ГОСТ Р ИСО 19011-2021. Национальный стандарт Российской Федерации. Оценка соответствия. Руководящие указания по проведению аудита систем менеджмента

6.3 Подготовка к проведению аудита

 

6.3.1 Выполнение анализа документированной информации

Следует проанализировать соответствующую документированную информацию на систему менеджмента проверяемой организации, чтобы:

- собрать информацию для понимания функций проверяемой организации и подготовки к аудиту и разработке рабочих документов (см. 6.3.4), например на процессы, функции;

- составить общее представление об объеме документированной информации, чтобы определить возможное соответствие критериям аудита, возможные проблемные области, такие, как недостатки, упущения или конфликты.

В документированную информацию следует включить, но не ограничиваясь этим: документы на систему менеджмента и записи системы менеджмента, а также отчеты о предыдущих аудитах. При анализе документов следует учитывать среду проверяемой организации, включая ее размер, характер и сложность, а также связанные с этим риски и возможности. Также следует использовать область, критерии и цели аудита.

Примечание - Руководящие указания по проверке информации представлены в А.5.

 

6.3.2 Планирование аудита

6.3.2.1 Риск-ориентированный подход к планированию

Руководителю аудиторской группы следует принять риск-ориентированный подход для планирования аудита на основе информации, содержащейся в программе аудита и в документированной информации, предоставленной проверяемой организацией.

При планировании аудита следует учесть риски аудиторской деятельности в отношении процессов проверяемой организации и обеспечить основу для соглашения между заказчиком аудита, аудиторской группой и проверяемой организацией в отношении проведения аудита. Планирование должно обеспечить эффективный график и координацию проведений аудита, чтобы достигнуть цели аудита эффективно.

Подробность плана аудита должна отражать область и сложность аудита, а также риск недостижения целей аудита. При разработке плана аудита руководителю аудиторской группы следует рассмотреть:

a) состав аудиторской группы и ее общую компетентность;

b) подходящие методы выборки (см. А.6);

c) возможности повышения результативности и эффективности аудиторской деятельности;

d) риски при достижении целей аудита, связанные с неэффективным планированием аудита;

e) риски для проверяемой организации, создаваемые аудитом.

Риски для проверяемой организации могут возникать вследствие присутствия членов аудиторской группы, влияющих на обеспечение требований в области охраны труда, экологии и качества, и их присутствие может представлять определенную угрозу для продукции, услуг, персонала или инфраструктуры проверяемой организации (например, из-за загрязнений в чистых помещениях).

Для комплексных аудитов особое внимание следует уделять взаимодействиям между рабочими процессами и конкурирующими целями и приоритетами различных систем менеджмента.

6.3.2.2 Подробности планирования аудита

Масштаб и содержание плана аудита могут быть различными, например, для первоначального и последующих аудитов, а также для внутреннего и внешнего аудитов. План аудита должен быть достаточно гибким, чтобы можно было вносить в него изменения, которые могут стать необходимыми в процессе проведения аудита.

В плане аудита следует отразить или дать ссылки на следующее:

a) цели аудита;

b) область аудита, включая идентификацию организации и ее функции, а также процессы, подлежащие аудиту;

c) критерии аудита и всю представленную на рассмотрение документированную информацию;

d) места (физические и виртуальные), даты, ожидаемые сроки и продолжительность аудиторской деятельности, включая встречи с руководством проверяемой организации;

e) необходимость для аудиторской группы ознакомиться с оборудованием и процессами проверяемой организации (например, проведя поездку по объектам или путем применения информационной и коммуникационной технологии);

f) методы аудита, которые предполагается использовать, включая объем выборки при аудиторской проверке, которая необходима для получения достаточного аудиторского свидетельства;

g) функции и обязанности членов аудиторской группы, а также сопровождающих лиц и наблюдателей;

h) распределение необходимых ресурсов на основе анализа рисков и возможностей, связанных с проверяемой деятельностью организации.

В плане аудита следует учесть, если это приемлемо, следующее:

- определение представителя проверяемой организации для аудита;

- рабочий язык и язык отчетов по аудиту, если он отличается от языка аудитора и/или от языка проверяемой организации;

- вопросы, которые следует отразить в отчете по аудиту;

- мероприятия, касающиеся логистики и связи, включая конкретные мероприятия в отношении мест, где будет проводиться аудит;

- все конкретные меры, которые предполагается предпринять, чтобы учесть влияние рисков на достижение целей аудита и возникающие возможности;

- вопросы, связанные с конфиденциальностью и защитой информации;

- все действия по результатам предшествующего аудита или других источников, например полученных уроков, анализа проектов;

- все действия по результатам запланированного аудита;

- координацию с деятельностью других аудиторов в случае совместного аудита.

План аудита следует представить проверяемой организации. Все вопросы в отношении плана аудита следует решить между руководителями аудиторской группы, проверяемой организации и, при необходимости, лицом(ам), осуществляющим(ими) управление программой аудита.

6.3.3 Распределение работы среди членов аудиторской группы

Руководителю аудиторской группы, при консультации с членами группы, следует распределить обязанности и назначить лиц, ответственных за конкретные процессы, действия, функции или места проведения аудита и, соответственно, полномочия для принятия решений. Такие назначения следует проводить с учетом беспристрастности и объективности аудиторов, их компетентности, эффективности использования ресурсов, а также различных функций и обязанностей аудиторов, стажеров и технических экспертов.

Руководителю аудиторской группы следует, по необходимости, проводить короткие совещания аудиторской группы, чтобы распределить рабочие задания и решить вопрос о возможных изменениях. Изменения в рабочие задания могут быть внесены в процессе аудита, чтобы обеспечить достижение целей аудита.

6.3.4 Подготовка документированной информации для аудита

Членам аудиторской группы следует подобрать и проанализировать информацию, касающуюся их заданий, и подготовить необходимую документированную информацию для аудита, используя соответствующие носители. Документированная информация для аудита может включать, но не ограничиваясь, следующее:

a) контрольные перечни вопросов (чек-листы) на физических или электронных носителях;

b) планы выборок для аудита;

c) аудиовизуальную информацию.

Применением этих носителей не следует ограничивать объем аудиторской деятельности, которая может измениться в результате информации, собранной в процессе аудита.

Примечание - Руководящие указания по подготовке рабочих документов приведены в А.13.

 

Документированную информацию, подготовленную и полученную в ходе аудита, следует хранить, по крайней мере, до завершения аудита, или столько времени, сколько указано в программе аудита. Сохранение документированной информации после завершения аудита описано в 6.6. Членам аудиторской группы следует всегда должным образом защищать документированную информацию, созданную в процессе аудита и включающую конфиденциальную или частную информацию.