Iso 19011 2018 официальный перевод

6 Проведение аудита

6.1 Общие положения

Настоящий раздел содержит руководящие указания по
планированию и проведению деятельности по аудиту в рамках программы аудита.
Рисунок 2
дает обзор типовых действий при проведении аудита. Степень применения положений
настоящего раздела зависит от целей и области применения конкретного аудита.

Примечание – Нумерация
подразделов приводится в соответствии с нумерацией подразделов настоящего
стандарта.

Рисунок
2 – Типовые действия при проведении аудита

6.2 Организация проведения аудита

6.2.1 Общие положения

Когда приступают к проведению аудита, ответственность за его
проведение остается за назначенным руководителем группы по аудиту (5.4.5)
до завершения данного аудита (6.6).

Для того чтобы приступить к проведению аудита, нужно
рассмотреть шаги, приведенные на рисунке 2; однако их последовательность
может отличаться в зависимости от проверяемой организации, процессов и конкретных
обстоятельств, относящихся к данному аудиту.

6.2.2 Установление первоначального контакта с проверяемой
организацией
Первоначальный контакт с проверяемой организацией для
проведения аудита может иметь официальный или неформальный характер и должен устанавливаться
руководителем группы по аудиту. Целями первоначального контакта являются:

– установление связи и каналов передачи информации с
представителями проверяемой организации;

– подтверждение полномочий для проведения аудита;

– предоставление информации, касающейся области аудита,
методов аудита и состава группы по аудиту, в том числе технических экспертов;

– получение разрешения на доступ к соответствующим
документам для планирования целей и задач, включая записи;

– определение применяемых к проверяемой организации
законодательных и контрактных требований, а также других требований,
относящихся к видам осуществляемой деятельности и продукции проверяемой
организации;

– подтверждение соглашения с проверяемой организацией
относительно степени раскрытия и обращения с информацией, носящей
конфиденциальный характер;

– определение необходимых подготовительных мероприятий по
аудиту, включая даты планов-графиков;

– определение любых требований, связанных с обеспечением
доступа, здоровья и безопасности или других требований;

– согласование присутствия наблюдателей и потребности в
сопровождающих для группы по аудиту;

– определение любых областей заинтересованности или
озабоченности проверяемой организации в связи с конкретным намеченным аудитом.

6.2.3 Определение возможности проведения аудита

Для обеспечения уверенности в том, что поставленные цели
аудита могут быть достигнуты, нужно определить возможность проведения аудита.

При определении возможности проведения аудита нужно
учитывать такие факторы, как наличие:

– необходимой и достаточной информации для планирования
аудита;

– адекватного содействия и сотрудничества со стороны
проверяемой организации;

– достаточного времени и ресурсов для выполнения аудита.

В случае невозможности проведения аудита необходимо предложить
заказчику альтернативное решение на основе консультаций с проверяемой
организацией.

6.3 Подготовка к проведению аудита на месте

6.3.1 Выполнение анализа документов при подготовке к
аудиту

Необходимо проанализировать документацию соответствующей
системы менеджмента проверяемой организации, с тем чтобы:

– собрать информацию для подготовки мероприятий аудита и
подходящие рабочие документы (6.3.4), например относящиеся к процессам,
должностным обязанностям;

– осуществить обзор документации системы для выявления
возможных пробелов.

Примечание – Руководящие
указания по выполнению анализа документации приведены в В.2 приложения В.

Документация должна включать в себя, насколько это
применимо, документы и записи системы менеджмента, а также отчеты по предыдущим
аудитам. При анализе документации следует учитывать размер, характер
деятельности, сложность проверяемой организации и ее системы менеджмента, а
также цели и область применения аудита.

6.3.2 Подготовка плана аудита

6.3.2.1 Руководителю группы по аудиту следует подготовить
план аудита, основанный на информации, содержащейся в программе аудита и документации,
предоставленной проверяемой организацией. План аудита должен рассматривать
последствия аудита с учетом его влияния на процессы проверяемой организации и
обеспечивать основу для соглашения между заказчиком аудита, группой по аудиту и
проверяемой организацией относительно проведения аудита. Этот план должен
способствовать наилучшей координации, последовательности и сроков выполнения
работ по аудиту для наиболее эффективного достижения результата.

Объем сведений, представленных в плане аудита, должен
отражать область применения и сложность аудита, а также влияние факторов
неопределенности на достижение целей аудита. При подготовке плана аудита
руководитель группы по аудиту должен быть осведомлен:

– о соответствующих методах выборочного контроля (см. В.3
приложения В);

– характерных чертах и особенностях состава группы по аудиту
и ее коллективном уровне компетентности;

– рисках для проверяемой организации, возникающих вследствие
проведения аудита.

Например, риски для организации могут возникать вследствие
присутствия членов группы по аудиту, влияющих на обеспечение требований в
области охраны труда, экологии и качества, и их присутствие может представлять
определенную угрозу для продукции, услуг, персонала или инфраструктуры
проверяемой организации (например, случай привнесения загрязнения в
приспособления для очистки помещений).

Для комплексных аудитов следует уделить особое внимание
вопросам взаимодействия между операционными процессами и гармонизации целей и
приоритетов различных систем менеджмента в случае соперничества между ними.

6.3.2.2 Масштаб и содержание плана аудита могут различаться,
например, между первоначальным и последующими аудитами, также, как и между
внутренними и внешними аудитами. План аудита должен допускать достаточную
гибкость, чтобы по мере осуществления мероприятий по аудиту в него, в случае
необходимости внесения корректировок или изменений, можно было внести требуемые
изменения.

План аудита должен включать в себя или содержать ссылки на:

– цели аудита;

– область аудита, включая идентификацию организационных и
функциональных подразделений и процессов, которые будут проверяться;

– критерии аудита и ссылочные документы;

– места проведения аудита, даты, ожидаемое время и
продолжительность намеченных мероприятий по аудиту, включая совещания с
руководством проверяемой организации, а также другие совещания;

– используемые при проведении аудита методы, включая объем
или степень выборочного контроля, необходимого для получения достаточных
свидетельств аудита, и проект программы выборочного контроля, если она
применяется;

– роли и обязанности членов группы по аудиту, а также
сопровождающих лиц и наблюдателей;

– распределение соответствующих ресурсов по «критичным
местам» проведения аудита. При необходимости в план аудита следует также
включить:

– определение представителей проверяемой организации для
участия в аудите;

– рабочий язык для проведения аудита и язык для составления
отчета в тех случаях, где он отличается от родного языка аудитора и (или)
проверяемой организации;

– содержание отчета по аудиту;

– материально-техническое обеспечение и коммуникационные
средства, включая средства и необходимые подготовительные мероприятия на местах
проверяемых подразделений;

– любые специальные меры, предпринимаемые в отношении рисков
и влияния неопределенности на цели аудита;

– вопросы, относящиеся к конфиденциальности и сохранности
информации;

– действия по результатам проверок, например, предыдущего
аудита;

– вопросы координации, связанные с проведением других работ
по аудиту, в случае совместного аудита.

План аудита может быть проанализирован и одобрен заказчиком
аудита, и его следует представить на рассмотрение проверяемой организации.
Любые возражения со стороны проверяемой организации, относящиеся к плану
аудита, необходимо разрешить между руководителем группы по аудиту, проверяемой
организацией и заказчиком аудита.

6.3.3 Распределение работ между членами группы по аудиту

Руководитель группы по аудиту в ходе консультаций с членами
группы по аудиту должен обозначить и распределить ответственность между каждым
членом группы за аудит конкретных процессов, работ, функциональных
подразделений или участков производственной деятельности. При таком
распределении следует учитывать независимость и компетентность аудиторов и
результативное использование ресурсов, а также различные роли и обязанности
аудиторов, стажеров и технических экспертов.

Руководитель группы по аудиту должен проводить рабочие
совещания группы по аудиту для того, чтобы распределять рабочие задания и
решать вопросы, касающиеся возможных изменений. По ходу проведения аудита могут
быть сделаны изменения в рабочие задания или в выполнение работ, для того чтобы
обеспечить достижение поставленных целей аудита.

6.3.4 Подготовка рабочих документов

Члены группы по аудиту должны собирать и анализировать
информацию, относящуюся к зоне их ответственности, и осуществлять подготовку
рабочих документов надлежащим образом для фиксации и протоколирования
свидетельств аудита. Такие рабочие документы могут включать в себя:

– контрольные листы;

– планы выборок для аудита;

– формы для регистрации данных, таких как подтверждающие
свидетельства, выводы аудита и протоколы совещаний.

Использование контрольных листов и форм не должно
ограничивать объем проверок при аудите, которые могут измениться в результате
анализа собранных во время аудита данных.

Примечание – Руководящие
указания по подготовке рабочих документов приведены в В.4 приложения В.

Рабочие документы, включая записи, являющиеся результатом
использования документов, следует хранить, по меньшей мере, до завершения
аудита. Хранение документов после завершения аудита представлено в 6.6. Для
документов, содержащих конфиденциальную или частную информацию, членам группы
по аудиту следует надлежащим образом обеспечить хранение и защиту.

6.4 Проведение аудита на месте

6.4.1 Общие положения

Мероприятия или работы по аудиту обычно проводятся в
определенной последовательности согласно тому, как приведено на рисунке 2. Эта
последовательность может меняться в соответствии с условиями конкретных
аудитов.

6.4.2 Проведение предварительного совещания Целью
предварительного совещания являются:

a) подтверждение согласия всех сторон (например, проверяемой
организации, группы по аудиту) относительно плана аудита;

b) представление членов группы по аудиту:

c) обеспечение уверенности в том, что все запланированные в
рамках аудита мероприятия могут быть выполнены.

Предварительное совещание проводят с руководством
проверяемой организации и, когда это возможно, с теми лицами, которые отвечают
за проверяемые подразделения или процессы. В ходе этого совещания
предоставляется возможность задать вопросы.

Объем и степень предоставляемых сведений должны соответствовать
степени осведомленности проверяемой организации с процессом аудита. Во многих
случаях, например, при проведении внутренних аудитов в небольших организациях,
предварительное совещание может состоять лишь из объявления о том, что началось
проведение аудита, и объяснения сущности или специфики аудита.

В других случаях предварительное совещание может иметь
официальный характер, при котором проводится регистрация присутствующих на нем
лиц. Предварительное совещание должно проходить под руководством руководителя
группы по аудиту, в обязанности которого входит:

– представить участников, включая наблюдателей и
сопровождающих лиц, и объяснить их роль в аудите;

– подтвердить цели, область и критерии аудита;

– подтвердить с проверяемой организацией план аудита и
другие необходимые мероприятия, связанные с аудитом, такие как дата и время
заключительного совещания, любые промежуточные совещания группы по аудиту и
руководства проверяемой организации и любые дальнейшие изменения;

– ознакомить с методами, которые будут использоваться при
проведении аудита, включая информирование проверяемой организации о том, что
свидетельства аудита будут основаны на выборках доступных данных;

– представить методы по управлению рисками, связанными с
аудитом, которые могут иметь место для организации вследствие присутствия на
местах членов группы по аудиту;

– подтвердить официальные каналы связи между группой по
аудиту и проверяемой организацией;

– подтвердить язык, используемый при аудите;

– подтвердить, что во время аудита проверяемая организация
будет информироваться о ходе его проведения;

– подтвердить, что необходимые группе по аудиту ресурсы и
средства будут доступны;

– подтвердить обеспечение конфиденциальности и
информационной безопасности;

– подтвердить обеспечение безопасности работы и ознакомление
с соответствующими процедурами по обеспечению безопасности, а также в случае
возникновения чрезвычайной ситуации для группы по аудиту;

– ознакомить с методом регистрации и составления отчетов по
выявленным при проведении аудита фактам, включая их классификацию и любое
ранжирование;

– проинформировать об условиях, при которых аудит может быть
прекращен;

– проинформировать о заключительном совещании;

– проинформировать о том, каким образом следует обращаться с
теми фактами, которые могут быть выявлены во время аудита;

– проинформировать о любой системе обратной связи с
проверяемой организацией по рассмотрению выводов или заключений по результатам
аудита, включая жалобы или апелляции.

6.4.3 Выполнение анализа документов во время проведения
аудита
Необходимо проанализировать документацию проверяемой организации, с
тем чтобы:

– определить соответствие системы (насколько это отражено в
документации) критериям аудита;

– собрать информацию для содействия реализации намеченных
мероприятий в рамках проводимого аудита.

Примечание – Руководящие
указания по выполнению анализа документации, приведены в В.2
приложения В.

Данный анализ может осуществляться в сочетании с другими
видами деятельности по аудиту и может продолжаться походу выполнения
мероприятий аудита, если это не сказывается негативным образом на
результативности проведения аудита.

Если необходимая документация не может быть предоставлена в
сроки, определенные планом аудита, руководителю группы по аудиту следует
проинформировать лицо, ответственное за управление программой аудита, и
проверяемую организацию. В зависимости от области применения и целей аудита
следует принять решение о целесообразности продолжения проведения аудита или о
приостановке его проведения до тех пор, пока не будут разрешены все вопросы,
связанные с документацией.

6.4.4 Обмен информацией во время проведения аудита

В ходе аудита может возникнуть необходимость в заключении
официальных соглашений по обмену информацией между группой по аудиту и
проверяемой организацией, заказчиком аудита и, возможно, с внешними органами
(например, контролирующими органами), особенно в тех случаях, когда
законодательные нормы содержат требования об обязательном уведомлении о
несоответствиях.

В группе по аудиту периодически проводят обмен информацией,
оценивают ход аудита и, при необходимости, перераспределяют обязанности между
членами группы по аудиту.

Во время аудита руководитель группы по аудиту должен
периодически обмениваться информацией о ходе аудита и связанных с этим вопросах
с проверяемой организацией и, при необходимости, с заказчиком аудита.
Свидетельство, полученное во время аудита относительно предполагаемого
непосредственного и существенного риска для проверяемой организации, должно
быть без задержки доведено до сведения проверяемой организации и, если
необходимо, заказчику аудита. Информация, выходящая за пределы области аудита,
должна также приниматься во внимание и доводиться до руководителя группы по
аудиту, чтобы была обеспечена возможность для ее передачи заказчику аудита или
проверяемой организации.

Если имеющееся свидетельство аудита указывает на
невыполнимость целей аудита, руководителю группы по аудиту следует доложить заказчику
аудита или проверяемой организации о причинах для принятия соответствующих мер.
Такие меры могут включать в себя внесение изменений и переутверждение плана
аудита, изменение целей или области аудита, или прекращение аудита.

Любую необходимость во внесении изменений в план аудита,
которая может выявляться походу выполнения мероприятий аудита, следует
анализировать и согласовывать с лицом, ответственным за управление программой
аудита, и, при необходимости, с проверяемой организацией.

6.4.5 Роль и обязанности сопровождающих лиц и
наблюдателей

Сопровождающие лица и наблюдатели (например, представители
регулирующего органа или других заинтересованных сторон) могут присутствовать
при работе группы по аудиту. Они не должны оказывать влияние или вмешиваться в
проведение аудита. В случае, если это не может быть гарантировано, руководитель
группы по аудиту имеет право отказать наблюдателям в участии в некоторых
мероприятиях аудита.

Для наблюдателей любые обязательства, относящиеся к здоровью,
безопасности и конфиденциальности, должны оговариваться и регулироваться между
заказчиком аудита и проверяемой организацией.

Сопровождающие лица, назначенные проверяемой организацией,
должны оказывать помощь группе по аудиту и действовать по просьбе руководителя
группы по аудиту. Сопровождающие лица должны выполнять следующие обязанности:

a) содействовать аудиторам, обеспечивать контакты и
назначение времени для бесед (интервью);

b) организовывать доступ для посещения определенных объектов
или рабочих участков проверяемой организации;

c) обеспечивать то, чтобы правила и процедуры по
безопасности были известны и соблюдались членами группы по аудиту и
наблюдателями.

Роль руководства может также включать в себя следующее:

– исполнять роли лиц, свидетельствующих в ходе аудита от
имени проверяемой организации;

– предоставлять разъяснения или оказывать помощь при сборе
информации.

6.4.6 Сбор и верификация информации

Во время проведения аудита информация, относящаяся к целям
аудита, области и критериям аудита, включая информацию, касающуюся
взаимодействия между подразделениями, деятельности и процессов, должна быть
собрана путем необходимых выборок и верифицирована. В качестве свидетельства
аудита следует принимать только ту информацию, которая может быть верифицирована.
Свидетельства аудита должны быть зарегистрированы. Если во время сбора
свидетельств группе по аудиту станут известны любые новые или измененные риски,
их следует рассмотреть и принять соответствующие меры.

Примечание – Руководящие
указания по выборкам, приведены в В.3 приложения В.

На рисунке 3 представлена блок-схема процесса, начиная от сбора
информации до получения заключений по результатам аудита.

Методы сбора информации включают в себя следующее:

– наблюдения за деятельностью;

– анализ документов, включая записи.

1 Руководящие указания,
касающиеся источников информации, приведены в В.5 приложения В.

2 Руководящие указания,
касающиеся посещения объектов и подразделений, приведены в В.6
приложения В.

3 Руководящие указания, по
проведению опросов приведены в В.7 приложения В.

Рисунок
3 – Блок-схема процесса, начиная от сбора информации до получения заключений
по результатам аудита

6.4.7 Формирование выводов аудита

Для получения выводов аудита свидетельства аудита должны
быть сопоставлены и оценены относительно критериев аудита. Выводы аудита могут
указывать на соответствие или несоответствие критериям аудита. В случае, если
это не может быть гарантировано, руководитель группы по аудиту имеет право
отказать наблюдателям в участии в некоторых мероприятиях аудита.

Группе по аудиту, по мере необходимости, следует собираться
для анализа выводов аудита на определенных этапах его Несоответствия и
подтверждающие их свидетельства аудита должны быть записаны. Несоответствия
могут быть классифицированы (ранжированы). Они должны быть проанализированы с
проверяемой организацией для подтверждения объективности свидетельств аудита и
для подтверждения того, что выявленные несоответствия правильно понимаются.
Следует принять все возможные меры по разрешению любых разногласий во мнениях
по свидетельствам и/или выводам аудита, а неразрешенные вопросы следует
документально оформить.

Группе по аудиту, по мере необходимости, следует собираться
для анализа выводов аудита на определенных этапах его проведения.

Примечание –
Дополнительные руководящие указания по идентификации и оценке выводов аудита
приведены в В.8
приложения В.

6.4.8 Подготовка заключений по результатам аудита

Группе по аудиту до заключительного совещания следует
выполнить следующее:

a) проанализировать выводы аудита и любую другую
соответствующую информацию, собранную во время аудита, на соответствие целям
аудита;

b) согласовать заключения по результатам аудита с учетом
неопределенности, присущей процессу аудита;

c) подготовить рекомендации, если это предусмотрено целями
аудита;

d) обсудить действия по результатам
аудита, если это требуется. Заключения аудита могут содержать следующую
информацию, касающуюся:

– степени соответствия критериям аудита и основательности
системы менеджмента, включая эффективность системы менеджмента в достижении
заявленных целей;

– эффективности внедрения, поддержания и улучшения системы
менеджмента;

– возможностей процесса анализа со стороны руководства для
обеспечения постоянной пригодности системы менеджмента, ее адекватности,
эффективности и улучшения;

– достижения целей аудита, степени охвата области аудита и
выполнения критериев аудита;

– корневых причин выявленных фактов (наблюдений), если это
предусмотрено планом аудита;

– сопоставления и обобщения аналогичных или схожих по своему
характеру фактов, выявленных при проведении аудита в различных областях, для
определения тенденций (трендов).

Если это определено планом аудита, то заключения по результатам
аудита могут вести к рекомендациям по улучшению или будущим видам деятельности
по аудиту.

6.4.9 Проведение заключительного совещания

Проведение заключительного совещания должно быть
организовано руководителем группы по аудиту таким образом, чтобы представленные
выводы и заключения аудита были понятны и признаны проверяемой организацией. К
участию в заключительном совещании следует привлекать руководителей проверяемой
организации и, там, где это целесообразно, сотрудников, отвечающих за функции
или процессы, которые были проверены в ходе аудита, а также заказчика аудита и
другие стороны.

Если это необходимо, руководитель группы по аудиту должен
сообщать проверяемой организации о сложившихся во время проведения аудита
ситуациях, которые могут уменьшить доверие к информации, изложенной в
заключениях по результатам аудита. Если это определено в системе менеджмента
или соглашением с лицом, отвечающим за управление программой аудита, участникам
следует согласовать сроки разработки и внедрения плана мероприятий по
результатам аудита, включающего корректирующие и предупреждающие действия.

Объем и степень предоставляемых сведений должны
соответствовать степени осведомленности проверяемой организации о процессе
аудита. В других случаях, например, при внутренних аудитах, заключительное
совещание является менее формальным и может состоять только из сообщения о
выводах и заключениях по результатам аудита.

При необходимости, на заключительном совещании следует
довести до сведения проверяемой организации следующее:

– что собранные во время аудита свидетельства основаны на
выборке данных и информации, имевшейся на момент проведения аудита;

– метод протоколирования и составления отчетов, включая
любую классификацию или ранжирование данных;

– процесс обработки и трактовки выводов аудита и возможные
последствия, связанные с принятием решений по выявленным фактам;

– выводы аудита таким способом, чтобы они были понятны и
признаны проверяемой организацией;

– любые последующие действия по результатам аудита
(например, выполнение корректирующих действий, обработку претензий, процесс
апелляций).

Любые разногласия по выводам и/или заключениям аудита между
группой по аудиту и проверяемой организацией должны быть обсуждены и, по
возможности, разрешены. В случае, если разногласия не удается разрешить, то все
мнения должны быть зарегистрированы.

Если это предусмотрено целями аудита, могут быть
предоставлены рекомендации по улучшению. Следует указать, что рекомендации не
носят обязательного характера.

6.5 Подготовка и рассылка отчета по аудиту

6.5.1 Подготовка отчета по аудиту

Руководитель группы по аудиту несет ответственность за
подготовку и содержание отчета по аудиту.

Отчет по аудиту должен содержать полные, точные, четко сформулированные
и понятные записи по аудиту и, в соответствии с процедурами аудита, должен
включать в себя или содержать ссылку на следующее:

a) цели аудита;

b) область аудита, в частности, идентификацию проверенных
организационных и функциональных подразделений или процессов и охватываемый
период времени;

c) идентификацию заказчика аудита;

d) идентификацию членов группы по
аудиту и представителей проверяемой организации, принимавших участие в
проведении аудита;

e) даты и места проведения аудита на месте;

f) критерии аудита;

g) выводы аудита;

h) заключения по результатам аудита;

i) заявление о степени соответствия
критериям аудита.

При необходимости в отчет по аудиту могут также быть
включены:

– план аудита, включая график;

– итоговое изложение процесса аудита, включая
неопределенности и/или любые встретившиеся препятствия при его проведении,
которые могут уменьшить достоверность заключений по результатам аудита;

– подтверждение достижения целей аудита в пределах области
аудита в соответствии с планом аудита;

– области, не охваченные аудитом, но находящиеся в области
аудита;

– итоговая сводка, содержащая заключения по результатам
аудита и подтверждающие их выводы (наблюдения) аудита;

– неразрешенные противоречия между группой по аудиту и
проверяемой организацией;

– возможности для улучшения, если это предусмотрено целями
аудита;

– выявленные сильные стороны и лучшие практики;

– согласованный план действий по результатам аудита, если
такой план имеется;

– заявление о конфиденциальном характере содержимого отчета;

– любые последствия для программы аудита или последующих
аудитов;

– перечень рассылки отчета по аудиту.

Примечание – Отчет по
аудиту может быть разработан до заключительного совещания.

6.5.2 Рассылка отчета по аудиту

Отчет по аудиту должен быть подготовлен и представлен в
согласованные сроки. В случае задержки, о ее причинах следует сообщить
проверяемой организации и лицу, ответственному за управление программой аудита.

Отчет по аудиту должен иметь дату выпуска, надлежащим
образом проанализирован и утвержден в соответствии с процедурами программы
аудита.

Затем отчет по аудиту должен быть разослан получателям,
определенным процедурами аудита.

6.6 Завершение аудита

Аудит считается завершенным, если все запланированные мероприятия
аудита были выполнены или же на основании, согласованном с заказчиком аудита
(например, могут быть непредвиденные ситуации, которые препятствуют тому, чтобы
аудит был завершен в соответствии с разработанным планом).

Документы, относящиеся к аудиту, следует хранить или
уничтожать на основании соглашения между участвующими сторонами в соответствии
с процедурами программы аудита и применяемыми законодательными и другими
требованиями.

Если это не предусмотрено законом, группа по аудиту и лицо,
ответственное за управление программой аудита, не должны раскрывать содержимого
документов и другой информации, полученной во время аудита, или отчета по
аудиту любой другой стороне без ясного разрешения заказчика аудита и, где это
требуется, разрешения проверяемой организации. Если необходимо раскрыть
содержание документов аудита, заказчик аудита и проверяемая организация должны
быть незамедлительно об этом проинформированы.

Из наблюдений и выводов, полученных при проведении аудита,
проверяемой организации следует извлекать необходимые уроки для включения
соответствующих действий в процесс постоянного улучшения своей системы
менеджмента.

6.7 Действия по результатам аудита

Заключения по результатам аудита могут в зависимости от
целей аудита указывать на необходимость выполнения коррекций, корректирующих и
предупреждающих действий или действий по улучшению. Такие действия, как
правило, разрабатываются и выполняются проверяемой организацией в согласованные
временные сроки. При необходимости, проверяемой организации следует
информировать лицо, ответственное за управление программой аудита, и группу
аудиторов о состоянии выполнения этих действий.

Выполнение и результативность этих действий должны быть
верифицированы. Такая верификация может быть частью последующего аудита.

3 Термины и определения

В настоящем стандарте применены следующие термины с
соответствующими определениями:

3.1 аудит (audit):
Систематический, независимый и документируемый процесс получения свидетельств
аудита
(3.3) и объективного их
оценивания с целью установления степени выполнения согласованных критериев
аудита
(3.2).

1 Внутренние аудиты, иногда называемые
«аудитами первой стороны», проводятся самой организацией или от ее имени для
анализа со стороны руководства или других внутренних целей (например, для
подтверждения намеченных показателей результативности системы менеджмента или
для получения информации по улучшению системы менеджмента) и могут служить
основанием для декларации о соответствии. Во многих случаях, особенно в малых
организациях, независимость при аудите может быть продемонстрирована
отсутствием ответственности за деятельность, которая подвергается аудиту, или
беспристрастностью и отсутствием конфликта интересов.

2 Внешние аудиты включают в
себя аудиты, называемые «аудитами второй стороны» и «аудитами третьей стороны».
Аудиты второй стороны проводят стороны, заинтересованные в деятельности
организации, например, потребители или другие лица от их имени. Аудиты третьей
стороны проводят внешние независимые организации, такие как регулирующие или
надзорные органы или организации, проводящие регистрацию или сертификацию.

3 Аудит двух или нескольких
систем менеджмента для различных аспектов (например, качество, охрана
окружающей среды, охрана труда), проводимый одновременно, называют «комплексным
аудитом».

4 Если две или несколько
проверяющих организаций объединяют свои усилия для проведения аудита одной
проверяемой организации (3.7), такой аудит называют совместным.

5
Адаптировано из ИСО 9000:2005, статья 3.9.1.

3.2 критерии аудита (audit criteria): Совокупность политик, процедур или
требований, используемых в качестве эталона, в соотношении с которым
сопоставляют свидетельства аудита (3.3),
полученные при проведении аудита.

1 Адаптировано из ИСО
9000:2005, статья 3.9.3.

2
В случае, если критериями аудита являются правовые требования (включая
законодательные или другие обязательные требования), то в выводах
(наблюдениях) аудита
(3.4) часто используются термины «соответствующий» или
«несоответствующий».

3.3 свидетельство аудита (audit evidence): Записи, изложение фактов или другая
информация, которые связаны с критериями аудита (3.2) и могут быть проверены.

Примечание –
Свидетельство аудита может быть качественным или количественным.

3.4 выводы (наблюдения) аудита (audit findings): Результаты оценки собранных свидетельств
аудита
(3.3) на соответствие критериям
аудита
(3.2).

1 Выводы аудита указывают на
соответствие или несоответствие.

2 Выводы аудита могут вести к
идентификации возможностей для улучшения или отражению наилучших практик.

3 Если критерии аудита
выбираются, исходя из правовых или других обязательных требований, то
наблюдением (выводом) аудита определяется соответствие или несоответствие
данным требованиям.

4
Адаптировано из ИСО 9000:2005, статья 3.9.5.

3.5 заключение по результатам аудита (audit conclusion): Выходные данные аудита (3.1)
после рассмотрения целей аудита и всех выводов аудита (3.4).

Примечание – Адаптировано
из ИСО 9000:2005, статья 3.9.6.

3.6 заказчик аудита (audit client):
Организация или лицо, заказавшие аудит.

1 В случае внутреннего аудита
заказчиком аудита может быть проверяемая организация (3.7) или
лицо, ответственное за управление программой аудита. Запросы, касающиеся
проведения внешнего аудита, могут поступать из таких источников, как
контролирующие органы, стороны, с которыми организация имеет контрактные
отношения, или потенциальные заказчики.

2
Адаптировано из ИСО 9000:2005, статья 3.9.7.

3.8 аудитор (auditor):
Лицо, которое проводит аудит (3.1).

3.9 группа по аудиту (audit team): Один или несколько аудиторов (3.8), проводящих аудит (3.1), при необходимости поддерживаемые техническими
экспертами
(3.15).

1 Один из аудиторов в группе
по аудиту, как правило, назначается руководителем группы.

2
Группа по аудиту может включать в себя аудиторов-стажеров.

3.10 технический эксперт (technical
expert): Лицо, обладающее специальными знаниями или опытом, необходимыми
группе по аудиту (3.9).

1 Специальные знания или опыт
включают в себя знания или опыт, относящиеся к организации, процессу или
деятельности, подвергаемым аудиту, а также знание языка и культуры страны, в
которой проводится аудит.

2
Технический эксперт не имеет полномочий аудитора (3.8) в
группе по аудиту.

3.11 наблюдатель (observer):
Лицо, сопровождающее группу по аудиту (3.9), но не проводящее аудит.

1 Наблюдатель не входит в
состав группы по аудиту (3.9) и не влияет или не вмешивается в проведение аудита
(3.1).

2
Наблюдателем может быть представитель проверяемой организации (3.7),
контролирующего органа или другой заинтересованной стороны, который наблюдает
за проведением аудита (3.1).

3.12 сопровождающий (guide):
Лицо, назначаемое проверяемой организацией (3.7) для оказания помощи и
содействия группе по аудиту (3.9).

3.13 программа аудита (audit
programme): Совокупность мероприятий по проведению одного или нескольких
аудитов (3.1),
запланированных на конкретный период времени и направленных на достижение
конкретной цели.

Примечание – Адаптировано
из ИСО 9000:2005, статья 3.9.3.

3.14 область аудита (audit scope):
Содержание и границы аудита (статья 3.1).

Примечание – Область
аудита обычно включает в себя местонахождение, организационную структуру, виды
деятельности и процессы, а также охватываемый период времени.

3.15 план аудита (audit plan): Описание деятельности и мероприятий по
проведению аудита (статья 3.1).

3.16 риск (risk): Воздействие
неопределенности на достижение целей.

Примечание – Адаптировано
из Руководства ИСО 73:2009, определение 1.1.

3.17 компетентность (competence):
Способность применять знания и навыки для достижения намеченных результатов.

Примечание – Под
способностью понимается соответствующее применение и проявление личных качеств
во время проведения аудита.

3.20 система менеджмента (management
system): Система для разработки политики и целей и достижения этих
целей.

Примечание – Система
менеджмента организации может включать в себя различные системы менеджмента,
такие как система менеджмента качества, система финансового менеджмента или
система экологического менеджмента.

Оценка соответствия. Руководящие указания по проведению аудита систем менеджмента

ГОСТ Р ИСО 19011-2021. Страница 1
ГОСТ Р ИСО 19011-2021. Страница 2
ГОСТ Р ИСО 19011-2021. Страница 3
ГОСТ Р ИСО 19011-2021. Страница 4
ГОСТ Р ИСО 19011-2021. Страница 5
ГОСТ Р ИСО 19011-2021. Страница 6
ГОСТ Р ИСО 19011-2021. Страница 7
ГОСТ Р ИСО 19011-2021. Страница 8
ГОСТ Р ИСО 19011-2021. Страница 9
ГОСТ Р ИСО 19011-2021. Страница 10
ГОСТ Р ИСО 19011-2021. Страница 11
ГОСТ Р ИСО 19011-2021. Страница 12
ГОСТ Р ИСО 19011-2021. Страница 13
ГОСТ Р ИСО 19011-2021. Страница 14
ГОСТ Р ИСО 19011-2021. Страница 15
ГОСТ Р ИСО 19011-2021. Страница 16
ГОСТ Р ИСО 19011-2021. Страница 17
ГОСТ Р ИСО 19011-2021. Страница 18
ГОСТ Р ИСО 19011-2021. Страница 19
ГОСТ Р ИСО 19011-2021. Страница 20
ГОСТ Р ИСО 19011-2021. Страница 21
ГОСТ Р ИСО 19011-2021. Страница 22
ГОСТ Р ИСО 19011-2021. Страница 23
ГОСТ Р ИСО 19011-2021. Страница 24
ГОСТ Р ИСО 19011-2021. Страница 25
ГОСТ Р ИСО 19011-2021. Страница 26
ГОСТ Р ИСО 19011-2021. Страница 27
ГОСТ Р ИСО 19011-2021. Страница 28
ГОСТ Р ИСО 19011-2021. Страница 29
ГОСТ Р ИСО 19011-2021. Страница 30
ГОСТ Р ИСО 19011-2021. Страница 31
ГОСТ Р ИСО 19011-2021. Страница 32
ГОСТ Р ИСО 19011-2021. Страница 33
ГОСТ Р ИСО 19011-2021. Страница 34
ГОСТ Р ИСО 19011-2021. Страница 35
ГОСТ Р ИСО 19011-2021. Страница 36
ГОСТ Р ИСО 19011-2021. Страница 37
ГОСТ Р ИСО 19011-2021. Страница 38
ГОСТ Р ИСО 19011-2021. Страница 39
ГОСТ Р ИСО 19011-2021. Страница 40
ГОСТ Р ИСО 19011-2021. Страница 41

Приложение В
(справочное)

Дополнительное руководящее указание для аудиторов
по планированию и проведению аудитов

В.1 Применение методов аудита

Для выполнения аудита могут применяться различные методы. В
настоящем приложении приведены объяснения, относящиеся к широко применяемым в
настоящее время методам аудита. Методы, выбираемые для проведения аудита,
зависят от установленных целей, области применения и критериев аудита, а также
от сроков и мест проведения аудитов. При выборе метода проведения аудита
следует также учитывать имеющийся на данный момент уровень аудиторской
компетентности и любые неопределенности (погрешности), возникающие вследствие
применения этих методов. Применение множества и использование сочетания
различных методов может оптимизировать продуктивность и эффективность процесса,
связанного с аудитом, и его результаты.

При выполнении аудита происходит взаимодействие среди людей
с системой менеджмента, проверяемой при аудите, и с технологией, используемой
при проведении аудита. В таблице В.1 представлены примеры методов аудита, которые
могут быть использованы отдельно или в сочетании с другими методами для того,
чтобы достичь поставленных целей аудита. В случае, если при проведении аудита
задействована группа по аудиту, включающая в себя многочисленных членов, то
могут одновременно применяться методы, предусматривающие проведение мероприятий
аудита как непосредственно на местах производственной деятельности, так и на
расстоянии с использованием соответствующих средств коммуникации.

Примечание –
Дополнительная информация, касающаяся посещений подразделений проверяемой
организации на местах, приведена в В.6.

Таблица
В.1 – Применяемые методы проведения аудита

Ответственность за эффективное применение
методов аудита для любого аудита на стадии планирования остается либо за лицом,
ответственным за управление программой аудита, или за руководителем группы по
аудиту. Руководитель группы по аудиту несет ответственность за проведение
мероприятий аудита.

Возможность проведения мероприятий аудита на расстоянии
зависит от степени доверия между аудитором и персоналом проверяемой
организации.

На уровне программы аудита следует обеспечить, что
использование методов аудита на расстоянии и на местах является приемлемым для
того, чтобы обеспечить достижение целей программы аудита.

B.2 Проведение
анализа документов

Аудиторы должны рассмотреть, является ли информация,
представленная в документах:

– полной (все ожидаемые сведения содержатся в представленном
документе);

– правильной (содержимое документа соответствует другим
надежным источникам, таким как стандарты и правила);

– совместимой (положения документа согласуются между собой и
связанными с ним документами);

– актуальной (положения, содержащиеся в документе, имеют
силу на момент проверки);

– охватывают ли анализируемые документы область применения
аудита и предоставляют ли они достаточную информацию для поддержания целей
аудита;

– способствует ли использование информации и
коммуникационных технологий согласно применяемым методам аудита эффективному
проведению данного аудита: при этом необходимо уделить особое внимание
информационной безопасности, обусловленной применяемыми правилами по
обеспечению защиты данных (особенно для информации, которая выходит за рамки
области применения аудита, но которая содержится в представленной
документации).

Примечание – Анализ документации может указать на
эффективность управления документами в рамках системы менеджмента проверяемой
организации.

B.3
Осуществление представительной выборки

B.3.1 Общие положения

Представительную выборку для аудита производят в случае,
когда представляется нецелесообразным или дорогостоящим изучать всю имеющуюся
информацию во время проведения аудита, например, когда записей слишком много
или они слишком разбросаны географически, чтобы могло быть оправдано изучение
каждой позиции в имеющейся совокупности. Такая выборка из большой совокупности
является процессом отбора менее чем 100 % единиц (позиций) из имеющегося в
полном объеме набора данных (генеральной совокупности) для получения и
оценивания свидетельств в отношении отдельной характеристики такой
совокупности, с тем чтобы сформировать заключение, касающееся данной
совокупности.

Цель осуществления представительной выборки для аудита – это
предоставить информацию для аудитора, с тем чтобы иметь уверенность в том, что
цели аудита могут быть или будут достигнуты.

Риск, связанный с использованием выборки, состоит в том, что
отобранные выборки могут быть непоказательными в отношении той генеральной совокупности,
из которой они отобраны, и, следовательно, это может повлиять на заключение
аудитора таким образом, что оно будет отличаться от заключения, которое было бы
достигнуто, если бы проводилось изучение всей имеющейся совокупности данных.
Могут иметься и другие риски в зависимости от изменчивости или непостоянства в
рамках той генеральной совокупности, из которой проводится выборка, или в
зависимости от выбранного метода.

Осуществление выборки для аудита, как правило, включает в
себя следующие шаги:

– постановку целей плана осуществления выборки;

– выбор объема и композиции той генеральной совокупности, из
которой будет производиться выборка;

– выбор метода проведения выборки;

– определение объема производимой выборки;

– проведение выборки;

– сбор материала, проведение оценки, регистрации и
документирования результатов.

В ходе проведения выборки, следует уделить внимание качеству
имеющихся данных, поскольку недостаточные или неточные выборочные данные не
обеспечат получение требуемого результата. Отбор подходящих выборок должен
основываться как на методе производства выборки, так и на типе требуемых
данных, например для того, чтобы делать заключения по отдельному образцу или
выводы по всей совокупности.

Составление отчетов по сделанной выборке может учитывать
размер выборки, применяемый метод отбора и оценки, сделанные на основе выборки,
и уровень достоверности.

При проведении аудитов могут использоваться выборки по
усмотрению, т. е. сделанные на основе решения аудитора (см. В.3.2),
или статистические выборки (см. В.3.3).

B.3.2 Выборки,
сделанные по усмотрению

Выборки, сделанные по усмотрению, полагаются на знания,
навыки и опыт группы по аудиту (см. раздел 7). Для осуществления таких
выборок может учитываться следующее:

– предыдущий опыт проведения аудитов в данной области
применения аудита;

– сложность требований (включая законодательные требования)
для достижения целей данного аудита;

– сложность и взаимодействие процессов и элементов системы
менеджмента организации;

– степень изменения в технологии, системе менеджмента или
человеческом факторе;

– идентифицированные до этого времени зоны ключевых рисков и
области улучшения;

– результаты мониторинга систем менеджмента.

Недостатком выборок, сделанных по усмотрению на основе
решения проверяющей стороны, является то, что может не быть статистической
оценки влияния неопределенности (погрешности), присутствующей в выводах аудита
и полученных заключениях.

В.3.3 Статистическая выборка

В случае, если принято решение использовать статистическую
выборку, то план проведения такой выборки должен основываться на целях аудита и
на той информации, которая известна о характеристиках всей генеральной
совокупности, из которой будут проводиться данные выборки.

Расчет статистической выборки использует процесс отбора
выборок, основанный на теории вероятности. Выборка на основе характерного
признака используется в случаях, когда имеются только два возможных исхода для
каждой выборки (например, верный/неверный или годен/негоден). Выборка на основе
переменного параметра используется в случаях, когда результаты выборки
наблюдаются в сплошном диапазоне.

План проведения выборки должен учитывать, будут ли
исследуемые результаты выборки подходить под анализ на основе характерного
признака или на основе переменного параметра. Например, в случае, если
оценивается соответствие законченных форм (разновидностей) требованиям,
установленным в процедуре, то мог бы использоваться подход на основе
характерного признака. В случае, если исследуется возникновение инцидентов,
связанных с безопасностью пищевой продукции, или количество нарушений при
обеспечении безопасности, то подход на основе переменной величины скорее всего
был бы более подходящим.

Ключевыми элементами, которые могут повлиять на план
проведения выборки для аудита, являются:

– размер организации;

– количество компетентных аудиторов;

– периодичность аудитов в течение года;

– сроки конкретного аудита;

– любой требуемый внешними источниками уровень достоверности
результатов аудита.

Когда разработан план проведения статистической выборки, то
важным соображением будет уровень риска, связанный с использованием выборки, на
который организация-аудитор готова согласиться. Это часто называется
«допустимым уровнем достоверности». Например, 5 %-ный риск, связанный с
использованием выборки, соответствует допустимому уровню достоверности, равному
95 %. Связанный с использованием выборки 5 %-ный риск означает, что
организация-аудитор согласна принять риск, что 5 из 100 (или 1 из 20)
исследуемых выборок не будут отражать реальные значения, которые были бы
показаны в случае, если бы проводилось исследование всей генеральной
совокупности в ее полном объеме.

Когда используется статистическая выборка, аудиторы должны
надлежащим образом документировать выполненную работу. Это должно включать в
себя описание генеральной совокупности прецедентов, для которой было намечено
осуществление выборки, критерии выборки, используемые для проведения оценки
(например, что представляет собой приемлемая выборка), статистические параметры
и методы, которые были использованы, число выборок, подвергнутых оценке, и
полученные результаты.

B.4 Подготовка
рабочих документов

При подготовке рабочих документов группа по аудиту
применительно к каждому документу должна рассматривать приведенные ниже
вопросы.

a) Какие записи по аудиту будут создаваться с помощью этого
рабочего документа?

b) Какая деятельность по аудиту связана с этим конкретным
рабочим документом?

c) Кто будет пользователем этого рабочего документа?

d) Какая информация требуется, чтобы
подготовить этот рабочий документ?

Для комплексных аудитов рабочие документы должны разрабатываться,
чтобы избежать дублирования действий при проведении аудита. Это достигается
путем:

– сведения в одну группу аналогичных требований, относящихся
к различным критериям;

– согласования позиций, содержащихся в соответствующих
контрольных листах и вопросниках. Рабочие документы должны быть адекватными,
для того чтобы в достаточной мере охватывать элементы

всей системы менеджмента в рамках области применения аудита,
и они могут быть представлены на любом носителе.

B.5 Выбор
источников информации

Выбранные источники информации могут различаться в
зависимости от области применения и сложности аудита и могут включать в себя
следующее:

– интервью с работниками и другими лицами;

– наблюдения за осуществляемыми действиями и окружающей
производственной средой и условиями;

– документы, такие как политики, цели, планы, процедуры,
стандарты, инструкции, лицензии и разрешения, спецификации, чертежи, контракты
и заказы;

– записи, такие как записи инспекционного контроля,
протоколы совещаний, отчеты по проведению аудитов, записи, относящиеся к
программе мониторинга, и результаты измерений;

– сводки данных, анализы и показатели деятельности;

– информацию о планах проведения выборок проверяемой
организации и процедурах для управления процессами, связанными с проведением
выборок и измерений;

– отчеты из других источников, например, обратная связь с
потребителем, внешние обзоры и измерения, другая подходящая информация от
внешних сторон и оценки поставщиков;

– базы данных и интернет-сайты;

B.6 Руководство
по посещению проверяемой организации

Для того чтобы мероприятия, осуществляемые в ходе аудита, не
мешали осуществлению рабочих процессов проверяемой организации, а также для
обеспечения гарантий здоровья и безопасности группы по аудиту во время аудита
следует рассматривать следующее:

a) планирование посещения:

– получение разрешения и допуска к тем объектам проверяемой
организации, которые следует посетить в соответствии с областью применения
аудита,

– предоставление аудиторам всей необходимой информации (например,
инструктаж), касающейся безопасности, санитарной обстановки (например,
карантин), вопросов, связанных с профессиональной безопасностью и охраной
здоровья, культурных норм поведения для посещения объектов, включая требуемые
или рекомендуемые вакцинации и уровни допуска, если это применимо,

– договор с проверяемой организацией, что все требуемые
средства индивидуальной защиты будут иметься для группы по аудиту, если это
применимо,

– за исключением внеплановых аудитов для специальной цели,
обеспечение того, что персонал посещаемого объекта будет проинформирован о
целях и области применения аудита;

b) действия на посещаемых объектах:

– избежать привнесения любых ненужных помех в осуществление
рабочих процессов,

– обеспечить надлежащее использование средств индивидуальной
защиты членами группы по аудиту,

– обеспечить доведение информации по процедурам,
устанавливающим порядок действий в чрезвычайных и аварийных ситуациях
(например, аварийные выходы, места сбора),

– обсудить график мероприятий аудита с целью минимизации
возможных помех для распорядка производственной деятельности проверяемой
организации,

– обеспечить соразмерность численности группы по аудиту и
числа сопровождающих лиц и наблюдателей в соответствии с областью применения
аудита, для того чтобы избежать, насколько это возможно, вмешательства в
рабочие процессы,

– не прикасаться или каким-либо образом не обращаться с
любым оборудованием, если на это не имеется специального разрешения, даже когда
аудиторы имеют достаточный уровень компетентности или соответствующую лицензию,

– если во время посещения проверяемой организации произошло
какое-либо происшествие или инцидент, то руководитель группы по аудиту должен
проанализировать сложившуюся ситуацию с представителями проверяемой организации
и, в случае необходимости, с заказчиком аудита и прийти к соглашению
относительно того, следует ли прерывать или продолжать аудит или о том, что
следует внести изменения в график проведения мероприятий аудита,

– в случае проведения фото- или видеосъемки проверяющей
стороной следует заранее запросить соответствующее разрешение у руководства
проверяемой организации и рассмотреть вопросы, связанные с обеспечением
надлежащей защиты и конфиденциальности, и следует избегать фотографирования
частных лиц без их разрешения,

– при снятии копий или взятии экземпляров документов любого
вида следует заранее запросить соответствующее разрешение у руководства
проверяемой организации и рассмотреть вопросы, связанные с обеспечением
надлежащей защиты и конфиденциальности,

– при сборе данных и записей следует избегать сбора
персональной информации, касающейся сотрудников, если это не требуется целями
или критериями аудита.

B.7 Проведение
опросов и интервьюирование сотрудников

Интервьюирование является одним из важнейших средств по
сбору информации, и его следует проводить с учетом конкретной ситуации или
опрашиваемых лиц, будь это беседа при непосредственной встрече или посредством
использования соответствующих средств коммуникации. При этом аудитору нужно
учитывать следующее:

– интервью должны проводиться с лицами соответствующих
уровней или функциональных подразделений, выполняющих действия или задачи в
рамках области применения аудита;

– интервью, как правило, должны проводиться в рабочее время
и там, где это целесообразно, на рабочем месте опрашиваемого сотрудника;

– нужно постараться создать непринужденную атмосферу до
начала и во время проведения интервью;

– следует объяснить причины для проведения интервью и любые
производимые записи;

– интервью можно начать с просьбы к опрашиваемым лицам
описать выполняемую ими работу;

– следует тщательно выбирать тип задаваемых вопросов
(например, прямые, наводящие вопросы, вопросы, предусматривающие единственный
ответ);

– результаты, полученные в ходе интервью, должны быть
суммированы и проанализированы с опрашиваемым сотрудником;

– следует поблагодарить опрошенных сотрудников за их участие
и содействие.

В.8 Выводы аудита

B.8.1 Определение выводов аудита

При определении выводов аудита следует рассматривать
следующее:

– меры, предпринятые по результатам предыдущих записей и
заключений аудита;

– требования заказчика аудита;

– выводы (наблюдения), превосходящие границы обычной
практики, или возможности для улучшения;

– размер представительной выборки;

– распределение выводов аудита по категориям (если они
имеются).

B.8.2 Регистрация соответствий

Для записей о соответствии следует рассмотреть следующее:

– идентификацию критериев аудита, по которым выявляется
соответствие;

– свидетельство аудита для подтверждения соответствия;

– декларацию о соответствии, если это применимо.

B.8.3 Регистрация и
протоколирование несоответствий

Для записей о несоответствии следует рассмотреть следующее:

– описание или ссылку на критерии аудита;

– декларацию о несоответствии;

– свидетельство аудита;

– соответствующие выводы аудита, если это применимо.

B.8.4 Обращение с выводами,
относящимися к сложносоставным критериям

Во время проведения аудита представляется возможным идентифицировать
наблюдения (выводы), относящиеся к критериям со сложной структурой. В случае,
когда при проведении комплексного аудита аудитор идентифицирует вывод
(наблюдение), связанный с одним критерием или характерным признаком, аудитор
должен рассмотреть возможное воздействие на согласованность с данным критерием
или на аналогичные критерии других систем менеджмента.

В зависимости от предварительных договоренностей с
заказчиком аудита проверяющая сторона может собирать и фиксировать либо:

– отдельные выводы для каждого критерия-признака;

– единственный вывод, объединяющий ссылки для
сложносоставного критерия.

В зависимости от предварительных соглашений с заказчиком
аудита проверяющая сторона может указать проверяемой организации на то, каким
образом ей следует реагировать и какие действия необходимо предпринять по
результатам этих выводов, и проконтролировать разработку соответствующих
мероприятий.

Читайте также:  Что делает и что лечит

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *