Аудит iso что это
Аудит iso что это
ГОСТ Р ИСО 19011-2012
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
РУКОВОДЯЩИЕ УКАЗАНИЯ ПО АУДИТУ СИСТЕМ МЕНЕДЖМЕНТА
Guidelines for auditing management systems
Дата введения 2013-02-01
Предисловие
1 ПОДГОТОВЛЕН Открытым акционерным обществом «Всероссийский научно-исследовательский институт сертификации» (ОАО «ВНИИС») на основе собственного перевода на русский язык англоязычной версии международного стандарта, указанного в пункте 4
2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии
4 Настоящий стандарт идентичен международному стандарту ИСО 19011:2011* «Руководящие указания по аудиту систем менеджмента» (ISO 19011:2011 «Guidelines for auditing management systems», IDT)
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соотвентствие с ГОСТ Р 1.5 (пункт 3.5)
6 ПЕРЕИЗДАНИЕ. Июль 2018 г.
Введение
После публикации в 2002 году первого издания настоящего стандарта появилось множество публикаций новых стандартов по системам менеджмента. В результате возникла необходимость в рассмотрении более широкой области применения для аудитов систем менеджмента, так же, как и в предоставлении соответствующих руководящих указаний, которые стали более универсальными, с тем, чтобы их было можно применять для различных областей (дисциплин) менеджмента.
В 2006 году комитет ИСО по оценке соответствия (КАСКО) разработал ИСО/МЭК 17021, устанавливающий требования для сертификации систем менеджмента третьей стороной, в котором нашли отражение руководящие указания, содержащиеся в первом издании настоящего стандарта.
Второе издание ИСО/МЭК 17021, опубликованное в 2011 году, было расширено, с тем чтобы трансформировать руководящие указания, предложенные в настоящем стандарте, в требования к сертификационным аудитам для систем менеджмента. В связи с этим второе издание настоящего стандарта предоставляет руководящие указания для всех пользователей, включая организации малого и среднего бизнеса, и делает основной акцент на том, что общепринято называть «внутренними аудитами» (аудиты первой стороны) и «аудитами со стороны потребителей своих поставщиков» (аудиты второй стороны). В то время как стороны, принимающие участие в проведении сертификационных аудитов систем менеджмента, руководствуются требованиями ИСО/МЭК 17021:2011, для них могут также оказаться полезными руководящие указания, приведенные в настоящем стандарте.
Взаимосвязь между вторым изданием настоящего стандарта и ИСО/МЭК 17021:2011 приведена в таблице 1.
Аудит третьей стороны
Иногда называемый «аудитом первой стороны»
Иногда называемый «аудитом второй стороны»
В целях проверки соблюдения законодательства и аналогичных целей
Для проведения сертификации (см. также требования ИСО/МЭК 17021:2011)
Настоящий стандарт не устанавливает требований, а содержит руководящие указания по управлению программой аудита, планированию и проведению аудита системы менеджмента, а также по вопросам компетентности и оценивания аудитора и группы по аудиту.
Организации в рамках своей деятельности могут использовать несколько документированных систем менеджмента. Для того, чтобы не усложнять текст настоящего стандарта, предпочтительно употребление «система менеджмента» в единственном числе, но каждый конкретный читатель может адаптировать внедрение положений настоящего стандарта применительно к своей собственной конкретной ситуации. Это также применимо к использованию терминов «лицо» и «лица», «аудитор» и «аудиторы».
Настоящий стандарт предназначен для широкого круга потенциальных пользователей, включающих в себя аудиторов, организации, внедряющие системы менеджмента, и организации, нуждающиеся в проведении аудитов систем менеджмента согласно контрактным или другим обязательствам. При этом пользователи настоящего стандарта могут применять настоящие руководящие указания при разработке своих собственных требований, относящихся к аудиту.
Руководящие указания, содержащиеся в настоящем стандарте, могут использоваться для целей, связанных с декларированием соответствия, а также могут быть полезными для организаций, участвующих в деятельности по подготовке аудиторов или сертификации персонала.
Руководящие указания, содержащиеся в настоящем стандарте, не устанавливают жестких рамок и допускают гибкость в своем применении. Как указано в пунктах по тексту настоящего стандарта, применение настоящих руководящих указаний может различаться в зависимости от размера, уровня развития и совершенства системы менеджмента организации, от характера деятельности и сложности проверяемой организации, а также от целей и области применения проводимых аудитов.
Настоящий стандарт вводит понятие риска применительно к аудиту систем менеджмента. Применяемый здесь подход относится как к рискам, связанным с недостижением процессом аудита поставленных целей, так и к рискам, связанным с возможностью помешать осуществлению деятельности и процессов проверяемой организации из-за проведения мероприятий по аудиту. При этом не дается отдельного руководства по процессу управления рисками для организации, но признается то, что при проведении аудита организации могут сосредоточить свои усилия на наиболее важных вопросах для системы менеджмента.
Настоящим стандартом принимается подход, называемый «комплексным аудитом», при котором две или несколько систем менеджмента, охватывающие различные аспекты менеджмента, проверяются совместно. В случаях, когда эти системы интегрированы в одну систему менеджмента, принципы и процессы проведения аудита будут такими же, как и для комплексного аудита.
Раздел 3 устанавливает ключевые термины и определения, используемые в настоящем стандарте. Были предприняты все усилия для того, чтобы эти определения не вступали в противоречия с определениями, используемыми в других стандартах.
Раздел 4 описывает принципы, на которых базируется процесс аудита. Эти принципы помогают пользователю понять суть процесса аудита и важны для понимания указаний, представленных в разделах 5-7.
Раздел 5 содержит руководящие указания по разработке и управлению программами аудита, по постановке целей программ аудита и координации мероприятий, выполняемых при проведении аудита.
Раздел 6 содержит руководящие указания по планированию и проведению аудита системы менеджмента.
Раздел 7 содержит руководящие указания, относящиеся к компетентности и оценке аудиторов систем менеджмента и групп по аудиту.
Приложение А поясняет применение содержащихся в разделе 7 руководящих указаний для различных аспектов менеджмента.
Приложение В содержит дополнительное руководство для аудиторов по планированию и проведению аудитов.
1 Область применения
Настоящий стандарт содержит руководящие указания по аудиту систем менеджмента, включая принципы аудита, управление программами аудита и проведение аудитов системы менеджмента, а также указания по оценке компетентности лиц, участвующих в процессе аудита, включая аудиторов, группы по аудиту и лиц, отвечающих за управление программой аудита.
Настоящий стандарт предназначен для всех организаций, которым необходимо проводить внутренние или внешние аудиты систем менеджмента или управлять программой аудита.
Положения настоящего стандарта могут применяться и для других типов аудита при условии, что будет уделено особое внимание вопросам, связанным с требуемым для этих целей уровнем специальной компетентности.
2 Нормативные ссылки
В данном разделе не приведены нормативные ссылки. Он включен для сохранения идентичности нумерации разделов настоящего стандарта с другими стандартами ИСО на системы менеджмента.
3 Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1 аудит (audit): Систематический, независимый и документируемый процесс получения свидетельств аудита (3.3) и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита (3.2).
1 Внутренние аудиты, иногда называемые «аудитами первой стороны», проводятся самой организацией или от ее имени для анализа со стороны руководства или других внутренних целей (например, для подтверждения намеченных показателей результативности системы менеджмента или для получения информации по улучшению системы менеджмента) и могут служить основанием для декларации о соответствии. Во многих случаях, особенно в малых организациях, независимость при аудите может быть продемонстрирована отсутствием ответственности за деятельность, которая подвергается аудиту, или беспристрастностью и отсутствием конфликта интересов.
2 Внешние аудиты включают в себя аудиты, называемые «аудитами второй стороны» и «аудитами третьей стороны». Аудиты второй стороны проводят стороны, заинтересованные в деятельности организации, например, потребители или другие лица от их имени. Аудиты третьей стороны проводят внешние независимые организации, такие как регулирующие или надзорные органы или организации, проводящие регистрацию или сертификацию.
3 Аудит двух или нескольких систем менеджмента для различных аспектов (например, качество, охрана окружающей среды, охрана труда), проводимый одновременно, называют «комплексным аудитом».
4 Если две или несколько проверяющих организаций объединяют свои усилия для проведения аудита одной проверяемой организации (3.7), такой аудит называют совместным.
5 Адаптировано из ИСО 9000:2005, статья 3.9.1.
3.2 критерии аудита (audit criteria): Совокупность политик, процедур или требований, используемых в качестве эталона, в соотношении с которым сопоставляют свидетельства аудита (3.3), полученные при проведении аудита.
1 Адаптировано из ИСО 9000:2005, статья 3.9.3.
2 В случае, если критериями аудита являются правовые требования (включая законодательные или другие обязательные требования), то в выводах (наблюдениях) аудита (3.4) часто используются термины «соответствующий» или «несоответствующий».
3.3 свидетельство аудита (audit evidence): Записи, изложение фактов или другая информация, которые связаны с критериями аудита (3.2) и могут быть проверены.
[ИСО 9000:2005, статья 3.9.4]
3.4 выводы (наблюдения) аудита (audit findings): Результаты оценки собранных свидетельств аудита (3.3) на соответствие критериям аудита (3.2).
1 Выводы аудита указывают на соответствие или несоответствие.
2 Выводы аудита могут вести к идентификации возможностей для улучшения или отражению наилучших практик.
3 Если критерии аудита выбираются, исходя из правовых или других обязательных требований, то наблюдением (выводом) аудита определяется соответствие или несоответствие данным требованиям.
4 Адаптировано из ИСО 9000:2005, статья 3.9.5.
3.5 заключение по результатам аудита (audit conclusion): Выходные данные аудита (3.1) после рассмотрения целей аудита и всех выводов аудита (3.4).
3.6 заказчик аудита (audit client): Организация или лицо, заказавшие аудит.
1 В случае внутреннего аудита, заказчиком аудита может быть проверяемая организация (3.7) или лицо, ответственное за управление программой аудита. Запросы, касающиеся проведения внешнего аудита, могут поступать из таких источников, как контролирующие органы, стороны, с которыми организация имеет контрактные отношения, или потенциальные заказчики.
2 Адаптировано из ИСО 9000:2005, статья 3.9.7.
3.7 проверяемая организация (auditee): Организация, подвергающаяся аудиту.
Аудит ИСО/ISO
Аудит может быть, как внешним, так и внутренним. Первый формат осуществляется с привлечением сторонней организации, второй – собственными силами сотрудников предприятия. В качестве компаний, занимающихся проверкой, могут выступать специальные сертифицированные органы или аудиторские фирмы. Для обеспечения эффективной системы управления, необходимо периодически проводить оба вида аудитов.
Принципы аудита
Существует ряд принципов внешнего и внутреннего аудита ИСО, которые закреплены в ГОСТ Р ИСО 19011. К ним относятся:
Документ ИСО/ISO 19011 отмечает важность присутствия независимых наблюдателей во время проверки, а также четко установленных правил и критериев оценки. Это позволяет обеспечить объективность заключения.
Виды внутреннего аудита
Внутренний аудит ИСО можно разделить на плановый и внеплановый. Для планирования проверок составляется годовой график, в котором учитываются различные элементы системы качества. В документе подробно описывается структура проверки, участвующие отделы и точные даты.
Внеплановые проверки проводятся в оперативном порядке по решению руководства компании или в случае выявления каких-либо недочетов.
Также принято различать горизонтальный и вертикальный аудит. В первом случае анализируются особенности протекания одного процесса в нескольких отделах. Примером такого действия может быть проверка правильности ведения документации в разных департаментах.
При вертикальном внутреннем аудите ИСО проводится проверка деятельности одного отдела по всем протекающим в нем процессам.
Порядок проведения по ИСО/ISO 1901
Определенный порядок внедрения аудита предусмотрен стандартом ИСО/ISO 19011. Он был разработан на основе ИСО 9001 и ИСО 14001, но является доступным для применения к другим системам менеджмента качества. Кроме принципов и особенностей проведения проверок, документ содержит основную терминологию, информацию об управлении программой аудита, а также способы оценки аудитора.
В проведении аудиторской проверки можно выделить несколько стадий:
В документе ИСО/ISO 19011 предъявляются жесткие требования к аудиторам. Компетентность таких специалистов определяется личными качествами, наличием специальных знаний в области систем менеджмента и проведения проверок. Кроме того, для аудиторов предусмотрены особые критерии оценки, которые включают следующие методы:
Комплексный подход к выбору и анализу аудитора позволяет найти компетентного специалиста и обеспечить его профессиональный рост, если речь идет о постоянно проводимом внутреннем аудите.
Цели и задачи аудита
Цели проведения аудита ИСО должны быть установлены на этапе планирования. Они зависят от исследуемых процессов, продуктов и типов системы качества.
Ориентируясь на цель, выделяют основные задачи проверки:
Аудит системы качества ИСО 9001
Аудит ИСО для системы качества проводится, чтобы получить сертификат 9001 или подтвердить соответствие требованиям данного стандарта. Предприятиям, которые только планируют сертификацию, проверка позволит оценить готовность к внедрению системы менеджмента качества и реализовать необходимые для этого мероприятия.
Когда организация уже сертифицирована, аудит поможет решить следующие вопросы:
Стоит отметить такой тип аудита, как сертификационный. Он проводится при переходе на доработанный стандарт ИСО и включает в себя проверку на соответствие требованиям нового документа. Такой аудит может быть реализован только сторонним предприятием.
7 принципов проведения аудитов систем менеджмента согласно ISO 19011
Чем должен руководствоваться аудитор при проверке системы менеджмента организации? Международный стандарт ISO 19011:2018 дает список из 7 принципов. Разбираемся, что подразумевается под каждым принципом и как их применять на практике.
О стандарте ISO 19011
Стандарт ISO 19011 разработан проектным комитетом ISO/PC 302 и не является обязательным для применения. Тем не менее, он упоминается во многих документах, связанных с системами менеджмента, например, в ISO 9001:2015 (см. пункт 9.2 «Внутренний аудит»).
Стандарт ISO 19011 полезен при проведении внутренних и внешних аудитов не только системы менеджмента качества (СМК), но и систем экологического менеджмента, управления охраной труда, управления пищевой безопасностью, энергоменеджмента и т.п.
Кроме того, стандарт ISO 19011 поможет в проведении оценки поставщиков, а также оценки соответствия тех или иных процессов нормативным либо корпоративным требованиям.
ISO 19011:2018 базируется на семи принципах:
Следование этим принципам помогает проводить аудит так, чтобы он достиг поставленных целей.
Наталья Алиева, ведущий аудитор SGS, приводит ниже подробные разъяснения, что именно подразумевается под каждым принципом.
1. Безупречность (Integrity)
Аудит должен проводиться этично, честно, ответственно. Аудитор должен быть непредвзятым и не поддаваться влиянию, если таковое оказывается, на его суждения в ходе проведения аудита.
Принцип «безупречности» подразумевает, что аудитор должен быть компетентен в том, что он делает. Важно понимать то, что ты проверяешь. Если у аудитора недостаточно компетентности в каком-то вопросе, например, не хватает отраслевых знаний, он должен воспользоваться услугами «технического эксперта».
При проведении внутренних аудитов можно воспользоваться экспертизой коллег, разбирающихся в вопросе. Каждому аудитору, работающему в органе по сертификации, присваиваются определенные технические коды по отраслям, что позволяет направлять на аудит специалиста с соответствующими квалификацией и опытом.
2. Правдивое представление (Fair presentation)
Собранные аудитором свидетельства, составленный отчет, сделанные выводы должны правдиво и точно отражать действительность.
Большая ошибка аудитора, когда он начинает по-своему трактовать требования, на основании своего прошлого опыта, и настаивает, что надо сделать так, как он привык, а не так, как удобно организации. Аудитор должен проводить оценку с позиции соответствия стандарту, а не с позиции исключительно своего бэкграунда.
Кроме того, аудитор должен изъясняться во время аудита без лукавства, точно, понятно, исчерпывающе.
3. Надлежащее профессиональное усердие (Due professional care)
Аудитор должен проявлять должное усердие во всех задачах, выполняемых в ходе аудита. Любое суждение аудитора должно быть обоснованным.
В одной российской компании согласно программе внутренних аудитов главный механик должен был проверять службу главного энергетика и наоборот. Первые аудиты они провели и остались обоюдно довольны. Через некоторое время служба главного энергетика попадает в план внешнего надзорного аудита, в панике он прибегает в отдел СМК и просит независимым взглядом проверить, все ли в его службе в порядке. На вопрос «Тебя же проверял главный механик?» последовал честный ответ «Не проверял, мы с ним договорились и просто подписали друг другу отчеты».
Это наглядный пример «ненадлежащего профессионального усердия», когда аудиторы не поняли важность вверенных им задач и обманули доверие тех, кто поручил им это, т.е. руководства компании.
Аудитор должен понимать, для чего нужны результаты аудита, с какой целью он проводит аудит, и стремиться эту цель достичь.
Должна быть проведена серьезная работа для поиска соответствий. Если найдено одно несоответствие, значит ли это, что можно на этом успокоиться? Нет, важно проверить все пункты стандарта/чек-листа. Одно дело, если среди множества несоответствий есть единичные соответствия. Другое дело, если среди множества соответствий есть единичное несоответствие.
4. Конфиденциальность (Confidentiality)
Аудитор должен проявлять осмотрительность, необходимую для надлежащей защиты информации, полученной в ходе аудита. Речь идет о любой информации: как позитивного, так и негативного характера. Важно, чтобы эта информация не послужила способом получения личной выгоды аудитором либо заказчиком аудита, а также способом нанесения ущерба проверяемой организации.
Например, недопустимо, чтобы аудитор, выявив какое-либо несоответствие, советовал обратиться в конкретную фирму, которая поможет с этим справиться. Или разглашал коммерческую тайну конкурентам.
Почему это касается всех, не только аудиторов? Потому что со свидетельствами, отчетами по результатам аудитов соприкасаются не только аудиторы, но и офисные сотрудники, которые осуществляют поддержку операционного процесса. И конечно, помимо осведомленности и ответственного отношения сотрудников, здесь большую роль играет система информационной безопасности, предотвращающая утечку информации с любых носителей.
5. Независимость (Independence)
Именно независимость аудитора от проверяемых процессов позволяет обеспечить объективность и непредвзятость выводов по итогам аудита. Важно исключить конфликт интересов.
При аудитах третьей и второй стороны независимость находится под угрозой, если аудитор хорошо знает проверяемую компанию. Например, потому что часто бывает там на аудитах. Чтобы один и тот же человек не проверял предприятие на постоянной основе, важно ротировать аудиторов. Ведь аудитор – человек, у него могут складываться человеческие, порой товарищеские отношения с сотрудниками проверяемой организации, и это может мешать объективности и непредвзятости.
Та же ситуация, если внешний аудитор раньше работал в проверяемой компании или имел какие-то профессиональные отношения с ее сотрудниками. В SGS перед каждым аудитом аудитор подписывает заявление о том, что в течение последних 2-х лет он не оказывал консультационных услуг данной компании и не планирует оказывать в течение 2-х последующих. Не должно быть никаких коммерческих интересов, связывающих аудитора с проверяемой компанией.
Во время внутренних аудитов в небольших организациях выполнение принципа независимости может быть проблематично, однако важно приложить все усилия, чтобы устранить предвзятость и вовлеченность в проверяемую деятельность.
Пример из практики: на предприятии выделены процесс производства и процесс планирования производства. Оба процесса нужно проверить в ходе внутреннего аудита. Аудитором процесса планирование назначили начальника производства. У него накопилась масса претензий к планировщикам, план часто меняется и т.д. В итоге он предвзято проводит аудит, и дело заканчивается… дракой.
6. Подход, основанный на свидетельствах (Evidence-based approach)
Под свидетельствами аудита понимается тот набор фактов, которые собрал аудитор и которые можно впоследствии проверить с помощью записей. Именно эти свидетельства подтверждают выполнение либо невыполнение проверяемых требований.
Если выполнение требования нельзя подтвердить с помощью свидетельств, то требование считается невыполненным.
Но это отнюдь не означает, что все свидетельства должны быть письменными. Ведь есть три способа собирать свидетельства:
Процедура может отсутствовать на бумаге, она может быть устной. Тогда, чтобы убедиться в ее существовании и в том, что ею действительно руководствуются, аудитору следует опросить нескольких сотрудников и/или провести наблюдение. Желательно, чтобы при беседах с персоналом и при наблюдении присутствовал кто-то еще от проверяемой организации, чтобы процесс был прозрачен для всех сторон.
Аудитор должен максимально точно описать свидетельство, полученное устно (со слов такого-то оператора, на такой-то линии, при выполнении такого-то процесса). То же самое относится к описанию наблюдений (какой именно процесс наблюдали, где, когда) и описанию документов (название, дата публикации, дата внесения изменений). Это нужно для того, чтобы свидетельство можно было перепроверить, тем самым устраняя возможные конфликты.
Поскольку аудит ограничен во времени и в ресурсах, 100%-объем информации собрать во время аудита, как правило, не возможно. Поэтому должна применяться репрезентативная выборка, позволяющая, с одной стороны, не закопаться в мелочах, а с другой, оценить целостность системы, взаимосвязи между процессами, подразделениями.
Наталья Алиева рекомендует применять принцип разумной достаточности. Собранных свидетельств должно быть достаточно для того, чтобы сделать выводы по итогам аудита, например, соответствует ли система менеджмента требованиям стандарта или нет. Т.е. нельзя говорить о несоответствии системы, основываясь на одиночных фактах.
7. Риск-ориентированный подход (Risk-based approach)
Данный принцип появился в стандарте ISO 19011 только в последней версии 2018 года. Таким образом, документ привели в соответствие с теми изменениями, которые произошли в результате выхода в свет Приложения L (до 2019 года известного как Приложение SL), повлиявшего на структуру и содержание всех стандартов на системы менеджмента. В частности, на роль риск-ориентированного мышления в системном менеджменте.
Суть принципа в том, что планирование, проведение и отчетность аудита должны базироваться на результатах оценки рисков и возможностей. При этом аудиты должны быть заточены на области, представляющие значимость для заказчика аудита и ведущие к достижению целей аудита.
Вот лишь некоторые вопросы, которые могут возникнуть при оценке рисков и возможностей, связанных с аудитом:
Принципы для небожителей или аудиторов?
На самом деле, их применение действительно дает результат, т.е. аудит, проводимый согласно этим принципам, приносит ощутимую пользу. В связи с этим вот наши рекомендации:
ПОНРАВИЛАСЬ ЭТА СТАТЬЯ? ИНТЕРЕСУЮТ СТАНДАРТЫ ISO И СИСТЕМЫ МЕНЕДЖМЕНТА? ПОДПИШИТЕСЬ НА НАШУ РАССЫЛКУ И РЕГУЛЯРНО ПОЛУЧАЙТЕ ПОЛЕЗНУЮ ИНФОРМАЦИЮ ОБ ИЗМЕНЕНИЯХ В СТАНДАРТАХ, РАЗЪЯСНЕНИЯ ОТ АУДИТОРОВ SGS И ПРИМЕРЫ ЛУЧШИХ ПРАКТИК.
О КОМПАНИИ SGS
Группа SGS является мировым лидером в области независимой экспертизы, контроля, испытаний и сертификации. Основанная в 1878 году, сегодня SGS признана эталоном качества и деловой этики. В состав SGS входят свыше 2 600 офисов и лабораторий по всему миру, в которых работает 89 000 сотрудников.