Guidelines for auditing management systems

ISO 19011:2011

Guidelines for auditing management systems

(IDT)

 

Издание официальное

 

Москва

Стандартинформ

 

Предисловие

 

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. №184-ФЗ «О техническом регулировании», а правила применения национальных стандартов Российской Федерации – ГОСТ Р 1.0-2004 «Стандартизация в Российской Федерации. Основные положения»

 

Сведения о стандарте

 

1 ПОДГОТОВЛЕН Открытым акционерным обществом «Всероссийский научно-исследовательский институт сертификации» (ОАО «ВНИИС») на основе собственного аутентичного перевода на русский язык стандарта, указанного в пункте 4

 

2 ВНЕСЕН Управлением технического регулирования и стандартизации Феде­рального агентства по техническому регулированию и метрологии

 

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от №

 

4 Настоящий стандарт идентичен международному стандарту ИСО 19011:2011 «Руководящие указания по аудиту систем менеджмента» (ISO 19011:2011 «Guidelines for auditing management systems»)

 

5 ВЗАМЕН ГОСТ Р ИСО 19011 – 2003

 

Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе «Национальные стандарты», а текст из­менений и поправок – в ежемесячно издаваемых информационных указателях «На­циональные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно из­даваемом информационном указателе «Национальные стандарты». Соответству­ющая информация, уведомления и тексты размещаются также в информационной системе общего пользования – на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

 

© Стандартинформ, 2012

Настоящий стандарт не может быть полностью или частично воспроизведен, ти­ражирован и распространен в качестве официального издания без разрешения Феде­рального агентства по техническому регулированию и метрологии

 

Содержание

1 Область применения…………………………………………………………………

2 Нормативные ссылки ………………………………………………………………..

3 Термины и определения……………………………………………………………..

4 Принципы проведения аудита………………………………………………………

5 Управление программой аудита…………………………………………………….

5.1 Общие положения………………………………………………………………….

5.2 Разработка целей программы аудита……………………………………………..

5.3 Разработка программы аудита…………………………………………………….

5.4 Внедрение программы аудита…………………………………………………….

5.5 Мониторинг программы аудита…………………………………………………..

5.6 Анализ и улучшение программы аудита…………………………………………..

6 Проведение аудита…………………………………………………………………....

6.1 Общие положения…………………………………………………………………..

6.2 Организация проведения аудита…………………………………………………..

6.3 Подготовка к проведению аудита на месте……………………………………….

6.4 Проведение аудита на месте……………………………………………………….

6.5 Подготовка и рассылка отчета по аудиту………………………………………....

6.6 Завершение аудита………………………………………………………………….

6.7 Действия по результатам аудита………………………………………………….

7 Компетентность и оценка аудиторов……………………………………………….

7.1 Общие положения…………………………………………………………………..

7.2 Определение компетентности аудиторов для удовлетворения
потребностей программы аудита…………………………………………………

7.3 Определение критериев оценки…………………………………………………...

7.4 Выбор соответствующего метода оценки………………………………………...

7.5 Проведение оценки……………………………………………………....................

7.6 Поддержание и повышение компетентности…………………………………..

 

Приложение А (справочное) Руководящие указания и пояснительные примеры
в отношении специальных знаний и навыков аудиторов
в области отдельных дисциплин менеджмента…………………..

Приложение В (справочное) Дополнительное руководящее указание для аудиторов по планированию и проведению аудитов……………………

Библиография…………………………………………………………………………..

 

Введение

После публикации в 2002 году первой версии настоящего стандарта появилось множество публикаций новых стандартов по системам менеджмента. В результате возникла необходимость в рассмотрении более широкой области применения для аудитов систем менеджмента, так же, как и в предоставлении соответствующих руководящих указаний, которые стали более универсальными с тем, чтобы их было можно применять для различных областей (дисциплин) менеджмента.

В 2006 году комитет ИСО по оценке соответствия (КАСКО) разработал стандарт ИСО/МЭК 17021, устанавливающий требования для сертификации систем менеджмента третьей стороной, в котором нашли отражение руководящие указания, содержащиеся в первой версии настоящего стандарта.

Вторая версия стандарта ИСО/МЭК 17021, опубликованная в 2011 году, была расширена с тем, чтобы трансформировать руководящие указания, предложенные в настоящем стандарте, в требования к сертификационным аудитам для систем менеджмента. В связи с этим вторая версия настоящего стандарта предоставляет руководящие указания для всех пользователей, включая организации малого и среднего бизнеса, и делает основной акцент на том, что общепринято называть «внутренними аудитами» (аудиты первой стороны) и «аудитами со стороны потребителей своих поставщиков» (аудиты второй стороны). В то время как стороны, принимающие участие в проведении сертификационных аудитов систем менеджмента, руководствуются требованиями стандарта ИСО/МЭК 17021:2011, для них могут также оказаться полезными руководящие указания, приведенные в настоящем стандарте.

Взаимосвязь между второй версией настоящего стандарта и ИСО/МЭК 17021:2011 приведена в таблице 1.

Таблица 1 – Область применения настоящего стандарта и его взаимосвязь с
ИСО/МЭК 17021:2011

Внутренний аудит	Внешний аудит
Аудит поставщика	Аудит третьей стороны
Иногда называемый «аудитом первой стороны»	Иногда называемый «аудитом второй стороны»	В целях проверки соблюде­ния законодательства и аналогичных целей Для проведения сертифика­ции (смотри также требования ИСО/МЭК 17021:2011)

Настоящий стандарт не устанавливает требований, а содержит руководящие указания по управлению программой аудита, планированию и проведению аудита системы менеджмента, а также по вопросам компетентности и оценивания аудитора и группы по аудиту.

Организации в рамках своей деятельности могут использовать несколько документированных систем менеджмента. Для того, чтобы не усложнять текст настоящего стандарта, предпочтительно употребление «система менеджмента» в единственном числе, но каждый конкретный читатель может адаптировать внедрение положений настоящего стандарта применительно к свой собственной конкретной ситуации. Это также применимо к использованию терминов «лицо» и «лица», «аудитор» и «аудиторы».

Настоящий стандарт предназначен для широкого круга потенциальных пользователей, включающих в себя аудиторов, организации, внедряющие системы менеджмента, и организации, нуждающиеся в проведении аудитов систем менеджмента согласно контрактным или другим обязательствам. При этом пользователи настоящего стандарта могут применять настоящие руководящие указания при разработке своих собственных требований, относящихся к аудиту.

Руководящие указание, содержащиеся в настоящем стандарте, могут использоваться для целей, связанных с декларированием соответствия, а также могут быть полезным для организаций, участвующих в деятельности по подготовке аудиторов или сертификации персонала.

Руководящие указания, содержащиеся в настоящем стандарте, не устанавливают жестких рамок и допускают гибкость в своем применении. Как указано в пунктах по тексту настоящего стандарта, применение настоящих руководящих указаний может различаться в зависимости от размера, уровня развития и совершенства системы менеджмента организации, от характера деятельности и сложности проверяемой организации, а также от целей и области применения проводимых аудитов.

Настоящий стандарт вводит понятие риска применительно к аудиту систем менеджмента. Применяемый здесь подход относится как к рискам, связанным с недостижением процессом аудита поставленных целей, так и к рискам, связанным с возможностью помешать осуществлению деятельности и процессов проверяемой организации из-за проведения мероприятий по аудиту. При этом не дается отдельного руководства по процессу управления рисками для организации, но признается то, что при проведении аудита организации могут сосредоточить свои усилия на наиболее важных вопросах для системы менеджмента.

Настоящим стандартом принимается подход, называемый «комплексным аудитом», при котором две или несколько систем менеджмента, охватывающие различные аспекты менеджмента, проверяются совместно. В случаях, когда эти системы интегрированы в одну систему менеджмента, принципы и процессы проведения аудита будут такими же, как и для комплексного аудита.

Раздел 3 устанавливает ключевые термины и определения, используемые в настоящем стандарте. Были предприняты все усилия для того, чтобы эти определения не вступали в противоречия с определениями, используемыми в других стандартах.

Раздел 4 описывает принципы, на которых базируется процесс аудита. Эти принципы помогают пользователю понять суть процесса аудита, и они важны для понимания указаний, представленных в разделах 5–7.

Раздел 5 содержит руководящие указания по разработке и управлению программами аудита, по постановке целей программ аудита и координации мероприятий, выполняемых при проведении аудита.

Раздел 6 содержит руководящие указания по планированию и проведению аудита системы менеджмента.

Раздел 7 содержит руководящие указания, относящиеся к компетентности и оценке аудиторов систем менеджмента и групп по аудиту.

Приложение А поясняет применение содержащихся в разделе 7 руководящих указаний для различных аспектов менеджмента.

Приложение В содержит дополнительное руководство для аудиторов, по планированию и проведению аудитов.

 

Область применения

Настоящий стандарт содержит руководящие указания по аудиту систем менеджмента, включая принципы аудита, управление программами аудита и проведение аудитов системы менеджмента, а также указания по оценке компетентности лиц, участвующих в процессе аудита, включая аудиторов, группы по аудиту и лиц, отвечающих за управление программой аудита.

Настоящий стандарт предназначен для всех организаций, которым необходимо проводить внутренние или внешние аудиты систем менеджмента или управлять программой аудита.

Положения настоящего стандарта могут применяться и для других типов аудита при условии, что будет уделено особое внимание вопросам, связанным с требуемым для этих целей уровнем специальной компетентности.

Нормативные ссылки

В данном разделе не приведены нормативные ссылки. Он включен для сохранения идентичности нумерации разделов настоящего стандарта с другими стандартами ИСО на системы менеджмента.

Издание официальное

3 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1 аудит (audit): Систематический, независимый и документируемый процесс получения свидетельств аудита (3.3) и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита (3.2).

Примечания

1 Внутренние аудиты, иногда называемые «аудитами первой стороны», проводятся самой организацией или от ее имени для анализа со стороны руководства или других внутренних целей (например, для подтверждения намеченных показателей результативности системы менеджмента или для получения информации по улучшению системы менеджмента), и могут служить основанием для декларации о соответствии. Во многих случаях, особенно в малых организациях, независимость при аудите может быть продемонстрирована отсутствием ответственности за деятельность, которая подвергается аудиту, или беспристрастностью и отсутствием конфликта интересов.

2 Внешние аудиты включают в себя аудиты, называемые «аудитами второй стороны» и «аудитами третьей стороны». Аудиты второй стороны проводят стороны, заинтересованные в деятельности организации, например, потребители или другие лица от их имени. Аудиты третьей стороны проводят внешние независимые организации, такие как регулирующие или надзорные органы или организации, проводящие регистрацию или сертификацию.

3 Аудит двух или нескольких систем менеджмента для различных аспектов (например, качество, охрана окружающей среды, охрана труда), проводимый одновременно, называют «комплексным аудитом».

4 Если две или несколько проверяющих организаций объединяют свои усилия для проведения аудита одной проверяемой организации (3.7), такой аудит называют совместным.

5 Адаптировано из ИСО 9000:2005, статья 3.9.1.

3.2 критерии аудита (audit criteria): Совокупность политик, процедур или требований, используемых в качестве эталона, в соотношении с которым сопоставляют свидетельства аудита (3.3), полученные при проведении аудита.

Примечания

1 Адаптировано из ИСО 9000:2005, статья 3.9.3.

2 В случае, если критериями аудита являются правовые требования (включая законодательные или другие обязательные требования), то в выводах (наблюдениях) аудита (3.4) часто используются термины «соответствующий» или «несоответствующий».

3.3 свидетельство аудита (audit evidence): Записи, изложение фактов или другая информация, которые связаны с критериям аудита (3.2) и могут быть проверены.

Примечание – Свидетельство аудита может быть качественным или количественным.

[ИСО 9000:2005, статья 3.9.4]

3.4 выводы (наблюдения) аудита (audit findings): Результаты оценки собранных свидетельств аудита (3.3) на соответствие критериям аудита (3.2).

Примечания

1 Выводы аудита указывают на соответствие или несоответствие.

2 Выводы аудита могут вести к идентификации возможностей для улучшения или отражению наилучших практик.

3 Если критерии аудита выбираются, исходя из правовых или других обязательных требований, то наблюдением (выводом) аудита определяется соответствие или несоответствие данным требованиям.

4 Адаптировано из ИСО 9000:2005, статья 3.9.5.

3.5 заключение по результатам аудита (audit conclusion): Выходные данные аудита (3.1) после рассмотрения целей аудита и всех выводов аудита (3.4).

Примечание – Адаптировано из ИСО 9000:2005, статья 3.9.6.

3.6 заказчик аудита (audit client): Организация или лицо, заказавшие аудит.

Примечания

1 В случае внутреннего аудита, заказчиком аудита может быть проверяемая организация (3.7) или лицо, ответственное за управление программой аудита. Запросы, касающиеся проведения внешнего аудита, могут поступать из таких источников, как контролирующие органы, стороны, с которыми организация имеет контрактные отношения, или потенциальные заказчики.

2 Адаптировано из ИСО 9000:2005, статья 3.9.7.

3.7 проверяемая организация (auditee): Организация, подвергающаяся аудиту.

[ИСО 9000:2005, статья 3.9.8].

3.8 аудитор (auditor): Лицо, которое проводит аудит (3.1).

3.9 группа по аудиту (audit team): Один или несколько аудиторов (3.8), проводящих аудит (3.1), при необходимости поддерживаемые техническими экспертами (3.15).

Примечания

1. Один из аудиторов в группе по аудиту, как правило, назначается руководителем группы.

2. Группа по аудиту может включать в себя аудиторов-стажеров.

[ИСО 9000:2005, статья 3.9.10].

3.10 технический эксперт (technical expert): Лицо, обладающее специальными знаниями или опытом, необходимыми группе по аудиту (3.9).

Примечания

1 Специальные знания или опыт включают в себя знания или опыт, относящиеся к организации, процессу или деятельности, подвергаемым аудиту, а также знание языка и культуры страны, в которой проводится аудит.

2 Технический эксперт не имеет полномочий аудитора (3.8) в группе по аудиту.

[ИСО 9000:2005, статья 3.9.11].

3.11 наблюдатель (observer): Лицо, сопровождающее группу по аудиту (3.9), но не проводящее аудит.

Примечания

1 Наблюдатель не входит в состав группы по аудиту (3.9) и не влияет или не вмешивается в проведение аудита (3.1).

2 Наблюдателем может быть представитель проверяемой организации (3.7), контролирующего органа или другой заинтересованной стороны, который наблюдает за проведением аудита (3.1).

3.12 сопровождающий (guide): Лицо, назначаемое проверяемой организацией (3.7) для оказания помощи и содействия группе по аудиту (3.9).

3.13 программа аудита (audit programme): Совокупность мероприятий по проведению одного или нескольких аудитов (3.1), запланированных на конкретный период времени и направленных на достижение конкретной цели.

Примечание – Адаптировано из ИСО 9000:2005, статья 3.9.3.

3.14 область аудита (audit scope): Содержание и границы аудита (статья 3.1).

Примечание – Область аудита обычно включает в себя местонахождение, организационную структуру, виды деятельности и процессы, а также охватываемый период времени.

[ИСО 9000:2005, статья 3.9.13]

3.15 план аудита (audit plan): Описание деятельности и мероприятий по проведению аудита (статья 3.1).

[ИСО 9000:2005, статья 3.9.12].

3.16 риск (risk): Воздействие неопределенности на достижение целей.

Примечание – Адаптировано из Руководства ИСО 73:2009, определение 1.1.

3.17 компетентность (competence): Способность применять знания и навыки для достижения намеченных результатов.

Примечание – Под способностью понимается соответствующее применение и проявление личных качеств во время проведения аудита.

3.18 соответствие (conformity): Выполнение требования.

[ИСО 9000:2005, статья 3.6.1].

3.19 несоответствие (nonconformity): Невыполнение требования.

[ИСО 9000:2005, статья 3.6.2].

3.20 система менеджмента (management system): Система для разработки политики и целей и достижения этих целей.

Примечание – Система менеджмента организации может включать в себя различные системы менеджмента, такие как система менеджмента качества, система финансового менеджмента или система экологического менеджмента.

[ИСО 9000:2005, статья 3.2.2].

Принципы проведения аудита

Процесс проведения аудита основан на соблюдении нескольких принципов. Эти принципы позволяют сделать аудит результативным и надежным инструментом поддержания политики руководства и управления, обеспечивая получение информации, на основе которой организация может улучшать характеристики своей деятельности. Соблюдение этих принципов является необходимым условием для предоставления объективных и достаточных заключений по результатам аудита и позволяет аудиторам, работающим независимо друг от друга, приходить к аналогичным заключениям при одних и тех же обстоятельствах.

Руководящие указания, приведенные в разделах 5–7, базируются на следующих шести принципах.

а) Целостность (integrity) – основа профессионализма.

Аудиторам и лицам, управляющим программой аудита следует:

- выполнять свою работу честно, старательно и ответственно;

- соблюдать и относиться с уважением к любым применяемым законодательным требованиям;

- демонстрировать свою техническую компетентность при выполнении работы;

- выполнять свою работу беспристрастно, оставаться честными и непредвзятыми во всех своих действиях;

- быть осмотрительными и не поддаваться каким-либо влияниям, которые могут оказывать на их суждения или выводы другие заинтересованные стороны.

b) Беспристрастность (fair presentation) – обязательство предоставлять правдивые и точные отчеты.

В выводах (наблюдениях) аудитов, заключениях по результатам аудита и отчетах следует отражать деятельность по аудиту правдиво и точно. Неразрешенные проблемы и разногласия между группой по аудиту и проверяемой организацией следует отражать в отчетах. Обмен информацией должен быть правдивым, точным, объективным, своевременным, понятным и полным.

с) Профессиональная осмотрительность (due professional care) – прилежание и умение принимать правильные решения при проведении аудита.

Профессиональная осмотрительность аудиторов соответствует важности выполняемого задания и доверительности со стороны заказчика аудита и других заинтересованных сторон. Важным фактором при выполнении аудиторами своей работы с профессиональной осмотрительностью является способность принимать обоснованные решения в любых ситуациях в ходе выполнения аудита.

 

 

d) Конфиденциальность (confidentiality) – сохранность информации.

Аудиторы должны проявлять осмотрительность при использовании и обеспечении защиты и сохранности информации, полученной ими при проведении аудита. Информация, полученная при проведении аудита, не должна использоваться ненадлежащим образом для получения личной выгоды аудитором или заказчиком аудита или способом, наносящим ущерб законным интересам проверяемой организации. Соблюдение этого принципа включает в себя надлежащее обращение с конфиденциальной или классифицированной информацией.

е) Независимость (independence) – основа беспристрастности и объективности заключений по результатам аудита.

Аудиторы должны быть независимыми от проверяемой деятельности, во всех случаях, когда это осуществимо, и всегда выполнять свою работу таким образом, чтобы быть свободными от предубеждений и конфликта интересов. При проведении внутренних аудитов аудиторы должны быть независимыми от руководителей подразделений и направлений деятельности, которые они проверяют. Аудиторы должны сохранять объективное мнение в течение всего процесса аудита для обеспечения того, чтобы выводы и заключения аудита основывались только на свидетельствах аудита.

Для малых организаций может оказаться невозможным обеспечение независимости внутренних аудиторов от проверяемой ими деятельности, однако следует предпринять все возможные усилия для исключения какой бы то ни было заинтересованности и обеспечения объективного рассмотрения проверяемой деятельности.

f) Подход, основанный на свидетельстве (evidence-based approach) – разумная основа для достижения надежных и воспроизводимых заключений аудита в процессе систематического аудита.

Свидетельство аудита должно быть проверено. Оно основано на выборках имеющейся информации, поскольку аудит осуществляется в ограниченный период времени и с ограниченными ресурсами. Соответствующее использование выборок тесно связано с доверием, с которым относятся к заключениям по результатам аудита.

Общие положения

Организации, которой требуется проводить аудиты, следует подготовить программу аудита, позволяющую определять результативность системы менеджмента данной организации. Программа аудита может включать в себя аудиты, охватывающие один или несколько стандартов по системам менеджмента, проводимые по отдельности или в каком-либо сочетании.

Высшее руководство должно обеспечить, чтобы цели программы аудита были установлены, и назначить одно или несколько компетентных лиц, ответственных за управление программой аудита. Объем и содержание программы аудита должны зависеть от размера и характера деятельности проверяемой организации, а также от специфики, сложности и степени зрелости системы менеджмента, подлежащей аудиту. Основное внимание следует уделить адекватному распределению ресурсов программы аудита для проведения аудита наиболее важных элементов системы менеджмента. Они могут включать в себя ключевые характеристики качества продукции, опасности, связанные с охранной здоровья и техникой безопасности, или важные экологические аспекты и управление ими.

Примечание – Данный подход широко известен как проведение аудитов на основе рисков. Настоящий стандарт не дает дальнейших руководящих указаний по проведению аудитов на основе рисков.

Программа аудита должна включать в себя информацию и ресурсы, необходимые для организации аудитов и их результативного и эффективного проведения в установленные временные сроки, а также может включать в себя следующее:

- цели для программы аудита и отдельных аудитов;

- объем/количество/типы/места проведения и график проведения аудитов;

- процедуры программы аудита;

- критерии аудита;

- методы аудита;

- формирование группы (групп) по аудиту;

- необходимые ресурсы, включая расходы на командировки и размещение аудиторов;

- процессы, связанные с соблюдением конфиденциальности, обеспечением защиты информации и другие подобные вопросы.

Необходимо осуществлять мониторинг и измерения, связанные с внедрением программы аудита, для обеспечения достижения поставленных целей. Для того чтобы идентифицировать возможные улучшения, программу аудита следует анализировать.

На рисунке 1 представлена последовательность процессов управления программой аудита.

 

 

Рисунок 1 – Последовательность процессов управления программой аудита

Примечания

1 Рисунок 1 также показывает применение цикла PDCA (планирование – выполнение – проверка – действие) в настоящем стандарте.

2 Нумерация разделов/подразделов приводится в соответствии с разделами/подразде­лами настоящего стандарта.

Разработка программы аудита

Внедрение программы аудита

Общие положения

Лицу, ответственному за управление программой аудита, следует осуществлять внедрение программы аудита посредством:

- доведения до соответствующих участвующих сторон тех частей программы аудита, которые непосредственно к ним относятся, и периодическое информирование данных сторон о прогрессе в реализации положений программы;

- определение целей, области и критериев для каждого проводимого аудита;

- координации и календарного планирования аудитов и другой деятельности, связанной с программой аудита;

- обеспечения формирования групп по аудиту, обладающих необходимой компетентностью;

- предоставление необходимых ресурсов группам по аудиту;

- обеспечения проведения аудитов в соответствии с программой аудита и в установленные сроки;

- обеспечения ведения записей по мероприятиям аудита и надлежащего уп­равления и сохранности этих записей.

Выбор методов аудита

Лицу, ответственному за управление программой аудита, следует подобрать и определить методы для эффективного проведения аудита в зависимости от установленных целей, области применения и критериев для данного аудита.

Примечание – Руководящие указания по определению методов аудита приведены в приложении В.

В случае, когда две или несколько проверяющих организаций проводят совместно аудит одной организации, лицам, ответственным за управление различными программами аудита, следует договориться о методе данного аудита и рассмотреть вопросы, касающиеся наличия необходимых ресурсов и планирования мероприятий данного аудита. Если в проверяемой организации функционируют две или несколько систем менеджмента для различных дисциплин, то в программу данного аудита могут быть включены комплексные аудиты.

Мониторинг программы аудита

Лицу, управляющему программой аудита следует контролировать ее реализацию с учетом необходимости оценивать:

a) соответствие программам аудитов, календарным планам и целям аудита;

b) деятельность членов группы по аудиту;

c) способность групп по аудиту реализовать план аудита;

d) обратную связь от высшего руководства, проверяемых организаций, аудиторов и других заинтересованных сторон.

Некоторые факторы могут выявить потребность внесения изменений в программу аудита по ходу ее реализации, такие как:

- исходные данные, выявленные при аудите;

- демонстрируемый уровень результативности системы менеджмента;

- изменения в системе менеджмента заказчика или проверяемой организации;

– изменения в стандартах, правовых и контрактных требованиях и других требованиях, которые организация стремится выполнить;

- замена поставщика.

Проведение аудита

Общие положения

Настоящий раздел содержит руководящие указания по планированию и проведению деятельности по аудиту в рамках программы аудита. Рисунок 2 дает обзор типовых действий при проведении аудита. Степень применения положений настоящего раздела зависит от целей и области применения конкретного аудита.

Общие положения

Когда приступают к проведению аудита, ответственность за его проведение остается за назначенным руководителем группы по аудиту (5.4.5) до завершения данного аудита (6.6).

Для того чтобы приступить к проведению аудита, нужно рассмотреть шаги, приведенные на рисунке 2; однако их последовательность может отличаться в зависимости от проверяемой организации, процессов и конкретных обстоятельств, относящихся к данному аудиту.

 

 

Примечание – Нумерация подразделов приводится в соответствии с нумерацией подразделов настоящего стандарта.

Рисунок 2 – Типовые действия при проведении аудита

Подготовка к проведению аудита на месте

6.3.1 Выполнение анализа документов при подготовке к аудиту

Необходимо проанализировать документацию соответствующей системы менеджмента проверяемой организации, с тем чтобы:

- собрать информацию для подготовки мероприятий аудита и подходящие рабочие документы (6.3.4), например, относящиеся к процессам, должностным обязанностям;

- осуществить обзор документации системы для выявления возможных пробелов.

Примечание – Руководящие указания по выполнению анализа документации приведены в В.2 приложения В.

Документация должна включать в себя, насколько это применимо, документы и записи системы менеджмента, а также отчеты по предыдущим аудитам. При анализе документации следует учитывать размер, характер деятельности, сложность проверяемой организации и ее системы менеджмента, а также цели и область применения аудита.

6.3.2 Подготовка плана аудита

6.3.2.1 Руководителю группы по аудиту следует подготовить план аудита, основанный на информации, содержащейся в программе аудита и документации, предоставленной проверяемой организацией. План аудита должен рассматривать последствия аудита с учетом его влияния на процессы проверяемой организации и обеспечивать основу для соглашения между заказчиком аудита, группой по аудиту и проверяемой организацией относительно проведения аудита. Этот план должен способствовать наилучшей координации, последовательности и сроков выполнения работ по аудиту для наиболее эффективного достижения результата.

Объем сведений, представленных в плане аудита, должен отражать область применения и сложность аудита, а также влияние факторов неопределенности на достижение целей аудита. При подготовке плана аудита руководитель группы по аудиту должен быть осведомлен:

- о соответствующих методах выборочного контроля (см. В.3 приложения B);

- о характерных чертах и особенностях состава группы по аудиту и ее коллективном уровне компетентности;

- о рисках для проверяемой организации, возникающих вследствие проведения аудита.

Например, риски для организации могут возникать вследствие присутствия членов группы по аудиту, влияющих на обеспечение требований в области охраны труда, экологии и качества, и их присутствие может представлять определенную угрозу для продукции, услуг, персонала или инфраструктуры проверяемой организации (например, случай привнесения загрязнения в приспособления для очистки помещений).

Для комплексных аудитов следует уделить особое внимание вопросам взаимодействия между операционными процессами и гармонизации целей и приоритетов различных систем менеджмента в случае соперничества между ними.

6.3.2.2 Масштаб и содержание плана аудита могут различаться, например, между первоначальным и последующими аудитами, так же, как и между внутренними и внешними аудитами. План аудита должен допускать достаточную гибкость, чтобы по мере осуществления мероприятий по аудиту в него, в случае необходимости внесения корректировок или изменений, можно было внести требуемые изменения.

План аудита должен включать в себя или содержать ссылки на:

- цели аудита;

- область аудита, включая идентификацию организационных и функциональных подразделений и процессов, которые будут проверяться;

- критерии аудита и ссылочные документы;

- места проведения аудита, даты, ожидаемое время и продолжительность намеченных мероприятий по аудиту, включая совещания с руководством проверяемой организации, а также другие совещания;

- используемые при проведении аудита методы, включая объем или степень выборочного контроля, необходимого для получения достаточных свидетельств аудита, и проект программы выборочного контроля, если она применяется;

- роли и обязанности членов группы по аудиту, а также сопровождающих лиц и наблюдателей;

- распределение соответствующих ресурсов по «критичным местам» проведения аудита.

При необходимости в план аудита следует также включить:

- определение представителей проверяемой организации для участия в аудите;

- рабочий язык для проведения аудита и язык для составления отчета в тех случаях, где он отличается от родного языка аудитора и (или) проверяемой организации;

- содержание отчета по аудиту;

- материально-техническое обеспечение и коммуникационные средства, включая средства и необходимые подготовительные мероприятия на местах проверяемых подразделений;

- любые специальные меры, предпринимаемые в отношении рисков и влияния неопределенности на цели аудита;

- вопросы, относящиеся к конфиденциальности и сохранности информации;

- действия по результатам проверок, например, предыдущего аудита;

- вопросы координации, связанные с проведением других работ по аудиту, в случае совместного аудита.

План аудита может быть проанализирован и одобрен заказчиком аудита, и его следует представить на рассмотрение проверяемой организации. Любые возражения со стороны проверяемой организации, относящиеся к плану аудита, необходимо разрешить между руководителем группы по аудиту, проверяемой организацией и заказчиком аудита.

Подготовка рабочих документов

Члены группы по аудиту должны собирать и анализировать информацию, относящуюся к зоне их ответственности, и осуществлять подготовку рабочих документов надлежащим образом для фиксации и протоколирования свидетельств аудита. Такие рабочие документы могут включать в себя:

- контрольные листы;