ГОСТ Р ИСО 19011-2012. Руководящие указанияпо аудиту систем менеджментаiso 19011 2011Guidelines for auditing management systems

3.11 наблюдатель (observer): Лицо, сопровождающее группу по аудиту (3.9), но не проводящее аудит.
П р и м е ч а н и я
1 Наблюдатель не входит в состав группы по аудиту (3.9) и не влияет или не вмешивается в проведение ау-
дита (3.1).
2 Наблюдателем может быть представитель проверяемой организации (3.7), контролирующего органа или другой заинтересованной стороны, который наблюдает за проведением аудита (3.1).
3.12 сопровождающий (guide): Лицо, назначаемое проверяемой организацией (3.7) для оказа- ния помощи и содействия группе по аудиту (3.9).
3.13 программа аудита (audit programme): Совокупность мероприятий по проведению одного или нескольких аудитов (3.1), запланированных на конкретный период времени и направленных на дости- жение конкретной цели.
П р и м е ч а н и е — Адаптировано из ИСО 9000:2005, статья 3.9.3.
3.14 область аудита (audit scope): Содержание и границы аудита (статья 3.1).
П р и м е ч а н и е — Область аудита обычно включает в себя местонахождение, организационную структу- ру, виды деятельности и процессы, а также охватываемый период времени.
[ИСО 9000:2005, статья 3.9.13]
3.15 план аудита (audit plan): Описание деятельности и мероприятий по проведению аудита
(статья 3.1).
[ИСО 9000:2005, статья 3.9.12]
3.16 риск (risk): Воздействие неопределенности на достижение целей.
П р и м е ч а н и е — Адаптировано из Руководства ИСО 73:2009, определение 1.1.
3.17 компетентность (competence): Способность применять знания и навыки для достижения на- меченных результатов.
П р и м е ч а н и е — Под способностью понимается соответствующее применение и проявление личных ка- честв во время проведения аудита.
3.18 соответствие (conformity): Выполнение требования.
[ИСО 9000:2005, статья 3.6.1]
3.19 несоответствие (nonconformity): Невыполнение требования.
[ИСО 9000:2005, статья 3.6.2]
3.20 система менеджмента (management system): Система для разработки политики и целей и достижения этих целей.
П р и м е ч а н и е — Система менеджмента организации может включать в себя различные системы ме- неджмента, такие как система менеджмента качества, система финансового менеджмента или система экологичес- кого менеджмента.
[ИСО 9000:2005, статья 3.2.2]
4 Принципы проведения аудита
Процесс проведения аудита основан на соблюдении нескольких принципов. Эти принципы позво- ляют сделать аудит результативным и надежным инструментом поддержания политики руководства и управления, обеспечивая получение информации, на основе которой организация может улучшать ха- рактеристики своей деятельности. Соблюдение этих принципов является необходимым условием для предоставления объективных и достаточных заключений по результатам аудита и позволяет аудито- рам, работающим независимо друг от друга, приходить к аналогичным заключениям при одних и тех же обстоятельствах.
Руководящие указания, приведенные в разделах 5—7, базируются на следующих шести принципах.
а) Целостность (integrity) — основа профессионализма.
Аудиторам и лицам, управляющим программой аудита, следует:
- выполнять свою работу честно, старательно и ответственно;
- соблюдать и относиться с уважением к любым применяемым законодательным требованиям;
- демонстрировать свою техническую компетентность при выполнении работы;
3
ГОСТ Р ИСО 19011—2012

- выполнять свою работу беспристрастно, оставаться честными и непредвзятыми во всех своих действиях;
- быть осмотрительными и не поддаваться каким-либо влияниям, которые могут оказывать на их суждения или выводы другие заинтересованные стороны.
b) Беспристрастность (fair presentation) — обязательство предоставлять правдивые и точные от- четы.
В выводах (наблюдениях) аудитов, заключениях по результатам аудита и отчетах следует отра- жать деятельность по аудиту правдиво и точно. Неразрешенные проблемы и разногласия между груп- пой по аудиту и проверяемой организацией следует отражать в отчетах. Обмен информацией должен быть правдивым, точным, объективным, своевременным, понятным и полным.
с) Профессиональная осмотрительность (due professional care) — прилежание и умение прини- мать правильные решения при проведении аудита.
Профессиональная осмотрительность аудиторов соответствует важности выполняемого задания и доверительности со стороны заказчика аудита и других заинтересованных сторон. Важным фактором при выполнении аудиторами своей работы с профессиональной осмотрительностью является способ- ность принимать обоснованные решения в любых ситуациях в ходе выполнения аудита.
d) Конфиденциальность (confidentiality) — сохранность информации.
Аудиторы должны проявлять осмотрительность при использовании и обеспечении защиты и со- хранности информации, полученной ими при проведении аудита. Информация, полученная при прове- дении аудита, не должна использоваться ненадлежащим образом для получения личной выгоды аудитором или заказчиком аудита или способом, наносящим ущерб законным интересам проверяемой организации. Соблюдение этого принципа включает в себя надлежащее обращение с конфиденциаль- ной или классифицированной информацией.
е) Независимость (independence) — основа беспристрастности и объективности заключений по результатам аудита.
Аудиторы должны быть независимыми от проверяемой деятельности во всех случаях, когда это осуществимо, и всегда выполнять свою работу таким образом, чтобы быть свободными от предубежде- ний и конфликта интересов. При проведении внутренних аудитов аудиторы должны быть независимыми от руководителей подразделений и направлений деятельности, которые они проверяют. Аудиторы дол- жны сохранять объективное мнение в течение всего процесса аудита для обеспечения того, чтобы вы- воды и заключения аудита основывались только на свидетельствах аудита.
Для малых организаций может оказаться невозможным обеспечение независимости внутренних аудиторов от проверяемой ими деятельности, однако следует предпринять все возможные усилия для исключения какой бы то ни было заинтересованности и обеспечения объективного рассмотрения проверяемой деятельности.
f) Подход, основанный на свидетельстве (evidence-based approach), — разумная основа для дос- тижения надежных и воспроизводимых заключений аудита в процессе систематического аудита.
Свидетельство аудита должно быть проверяемым. Оно основано на выборках имеющейся инфор- мации, поскольку аудит осуществляется в ограниченный период времени и с ограниченными ресурса- ми. Соответствующее использование выборок тесно связано с доверием, с которым относятся к заключениям по результатам аудита.
5 Управление программой аудита
5.1 Общие положения
Организации, которой требуется проводить аудиты, следует подготовить программу аудита, по- зволяющую определять результативность системы менеджмента данной организации. Программа ау- дита может включать в себя аудиты, охватывающие один или несколько стандартов по системам менеджмента, проводимые по отдельности или в каком-либо сочетании.
Высшее руководство должно обеспечить, чтобы цели программы аудита были установлены, и на- значить одно или несколько компетентных лиц, ответственных за управление программой аудита.
Объем и содержание программы аудита должны зависеть от размера и характера деятельности прове- ряемой организации, а также от специфики, сложности и степени зрелости системы менеджмента, под- лежащей аудиту. Основное внимание следует уделить адекватному распределению ресурсов программы аудита для проведения аудита наиболее важных элементов системы менеджмента. Они мо-
4
ГОСТ Р ИСО 19011—2012

гут включать в себя ключевые характеристики качества продукции, опасности, связанные с охраной здо- ровья и техникой безопасности, или важные экологические аспекты и управление ими.
П р и м е ч а н и е — Данный подход широко известен как проведение аудитов на основе рисков. Настоящий стандарт не дает дальнейших руководящих указаний по проведению аудитов на основе рисков.
Программа аудита должна включать в себя информацию и ресурсы, необходимые для организа- ции аудитов и их результативного и эффективного проведения в установленные временные сроки, а также может включать в себя следующее:
- цели для программы аудита и отдельных аудитов;
- объем/количество/типы/места проведения и график проведения аудитов;
- процедуры программы аудита;
- критерии аудита;
- методы аудита;
- формирование группы (групп) по аудиту;
- необходимые ресурсы, включая расходы на командировки и размещение аудиторов;
- процессы, связанные с соблюдением конфиденциальности, обеспечением защиты информации и другие подобные вопросы.
Необходимо осуществлять мониторинг и измерения, связанные с внедрением программы аудита,
для обеспечения достижения поставленных целей. Для того чтобы идентифицировать возможные улуч- шения, программу аудита следует анализировать.
На рисунке 1 представлена последовательность процессов управления программой аудита.
5
ГОСТ Р ИСО 19011—2012
Рисунок 1 — Последовательность процессов управления программой аудита

П р и м е ч а н и я
1 Рисунок 1 также показывает применение цикла PDCA (планирование — выполнение — проверка — дейст- вие) в настоящем стандарте.
2 Нумерация разделов/подразделов приводится в соответствии с разделами/подразделами настоящего стандарта.
5.2 Разработка целей программы аудита
Высшему руководству следует обеспечить разработку целей программы аудита, для того чтобы руководить планированием и проведением аудитов, ему также следует обеспечить результативное внедрение программы аудита. Цели программы аудита должны согласовываться и содействовать реа- лизации политики и целей системы менеджмента.
Цели могут быть основаны на рассмотрении следующего:
a) приоритетов руководства;
b) коммерческих и/или деловых намерений;
c) характеристик процессов, продуктов и проектов, а также любых изменений к ним;
d) требований системы (систем) менеджмента;
e) правовых и других требований, которые организация принимает на себя;
f) необходимости в оценке поставщиков;
g) потребностей и ожиданий заинтересованных сторон (включая потребителей);
h) показателей и характеристик деятельности проверяемой организации, что отражается в случа- ях возникновения нарушений, дефектов, инцидентов или жалоб потребителей;
i) рисков для проверяемой организации;
j) результатов предыдущих аудитов;
k) уровня достигнутого развития системы менеджмента.
Примеры целей программы аудита могут включать в себя следующее:
- содействие улучшению системы менеджмента и ее характеристик;
- выполнение внешних требований, например сертификации, на соответствие требованиям стан- дарта системы менеджмента;
- проверку соответствия контрактным требованиям;
- получение или поддержание уверенности в возможностях поставщика;
- оценку совместимости и согласованности целей системы менеджмента с политикой системы ме- неджмента и общими бизнес-целями организации.
5.3 Разработка программы аудита
5.3.1 Роль и ответственность лица, управляющего программой аудита
Лицу, управляющему программой аудита, следует:
- установить объем программы аудита;
- определить и оценить риски, связанные с программой аудита;
- определить обязанности по аудиту;
- определить процедуры программы аудита;
- определить необходимые ресурсы;
- обеспечить внедрение программы аудита, включающее в себя определение целей аудита,
области и критериев отдельных аудитов, определение методов аудита и формирование группы аудиторов;
- обеспечить управление и сохранность соответствующих записей по программе аудита;
- осуществлять мониторинг, анализ и улучшение программы аудита.
Лицу, на которое возложена ответственность за управление программой аудита, необходимо ин- формировать высшее руководство о содержании и состоянии программы аудита и, при необходимости,
получать его одобрение.
5.3.2 Компетентность лица, ответственного за управление программой аудита
Лицо, ответственное за управление программой аудита, должно быть достаточно компетентным для эффективного и результативного управления программой аудита и связанными с ней рисками, а также иметь следующие знания и навыки:
- принципов, процедур, методов и технических средств проведения аудита;
- документов системы менеджмента и других необходимых для работы документов;
- продукции и процессов организации;
6
ГОСТ Р ИСО 19011—2012

- применяемых законодательных и других требований, относящихся к деятельности и/или продук- ции организации, подлежащей аудиту;
- потребителей, поставщиков и других заинтересованных сторон проверяемой организации, где это применимо.
Необходимо, чтобы лицо, ответственное за управление программой аудита, участвовало в меро- приятиях по постоянному повышению своего профессионального уровня для того, чтобы поддерживать на должном уровне свои знания и навыки, необходимые для управления программой аудита.
5.3.3 Определение объема программы аудита
Лицу, ответственному за управление программой аудита, следует определить объем програм- мы аудита, который может различаться в зависимости от размера и характера деятельности прове- ряемой организации, а также от характера, функциональных особенностей, сложности и уровня развития проверяемой системы менеджмента и тех ее элементов, которым придается наиболее важное значение.
П р и м е ч а н и е — В отдельных случаях в зависимости от структуры и видов деятельности проверяемой организации программа аудита может состоять только из одного аудита (например, деятельность в рамках неболь- шого проекта).
Другие факторы, влияющие на объем программы аудита, включают в себя следующее:
- конкретную цель, область применения, продолжительность каждого аудита и общее количес- тво планируемых аудитов, включая там, где это возможно, мероприятия по исполнению решений ау- дитов;
- количество, важность, сложность, степень сходства видов осуществляемой деятельности и мес- тоположение подразделений, осуществляющих деятельность, подлежащую аудиту;
- факторы, влияющие на эффективность системы менеджмента;
- применимые критерии аудита, такие как запланированные мероприятия для соответствующих стандартов по системам менеджмента, законодательные, контрактные и другие требования, которые организация обязана выполнять;
- заключения по результатам предыдущих внутренних или внешних аудитов;
- результаты предыдущего анализа программы аудита;
- вопросы, связанные с языком, культурной и социальной средой;
- мнения и озабоченность заинтересованных сторон, например, жалобы потребителей или несо- ответствие законодательным требованиям;
- существенные изменения в проверяемой организации или ее деятельности;
- наличие информации и приемов ее передачи для обеспечения мероприятий по проведению ау- дита, в частности использование методов аудита на расстоянии от проверяемого объекта (см. В.1 при- ложения В);
- возникновение событий внутреннего и внешнего характеров, таких как дефекты продукции, утеч- ки секретной информации, инциденты, связанные с охраной здоровья и техникой безопасности,
действия преступного характера или инциденты в области экологии.
5.3.4 Идентификация и оценка рисков программы аудита
Существуют различные риски, связанные с разработкой, внедрением, мониторингом и анализом программы аудита, что может оказывать влияние на цели программы аудита. Лицу, ответственному за управление программой аудита, следует рассматривать эти риски при разработке программы аудита.
Риски могут быть связаны с:
- планированием, например, ошибкой, связанной с постановкой соответствующих целей аудита и определением объема программы аудита;
- ресурсами, например выделение недостаточного периода времени для разработки программы аудита или проведения аудита;
- формированием группы по аудиту, например недостаточной совокупной компетентностью груп- пы для эффективного проведения аудита;
- внедрением, например, неэффективным доведением и получением информации по программе аудита;
- записями и их управлением, например проблемами с обеспечением необходимой защиты запи- сей аудита, чтобы демонстрировать эффективность программы аудита;
- мониторингом, анализом, улучшением программы аудита, например неэффективным монито- рингом результатов программы аудита.
7
ГОСТ Р ИСО 19011—2012

5.3.5 Разработка процедур по программе аудита
Лицу, ответственному за управление программой аудита, следует разработать одну или несколь- ко процедур, включающих в себя, где это применимо, следующее:
- планирование и составление графиков аудитов с учетом рисков, связанных с программой аудита;
- обеспечение защиты и конфиденциальности информации;
- обеспечение компетентности аудиторов и руководителей групп по аудиту;
- подбор соответствующих групп по аудиту и распределение ролей и обязанностей;
- проведение аудитов, включая использование соответствующих методов на основе выборок;
- выполнение действий по результатам аудита, если это требуется;
- составление отчетов для заказчика аудита (например, для высшего руководства) об основных достижениях программы аудита;
- поддержание записей по программе аудита;
- осуществление мониторинга анализа реализации, рисков и эффективности программы аудита.
5.3.6 Идентификация ресурсов для программы аудита
При идентификации ресурсов для программы аудита лицу, ответственному за управление про- граммой аудита, следует учитывать:
- финансовые ресурсы, необходимые для развития, внедрения, управления и улучшения дея- тельности по аудиту;
- методы/технические приемы и средства проведения аудитов;
- наличие аудиторов и технических экспертов, обладающих компетентностью, требуемой для достижения конкретных целей программы аудита;
- объем программы аудита и риски по аудиту;
- время в пути и затраты на транспорт, размещение и другие потребности организационного ха- рактера для проведения аудита;
- объем и уровень развития информационных и коммуникационных систем.