акуа. Руководящие указания по проведению аудита систем менеджмента 19011 2018, g uidelines fo r auditing management system s
 Скачать 4.97 Mb.
|
|
т ) контактность, те. умение эффективно взаимодействовать с другими, включая членов аудиторской группы и персонал проверяемой организации Знания и навыки Общие положения Аудиторы должны обладать ) знаниями и навыками, необходимыми для достижения намеченных результатов аудитов, в которых им придется участвовать) общей компетентностью, а также определенным уровнем знаний и навыков, в конкретных отраслях экономической деятельности и дисциплинах систем менеджмента. Руководителям аудиторских групп следует иметь дополнительные знания, необходимые для обеспечения руководства группой Общие знания и навыки аудиторов по системам менеджмента Аудиторам следует обладать знаниями и навыками в областях, указанных ниже. а) Принципы проведения аудита, процедуры и методы знания и навыки в этой области позволяют аудитору гарантировать, что аудиты проводятся последовательно и методично ГОСТ Р ИСО Аудитору следует уметь следующее- понимать типы рисков и возможностей, связанных с аудитом и принципы подхода на основе оценки рисков для аудита- эффективно планировать и организовывать работу- проводить аудит в рамках согласованного графика- отдавать приоритет более важным вопросами сосредоточиваться на них- эффективно, в устной и письменной формах обмениваться информацией (лично или через переводчика- собирать информацию посредством эффективного опроса, слушания, наблюдения и анализа документов, записей и данных- понимать уместность и последствия использования техники выборки для аудита- понимать и учитывать мнение технических экспертов- проводить аудит от начала и до конца, включая взаимодействия с другими процессами и различными функциями, в зависимости от обстоятельств- проверять соответствие и точность собранной информации- подтверждать достаточность и приемлемость свидетельства аудита, чтобы подтвердить обнаружения и заключения аудита- оценивать те факторы, которые могут влиять на достоверность обнаружений и заключений аудита- документировать деятельность и обнаружения аудита и подготавливать соответствующие отчеты по аудиту- сохранять конфиденциальность и защиту информации) Стандарты на системы менеджмента и другие ссылочные документы знания и навыки в этой области позволяют аудитору разобраться в области аудита и применять его критерии, а также охватить следующее- стандарты на системы менеджмента или другие нормативные документы или руководящие указания. используемые для разработки критериев или методов аудита- применение стандартов на системы менеджмента проверяемой организацией и другими организациями- взаимосвязь и взаимодействие между процессами системы менеджмента- понимание важности и приоритета нескольких стандартов или ссылочных документов- применение стандартов или ссылочных документов в различных ситуациях аудита) Организация и ее среда знания и навыки в этой области, позволяют аудитору понимать структуру аудитируемой организации, ее цели и практические методы менеджмента, а также охватить следующее- потребности и ожидания соответствующих заинтересованных сторон, оказывающих влияние на систему менеджмента- тип организации, методы руководства, размер, структуру, функциональные подразделения, а также взаимоотношения- общие концепции бизнеса и управления, процессы и соответствующую терминологию, включая планирование, бюджет и управление персоналом- культурные и социальные аспекты проверяемой организации ) Применяемые законодательные и нормативно-правовые требования, а также другие требования знания и навыки в этой области позволяют аудитору знать и работать с учетом требований организации. Знания и навыки, касающиеся юрисдикции или деятельности проверяемой организации, ее процессов, продукции и услуг, должны охватывать- законодательные и нормативно-правовые требования и устанавливающие их органы- основную официальную терминологию- заключение договоров и ответственность. П р им е чан и е — Знание законодательных и нормативных правовых требований не подразумевает юридической экспертизы, а аудит системы менеджмента не следует считать аудитом соблюдения законодательных требований Компетентность аудиторов в конкретном секторе или по конкретным дисциплинам ГОСТ РИСО Командам аудита следует обладать совокупной компетентностью в области систем менеджмента и отраслей экономической деятельности, подходящей для проведения аудита конкретных видов систем менеджмента и отраслей экономической деятельности. Знания и навыки аудиторов по определенным дисциплинам или в определенной отрасли включают следующее) требования и принципы системы менеджмента, и их применение) основные принципы дисциплины) и сектора(ов). установленные стандартами на системы менеджмента, применяемыми проверяемой стороной) применение методов, техники, процессов и практики связанных с определенной дисциплиной или сектором, позволяющих аудиторской группе оценить соответствие в рамках определенной области аудита и получить соответствующие обнаружения и заключения аудита: <1)принципы, методы и техника менеджмента рисков, касающиеся определенных дисциплин и сектора, так чтобы аудитор мог определить и оценить риски возможности, связанными с целями аудита Общая компетентность руководителя аудиторской группы Для того чтобы обеспечить результативность и эффективное проведение аудита, руководителю аудиторской группы следует иметь компетентность) в планировании аудита и постановка задач согласно конкретной компетентности отдельных членов аудиторской группы) обсуждении стратегических вопросов с высшим руководством проверяемой организации, чтобы определить рассматривались ли эти вопросы при оценивании их рисков и возможностей) разработке и поддержании контактов между членами аудиторской группы с целью сотрудниче ства; <1)управлении процессом аудита, включая- эффективное использование ресурсов в процессе аудита- управление неопределенностью достижения целей аудита- охрану здоровья и безопасность членов аудиторской группы входе аудита, включая обеспечение соблюдения аудиторами соответствующих требований к охране здоровья, безопасности и защите- направление деятельности членов аудиторской группы- указание направлений работы и предоставление руководящих указаний аудиторам-стажерам; - предотвращение и разрешение конфликтов и проблем, которые могут возникнуть в процессе аудита, включая конфликты внутри аудиторской группы, по мере необходимости ) представлении аудиторской группы при обмене информацией с лицом(ами), осуществляю- щим(ими) управление программы аудита, заказчиком аудита и проверяемой организацией) руководстве группой при подготовке заключений аудита; д)подготовке и оформлении отчета по аудиту Знания и навыки для проведения аудита нескольких разных систем менеджмента При проведении аудитов систем менеджмента нескольких дисциплин, члену группы аудита следует обладать пониманием взаимодействий и синергии между разными системами менеджмента. Руководителям аудиторских групп следует понимать требования каждого из стандартов на систему менеджмента и осознавать границы своих знаний и навыков в каждой из дисциплин. П р им е чан и е — Аудиты по нескольким дисциплинам систем менеджмента, проводимые одновременно, могут представлять собой комбинированный аудит или аудит интегрированной системы менеджмента, охватывающей несколько дисциплин Достижение компетентности аудитора Компетентность аудитора можно приобрести, используя сочетание следующих способов ) освоение обучающих программ, которые охватывают общие знания и навыки аудитора) приобретение опыта на соответствующей технической, управленческой или профессиональной должности, включая опыт суждения, принятия решений, решения проблем и обмена информацией с руководителями, специалистами, коллегами, заказчиками и другими заинтересованными сторонами) образование/подготовка и опыт в конкретной дисциплине и секторе системы менеджмента, которые вносят вклад в развитие общей компетентности ) приобретение опыта аудита под наблюдением аудитора компетентного по той же дисциплине. П р им е чан и е — Успешное окончание курса подготовки будет зависеть от типа курса. Для курсов с экзаменами это может означать успешную сдачу экзаменов. Для других курсов — участие и прохождение программы курса ГОСТ Р ИСО 19011—2021 7.2.5 Компетентность руководителя аудиторских групп Руководителю аудиторской группы следует приобрести дополнительный опыт для расширения компетентности, приведенной в 7.2.3.4. Этот дополнительный опыт следует приобрести, работая под руководством и на основе руководящих указаний другого руководителя команды аудита Разработка критериев оценивания аудитора Критерии должны быть качественными (например, такими, которые демонстрируют личные качества. знания или эффективность навыков при обучении или на рабочем месте) и количественными (такими. как стаж работы и образование, количество проведенных аудитов, часов подготовки по аудиту Выбор метода оценивания аудитора Оценивание следует проводить, используя два или более методов, выбранных по таблице 2. При использовании таблицы 2. необходимо отметить следующее) указанные методы представляют спектр вариантов и могут не подходить к любой ситуации) различные методы могут отличаться друг от друга надежностью) следует использовать сочетание методов, чтобы обеспечить объективный, последовательный, беспристрастный и надежный результат. Т а блица Методы оценивания аудиторов Цели Примеры Анализ записей Верифицировать личные данные ауди тора Анализ записей об образовании, обучении. работе, профессиональных отзывах и опыте по аудиту Обратная связь Предоставить информацию о том. каким образом воспринимается деятельность аудитора Инспектирования, анкеты, резюме, рекомендации. жалобы, оценка характеристик. отзывы коллег Собеседование Оценить личные качества и навыки общения. чтобы проверить сведения и знания. а также получить дополнительную информацию Личные собеседования Наблюдение Оценить требуемые личные качества и способность к применению знаний и навыков Ролевые игры, наблюдение в процессе аудита, деятельность на рабочем месте Испытания Оценить требуемые личные качества, знания и навыки и их применение Устные или письменные экзамены, психометрические тесты Анализ после аудита Обеспечить информацию о характеристиках аудитора вовремя аудита, определить его сильные и слабые стороны Анализ отчета по аудиту, собеседование с руководителем группы, и. если уместно. отзывы проверяемой организации Проведение оценивания аудиторов Информацию, собранную о данном аудиторе, следует сопоставить с критериями, указанными в 7.2.3. Если оцениваемый аудитор, участие которого предполагается в программе аудита не соответствует этим критериям, то ему следует пройти дополнительную подготовку, обучение, поработать и приобрести дополнительный опыт по аудиту и снова пройти оценивание. 7.6 Поддержание и повышение компетентности аудитора Аудиторам и руководителям групп по аудиту следует постоянно повышать свою компетентность. Аудиторам следует поддерживать свою компетентность в области аудита посредством регулярного участия в аудитах систем менеджмента и непрерывного профессионального развития. Это может быть достигнуто посредством дополнительного опыта работы, обучения, самообразования, наставничества, посещения совещаний, участия в семинарах и конференциях или другой деятельности ГОСТ РИСО Лицу (а м ). осуществляющему им) управление программой аудита, следует создать необходимый механизм постоянного оценив ан и яре з ул ь татов деятельности аудиторов и руководителей аудиторских групп Для постоянного профессионального развития следует учитывать) изменения потребностей отдельных лиц и организации, ответственной зап ров еде ни е аудита) развитие практики аудита, включая применение соответствующих технологий) соответствующие стандарты, включая руководя щи в подтверждающие документы и другие требования) изменения вот рас ли или направлениях системы менеджмента ГОСТ Р ИСО Приложение А (справочное) Д оп о л ните ль н ы еру ко водящие указания для аудиторов поп лани ров ан и ю и проведению аудита А.1 Применением етодов аудита Аудит можно проводить с использованием ряда методов аудита. В данном приложении можно найти объяснение наиболее часто применяемых методов аудита. Методы, выбранные для аудита, зависят от определенных целей, области и критериев аудита, а также его продолжительности и места проведения. Также следует учитывать компетентность аудитора и неопределенность, возникающую в результате применения методов аудита. Применение различных методов аудита и их комбинаций могут оптимизировать эффективность и результативность процесса аудита и его результатов. Проведение аудита включает взаимодействие лиц с проверяемой системой менеджмента и технологию, используемую для осуществления аудита. В таблице А показаны примеры методов аудита, которые можно использовать. по отдельности или в сочетании, чтобы достичь целей аудита. Если аудит включает использование аудиторской группы, состоящей из нескольких человек, то можно одновременно использовать дистанционные методы и методы, применяемые на месте. П р им е чан и е — Дополнительную информацию по выездам на место см. в АТ а блица А — Методы аудита Степень участия аудитора и проверяемой организации Местонахождение аудитора На месте На расстоянии Взаимодействие с людьми Проведение опросов. Заполнение анкет и вопросников с участием проверяемой организа ции. Проведение анализа документов с участием проверяемой организа ции. Выборка Через интерактивные средства связи- проведение опросов- дистанционное наблюдение за выполняемой работой- заполнение анкет и вопросников- проведение анализа документов суча стием проверяемой организации Без взаимодействия с людьми Проведение анализа документов например, анализ записей данных. Наблюдение за выполнением работы. Выезд на место. Заполнение анкет. Выборка (например, продукции) Проведение анализа документов например, анализ записей, данных. Наблюдение за выполняемой работой с помощью средств наблюдения, с учетом социальных, законодательных и нормативных правовых требований. Анализ данных Аудиторская деятельность на месте выполняется на территории проверяемой организации. Дистанционный аудит осуществляется из любого другого места, кроме местоположения проверяемой организации, независимо от расстояния. Интерактивная деятельность по аудиту включает взаимодействие между персоналом проверяемой организации и аудиторской группой. Не интерактивный аудит не включает взаимодействия аудиторов с представителями проверяемой организации, но включает взаимодействие с оборудованием, производственными средствами и документацией. Ответственность за эффективное применение методов аудита в отношении любого аудита на стадии планирования ложится либо на пицо(лиц). осуществляющее(их) управление программой аудита, либо на руководителя аудиторской группы. Руководитель группы несет ответственность за проведение собственно аудита. Осуществимость удаленного аудита может зависеть от нескольких факторов (например, от уровня риска в достижении целей аудита, от уровня доверия между аудитором и персоналом проверяемой организации и от нормативных правовых требований ГОСТ РИСО На уровне программы аудита следует обеспечить применимость и сбалансированность методов дистанционного аудита и методов аудита на месте, чтобы гарантировать удовлетворительное достижение целей программы аудита. А.2 П роцессны й подход к проведению аудита Применение «процессного подхода является требованием для всех стандартов ИСО на системы менеджмента в соответствии с Директивами ИСО/МЭК Директивы, часть 1, приложение SL. Аудиторам следует понимать, что проведение аудита системы менеджмента является проведением аудита процессов организации и их взаимодействия по одному или более стандартам на системы менеджмента. Согласованные и предсказуемые результаты достигаются более эффективно и результативно, когда деятельность понятна и управляется как взаимосвязанные процессы, функционирующие как связанная система. А.З Профессиональное суждение Входе процесса аудита аудиторам следует использовать профессиональное суждение (умение правильно разбираться) и избегать концентрации на конкретных требованиях каждого раздела стандарта в достижении предполагаемого результата системы менеджмента. Некоторые разделы стандарта ISO на системы менеджмента нелегко применить к аудиту способом сравнения набора критериев с содержанием процедуры или рабочей инструкции. В таких ситуациях аудиторам следует использовать свое профессиональное суждение для определения, удовлетворены ли требование такого разделав целом. А.4 Достижение результатов Аудиторам следует сфокусироваться на предполагаемом результате системы менеджмента на всем протяжении процесса аудита. Несмотря на то. что сами процессы и то. что они достигнуты важны результаты системы менеджмента и ее выполнение являются тем. что имеет значение. Также важно учесть уровень интеграции различных систем менеджмента и их предполагаемые результаты. Отсутствие процесса или документации может иметь значение для организаций с высоким риском или сложной организации, ноне имеет значение в других организациях. А.5 Верификация информации По мере целесообразности, аудиторам следует рассмотреть, дает ли информация достаточно объективное свидетельство, чтобы продемонстрировать соблюдение требований, и является ли) полной (все ожидаемое содержание включено в документированную информацию) правильной (содержание соответствует другим заслуживающим внимание источникам, таких как стандарты и регламенты) последовательной (документированная информация последовательна сама по себе и согласована с другими документами в данной области) современной (содержание актуально); Также следует рассмотреть, обеспечивает ли проверяемая информация эффективное объективное свидетельство. позволяющее продемонстрировать соответствие требованиям. Если информация представлена в виде, отличном от ожидаемого (например, другими сотрудниками, на других носителях, следует оценить надежность свидетельства. Особое внимание необходимо уделить защите информации в соответствии с применяемыми регламентами о защите данных (в частности, для информации, которая находится вне области аудита, но также содержится в до кументе). А .6 Выборка А.6.1 Общие положения Аудиторская выборка происходит в том случае, когда непрактично или экономически нецелесообразно изучать всю имеющуюся информацию вовремя аудита, например записи слишком многочисленны или слишком разбросаны географически, чтобы оправдать проверку каждой единицы из всей совокупности. Аудиторская выборка большой совокупности яапяется процессом выбора менее чем 100 % единиц из общего имеющегося набора данных (совокупности, чтобы получить и оценить свидетельство о какой-либо характеристике этой совокупности с целью сформулировать заключение в отношении всей совокупности. Цель аудиторской выборки заключается в предоставлении аудитору информации, которой будет достаточно, чтобы убедить его в возможности достижения целей аудита. Риск, связанный с аудиторской выборкой, заключается в том. что выборки могут быть не представленными для совокупности, из которой они выбраны и. таким образом, заключение аудитора может быть тенденциозными отличным от заключения, которое он мог бы сделать после изучения всей совокупности. Могут возникать другие риски в зависимости от изменчивости в пределах совокупности, из которой делают выборку, и выбранного метода. Аудиторская выборка обычно включает следующие шаги: а) постановку целей для выборки ГОСТ Р ИСО 19011—2021 b ) выбор объема и состава совокупности, из которой делают выборку) выбор метода выборки) определение объема выборки) осуществление аудиторской выборки) сбор, оценка, составление отчетов и документирование результатов. В ходе выборки следует уделять внимание качеству имеющихся данных, поскольку выборка недостаточных и неточных данных не дает обеспечить полезный результат. Отбор соответствующей выборки следует проводить на основе методов выборки и типа требуемых данных, например, чтобы сделать вывод о конкретной модели поведения или вывести заключение по совокупности. В отчете о сделанной выборке можно учесть объем выборки, метод отбора и оценки, сделанные на основе выборки, а также уровень доверия к выборке. Для аудита можно использовать либо выборку, основанную на умении правильно разбираться (см. А) либо статистическую выборку (см. А.6.3). А.6.2 Выборка на основе суждений Выборка на основе суждений (профессионального мнения) опирается на компетентность и опыт аудиторской группы (см. раздел Для выборки на этой основе можно рассмотреть следующее) опыт предшествующего аудита в рамках области аудита) сложность требований (включая законодательные и нормативные правовые требования) для достижения целей аудита) сложность и взаимодействие процессов организации и элементов системы менеджмента) степень изменения технологии, человеческого фактора или системы менеджмента) предварительно идентифицированные основные области рисков и возможностей для улучшения) результат мониторинга систем менеджмента. Недостатком выборки на основе суждения правильно разбираться является невозможность выполнить статистическую оценку эффекта неопределенности в обнаружениях аудита и сделанных заключений. А.6.3 Статистическая выборка Если принято решение об использовании статистической выборки, то план выборки следует основывать на целях аудита итого, что известно о характеристиках всей совокупности, из которой берется выборка. Для составления плана статистической выборки используется процесс проведения выборки на основе теории вероятности. Выборка на основе характерного признака используется в том случае, когда существует только два возможных результата для каждой выборки (например, верно’неверно или принимается/не принимается. Выборка на основе переменной используется в том случае, когда выборка производится в непрерывном диапазоне значений. В плане выборки следует учитывать, будут ли полученные выборки изучаться на основе признака или на основе переменной. Например, при оценке соответствия готовых форм требованиям, установленным процедурой, можно использовать метод на основе признака. При изучении встречающихся случаев, касающихся безопасности пищевых продуктов или ряда нарушений безопасности, более подходящим будет метод на основе переменной. Элементы, которые могут влиять на план выборки аудита, следующие) среда, размер характер и сложность организации) число компетентных аудиторов) частота проведения аудитов; d) продолжительность отдельного аудита) любой требуемый извне доверительный уровень) возникновение нежелательных и/или неожиданных событий. При разработке плана статистической выборки уровень риска при выборке, который аудитор хотел бы принять. является важным вопросом. Этот уровень часто называют приемлемым доверительным уровнем. Например, риск выборки, равный 5 %. соответствует приемлемому доверительному уровню 95 %. Риск выборки, равный 5 %, означает, что аудитор желает принять риск того, что 5 из 100 (или 1 из 20) проверяемых элементов не будут отражать реальных значений, которые были бы найдены при проверке всей совокупности в целом. Если используется статистическая выборка, аудиторам следует соответствующим образом документировать проделанную работу. Сюда может входить описание совокупности, из которой предполагается сделать выборку, критерии выборки, используемые для оценки (например, того, что является приемлемой выборкой, статистические параметры и методы, которые были использованы, количество оцененных элементов выборки и полученные результаты. А.7 Аудит соблюдения требований в рамках системы менеджмента Аудиторская группа должна рассмотреть, насколько эффективны в проверяемой организации процессы: а) идентификации законодательных и нормативных правовых требований, и других требований, которые необходимо выполнять ГОСТ РИСО 19011—2021 b) управление деятельностью, продукцией и услугами для достижения выполнения этих требований) оценивание своего статуса выполнения этих требований. В дополнение к общим руководящим указаниям, приведенным в данном стандарте, при оценивании процессов. выполняемых проверяемой организацией для обеспечения соответствия установленным требованиям, аудиторской группе следует учесть в отношении проверяемой организации) наличие у нее эффективного процесса идентификации изменений в соблюдении требований и рассмотрения их как части управления изменениями) наличие у нее компетентных сотрудников для управления процессами соответствия) ведение и предоставление организацией соответствующей документированной информации о статусе соответствия. согласно требованиям регулирующих органов или иных заинтересованных сторон) включение требований к соответствию в свою программу внутреннего аудита) принятие мер в отношении ряда примеров несоответствия) рассмотрение результатов деятельности по соблюдению требований в анализе со стороны руководства. А.8 Аудит среды организации Многие стандарты на системы менеджмента требуют, чтобы организация определила свою среду, включая потребности и ожидания соответствующих заинтересованных сторон и внешние и внутренние факторы. Для этого организация может использовать различные способы стратегического анализа и планирования. Аудиторам следует подтвердить, что подходящие процессы разработаны и они для этого используются эффективно. так чтобы их результаты обеспечили надежную основу для определения области применения и разработки системы менеджмента. Для этого аудиторам следует рассмотреть объективное свидетельство, касающееся следующего) используемого процесса(ов) или метода(ов); b ) пригодности и компетентности сотрудников, занятых в процессе (процессах) результатов процвсса(ов); d) применения результатов к определению области и развитию системы менеджмента) периодического анализа среды организации, если уместно. Аудиторы должны обладать конкретными знаниями в определенной области и пониманием инструментов управления, которые могут использоваться организацией, чтобы оценить результативность процессов, используемых для определения среды организации. А.9 Аудит руководства ивы полн ен ие обязательств Многие стандарты на системы менеджмента расширили требования к высшему руководству. Эти требования включают демонстрацию руководством обязательств и руководящей роли в связи с взятием на себя ответственности за эффективность системы менеджмента и за выполнение ряда обязательств. Сюда входят задачи, которые высшее руководство должно решать само или передать для решения другим сотрудникам то. что может быть передано. Аудиторам следует получить объективное свидетельство о той степени, в какой вовлекается высшее руководство в принятие решений относительно системы менеджмента и о том, как оно демонстрирует выполнение обязательства по обеспечению результативности системы менеджмента. Это может быть достигнуто анализом результатов от соответствующих процессов (например, политики, целей, имеющихся ресурсов, обмена информацией. связями с высшим руководством, посредством опроса штатных сотрудников, чтобы определить степень вовлечения вьющего руководства. Аудиторам следует также стремиться опросить высшее руководство, чтобы подтвердить его адекватное понимание вопросов, связанных с определенной дисциплиной, относящейся к системе менеджмента. вместе со средой, их организации, так чтобы они смогли получить предполагаемые результаты от системы менеджмента организации. Аудиторам следует не только сосредоточиться на руководстве на уровне высшего руководства, но также проверить руководство и выполнение им обязательств на других уровнях, насколько это уместно. А.10 Аудит рисков и возможностей Определение и управление рисками и возможностями организации может быть включено, как часть задания конкретного аудита. Основные цели для такого задания аудита заключаются- в гарантировании достоверности процесса (процессов) идентификации рисков и возможностей- обеспечении правильного определения и управления рисками и возможностями- анализе работы организации с определенными рисками и возможностями. Аудит подхода организации к определению рисков и возможностей не следует проводить как самостоятельное направление. Следует осуществлять такую деятельность вовремя аудита системы менеджмента, включая момент опроса высшего руководства. Аудитору следует действовать в соответствии со следующими этапами и собирать объективное свидетельство следующим образом: а) входы, используемые организацией, для определения своих рисков и возможностей, включая- анализ внешних и внутренних факторов ГОСТ Р ИСО 19011—2021 - стратегическое направление организации- заинтересованные стороны, связанные с системой менеджмента по конкретной дисциплине, и их требования- потенциальные источники риска, например, экологические аспекты и угрозы безопасности и т.д. Ь) метод оценивания рисков и возможностей, которые могут различаться по дисциплинами секторам. Подход организации к своим рисками возможностям, включая уровень риска, который она желает принять, и способы контроля рисков, потребует применения профессиональной оценки аудитора. А.11 Жизненный цикл Некоторые конкретные системы менеджмента требуют применения жизненного цикла, перспективною для продукции и услуг организации. Аудитору следует рассмотреть это как требование принять подход на основе жизненного цикла. Перспектива жизненного цикла включает рассмотрение контроля и влияния, оказываемого организацией на разных этапах жизненного цикла их продукции и услуг. Этапы жизненного цикла включают приобретение сырья, проектирование, производство, транслортироеание/поставку. использование, окончание срока эксплуатации и утилизация отходов. Такой подход способствует определению организацией тех областей, где при рассмотрении области применения, она может минимизировать свое воздействие на окружающую среду, обеспечивая одновременно дополнительную привлекательность организации. Аудитору следует использовать свою профессиональную оценку в отношении способа применения организацией перспективы жизненного цикла сточки зрения ее стратегии и следующего) срок службы продукции или услуги) влияние организации на цепь снабжения) длина цепи снабжения) технологическая сложность продукции. Если в организации объединено несколько систем менеджмента в одну систему для удовлетворения потребностей организации, аудитору следует внимательно следить за всеми перекрытиями, касающимися жизненного цикла. А.12 Аудит цепи снабжения Может потребоваться аудит цепи снабжения на соответствие определенным требованиям. Следует разработать программу аудита поставщиков с соответствующими критериями аудита для данного типа поставщика и внешних провайдеров. Область аудита цепи снабжения может отличаться, например для полного аудита системы менеджмента, аудита отдельного процесса, аудита продукции, аудита конфигурации. А.13 Подготовка рабочих документов аудита При подготовке рабочих документов аудита аудиторской группе следует рассмотреть указанные ниже вопросы для каждого документа) какая запись по аудиту будет создана с использованием данного рабочего документа) какие действия по аудиту связаны сданным конкретным рабочим документом) кто является пользователем данного рабочего документа) какая информация необходима для подготовки данного рабочего документа. Для комплексных аудитов рабочие документы следует разрабатывать, чтобы избежать дублирования действий по аудиту посредством- группирования аналогичных требований из различных критериев- координации содержания соответствующих контрольных листов и анкет. Рабочие документы по аудиту следует составлять так. чтобы учесть все элементы системы менеджмента в рамках области аудита, и чтобы их можно было представлять на любом носителе. А.14 Выбор источников информации Выбранные источники информации могут быть разными в зависимости от области и сложности аудита и могут включать следующее) опросы сотрудников и других лиц) наблюдения за деятельностью, окружающей производственной средой и рабочими условиями) документированную информацию, такую как политики цели, планы, процедуры, стандарты, инструкции, лицензии и разрешения, технические требования, чертежи, контракты и заказы) записи, такие как записи о проведенных инспекциях, протоколы заседаний, отчеты по аудитам, записи программы мониторинга и результаты измерений) сводки данных, анализы данных и показатели результатов деятельности) информацию о планах выборки проверяемой организации и о любых процедурах для осуществления управления процессами выборки и измерений; д) отчеты из других источников, например, информация от потребителей, обзоры, поступающие от внешних организаций и результаты измерений, полученные внешними организациями, другая соответствующая информация от внешних сторон и рейтинги внешних поставщиков ГОСТ РИСО 19011—2021 h) базы данных и сайты) имитацию и моделирование. А.15 Посещение проверяемой организации Чтобы свести к минимуму взаимовлияние деятельности по аудиту и рабочих процессов проверяемой организации и обеспечить охрану здоровья и безопасность аудиторской группы вовремя посещения, следует рассмотреть следующее) планирование посещения- обеспечить разрешение и доступ к тем частям проверяемой организации, которые необходимо посетить в соответствии с областью аудита- представить соответствующую информацию для аудиторов по технике безопасности, охране здоровья (например. карантин, профессиональной гигиене и производственной безопасности, культурным нормами рабочим часам для посещения, включая требуемую и рекомендуемую вакцинацию и допуски, если используются- подтвердить у проверяемой организации наличие необходимых средств индивидуальной защиты (РРЕ) для аудиторской группы, если они необходимы- подтвердить договоренности с проверяемой организацией в отношении использования мобильных средств связи, камер, включая запись информации, например фотографий площадок и оборудования, скриншоты или фотокопии документов, видеозаписи деятельности или интервью с учетом безопасности и конфиденциальности- за исключением специальных незапланированных аудитов, обеспечить информирование посещаемых работников о целях и области аудита) деятельность на месте- избегать ненужного вмешательства в рабочие процессы- обеспечить надлежащее использование аудиторской группой средств индивидуальной защиты (РРЕ); - сообщить членам группы о действиях в чрезвычайных ситуациях (например, об аварийных выходах, пунктах сбора- программировать обмен информацией во избежание дезорганизации- подобрать размер аудиторской группы и количество сопровождающих лиц и наблюдателей согласно области аудита, чтобы избежать вмешательства в рабочие процессы, по мере возможности- не трогать и не включать никакое оборудование без специального разрешения, несмотря на компетентность и лицензию- в случае инцидентов вовремя посещения руководителю аудиторской группы следует проанализировать ситуацию с проверяемой организацией ив случае необходимости, с заказчиком аудита, и достичь соглашения в отношении прерывания, пересмотра графика или продолжения аудита- при копировании документов любого типа на любом носителе спрашивать разрешение, заранее и учитывать проблемы безопасности и конфиденциальности- делая записи, избегать сбора личной информации, если этого не требуют цели или критерии аудита) деятельность по виртуальному аудиту- обеспечить использование аудиторской группой согласованного удаленного доступа к протоколам, включая требуемые устройства, программное обеспечение и т.д.; - при снятии копий скриншотов с документов любого типа спрашивать разрешение заранее и учитывать проблемы безопасности и конфиденциальности и избегать записи персональных данных лиц без их разрешения- в случае инцидентов при удаленном доступе руководителю аудиторской группы следует проанализировать ситуацию с проверяемой организацией ив случае необходимости, с заказчиком аудита, и достичь соглашения в отношении прерывания, пересмотра графика или продолжения аудита- использовать поэтажные планы удаленного места в качестве ссылочных документов- вовремя перерывов в аудите сохранять конфиденциальность данных. Требуется рассмотреть вопрос охранении информации и свидетельства аудита независимо от типа носителя. позже, как только отпадет необходимость в их использовании. А.16 Аудит виртуальной деятельности и местополож ений Аудиты виртуальной деятельности проводят, когда организация выполняет работы или предоставляет услуги. используя онлайн-среду, позволяющую лицам, независимо от физического местонахождения, вести процессы например, компания интернет, компьютерное облако. Аудит виртуального местонахождения иногда называют виртуальным аудитом. Дистанционный аудит использует технологию сбора данных, интервью проверяемой организации и т.д., когда методы опроса приличной встрече (влицом к лицу) невозможны или нежелательны. Виртуальный аудит применяет правила стандартного процесса аудита, используя технологию поверки объективного свидетельства. Проверяемой организации и аудиторской группе следует обеспечить требования к подходящей технологии виртуального аудита, которая может включать- гарантию использования аудиторской группой согласованных протоколов дистанционного доступа, включая требуемое оборудование, программное обеспечение и т.д.: - проведение технических проверок перед аудитом для решения технических вопросов ГОСТ Р ИСО 19011—2021 - обеспечение составления плана и его передачу в случае непредвиденных обстоятельств (например, прерывание доступа, использование альтернативной технологии, включая положение о дополнительном времени аудита в случае возникновения необходимости. В компетентного аудитора следует включить- технические навыки использования соответствующего электронного оборудования и другой технологии входе аудита- опыт проведения виртуальных заседаний для проведения дистанционного аудита. При проведении и открытии заседания или проведении виртуального аудита аудитору следует рассмотреть следующие вопросы- риски, связанные с виртуальными дистанционным аудитом- использование поэтажных планов и схем удаленных мест, в качестве ссылки или отображения электронных данных- содействие в предотвращении прерываний и приостановок за счет помех- заблаговременный запрос разрешения на скриншоты документов или любых видов записей с учетом конфиденциальности и защиты информации- обеспечение конфиденциальности и защиты информации в перерывах в процессе аудита, например при отключении микрофонов, постановке камер на паузу. А.17 Проведение опросов Опросы являются одним из важнейших средств сбора информации и их следует осуществлять так. чтобы это было привязано к ситуации и конкретному опрашиваемому работнику, либо приличном общении, либо с помощью средств связи. В тоже время, аудитор должен учитывать приведенное ниже) опросы следует проводить среди персонала соответствующего уровня и соответствующих должностей, выполняющих работу или задачи в рамках области аудита) опросы обычно следует проводить в обычное рабочее время и. если целесообразно, на обычном рабочем месте опрашиваемого работника) следует создать непринужденную обстановку для опрашиваемого лица дои вовремя опроса) опрашиваемым следует объяснить причины для проведения опроса и составления заметок) опросы можно начать с просьбы опрашиваемого лица описать свою работу) следует тщательно подбирать тип вопросов (например, открытый опрос, закрытый опрос, наводящие вопросы. метод позитивной оценки ситуации); д) осознание ограниченности невербального общения в виртуальной среде следует сосредоточиться на типе вопросов, чтобы использовать при поиске объективного свидетельства) результаты опросов следует суммировать и анализировать вместе с опрашиваемым лицом) следует поблагодарить опрашиваемый персонал за участие и сотрудничество. А. 18 Обнаружения аудита А.18.1 Определение обнаруж ений аудита При определении обнаружений аудита неоходимо учитывать) работу по итогам записей и заключений предшествующих аудитов: b ) требования заказчика аудита) точность, существенность и правомерность объективного свидетельства для подтверждения обнаруже ний аудита) степень, в которой запланированная аудиторская деятельность реализуется и достигаются запланированные результаты; е) обнаружения, выходящие за пределами обычной практики, или возможности для улучшения) объем выборки; д) распределение обнаружений аудита по категориям (если имеются). А.18.2 Записи о соответствии Для записей о соответствии необходимо учесть следующее) описание критериев аудита, по которым показано соответствие, или ссылку на них) свидетельство аудита в подтверждение соответствия и результативности, если уместно) декларацию о соответствии, если применяется. А.18.3 Записи о несоответствии Для записей о несоответствии необходимо учесть следующее) описание критериев аудита или ссылку на них) свидетельство аудита) декларацию о несоответствии) соответствующие обнаружения аудита, если применимо ГОСТ РИСО А Работа с обнаруж ениям и аудита, связанными с набором критериев В процессе аудита возможно сделать обнаружения, связанные с набором критериев. Там. где аудитор делает обнаружение по одному критерию в комплексном аудите, ему следует упитывать возможное воздействие на соответственные или аналогичные критерии других систем менеджмента. В зависимости от договоренностей с заказчиком аудита аудитор может сделать: а) либо отдельные обнаружения по каждому критерию либо Ь} одно обнаружение, объединяющее ссылки на множественные критерии. В зависимости от договоренностей с заказчиком аудита, аудитор может указать проверяемой организации, как реагировать на обнаружения аудита. Библиография [1] ISO 9 000:2015 [2] ISO 9001 [3J ISO G uide 73:2009 [4] IS O /IE C 17021-1 Quality management systems — Fundamentals and vocabulary Quality management systems — Requirements Risk management — Vocabulary Conformity assessment — Requirements for bodies providing audit and certification of man agement systems — Part 1: Requirements УДК 658.562:006.354 OKC Ключевые слова аудит, руководящие указания, системам е нед ж мента Технический редактор И.Е. Черепкова Корректор СИ Фирсова Компьютерная верстка АН . Золотаревой Сдано в набор 22.04.2021. Подписано в печать 11.05 2021 Формат 60*644. Гарнитура Ариал. Усп. печ. л. 4.65 Уч.-иэд. л. 4,18. Тираж 112 экз. Зак. Подготовлено на основе электронной версии, предоставленной разработчиком стандарта Издано и отпечатано во ФГУП «СТАМДЛРТИНФОРМ» 117418 Москва, Нахимовский лр-т, д. 31. к. 2. ГОСТ Р ИСО 19011-2021 |