.

B.5 Выбор источников информации

Интервью с работниками и другими лицами;

Наблюдения за осуществляемыми действиями и окружающей производственной средой и условиями;

Сводки данных, анализы и показатели деятельности;

Базы данных и интернет-сайты;

Моделирование.

B.6 Руководство по посещению проверяемой организации

a) планирование посещения:

b) действия на посещаемых объектах:

Избежать привнесения любых ненужных помех в осуществление рабочих процессов,

Обеспечить надлежащее использование средств индивидуальной защиты членами группы по аудиту,

В случае проведения фото- или видеосъемки проверяющей стороной, следует заранее запросить соответствующее разрешение у руководства проверяемой организации и рассмотреть вопросы, связанные с обеспечением надлежащей защиты и конфиденциальности, и следует избегать фотографирования частных лиц без их разрешения,

При снятии копий или взятии экземпляров документов любого вида, следует заранее запросить соответствующее разрешение у руководства проверяемой организации и рассмотреть вопросы, связанные с обеспечением надлежащей защиты и конфиденциальности,

B.7 Проведение опросов и интервьюирование сотрудников

Нужно постараться создать непринужденную атмосферу до начала и во время проведения интервью;

Следует объяснить причины для проведения интервью и любые производимые записи;

Интервью можно начать с просьбы к опрашиваемым лицам описать выполняемую ими работу;

Следует поблагодарить опрошенных сотрудников за их участие и содействие.

В.8 Выводы аудита

B.8.1 Определение выводов аудита

При определении выводов аудита следует рассматривать следующее:

Меры, предпринятые по результатам предыдущих записей и заключений аудита;

Требования заказчика аудита;

Выводы (наблюдения), превосходящие границы обычной практики, или возможности для улучшения;

Размер представительной выборки;

B.8.2 Регистрация соответствий

Для записей о соответствии следует рассмотреть следующее:

Идентификацию критериев аудита, по которым выявляется соответствие;

Свидетельство аудита для подтверждения соответствия;

Декларацию о соответствии, если это применимо.

B.8.3 Регистрация и протоколирование несоответствий

Для записей о несоответствии следует рассмотреть следующее:

Декларацию о несоответствии;

Свидетельство аудита;

Соответствующие выводы аудита, если это применимо.

B.8.4 Обращение с выводами, относящимися к сложносоставным критериям

Отдельные выводы для каждого критерия-признака;

Библиография

		Sampling procedures for inspection by variables - Part 4: Procedures for assessment of declared quality levels
		Quality management systems - Fundamentals and vocabulary
		Quality management systems - Requirements
		Environmental management systems - Requirements with guidance for use
		Environmental management - Vocabulary
	ISO/IEC 17021:2011	Conformity assessment - Requirements for bodies providing audit and certification of management systems
		Information technology - Service management - Part 1: Service management system requirements
		Food safety management systems - Requirements for any organization in the food chain
		Information technology - Security techniques - Information security management systems - Overview and vocabulary
		Information technology - Security techniques - Information security management systems - Requirements
		Information technology - Security techniques - Code of practice for information security management
		Information technology - Security techniques - Information security management system implementation guidance
		Information technology - Security techniques - Information security management - Measurement
		Information technology - Security techniques - Information security risk management
		Specification for security management systems for the supply chain
		Information and documentation - Management system for records - Requirements 1)

		Risk management - Principles and guidelines
		Road traffic safety (RTS) management systems - Requirements with guidance for use 2)
2) В стадии подготовки.
		Energy management systems - Requirements with guidance for use
	ISO Guide 73:2009	Risk management - Vocabulary
	OHSAS 18001:2007	Occupational health and safety management systems - Requirements
	ISO 9001 Auditing Practices Group papers available at www.iso.org/tc176/ISO9001AuditingPracticesGroup
	ISO 19011 additional guidelines available at: www.iso.org/19011auditing