ГОСТ Р ИСО 19011-2012. Руководящие указанияпо аудиту систем менеджментаiso 19011 2011Guidelines for auditing management systems
Скачать 0.56 Mb.
|
РУКОВОДЯЩИЕ УКАЗАНИЯ ПО АУДИТУ СИСТЕМ МЕНЕДЖМЕНТА ISO 19011:2011 Guidelines for auditing management systems (IDT) Издание официальное ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ Н А Ц И О Н А Л Ь Н Ы Й С Т А Н Д А Р Т Р О С С И Й С К О Й Ф Е Д Е Р А Ц И И ГОСТ Р ИСО 19011 — 2012 Предисловие Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании», а правила применения национальных стандартов Российской Федерации — ГОСТ Р 1.0—2004 «Стандартизация в Российской Федерации. Основные положения» Сведения о стандарте 1 ПОДГОТОВЛЕН Открытым акционерным обществом «Всероссийский научно-исследователь- ский институт сертификации» (ОАО «ВНИИС») на основе собственного аутентичного перевода на рус- ский язык стандарта, указанного в пункте 4 2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии 3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 19 июля 2012 г. № 196-ст 4 Настоящий стандарт идентичен международному стандарту ИСО 19011:2011 «Руководящие указания по аудиту систем менеджмента» (ISO 19011:2011 «Guidelines for auditing management systems») 5 ВЗАМЕН ГОСТ Р ИСО 19011—2003 Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом ин- формационном указателе «Национальные стандарты», а текст изменений и поправок — в ежеме- сячно издаваемых информационных указателях «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответству- ющая информация, уведомления и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет © Стандартинформ, 2013 Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и рас- пространен в качестве официального издания без разрешения Федерального агентства по техническо- му регулированию и метрологии II ГОСТ Р ИСО 19011—2012 Содержание 1 Область применения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 2 Нормативные ссылки . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 3 Термины и определения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 4 Принципы проведения аудита . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 5 Управление программой аудита . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 5.1 Общие положения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 5.2 Разработка целей программы аудита . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 5.3 Разработка программы аудита . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 5.4 Внедрение программы аудита . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 5.5 Мониторинг программы аудита . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 5.6 Анализ и улучшение программы аудита . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 6 Проведение аудита . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 6.1 Общие положения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 6.2 Организация проведения аудита . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 6.3 Подготовка к проведению аудита на месте . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 6.4 Проведение аудита на месте . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 6.5 Подготовка и рассылка отчета по аудиту. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 6.6 Завершение аудита . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 6.7 Действия по результатам аудита . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 7 Компетентность и оценка аудиторов. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 7.1 Общие положения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 7.2 Определение компетентности аудитора для удовлетворения потребностей программы аудита. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 7.3 Определение критериев оценки аудитора . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 7.4 Выбор соответствующего метода оценки аудитора . . . . . . . . . . . . . . . . . . . . . . . . 24 7.5 Проведение оценки аудитора . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 7.6 Поддержание и повышение компетентности аудитора . . . . . . . . . . . . . . . . . . . . . . 25 Приложение А (справочное) Руководящие указания и пояснительные примеры в отношении специальных знаний и навыков аудиторов в области отдельных дисциплин менеджмента . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 Приложение В (справочное) Дополнительное руководящее указание для аудиторов по планированию и проведению аудитов . . . . . . . . . . . . . . . . . . . . . . . . 31 Библиография . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 ГОСТ Р ИСО 19011—2012 III Введение После публикации в 2002 году первого издания настоящего стандарта появилось множество пуб- ликаций новых стандартов по системам менеджмента. В результате возникла необходимость в рас- смотрении более широкой области применения для аудитов систем менеджмента, так же, как и в предоставлении соответствующих руководящих указаний, которые стали более универсальными, с тем чтобы их было можно применять для различных областей (дисциплин) менеджмента. В 2006 году комитет ИСО по оценке соответствия (КАСКО) разработал ИСО/МЭК 17021, устанав- ливающий требования для сертификации систем менеджмента третьей стороной, в котором нашли от- ражение руководящие указания, содержащиеся в первом издании настоящего стандарта. Второе издание ИСО/МЭК 17021, опубликованное в 2011 году, было расширено, с тем чтобы трансформировать руководящие указания, предложенные в настоящем стандарте, в требования к сер- тификационным аудитам для систем менеджмента. В связи с этим второе издание настоящего стандар- та предоставляет руководящие указания для всех пользователей, включая организации малого и среднего бизнеса, и делает основной акцент на том, что общепринято называть «внутренними аудита- ми» (аудиты первой стороны) и «аудитами со стороны потребителей своих поставщиков» (аудиты вто- рой стороны). В то время как стороны, принимающие участие в проведении сертификационных аудитов систем менеджмента, руководствуются требованиями ИСО/МЭК 17021:2011, для них могут также ока- заться полезными руководящие указания, приведенные в настоящем стандарте. Взаимосвязь между вторым изданием настоящего стандарта и ИСО/МЭК 17021:2011 приведена в таблице 1. Т а б л и ц а 1 — Область применения настоящего стандарта и его взаимосвязь с ИСО/МЭК 17021:2011 Внутренний аудит Внешний аудит Аудит поставщика Аудит третьей стороны Иногда называемый «ауди- том первой стороны» Иногда называемый «ауди- том второй стороны» В целях проверки соблюдения законода- тельства и аналогичных целей Для проведения сертификации (см. так- же требования ИСО/МЭК 17021:2011) Настоящий стандарт не устанавливает требований, а содержит руководящие указания по управ- лению программой аудита, планированию и проведению аудита системы менеджмента, а также по воп- росам компетентности и оценивания аудитора и группы по аудиту. Организации в рамках своей деятельности могут использовать несколько документированных систем менеджмента. Для того, чтобы не усложнять текст настоящего стандарта, предпочтительно употребление «система менеджмента» в единственном числе, но каждый конкретный читатель может адаптировать внедрение положений настоящего стандарта применительно к своей собственной кон- кретной ситуации. Это также применимо к использованию терминов «лицо» и «лица», «аудитор» и «ау- диторы». Настоящий стандарт предназначен для широкого круга потенциальных пользователей, включаю- щих в себя аудиторов, организации, внедряющие системы менеджмента, и организации, нуждающиеся в проведении аудитов систем менеджмента согласно контрактным или другим обязательствам. При этом пользователи настоящего стандарта могут применять настоящие руководящие указания при раз- работке своих собственных требований, относящихся к аудиту. Руководящие указания, содержащиеся в настоящем стандарте, могут использоваться для целей, связанных с декларированием соответствия, а также могут быть полезными для организаций, участвую- щих в деятельности по подготовке аудиторов или сертификации персонала. Руководящие указания, содержащиеся в настоящем стандарте, не устанавливают жестких рамок и допускают гибкость в своем применении. Как указано в пунктах по тексту настоящего стандарта, при- менение настоящих руководящих указаний может различаться в зависимости от размера, уровня разви- тия и совершенства системы менеджмента организации, от характера деятельности и сложности проверяемой организации, а также от целей и области применения проводимых аудитов. IV ГОСТ Р ИСО 19011—2012 Настоящий стандарт вводит понятие риска применительно к аудиту систем менеджмента. Приме- няемый здесь подход относится как к рискам, связанным с недостижением процессом аудита постав- ленных целей, так и к рискам, связанным с возможностью помешать осуществлению деятельности и процессов проверяемой организации из-за проведения мероприятий по аудиту. При этом не дается от- дельного руководства по процессу управления рисками для организации, но признается то, что при про- ведении аудита организации могут сосредоточить свои усилия на наиболее важных вопросах для системы менеджмента. Настоящим стандартом принимается подход, называемый «комплексным аудитом», при котором две или несколько систем менеджмента, охватывающие различные аспекты менеджмента, проверяют- ся совместно. В случаях, когда эти системы интегрированы в одну систему менеджмента, принципы и процессы проведения аудита будут такими же, как и для комплексного аудита. Раздел 3 устанавливает ключевые термины и определения, используемые в настоящем стандар- те. Были предприняты все усилия для того, чтобы эти определения не вступали в противоречия с опре- делениями, используемыми в других стандартах. Раздел 4 описывает принципы, на которых базируется процесс аудита. Эти принципы помогают пользователю понять суть процесса аудита и важны для понимания указаний, представленных в разде- лах 5—7. Раздел 5 содержит руководящие указания по разработке и управлению программами аудита, по постановке целей программ аудита и координации мероприятий, выполняемых при проведении аудита. Раздел 6 содержит руководящие указания по планированию и проведению аудита системы ме- неджмента. Раздел 7 содержит руководящие указания, относящиеся к компетентности и оценке аудиторов систем менеджмента и групп по аудиту. Приложение А поясняет применение содержащихся в разделе 7 руководящих указаний для раз- личных аспектов менеджмента. Приложение В содержит дополнительное руководство для аудиторов по планированию и прове- дению аудитов. V ГОСТ Р ИСО 19011—2012 Н А Ц И О Н А Л Ь Н Ы Й С Т А Н Д А Р Т Р О С С И Й С К О Й Ф Е Д Е Р А Ц И И РУКОВОДЯЩИЕ УКАЗАНИЯ ПО АУДИТУ СИСТЕМ МЕНЕДЖМЕНТА Guidelines for auditing management systems Дата введения — 2013—02—01 1 Область применения Настоящий стандарт содержит руководящие указания по аудиту систем менеджмента, включая принципы аудита, управление программами аудита и проведение аудитов системы менеджмента, а так- же указания по оценке компетентности лиц, участвующих в процессе аудита, включая аудиторов, груп- пы по аудиту и лиц, отвечающих за управление программой аудита. Настоящий стандарт предназначен для всех организаций, которым необходимо проводить внут- ренние или внешние аудиты систем менеджмента или управлять программой аудита. Положения настоящего стандарта могут применяться и для других типов аудита при условии, что будет уделено особое внимание вопросам, связанным с требуемым для этих целей уровнем специаль- ной компетентности. 2 Нормативные ссылки В данном разделе не приведены нормативные ссылки. Он включен для сохранения идентичности нумерации разделов настоящего стандарта с другими стандартами ИСО на системы менеджмента. 3 Термины и определения В настоящем стандарте применены следующие термины с соответствующими определениями: 3.1 аудит (audit): Систематический, независимый и документируемый процесс получения свиде- тельств аудита (3.3) и объективного их оценивания с целью установления степени выполнения согла- сованных критериев аудита (3.2). П р и м е ч а н и я 1 Внутренние аудиты, иногда называемые «аудитами первой стороны», проводятся самой организацией или от ее имени для анализа со стороны руководства или других внутренних целей (например, для подтверждения на- меченных показателей результативности системы менеджмента или для получения информации по улучшению системы менеджмента) и могут служить основанием для декларации о соответствии. Во многих случаях, особенно в малых организациях, независимость при аудите может быть продемонстрирована отсутствием ответственности за деятельность, которая подвергается аудиту, или беспристрастностью и отсутствием конфликта интересов. 2 Внешние аудиты включают в себя аудиты, называемые «аудитами второй стороны» и «аудитами третьей стороны». Аудиты второй стороны проводят стороны, заинтересованные в деятельности организации, например, потребители или другие лица от их имени. Аудиты третьей стороны проводят внешние независимые организации, такие как регулирующие или надзорные органы или организации, проводящие регистрацию или сертификацию. 3 Аудит двух или нескольких систем менеджмента для различных аспектов (например, качество, охрана окружающей среды, охрана труда), проводимый одновременно, называют «комплексным аудитом». 1 Издание официальное ГОСТ Р ИСО 19011—2012 4 Если две или несколько проверяющих организаций объединяют свои усилия для проведения аудита одной проверяемой организации (3.7), такой аудит называют совместным. 5 Адаптировано из ИСО 9000:2005, статья 3.9.1. 3.2 критерии аудита (audit criteria): Совокупность политик, процедур или требований, используе- мых в качестве эталона, в соотношении с которым сопоставляют свидетельства аудита (3.3), получен- ные при проведении аудита. П р и м е ч а н и я 1 Адаптировано из ИСО 9000:2005, статья 3.9.3. 2 В случае, если критериями аудита являются правовые требования (включая законодательные или другие обязательные требования), то в выводах (наблюдениях) аудита (3.4) часто используются термины «соответству- ющий» или «несоответствующий». 3.3 свидетельство аудита (audit evidence): Записи, изложение фактов или другая информация, которые связаны с критериями аудита (3.2) и могут быть проверены. П р и м е ч а н и е — Свидетельство аудита может быть качественным или количественным. [ИСО 9000:2005, статья 3.9.4] 3.4 выводы (наблюдения) аудита (audit findings): Результаты оценки собранных свидетельств аудита (3.3) на соответствие критериям аудита (3.2). П р и м е ч а н и я 1 Выводы аудита указывают на соответствие или несоответствие. 2 Выводы аудита могут вести к идентификации возможностей для улучшения или отражению наилучших практик. 3 Если критерии аудита выбираются, исходя из правовых или других обязательных требований, то наблюде- нием (выводом) аудита определяется соответствие или несоответствие данным требованиям. 4 Адаптировано из ИСО 9000:2005, статья 3.9.5. 3.5 заключение по результатам аудита (audit conclusion): Выходные данные аудита (3.1) после рассмотрения целей аудита и всех выводов аудита (3.4). П р и м е ч а н и е — Адаптировано из ИСО 9000:2005, статья 3.9.6. 3.6 заказчик аудита (audit client): Организация или лицо, заказавшие аудит. П р и м е ч а н и я 1 В случае внутреннего аудита заказчиком аудита может быть проверяемая организация (3.7) или лицо, от- ветственное за управление программой аудита. Запросы, касающиеся проведения внешнего аудита, могут посту- пать из таких источников, как контролирующие органы, стороны, с которыми организация имеет контрактные отношения, или потенциальные заказчики. 2 Адаптировано из ИСО 9000:2005, статья 3.9.7. 3.7 проверяемая организация (auditee): Организация, подвергающаяся аудиту. [ИСО 9000:2005, статья 3.9.8] 3.8 аудитор (auditor): Лицо, которое проводит аудит (3.1). 3.9 группа по аудиту (audit team): Один или несколько аудиторов (3.8), проводящих аудит (3.1), при необходимости поддерживаемые техническими экспертами (3.15). П р и м е ч а н и я 1 Один из аудиторов в группе по аудиту, как правило, назначается руководителем группы. 2 Группа по аудиту может включать в себя аудиторов-стажеров. [ИСО 9000:2005, статья 3.9.10] 3.10 технический эксперт (technical expert): Лицо, обладающее специальными знаниями или опытом, необходимыми группе по аудиту (3.9). П р и м е ч а н и я 1 Специальные знания или опыт включают в себя знания или опыт, относящиеся к организации, процессу или деятельности, подвергаемым аудиту, а также знание языка и культуры страны, в которой проводится аудит. 2 Технический эксперт не имеет полномочий |