ГОСТ Р ИСО 19011-2012. Руководящие указанияпо аудиту систем менеджментаiso 19011 2011Guidelines for auditing management systems

6.3.2 Подготовка плана аудита
6.3.2.1 Руководителю группы по аудиту следует подготовить план аудита, основанный на инфор- мации, содержащейся в программе аудита и документации, предоставленной проверяемой организаци- ей. План аудита должен рассматривать последствия аудита с учетом его влияния на процессы проверяемой организации и обеспечивать основу для соглашения между заказчиком аудита, группой по аудиту и проверяемой организацией относительно проведения аудита. Этот план должен способство- вать наилучшей координации, последовательности и сроков выполнения работ по аудиту для наиболее эффективного достижения результата.
Объем сведений, представленных в плане аудита, должен отражать область применения и слож- ность аудита, а также влияние факторов неопределенности на достижение целей аудита. При подготов- ке плана аудита руководитель группы по аудиту должен быть осведомлен:
- о соответствующих методах выборочного контроля (см. В.3 приложения B);
- характерных чертах и особенностях состава группы по аудиту и ее коллективном уровне компе- тентности;
- рисках для проверяемой организации, возникающих вследствие проведения аудита.
Например, риски для организации могут возникать вследствие присутствия членов группы по ау- диту, влияющих на обеспечение требований в области охраны труда, экологии и качества, и их прису- тствие может представлять определенную угрозу для продукции, услуг, персонала или инфраструктуры проверяемой организации (например, случай привнесения загрязнения в приспособления для очистки помещений).
Для комплексных аудитов следует уделить особое внимание вопросам взаимодействия между операционными процессами и гармонизации целей и приоритетов различных систем менеджмента в случае соперничества между ними.
6.3.2.2 Масштаб и содержание плана аудита могут различаться, например, между первоначаль- ным и последующими аудитами, так же, как и между внутренними и внешними аудитами. План аудита должен допускать достаточную гибкость, чтобы по мере осуществления мероприятий по аудиту в него, в случае необходимости внесения корректировок или изменений, можно было внести требуемые изменения.
План аудита должен включать в себя или содержать ссылки на:
- цели аудита;
- область аудита, включая идентификацию организационных и функциональных подразделений и процессов, которые будут проверяться;
- критерии аудита и ссылочные документы;
- места проведения аудита, даты, ожидаемое время и продолжительность намеченных мероприя- тий по аудиту, включая совещания с руководством проверяемой организации, а также другие совеща- ния;
- используемые при проведении аудита методы, включая объем или степень выборочного контро- ля, необходимого для получения достаточных свидетельств аудита, и проект программы выборочного контроля, если она применяется;
- роли и обязанности членов группы по аудиту, а также сопровождающих лиц и наблюдателей;
- распределение соответствующих ресурсов по «критичным местам» проведения аудита.
При необходимости в план аудита следует также включить:
- определение представителей проверяемой организации для участия в аудите;
- рабочий язык для проведения аудита и язык для составления отчета в тех случаях, где он отли- чается от родного языка аудитора и (или) проверяемой организации;
- содержание отчета по аудиту;
- материально-техническое обеспечение и коммуникационные средства, включая средства и не- обходимые подготовительные мероприятия на местах проверяемых подразделений;
- любые специальные меры, предпринимаемые в отношении рисков и влияния неопределенности на цели аудита;
- вопросы, относящиеся к конфиденциальности и сохранности информации;
- действия по результатам проверок, например, предыдущего аудита;
- вопросы координации, связанные с проведением других работ по аудиту, в случае совместного аудита.
14
ГОСТ Р ИСО 19011—2012

План аудита может быть проанализирован и одобрен заказчиком аудита, и его следует предста- вить на рассмотрение проверяемой организации. Любые возражения со стороны проверяемой органи- зации, относящиеся к плану аудита, необходимо разрешить между руководителем группы по аудиту,
проверяемой организацией и заказчиком аудита.
6.3.3 Распределение работ между членами группы по аудиту
Руководитель группы по аудиту в ходе консультаций с членами группы по аудиту должен обозна- чить и распределить ответственность между каждым членом группы за аудит конкретных процессов, ра- бот, функциональных подразделений или участков производственной деятельности. При таком распределении следует учитывать независимость и компетентность аудиторов и результативное ис- пользование ресурсов, а также различные роли и обязанности аудиторов, стажеров и технических экспертов.
Руководитель группы по аудиту должен проводить рабочие совещания группы по аудиту для того,
чтобы распределять рабочие задания и решать вопросы, касающиеся возможных изменений. По ходу проведения аудита могут быть сделаны изменения в рабочие задания или в выполнение работ, для того чтобы обеспечить достижение поставленных целей аудита.
6.3.4 Подготовка рабочих документов
Члены группы по аудиту должны собирать и анализировать информацию, относящуюся к зоне их ответственности, и осуществлять подготовку рабочих документов надлежащим образом для фиксации и протоколирования свидетельств аудита. Такие рабочие документы могут включать в себя:
- контрольные листы;
- планы выборок для аудита;
- формы для регистрации данных, таких как подтверждающие свидетельства, выводы аудита и протоколы совещаний.
Использование контрольных листов и форм не должно ограничивать объем проверок при аудите,
которые могут измениться в результате анализа собранных во время аудита данных.
П р и м е ч а н и е — Руководящие указания по подготовке рабочих документов приведены в В.4 приложе- ния В.
Рабочие документы, включая записи, являющиеся результатом использования документов, сле- дует хранить, по меньшей мере, до завершения аудита. Хранение документов после завершения ауди- та представлено в 6.6. Для документов, содержащих конфиденциальную или частную информацию,
членам группы по аудиту следует надлежащим образом обеспечить хранение и защиту.
6.4 Проведение аудита на месте
6.4.1 Общие положения
Мероприятия или работы по аудиту обычно проводятся в определенной последовательности со- гласно тому, как приведено на рисунке 2. Эта последовательность может меняться в соответствии с условиями конкретных аудитов.
6.4.2 Проведение предварительного совещания
Целью предварительного совещания являются:
а) подтверждение согласия всех сторон (например, проверяемой организации, группы по аудиту)
относительно плана аудита;
b) представление членов группы по аудиту:
c) обеспечение уверенности в том, что все запланированные в рамках аудита мероприятия могут быть выполнены.
Предварительное совещание проводят с руководством проверяемой организации и, когда это воз- можно, с теми лицами, которые отвечают за проверяемые подразделения или процессы. В ходе этого совещания предоставляется возможность задать вопросы.
Объем и степень предоставляемых сведений должны соответствовать степени осведомленности проверяемой организации с процессом аудита. Во многих случаях, например, при проведении внутрен- них аудитов в небольших организациях, предварительное совещание может состоять лишь из объявле- ния о том, что началось проведение аудита, и объяснения сущности или специфики аудита.
В других случаях предварительное совещание может иметь официальный характер, при котором проводится регистрация присутствующих на нем лиц. Предварительное совещание должно проходить под руководством руководителя группы по аудиту, в обязанности которого входит:
15
ГОСТ Р ИСО 19011—2012

- представить участников, включая наблюдателей и сопровождающих лиц, и объяснить их роль в аудите;
- подтвердить цели, область и критерии аудита;
- подтвердить с проверяемой организацией план аудита и другие необходимые мероприятия, свя- занные с аудитом, такие как дата и время заключительного совещания, любые промежуточные совеща- ния группы по аудиту и руководства проверяемой организации и любые дальнейшие изменения;
- ознакомить с методами, которые будут использоваться при проведении аудита, включая инфор- мирование проверяемой организации о том, что свидетельства аудита будут основаны на выборках доступных данных;
- представить методы по управлению рисками, связанными с аудитом, которые могут иметь место для организации вследствие присутствия на местах членов группы по аудиту;
- подтвердить официальные каналы связи между группой по аудиту и проверяемой органи- зацией;
- подтвердить язык, используемый при аудите;
- подтвердить, что во время аудита проверяемая организация будет информироваться о ходе его проведения;
- подтвердить, что необходимые группе по аудиту ресурсы и средства будут доступны;
- подтвердить обеспечение конфиденциальности и информационной безопасности;
- подтвердить обеспечение безопасности работы и ознакомление с соответствующими процеду- рами по обеспечению безопасности, а также в случае возникновения чрезвычайной ситуации для груп- пы по аудиту;
- ознакомить с методом регистрации и составления отчетов по выявленным при проведении ауди- та фактам, включая их классификацию и любое ранжирование;
- проинформировать об условиях, при которых аудит может быть прекращен;
- проинформировать о заключительном совещании;
- проинформировать о том, каким образом следует обращаться с теми фактами, которые могут быть выявлены во время аудита;
- проинформировать о любой системе обратной связи с проверяемой организацией по рассмот- рению выводов или заключений по результатам аудита, включая жалобы или апелляции.
6.4.3 Выполнение анализа документов во время проведения аудита
Необходимо проанализировать документацию проверяемой организации, с тем чтобы:
- определить соответствие системы (насколько это отражено в документации) критериям аудита;
- собрать информацию для содействия реализации намеченных мероприятий в рамках проводи- мого аудита.
П р и м е ч а н и е — Руководящие указания по выполнению анализа документации, приведены в В.2 прило- жения В.
Данный анализ может осуществляться в сочетании с другими видами деятельности по аудиту и может продолжаться по ходу выполнения мероприятий аудита, если это не сказывается негативным об- разом на результативности проведения аудита.
Если необходимая документация не может быть предоставлена в сроки, определенные пла- ном аудита, руководителю группы по аудиту следует проинформировать лицо, ответственное за управление программой аудита, и проверяемую организацию. В зависимости от области примене- ния и целей аудита следует принять решение о целесообразности продолжения проведения аудита или о приостановке его проведения до тех пор, пока не будут разрешены все вопросы, связанные с документацией.
6.4.4 Обмен информацией во время проведения аудита
В ходе аудита может возникнуть необходимость в заключении официальных соглашений по обме- ну информацией между группой по аудиту и проверяемой организацией, заказчиком аудита и, возмож- но, с внешними органами (например, контролирующими органами), особенно в тех случаях, когда законодательные нормы содержат требования об обязательном уведомлении о несоответствиях.
В группе по аудиту периодически проводят обмен информацией, оценивают ход аудита и, при не- обходимости, перераспределяют обязанности между членами группы по аудиту.
Во время аудита руководитель группы по аудиту должен периодически обмениваться информаци- ей о ходе аудита и связанных с этим вопросах с проверяемой организацией и, при необходимости, с за-
16
ГОСТ Р ИСО 19011—2012

казчиком аудита. Свидетельство, полученное во время аудита относительно предполагаемого непосредственного и существенного риска для проверяемой организации, должно быть без задержки доведено до сведения проверяемой организации и, если необходимо, заказчику аудита. Информация,
выходящая за пределы области аудита, должна также приниматься во внимание и доводиться до руко- водителя группы по аудиту, чтобы была обеспечена возможность для ее передачи заказчику аудита или проверяемой организации.
Если имеющееся свидетельство аудита указывает на невыполнимость целей аудита, руководите- лю группы по аудиту следует доложить заказчику аудита или проверяемой организации о причинах для принятия соответствующих мер. Такие меры могут включать в себя внесение изменений и переутвер- ждение плана аудита, изменение целей или области аудита, или прекращение аудита.
Любую необходимость во внесении изменений в план аудита, которая может выявляться по ходу выполнения мероприятий аудита, следует анализировать и согласовывать с лицом, ответственным за управление программой аудита, и, при необходимости, с проверяемой организацией.
6.4.5 Роль и обязанности сопровождающих лиц и наблюдателей
Сопровождающие лица и наблюдатели (например, представители регулирующего органа или дру- гих заинтересованных сторон) могут присутствовать при работе группы по аудиту. Они не должны ока- зывать влияние или вмешиваться в проведение аудита. В случае, если это не может быть гарантировано, руководитель группы по аудиту имеет право отказать наблюдателям в участии в некоторых мероприятиях аудита.
Для наблюдателей любые обязательства, относящиеся к здоровью, безопасности и конфиденци- альности, должны оговариваться и регулироваться между заказчиком аудита и проверяемой организа- цией.
Сопровождающие лица, назначенные проверяемой организацией, должны оказывать помощь группе по аудиту и действовать по просьбе руководителя группы по аудиту. Сопровождающие лица дол- жны выполнять следующие обязанности:
a) содействовать аудиторам, обеспечивать контакты и назначение времени для бесед (интер- вью);
b) организовывать доступ для посещения определенных объектов или рабочих участков проверя- емой организации;
c) обеспечивать то, чтобы правила и процедуры по безопасности были известны и соблюдались членами группы по аудиту и наблюдателями.
Роль руководства может также включать в себя следующее:
- исполнять роли лиц, свидетельствующих в ходе аудита от имени проверяемой организации;
- предоставлять разъяснения или оказывать помощь при сборе информации.
6.4.6 Сбор и верификация информации
Во время проведения аудита информация, относящаяся к целям аудита, области и критериям ау- дита, включая информацию, касающуюся взаимодействия между подразделениями, деятельности и процессов, должна быть собрана путем необходимых выборок и верифицирована. В качестве свиде- тельства аудита следует принимать только ту информацию, которая может быть верифицирована. Сви- детельства аудита должны быть зарегистрированы. Если во время сбора свидетельств группе по аудиту станут известны любые новые или измененные риски, их следует рассмотреть и принять соответствующие меры.
П р и м е ч а н и е — Руководящие указания по выборкам, приведены в B.3 приложения В.
На рисунке 3 представлена блок-схема процесса, начиная от сбора информации до получения за- ключений по результатам аудита.
Методы сбора информации включают в себя следующее:
- опросы;
- наблюдения за деятельностью;
- анализ документов, включая записи.
П р и м е ч а н и я
1 Руководящие указания, касающиеся источников информации, приведены в В.5 приложения В.
2 Руководящие указания, касающиеся посещения объектов и подразделений, приведены в В.6 приложе- ния В.
3 Руководящие указания, по проведению опросов приведены в В.7 приложения В.
17
ГОСТ Р ИСО 19011—2012

6.4.7 Формирование выводов аудита
Для получения выводов аудита свидетельства аудита должны быть сопоставлены и оценены от- носительно критериев аудита. Выводы аудита могут указывать на соответствие или несоответствие критериям аудита. В случае, если это не может быть гарантировано, руководитель группы по аудиту имеет право отказать наблюдателям в участии в некоторых мероприятиях аудита.
Несоответствия и подтверждающие их свидетельства аудита должны быть записаны. Несоотве- тствия могут быть классифицированы (ранжированы). Они должны быть проанализированы с проверя- емой организацией для подтверждения объективности свидетельств аудита и для подтверждения того,
что выявленные несоответствия правильно понимаются. Следует принять все возможные меры по раз- решению любых разногласий во мнениях по свидетельствам и/или выводам аудита, а неразрешенные вопросы следует документально оформить.
Группе по аудиту, по мере необходимости, следует собираться для анализа выводов аудита на определенных этапах его проведения.
П р и м е ч а н и е — Дополнительные руководящие указания по идентификации и оценке выводов аудита приведены в В.8 приложения В.
6.4.8 Подготовка заключений по результатам аудита
Группе по аудиту до заключительного совещания следует выполнить следующее:
a) проанализировать выводы аудита и любую другую соответствующую информацию, собранную во время аудита, на соответствие целям аудита;
b) согласовать заключения по результатам аудита с учетом неопределенности, присущей процес- су аудита;
c) подготовить рекомендации, если это предусмотрено целями аудита;
d) обсудить действия по результатам аудита, если это требуется.
Заключения аудита могут содержать следующую информацию, касающуюся:
- степени соответствия критериям аудита и основательности системы менеджмента, включая эф- фективность системы менеджмента в достижении заявленных целей;
- эффективности внедрения, поддержания и улучшения системы менеджмента;
- возможностей процесса анализа со стороны руководства для обеспечения постоянной пригод- ности системы менеджмента, ее адекватности, эффективности и улучшения;
- достижения целей аудита, степени охвата области аудита и выполнения критериев аудита;
- корневых причин выявленных фактов (наблюдений), если это предусмотрено планом аудита;
18
ГОСТ Р ИСО 19011—2012
Рисунок 3 — Блок-схема процесса, начиная от сбора информации до получения заключений по результатам аудита

- сопоставления и обобщения аналогичных или схожих по своему характеру фактов, выявленных при проведении аудита в различных областях, для определения тенденций (трендов).
Если это определено планом аудита, то заключения по результатам аудита могут вести к рекомен- дациям по улучшению или будущим видам деятельности по аудиту.