СТО СМК 27-2004 «Система менеджмента качества. Внутренние аудиты. Планирование, проведение»

Внутренние проверки системы менеджмента качества

Предисловие

1 ПОДГОТОВЛЕН Открытым акционерным обществом «Всероссийский научно-исследовательский институт сертификации» (ОАО «ВНИИС») на основе собственного перевода на русский язык англоязычной версии международного стандарта, указанного в пункте 4

2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии

https://www.youtube.com/watch?v=ytabout

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 19 июля 2012 г. N 196-ст

4 Настоящий стандарт идентичен международному стандарту ИСО 19011:2011* «Руководящие указания по аудиту систем менеджмента» (ISO 19011:2011 «Guidelines for auditing management systems», IDT)________________* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей.

5.1
Объекты аудита

Внутренние проверки системы менеджмента качества

— процессы СМК института;

— качество работ
(продукции);

— функционирование СМК в
институте.

5.1.2 Аудит состояния процессов определяет способность стабильного выполнения
процессов заданным требованиям по качеству, а также валидацию разработанных
процессов.

5.1.3 Аудит качества работ (продукции) предназначен для определения степени
выполнения тех требований к качеству, которые установлены договорами
(контрактами), стандартами и другими нормативными документами, действие которых
распространяется на данную продукцию.

Аудит качества работ
(продукции) может быть составной частью аудита процесса.

Внутренние проверки системы менеджмента качества

5.1.4 При проверке функционирования СМК проверяют документацию СМК и фактическое
выполнение требований, изложенных в ней.

— проверяется документация с
точки зрения соответствия требованиям, изложенным в РК, стандартах организации
— СТО (СТП) и других документах, а также с точки зрения ее соответствия целям
Политики в области качества;

— проверяются процедуры по
управлению документацией на предмет утверждения, внедрения, внесения изменений,
изъятия устаревшей и аннулированной документации;

— проверяется качество самой
документации в отношении ее доступности и правильности формулировок требований,
четкости изложения, наличия полного комплекта рисунков, таблиц, приложений и
т.п.;

— проверяется наличие и
состояние документации на рабочих местах;

— проверяется ведение
записей по качеству (СТО СМК 28-2004).

Введение

После публикации в 2002 году первого издания настоящего стандарта появилось множество публикаций новых стандартов по системам менеджмента. В результате возникла необходимость в рассмотрении более широкой области применения для аудитов систем менеджмента, так же, как и в предоставлении соответствующих руководящих указаний, которые стали более универсальными, с тем, чтобы их было можно применять для различных областей (дисциплин) менеджмента.

В 2006 году комитет ИСО по оценке соответствия (КАСКО) разработал ИСО/МЭК 17021, устанавливающий требования для сертификации систем менеджмента третьей стороной, в котором нашли отражение руководящие указания, содержащиеся в первом издании настоящего стандарта.Второе издание ИСО/МЭК 17021, опубликованное в 2011 году, было расширено, с тем чтобы трансформировать руководящие указания, предложенные в настоящем стандарте, в требования к сертификационным аудитам для систем менеджмента.

Внутренние проверки системы менеджмента качества

В связи с этим второе издание настоящего стандарта предоставляет руководящие указания для всех пользователей, включая организации малого и среднего бизнеса, и делает основной акцент на том, что общепринято называть «внутренними аудитами» (аудиты первой стороны) и «аудитами со стороны потребителей своих поставщиков» (аудиты второй стороны).

В то время как стороны, принимающие участие в проведении сертификационных аудитов систем менеджмента, руководствуются требованиями ИСО/МЭК 17021:2011, для них могут также оказаться полезными руководящие указания, приведенные в настоящем стандарте.Взаимосвязь между вторым изданием настоящего стандарта и ИСО/МЭК 17021:2011 приведена в таблице 1.

Таблица 1 — Область применения настоящего стандарта и его взаимосвязь с ИСО/МЭК 17021:2011

Внутренний аудит

Внешний аудит

Аудит поставщика

Аудит третьей стороны

Иногда называемый «аудитом первой стороны»

Иногда называемый «аудитом второй стороны»

В целях проверки соблюдения законодательства и аналогичных целей

Для проведения сертификации (см. также требования ИСО/МЭК 17021:2011)

Настоящий стандарт не устанавливает требований, а содержит руководящие указания по управлению программой аудита, планированию и проведению аудита системы менеджмента, а также по вопросам компетентности и оценивания аудитора и группы по аудиту.Организации в рамках своей деятельности могут использовать несколько документированных систем менеджмента.

Для того, чтобы не усложнять текст настоящего стандарта, предпочтительно употребление «система менеджмента» в единственном числе, но каждый конкретный читатель может адаптировать внедрение положений настоящего стандарта применительно к своей собственной конкретной ситуации. Это также применимо к использованию терминов «лицо» и «лица», «аудитор» и «аудиторы».

Настоящий стандарт предназначен для широкого круга потенциальных пользователей, включающих в себя аудиторов, организации, внедряющие системы менеджмента, и организации, нуждающиеся в проведении аудитов систем менеджмента согласно контрактным или другим обязательствам. При этом пользователи настоящего стандарта могут применять настоящие руководящие указания при разработке своих собственных требований, относящихся к аудиту.

Руководящие указания, содержащиеся в настоящем стандарте, могут использоваться для целей, связанных с декларированием соответствия, а также могут быть полезными для организаций, участвующих в деятельности по подготовке аудиторов или сертификации персонала.Руководящие указания, содержащиеся в настоящем стандарте, не устанавливают жестких рамок и допускают гибкость в своем применении.

Как указано в пунктах по тексту настоящего стандарта, применение настоящих руководящих указаний может различаться в зависимости от размера, уровня развития и совершенства системы менеджмента организации, от характера деятельности и сложности проверяемой организации, а также от целей и области применения проводимых аудитов.

Внутренние проверки системы менеджмента качества

Настоящий стандарт вводит понятие риска применительно к аудиту систем менеджмента. Применяемый здесь подход относится как к рискам, связанным с недостижением процессом аудита поставленных целей, так и к рискам, связанным с возможностью помешать осуществлению деятельности и процессов проверяемой организации из-за проведения мероприятий по аудиту.

При этом не дается отдельного руководства по процессу управления рисками для организации, но признается то, что при проведении аудита организации могут сосредоточить свои усилия на наиболее важных вопросах для системы менеджмента.Настоящим стандартом принимается подход, называемый «комплексным аудитом», при котором две или несколько систем менеджмента, охватывающие различные аспекты менеджмента, проверяются совместно.

В случаях, когда эти системы интегрированы в одну систему менеджмента, принципы и процессы проведения аудита будут такими же, как и для комплексного аудита.Раздел 3 устанавливает ключевые термины и определения, используемые в настоящем стандарте. Были предприняты все усилия для того, чтобы эти определения не вступали в противоречия с определениями, используемыми в других стандартах.

Раздел 4 описывает принципы, на которых базируется процесс аудита. Эти принципы помогают пользователю понять суть процесса аудита и важны для понимания указаний, представленных в разделах 5-7.Раздел 5 содержит руководящие указания по разработке и управлению программами аудита, по постановке целей программ аудита и координации мероприятий, выполняемых при проведении аудита.

Раздел 6 содержит руководящие указания по планированию и проведению аудита системы менеджмента.Раздел 7 содержит руководящие указания, относящиеся к компетентности и оценке аудиторов систем менеджмента и групп по аудиту.Приложение А поясняет применение содержащихся в разделе 7 руководящих указаний для различных аспектов менеджмента.Приложение В содержит дополнительное руководство для аудиторов по планированию и проведению аудитов.

Приложение В (справочное). Дополнительное руководящее указание для аудиторов по планированию и проведению аудитов

Приложение В(справочное)

В.1 Применение методов аудитаДля выполнения аудита могут применяться различные методы. В настоящем приложении приведены объяснения, относящиеся к широко применяемым в настоящее время методам аудита. Методы, выбираемые для проведения аудита, зависят от установленных целей, области применения и критериев аудита, а также от сроков и мест проведения аудитов.

При выборе метода проведения аудита следует также учитывать имеющийся на данный момент уровень аудиторской компетентности и любые неопределенности (погрешности), возникающие вследствие применения этих методов. Применение множества и использование сочетания различных методов может оптимизировать продуктивность и эффективность процесса, связанного с аудитом, и его результаты.

При выполнении аудита происходит взаимодействие среди людей с системой менеджмента, проверяемой при аудите, и с технологией, используемой при проведении аудита. В таблице В.1 представлены примеры методов аудита, которые могут быть использованы отдельно или в сочетании с другими методами для того, чтобы достичь поставленных целей аудита.

Внутренние проверки системы менеджмента качества

В случае, если при проведении аудита задействована группа по аудиту, включающая в себя многочисленных членов, то могут одновременно применяться методы, предусматривающие проведение мероприятий аудита как непосредственно на местах производственной деятельности, так и на расстоянии с использованием соответствующих средств коммуникации.Примечание — Дополнительная информация, касающаяся посещений подразделений проверяемой организации на местах, приведена в В.6.

Таблица В.1 — Применяемые методы проведения аудита

Степень вовлеченности между организацией-аудитором и проверяемой организацией

Местоположение аудитора

на местах производственной деятельности организации

на расстоянии

Взаимодействие людей

Проведение интервью.

Заполнение проверочных листов и вопросников с участием персонала проверяемой организации.

Проведение анализа документации с участием представителей проверяемой организации.

Осуществление представительных выборок

Через интерактивные средства коммуникации:

— проведение интервью;

— заполнение проверочных листов и вопросников;

— проведение анализа документации с участием представителей проверяемой организации

Без взаимодействия людей

Проведение анализа документации (например, анализ записей, данных).

Наблюдение за выполнением работы.

Посещение производственных подразделений.

Заполнение проверочных листов.

Осуществление представительных выборок

Проведение анализа документации (например, анализ записей, данных).

Наблюдение за выполнением работы с помощью технических средств, обеспечивающих надзор за производственной деятельностью, с учетом социальных и юридических требований.

Анализ данных

Мероприятия аудита на местах выполняются на месте производственной деятельности проверяемой организации. Мероприятия аудита на расстоянии выполняются в любом месте, кроме мест расположения подразделений и производственной деятельности проверяемой организации, независимо от расстояния.

Интерактивные мероприятия аудита включают в себя взаимодействие персонала проверяемой организации и группы по аудиту. Неинтерактивные мероприятия аудита не включают в себя взаимодействия с представителями проверяемой организации, но включают в себя взаимодействие с оборудованием, средствами инфраструктуры и документацией.

Ответственность за эффективное применение методов аудита для любого аудита на стадии планирования остается либо за лицом, ответственным за управление программой аудита, или за руководителем группы по аудиту. Руководитель группы по аудиту несет ответственность за проведение мероприятий аудита.Возможность проведения мероприятий аудита на расстоянии зависит от степени доверия между аудитором и персоналом проверяемой организации.

В.2 Проведение анализа документовАудиторы должны рассмотреть, является ли информация, представленная в документах:- полной (все ожидаемые сведения содержатся в представленном документе);- правильной (содержимое документа соответствует другим надежным источникам, таким как стандарты и правила);- совместимой (положения документа согласуются между собой и связанными с ним документами);

— актуальной (положения, содержащиеся в документе, имеют силу на момент проверки);- охватывают ли анализируемые документы область применения аудита и предоставляют ли они достаточную информацию для поддержания целей аудита;- способствует ли использование информации и коммуникационных технологий согласно применяемым методам аудита эффективному проведению данного аудита:

Внутренние проверки системы менеджмента качества

при этом необходимо уделить особое внимание информационной безопасности, обусловленной применяемыми правилами по обеспечению защиты данных (особенно для информации, которая выходит за рамки области применения аудита, но которая содержится в представленной документации).Примечание — Анализ документации может указать на эффективность управления документами в рамках системы менеджмента проверяемой организации.

В.3 Осуществление представительной выборки

В.3.1 Общие положенияПредставительную выборку для аудита производят в случае, когда представляется нецелесообразным или дорогостоящим изучать всю имеющуюся информацию во время проведения аудита, например, когда записей слишком много или они слишком разбросаны географически, чтобы могло быть оправдано изучение каждой позиции в имеющейся совокупности.

Такая выборка из большой совокупности является процессом отбора менее чем 100% единиц (позиций) из имеющегося в полном объеме набора данных (генеральной совокупности) для получения и оценивания свидетельств в отношении отдельной характеристики такой совокупности, с тем чтобы сформировать заключение, касающееся данной совокупности.

Цель осуществления представительной выборки для аудита — это предоставить информацию для аудитора, с тем чтобы иметь уверенность в том, что цели аудита могут быть или будут достигнуты.Риск, связанный с использованием выборки, состоит в том, что отобранные выборки могут быть непоказательными в отношении той генеральной совокупности, из которой они отобраны, и, следовательно, это может повлиять на заключение аудитора таким образом, что оно будет отличаться от заключения, которое было бы достигнуто, если бы проводилось изучение всей имеющейся совокупности данных.

Могут иметься и другие риски в зависимости от изменчивости или непостоянства в рамках той генеральной совокупности, из которой проводится выборка, или в зависимости от выбранного метода.Осуществление выборки для аудита, как правило, включает в себя следующие шаги:- постановку целей плана осуществления выборки;

Предлагаем ознакомиться:  Кто является плательщиками страховых взносов?

— выбор объема и композиции той генеральной совокупности, из которой будет производиться выборка;- выбор метода проведения выборки;- определение объема производимой выборки;- проведение выборки;- сбор материала, проведение оценки, регистрации и документирования результатов.В ходе проведения выборки, следует уделить внимание качеству имеющихся данных, поскольку недостаточные или неточные выборочные данные не обеспечат получение требуемого результата.

Отбор подходящих выборок должен основываться как на методе производства выборки, так и на типе требуемых данных, например для того, чтобы делать заключения по отдельному образцу или выводы по всей совокупности.Составление отчетов по сделанной выборке может учитывать размер выборки, применяемый метод отбора и оценки, сделанные на основе выборки, и уровень достоверности.

В.3.2 Выборки, сделанные по усмотрениюВыборки, сделанные по усмотрению, полагаются на знания, навыки и опыт группы по аудиту (см. раздел 7).Для осуществления таких выборок может учитываться следующее:- предыдущий опыт проведения аудитов в данной области применения аудита;- сложность требований (включая законодательные требования) для достижения целей данного аудита;

— сложность и взаимодействие процессов и элементов системы менеджмента организации;- степень изменения в технологии, системе менеджмента или человеческом факторе;- идентифицированные до этого времени зоны ключевых рисков и области улучшения;- результаты мониторинга систем менеджмента.Недостатком выборок, сделанных по усмотрению на основе решения проверяющей стороны, является то, что может не быть статистической оценки влияния неопределенности (погрешности), присутствующей в выводах аудита и полученных заключениях.

В.3.3 Статистическая выборкаВ случае, если принято решение использовать статистическую выборку, то план проведения такой выборки должен основываться на целях аудита и на той информации, которая известна о характеристиках всей генеральной совокупности, из которой будут проводиться данные выборки.Расчет статистической выборки использует процесс отбора выборок, основанный на теории вероятности.

Выборка на основе характерного признака используется в случаях, когда имеются только два возможных исхода для каждой выборки (например, верный/неверный или годен/негоден). Выборка на основе переменного параметра используется в случаях, когда результаты выборки наблюдаются в сплошном диапазоне.План проведения выборки должен учитывать, будут ли исследуемые результаты выборки подходить под анализ на основе характерного признака или на основе переменного параметра.

Например, в случае, если оценивается соответствие законченных форм (разновидностей) требованиям, установленным в процедуре, то мог бы использоваться подход на основе характерного признака. В случае, если исследуется возникновение инцидентов, связанных с безопасностью пищевой продукции, или количество нарушений при обеспечении безопасности, то подход на основе переменной величины скорее всего был бы более подходящим.

Ключевыми элементами, которые могут повлиять на план проведения выборки для аудита, являются:- размер организации;- количество компетентных аудиторов;- периодичность аудитов в течение года;- сроки конкретного аудита;- любой требуемый внешними источниками уровень достоверности результатов аудита.Когда разработан план проведения статистической выборки, то важным соображением будет уровень риска, связанный с использованием выборки, на который организация-аудитор готова согласиться.

Это часто называется «допустимым уровнем достоверности». Например, 5%-ный риск, связанный с использованием выборки, соответствует допустимому уровню достоверности, равному 95%. Связанный с использованием выборки 5%-ный риск означает, что организация-аудитор согласна принять риск, что 5 из 100 (или 1 из 20) исследуемых выборок не будут отражать реальные значения, которые были бы показаны в случае, если бы проводилось исследование всей генеральной совокупности в ее полном объеме.

Когда используется статистическая выборка, аудиторы должны надлежащим образом документировать выполненную работу. Это должно включать в себя описание генеральной совокупности прецедентов, для которой было намечено осуществление выборки, критерии выборки, используемые для проведения оценки (например, что представляет собой приемлемая выборка), статистические параметры и методы, которые были использованы, число выборок, подвергнутых оценке, и полученные результаты.

Приложение А (справочное). Руководящие указания и пояснительные примеры в отношении специальных знаний и навыков аудиторов в области отдельных дисциплин менеджмента

Настоящий стандарт содержит руководящие указания по аудиту систем менеджмента, включая принципы аудита, управление программами аудита и проведение аудитов системы менеджмента, а также указания по оценке компетентности лиц, участвующих в процессе аудита, включая аудиторов, группы по аудиту и лиц, отвечающих за управление программой аудита.

Настоящий стандарт предназначен для всех организаций, которым необходимо проводить внутренние или внешние аудиты систем менеджмента или управлять программой аудита.Положения настоящего стандарта могут применяться и для других типов аудита при условии, что будет уделено особое внимание вопросам, связанным с требуемым для этих целей уровнем специальной компетентности.

Приложение А(справочное)

А.1 Общие положенияВ настоящем приложении приведены наиболее характерные примеры специальных знаний и навыков для аудиторов систем менеджмента в области отдельных дисциплин менеджмента, предназначенные для того, чтобы помочь лицу, ответственному за управление программой аудита, отобрать или произвести оценку аудиторов.

Другие примеры специальных знаний и навыков для аудиторов, характерные для дисциплин менеджмента, могут также быть разработаны применительно к системам менеджмента. Предполагается, что там, где это возможно, такие примеры будут приведены в той же общей структуре для обеспечения возможности их сравнения.

А.2 Пояснительный пример в отношении специальных знаний и навыков аудиторов в области менеджмента безопасности при транспортированииЗнания и навыки, относящиеся к менеджменту безопасности при транспортировании и к применению методов, технических приемов, процессов и практик в этой области, должны быть достаточными для того, чтобы позволить аудитору надлежащим образом изучить данную систему менеджмента и сделать соответствующие выводы и заключения по результатам аудита.

Примеры знаний и навыков в этой области включают в себя:- терминологию менеджмента безопасности;- понимание системного подхода, относящегося к обеспечению безопасности;- оценку рисков и их уменьшение;- анализ факторов, связанных с деятельностью человека, относящихся к менеджменту безопасности при транспортировании;

— поведение и взаимодействие людей;- взаимодействие и взаимное влияние факторов, относящихся к людям, машинам, процессам и производственной среде;- потенциальные опасности и другие факторы на рабочих местах, влияющие на безопасность;- методы и практики по расследованию происшествий и мониторинг показателей деятельности в области безопасности;

— оценку происшествий и несчастных случаев на производстве;- разработку показателей деятельности и соответствующих метрик в области профилактических мер и мер по своевременному реагированию.Примечание — Дополнительную информацию см. в ИСО 39001 (на стадии подготовки) по системам менеджмента безопасности дорожного движения, разработанном ИСО/ПК 241.

А.3 Пояснительный пример в отношении специальных знаний и навыков аудиторов в области экологического менеджментаЗнания и навыки, относящиеся к этой дисциплине менеджмента и к применению методов, технических приемов, процессов и практик в этой области, должны быть достаточными для того, чтобы позволить аудитору надлежащим образом изучить данную систему менеджмента и сделать соответствующие выводы и заключения по результатам аудита.

Внутренние проверки системы менеджмента качества

Примеры знаний и навыков в этой области включают в себя:- терминологию в области охраны окружающей среды;- экологические метрики и статистические методы;- методологию измерений и мониторинга;- взаимодействие экосистем и их биологическое разнообразие;- экологические среды и их носители (например, воздух, вода, земля, растительный и животный мир);

— технические приемы для определения рисков (например, оценку экологических аспектов/воздействий, включая методы для оценки их значительности);- оценку жизненного цикла;- оценивание экологических показателей;- предотвращение и контроль загрязнения окружающей среды (например, наилучшие из имеющихся технических приемов для контроля загрязнения или в области энергоэффективности);

— снижение потребления сырьевых источников, уменьшение образования и повторное использование отходов (практики и процессы переработки и повторных циклов);- использование опасных веществ;- расчет и управление выбросами в атмосферу парниковых газов;- менеджмент природных ресурсов (например, природное топливо, вода, флора и фауна, земля);

— экологическое проектирование;- экологическую отчетность и оглашение экологических данных;- эффективное управление ресурсами при реализации процессов жизненного цикла продукции;- технологии с применением возобновляемых ресурсов и пониженным образованием углекислого газа.Примечание — Дополнительную информацию см. в соответствующих стандартах в области экологического менеджмента, разработанных ИСО/ТК 207.

А.4 Пояснительный пример в отношении специальных знаний и навыков аудиторов в области менеджмента качестваЗнания и навыки, относящиеся к этой дисциплине менеджмента и к применению методов, технических приемов, процессов и практик в этой области, должны быть достаточными для того, чтобы позволить аудитору надлежащим образом изучить данную систему менеджмента и сделать соответствующие выводы и заключения по результатам аудита.

Внутренние проверки системы менеджмента качества

Примеры знаний и навыков в этой области включают в себя:- терминологию, относящуюся к качеству, менеджменту, организации, процессам и продукции, характеристикам, соответствию, документации, аудиту и процессам, связанным с проведением измерений;- подходы, ориентированные на потребителя; процессы, связанные с потребителями, мониторинг и измерение удовлетворенности потребителей, обращение с жалобами, правила поведения и разрешение разногласий;

— лидерство, роль высшего руководства, управление устойчивым успехом организации, подход менеджмента качества, реализующий финансовые и экономические преимущества через управление качеством, системы менеджмента качества и модели совершенства в области управления качеством;- вовлечение персонала, факторы, связанные с деятельностью персонала, компетентность, подготовку и осведомленность персонала;

— процессный подход, технические приемы для анализа процессов, возможностей и управления процессами, методы работы с рисками;- системный подход к менеджменту (логическое обоснование систем менеджмента качества, основные ориентиры систем менеджмента качества и других систем менеджмента, документация систем менеджмента качества), виды и стоимость, проекты, планы в области качества, управление конфигурацией;

— постоянное улучшение, инновации и обучение;- подход по принятию решений, основанный на фактах, технические приемы по оценке рисков (идентификация, анализ и оценивание рисков), деятельность по оцениванию менеджмента качества (аудит, анализ и самооценка), техника проведения измерений и мониторинга, требования к процессам проведения измерений и к измерительному оборудованию, анализ корневых причин, статистические методы;

— характеристики процессов и продукции, включая услуги;- взаимовыгодные отношения с поставщиками, требования к системам менеджмента качества и требования к продукции, специальные требования к менеджменту качества в различных отраслях экономики.Примечание — Дополнительную информацию см. в соответствующих стандартах в области менеджмента качества, разработанных ИСО/ТК 176.

А.5 Пояснительный пример в отношении специальных знаний и навыков аудиторов в области управления записямиЗнания и навыки, относящиеся к этой дисциплине менеджмента и к применению методов, технических приемов, процессов и практик в этой области, должны быть достаточными для того, чтобы позволить аудитору надлежащим образом изучить данную систему менеджмента и сделать соответствующие выводы и заключения по результатам аудита.

Примеры знаний и навыков в этой области включают в себя:- записи, процессы управления записями и терминологию систем менеджмента для записей;- разработку показателей деятельности и метрик в этой области;- проведение исследования и оценку практик по ведению записей посредством проведения опросов, наблюдения и валидации;

— анализ выборок записей, созданных в бизнес-процессах, ключевые характеристики записей, систем записей, процессов и средств управления записями;- оценку рисков (например, оценка рисков при неудачных действиях по созданию адекватных записей, а также по поддержанию и управлению этими записями, относящимися к бизнес-процессам организации);

— продуктивность и адекватность соответствующих процессов для создания, сохранения и управления записями;- оценку адекватности и результативности систем записей (включая бизнес-системы для создания и управления записями), пригодность используемых технологических средств, технических приспособлений и оборудования;

— различные уровни компетентности в области управления записями на всех уровнях организации и проведение оценки данной компетентности;- значение содержания, рассматриваемого контекста, структуры, представления и управления информацией (обмена данных) для определения и управления записями и системами записей;

— методы для разработки специальных инструментов для ведения и поддержания записей;- технологии, используемые для создания, сохранения, преобразования и передачи, а также для обеспечения долгосрочной сохранности электронных/цифровых записей;- идентификацию и значение документации, связанной с авторизацией, для процессов, связанных с записями.Примечание — Дополнительную информацию см. в соответствующих стандартах в области управления записями, разработанных ИСО/ТК 46/ПК 11.

Предлагаем ознакомиться:  Договор о сдаче квартиры в аренду перечень

А.6 Пояснительный пример в отношении специальных знаний и навыков аудиторов в области менеджмента по обеспечению безопасности, постоянной готовности, устойчивого и непрерывного организационного управленияЗнания и навыки, относящиеся к этой дисциплине менеджмента и к применению методов, технических приемов, процессов и практик в этой области, должны быть достаточными для того, чтобы позволить аудитору надлежащим образом изучить данную систему менеджмента и сделать соответствующие выводы и заключения по результатам аудита.

https://www.youtube.com/watch?v=https:tv.youtube.com

Примеры знаний и навыков в этой области включают в себя:- процессы, научные подходы и практические приемы, лежащие в основе менеджмента обеспечения безопасности, постоянной готовности, устойчивого и непрерывного организационного управления;- методы разведывательного характера по сбору информации и мониторингу в области безопасности;

— управление рисками, связанными с чрезвычайными и аварийными ситуациями (прогнозирование, предотвращение, защита и уменьшение негативных последствий, принятие мер оперативного реагирования и устранение последствий чрезвычайной ситуации);- оценку рисков (идентификацию и оценку стоимости имущества, идентификацию, анализ и оценку рисков) и анализ негативного воздействия (на людей, материальные и нематериальные активы, а также на окружающую среду);

— принятие мер по рискам (адаптивного, упреждающего и противодействующего характера);- методы и практики по обеспечению сохранения целостности информации и по ее защите в случае несанкционированных попыток внести изменения;- методы для обеспечения безопасности и защиты людей;- методы и практики для защиты имущества и физической безопасности;

— методы и практики по управлению деятельностью в области профилактики, предупреждения и обеспечения мер безопасности;- методы и практики по управлению в кризисных ситуациях, по адекватному реагированию и минимизации последствий происшествий;- методы и практики по управлению действиями в чрезвычайных и аварийных ситуациях, по поддержанию непрерывности организационного управления и по восстановлению нормального режима работы;

— методы и практики по мониторингу, измерению и регистрации показателей деятельности (включая методологии в области исследований и тестирования).Примечание — Дополнительную информацию см. в соответствующих стандартах в области менеджмента обеспечения безопасности, постоянной готовности, устойчивого и непрерывного организационного управления, разработанных ИСО/ТК 8, ИСО/ТК 223 и ИСО/ТК 247.

3 Термины и определения

3.1 аудит (audit): Систематический, независимый и документируемый процесс получения свидетельств аудита (3.3) и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита (3.2).Примечания

1 Внутренние аудиты, иногда называемые «аудитами первой стороны», проводятся самой организацией или от ее имени для анализа со стороны руководства или других внутренних целей (например, для подтверждения намеченных показателей результативности системы менеджмента или для получения информации по улучшению системы менеджмента) и могут служить основанием для декларации о соответствии.

2 Внешние аудиты включают в себя аудиты, называемые «аудитами второй стороны» и «аудитами третьей стороны». Аудиты второй стороны проводят стороны, заинтересованные в деятельности организации, например, потребители или другие лица от их имени. Аудиты третьей стороны проводят внешние независимые организации, такие как регулирующие или надзорные органы или организации, проводящие регистрацию или сертификацию.

3 Аудит двух или нескольких систем менеджмента для различных аспектов (например, качество, охрана окружающей среды, охрана труда), проводимый одновременно, называют «комплексным аудитом».

4 Если две или несколько проверяющих организаций объединяют свои усилия для проведения аудита одной проверяемой организации (3.7), такой аудит называют совместным.

5 Адаптировано из ИСО 9000:2005, статья 3.9.1.

3.2 критерии аудита (audit criteria): Совокупность политик, процедур или требований, используемых в качестве эталона, в соотношении с которым сопоставляют свидетельства аудита (3.3), полученные при проведении аудита.Примечания

1 Адаптировано из ИСО 9000:2005, статья 3.9.3.

2 В случае, если критериями аудита являются правовые требования (включая законодательные или другие обязательные требования), то в выводах (наблюдениях) аудита (3.4) часто используются термины «соответствующий» или «несоответствующий».

Внутренние проверки системы менеджмента качества

3.3 свидетельство аудита (audit evidence): Записи, изложение фактов или другая информация, которые связаны с критериями аудита (3.2) и могут быть проверены.Примечание — Свидетельство аудита может быть качественным или количественным.[ИСО 9000:2005, статья 3.9.4]

3.4 выводы (наблюдения) аудита (audit findings): Результаты оценки собранных свидетельств аудита (3.3) на соответствие критериям аудита (3.2).Примечания

1 Выводы аудита указывают на соответствие или несоответствие.

2 Выводы аудита могут вести к идентификации возможностей для улучшения или отражению наилучших практик.

3 Если критерии аудита выбираются, исходя из правовых или других обязательных требований, то наблюдением (выводом) аудита определяется соответствие или несоответствие данным требованиям.

4 Адаптировано из ИСО 9000:2005, статья 3.9.5.

3.5 заключение по результатам аудита (audit conclusion): Выходные данные аудита (3.1) после рассмотрения целей аудита и всех выводов аудита (3.4).Примечание — Адаптировано из ИСО 9000:2005, статья 3.9.6.

3.6 заказчик аудита (audit client): Организация или лицо, заказавшие аудит.Примечания

1 В случае внутреннего аудита, заказчиком аудита может быть проверяемая организация (3.7) или лицо, ответственное за управление программой аудита. Запросы, касающиеся проведения внешнего аудита, могут поступать из таких источников, как контролирующие органы, стороны, с которыми организация имеет контрактные отношения, или потенциальные заказчики.

Внутренние проверки системы менеджмента качества

2 Адаптировано из ИСО 9000:2005, статья 3.9.7.

3.7 проверяемая организация (auditee): Организация, подвергающаяся аудиту.[ИСО 9000:2005, статья 3.9.8]

3.8 аудитор (auditor): Лицо, которое проводит аудит (3.1).

https://www.youtube.com/watch?v=upload

3.9 группа по аудиту (audit team): Один или несколько аудиторов (3.8), проводящих аудит (3.1), при необходимости поддерживаемые техническими экспертами (3.15*).______________* Вероятно, ошибка оригинала. Следует читать «3.10». — Примечание изготовителя базы данных. Примечания

1 Один из аудиторов в группе по аудиту, как правило, назначается руководителем группы.

2 Группа по аудиту может включать в себя аудиторов-стажеров.[ИСО 9000:2005, статья 3.9.10]

3.10 технический эксперт (technical expert): Лицо, обладающее специальными знаниями или опытом, необходимыми группе по аудиту (3.9).Примечания

1 Специальные знания или опыт включают в себя знания или опыт, относящиеся к организации, процессу или деятельности, подвергаемым аудиту, а также знание языка и культуры страны, в которой проводится аудит.

2 Технический эксперт не имеет полномочий аудитора (3.8) в группе по аудиту.[ИСО 9000:2005, статья 3.9.11]

3.11 наблюдатель (observer): Лицо, сопровождающее группу по аудиту (3.9), но не проводящее аудит.Примечания

1 Наблюдатель не входит в состав группы по аудиту (3.9) и не влияет или не вмешивается в проведение аудита (3.1).

2 Наблюдателем может быть представитель проверяемой организации (3.7), контролирующего органа или другой заинтересованной стороны, который наблюдает за проведением аудита (3.1).

3.12 сопровождающий (guide): Лицо, назначаемое проверяемой организацией (3.7) для оказания помощи и содействия группе по аудиту (3.9).

Внутренние проверки системы менеджмента качества

3.13 программа аудита (audit programme): Совокупность мероприятий по проведению одного или нескольких аудитов (3.1), запланированных на конкретный период времени и направленных на достижение конкретной цели.Примечание — Адаптировано из ИСО 9000:2005, статья 3.9.3.

3.14 область аудита (audit scope): Содержание и границы аудита (статья 3.1).Примечание — Область аудита обычно включает в себя местонахождение, организационную структуру, виды деятельности и процессы, а также охватываемый период времени.[ИСО 9000:2005, статья 3.9.13]

3.15 план аудита (audit plan): Описание деятельности и мероприятий по проведению аудита (статья 3.1).[ИСО 9000:2005, статья 3.9.12]

https://www.youtube.com/watch?v=ytdev

3.16 риск (risk): Воздействие неопределенности на достижение целей.Примечание — Адаптировано из Руководства ИСО 73:2009, определение 1.1.

3.17 компетентность (competence): Способность применять знания и навыки для достижения намеченных результатов.Примечание — Под способностью понимается соответствующее применение и проявление личных качеств во время проведения аудита.

3.18 соответствие (conformity): Выполнение требования.[ИСО 9000:2005, статья 3.6.1]

3.19 несоответствие (nonconformity): Невыполнение требования.[ИСО 9000:2005, статья 3.6.2]

3.20 система менеджмента (management system): Система для разработки политики и целей и достижения этих целей.Примечание — Система менеджмента организации может включать в себя различные системы менеджмента, такие как система менеджмента качества, система финансового менеджмента или система экологического менеджмента.[ИСО 9000:2005, статья 3.2.2]

Приложение В (справочное). Дополнительное руководящее указание для аудиторов по планированию и проведению аудитов

Внутренние проверки системы менеджмента качества

Процесс проведения аудита основан на соблюдении нескольких принципов. Эти принципы позволяют сделать аудит результативным и надежным инструментом поддержания политики руководства и управления, обеспечивая получение информации, на основе которой организация может улучшать характеристики своей деятельности.

Соблюдение этих принципов является необходимым условием для предоставления объективных и достаточных заключений по результатам аудита и позволяет аудиторам, работающим независимо друг от друга, приходить к аналогичным заключениям при одних и тех же обстоятельствах.Руководящие указания, приведенные в разделах 5-7, базируются на следующих шести принципах.

а) Целостность (integrity) — основа профессионализма.Аудиторам и лицам, управляющим программой аудита, следует:- выполнять свою работу честно, старательно и ответственно;- соблюдать и относиться с уважением к любым применяемым законодательным требованиям;- демонстрировать свою техническую компетентность при выполнении работы;

b) Беспристрастность (fair presentation) — обязательство предоставлять правдивые и точные отчеты.В выводах (наблюдениях) аудитов, заключениях по результатам аудита и отчетах следует отражать деятельность по аудиту правдиво и точно. Неразрешенные проблемы и разногласия между группой по аудиту и проверяемой организацией следует отражать в отчетах. Обмен информацией должен быть правдивым, точным, объективным, своевременным, понятным и полным.

c) Профессиональная осмотрительность (due professional care) — прилежание и умение принимать правильные решения при проведении аудита.Профессиональная осмотрительность аудиторов соответствует важности выполняемого задания и доверительности со стороны заказчика аудита и других заинтересованных сторон.

d) Конфиденциальность (confidentiality) — сохранность информации.Аудиторы должны проявлять осмотрительность при использовании и обеспечении защиты и сохранности информации, полученной ими при проведении аудита. Информация, полученная при проведении аудита, не должна использоваться ненадлежащим образом для получения личной выгоды аудитором или заказчиком аудита или способом, наносящим ущерб законным интересам проверяемой организации. Соблюдение этого принципа включает в себя надлежащее обращение с конфиденциальной или классифицированной информацией.

e) Независимость (independence) — основа беспристрастности и объективности заключений по результатам аудита.Аудиторы должны быть независимыми от проверяемой деятельности во всех случаях, когда это осуществимо, и всегда выполнять свою работу таким образом, чтобы быть свободными от предубеждений и конфликта интересов.

При проведении внутренних аудитов аудиторы должны быть независимыми от руководителей подразделений и направлений деятельности, которые они проверяют. Аудиторы должны сохранять объективное мнение в течение всего процесса аудита для обеспечения того, чтобы выводы и заключения аудита основывались только на свидетельствах аудита.

f) Подход, основанный на свидетельстве (evidence-based approach), — разумная основа для достижения надежных и воспроизводимых заключений аудита в процессе систематического аудита.Свидетельство аудита должно быть проверяемым. Оно основано на выборках имеющейся информации, поскольку аудит осуществляется в ограниченный период времени и с ограниченными ресурсами. Соответствующее использование выборок тесно связано с доверием, с которым относятся к заключениям по результатам аудита.

6.1 Общие положения

Внутренние проверки системы менеджмента качества

Настоящий раздел содержит руководящие указания по планированию и проведению деятельности по аудиту в рамках программы аудита. Рисунок 2 дает обзор типовых действий при проведении аудита. Степень применения положений настоящего раздела зависит от целей и области применения конкретного аудита.Примечание — Нумерация подразделов приводится в соответствии с нумерацией подразделов настоящего стандарта.

Рисунок 2 — Типовые действия при проведении аудита

6.2.1 Общие положенияКогда приступают к проведению аудита, ответственность за его проведение остается за назначенным руководителем группы по аудиту (5.4.5) до завершения данного аудита (6.6).Для того чтобы приступить к проведению аудита, нужно рассмотреть шаги, приведенные на рисунке 2; однако их последовательность может отличаться в зависимости от проверяемой организации, процессов и конкретных обстоятельств, относящихся к данному аудиту.

6.2.2 Установление первоначального контакта с проверяемой организациейПервоначальный контакт с проверяемой организацией для проведения аудита может иметь официальный или неформальный характер и должен устанавливаться руководителем группы по аудиту. Целями первоначального контакта являются:- установление связи и каналов передачи информации с представителями проверяемой организации;

— подтверждение полномочий для проведения аудита;- предоставление информации, касающейся области аудита, методов аудита и состава группы по аудиту, в том числе технических экспертов;- получение разрешения на доступ к соответствующим документам для планирования целей и задач, включая записи;- определение применяемых к проверяемой организации законодательных и контрактных требований, а также других требований, относящихся к видам осуществляемой деятельности и продукции проверяемой организации;

Предлагаем ознакомиться:  Декретный отпуск отцу если мать не работает: и другие случаи когда положены выплаты по беременности и родам безработным женщинам

— подтверждение соглашения с проверяемой организацией относительно степени раскрытия и обращения с информацией, носящей конфиденциальный характер;- определение необходимых подготовительных мероприятий по аудиту, включая даты планов-графиков;- определение любых требований, связанных с обеспечением доступа, здоровья и безопасности или других требований;

6.2.3 Определение возможности проведения аудитаДля обеспечения уверенности в том, что поставленные цели аудита могут быть достигнуты, нужно определить возможность проведения аудита.При определении возможности проведения аудита нужно учитывать такие факторы, как наличие:- необходимой и достаточной информации для планирования аудита;

6.3.1 Выполнение анализа документов при подготовке к аудитуНеобходимо проанализировать документацию соответствующей системы менеджмента проверяемой организации, с тем чтобы:- собрать информацию для подготовки мероприятий аудита и подходящие рабочие документы (6.3.4), например относящиеся к процессам, должностным обязанностям;

— осуществить обзор документации системы для выявления возможных пробелов.Примечание — Руководящие указания по выполнению анализа документации приведены в В.2 приложения В.Документация должна включать в себя, насколько это применимо, документы и записи системы менеджмента, а также отчеты по предыдущим аудитам.

6.3.2 Подготовка плана аудита

6.3.2.1 Руководителю группы по аудиту следует подготовить план аудита, основанный на информации, содержащейся в программе аудита и документации, предоставленной проверяемой организацией. План аудита должен рассматривать последствия аудита с учетом его влияния на процессы проверяемой организации и обеспечивать основу для соглашения между заказчиком аудита, группой по аудиту и проверяемой организацией относительно проведения аудита.

Этот план должен способствовать наилучшей координации, последовательности и сроков выполнения работ по аудиту для наиболее эффективного достижения результата.Объем сведений, представленных в плане аудита, должен отражать область применения и сложность аудита, а также влияние факторов неопределенности на достижение целей аудита.

При подготовке плана аудита руководитель группы по аудиту должен быть осведомлен:- о соответствующих методах выборочного контроля (см. В.3 приложения В);- характерных чертах и особенностях состава группы по аудиту и ее коллективном уровне компетентности;- рисках для проверяемой организации, возникающих вследствие проведения аудита.

Внутренние проверки системы менеджмента качества

Например, риски для организации могут возникать вследствие присутствия членов группы по аудиту, влияющих на обеспечение требований в области охраны труда, экологии и качества, и их присутствие может представлять определенную угрозу для продукции, услуг, персонала или инфраструктуры проверяемой организации (например, случай привнесения загрязнения в приспособления для очистки помещений).

6.3.2.2 Масштаб и содержание плана аудита могут различаться, например, между первоначальным и последующими аудитами, так же, как и между внутренними и внешними аудитами. План аудита должен допускать достаточную гибкость, чтобы по мере осуществления мероприятий по аудиту в него, в случае необходимости внесения корректировок или изменений, можно было внести требуемые изменения.

План аудита должен включать в себя или содержать ссылки на:- цели аудита;- область аудита, включая идентификацию организационных и функциональных подразделений и процессов, которые будут проверяться;- критерии аудита и ссылочные документы;- места проведения аудита, даты, ожидаемое время и продолжительность намеченных мероприятий по аудиту, включая совещания с руководством проверяемой организации, а также другие совещания;

— используемые при проведении аудита методы, включая объем или степень выборочного контроля, необходимого для получения достаточных свидетельств аудита, и проект программы выборочного контроля, если она применяется;- роли и обязанности членов группы по аудиту, а также сопровождающих лиц и наблюдателей;

— распределение соответствующих ресурсов по «критичным местам» проведения аудита.При необходимости в план аудита следует также включить:- определение представителей проверяемой организации для участия в аудите;- рабочий язык для проведения аудита и язык для составления отчета в тех случаях, где он отличается от родного языка аудитора и (или) проверяемой организации;

— содержание отчета по аудиту;- материально-техническое обеспечение и коммуникационные средства, включая средства и необходимые подготовительные мероприятия на местах проверяемых подразделений;- любые специальные меры, предпринимаемые в отношении рисков и влияния неопределенности на цели аудита;- вопросы, относящиеся к конфиденциальности и сохранности информации;

— действия по результатам проверок, например, предыдущего аудита;- вопросы координации, связанные с проведением других работ по аудиту, в случае совместного аудита.План аудита может быть проанализирован и одобрен заказчиком аудита, и его следует представить на рассмотрение проверяемой организации. Любые возражения со стороны проверяемой организации, относящиеся к плану аудита, необходимо разрешить между руководителем группы по аудиту, проверяемой организацией и заказчиком аудита.

5 Управление программой аудита

5.1 Общие положения

Организации, которой требуется проводить аудиты, следует подготовить программу аудита, позволяющую определять результативность системы менеджмента данной организации. Программа аудита может включать в себя аудиты, охватывающие один или несколько стандартов по системам менеджмента, проводимые по отдельности или в каком-либо сочетании.

Высшее руководство должно обеспечить, чтобы цели программы аудита были установлены, и назначить одно или несколько компетентных лиц, ответственных за управление программой аудита. Объем и содержание программы аудита должны зависеть от размера и характера деятельности проверяемой организации, а также от специфики, сложности и степени зрелости системы менеджмента, подлежащей аудиту.

Основное внимание следует уделить адекватному распределению ресурсов программы аудита для проведения аудита наиболее важных элементов системы менеджмента. Они могут включать в себя ключевые характеристики качества продукции, опасности, связанные с охраной здоровья и техникой безопасности, или важные экологические аспекты и управление ими.

— цели для программы аудита и отдельных аудитов;- объем/количество/типы/места проведения и график проведения аудитов;- процедуры программы аудита;- критерии аудита;- методы аудита;- формирование группы (групп) по аудиту;- необходимые ресурсы, включая расходы на командировки и размещение аудиторов;- процессы, связанные с соблюдением конфиденциальности, обеспечением защиты информации и другие подобные вопросы.

Внутренние проверки системы менеджмента качества

Необходимо осуществлять мониторинг и измерения, связанные с внедрением программы аудита, для обеспечения достижения поставленных целей. Для того чтобы идентифицировать возможные улучшения, программу аудита следует анализировать.На рисунке 1 представлена последовательность процессов управления программой аудита.

Рисунок 1 — Последовательность процессов управления программой аудита

Примечания

1 Рисунок 1 также показывает применение цикла PDCA (планирование — выполнение — проверка — действие) в настоящем стандарте.

2 Нумерация разделов/подразделов приводится в соответствии с разделами/подразделами настоящего стандарта.

a) приоритетов руководства;

https://www.youtube.com/watch?v=ytcopyright

b) коммерческих и/или деловых намерений;

c) характеристик процессов, продуктов и проектов, а также любых изменений к ним;

Внутренние проверки системы менеджмента качества

d) требований системы (систем) менеджмента;

e) правовых и других требований, которые организация принимает на себя;

f) необходимости в оценке поставщиков;

g) потребностей и ожиданий заинтересованных сторон (включая потребителей);

h) показателей и характеристик деятельности проверяемой организации, что отражается в случаях возникновения нарушений, дефектов, инцидентов или жалоб потребителей;

i) рисков для проверяемой организации;

j) результатов предыдущих аудитов;

k) уровня достигнутого развития системы менеджмента.Примеры целей программы аудита могут включать в себя следующее:- содействие улучшению системы менеджмента и ее характеристик;- выполнение внешних требований, например сертификации, на соответствие требованиям стандарта системы менеджмента;- проверку соответствия контрактным требованиям;

5.3.1 Роль и ответственность лица, управляющего программой аудитаЛицу, управляющему программой аудита, следует:- установить объем программы аудита;- определить и оценить риски, связанные с программой аудита;- определить обязанности по аудиту;- определить процедуры программы аудита;- определить необходимые ресурсы;

— обеспечить внедрение программы аудита, включающее в себя определение целей аудита, области и критериев отдельных аудитов, определение методов аудита и формирование группы аудиторов;- обеспечить управление и сохранность соответствующих записей по программе аудита;- осуществлять мониторинг, анализ и улучшение программы аудита.

5.3.2 Компетентность лица, ответственного за управление программой аудитаЛицо, ответственное за управление программой аудита, должно быть достаточно компетентным для эффективного и результативного управления программой аудита и связанными с ней рисками, а также иметь следующие знания и навыки:- принципов, процедур, методов и технических средств проведения аудита;

— документов системы менеджмента и других необходимых для работы документов;- продукции и процессов организации;- применяемых законодательных и других требований, относящихся к деятельности и/или продукции организации, подлежащей аудиту;- потребителей, поставщиков и других заинтересованных сторон проверяемой организации, где это применимо.

5.3.3 Определение объема программы аудитаЛицу, ответственному за управление программой аудита, следует определить объем программы аудита, который может различаться в зависимости от размера и характера деятельности проверяемой организации, а также от характера, функциональных особенностей, сложности и уровня развития проверяемой системы менеджмента и тех ее элементов, которым придается наиболее важное значение.

Примечание — В отдельных случаях в зависимости от структуры и видов деятельности проверяемой организации программа аудита может состоять только из одного аудита (например, деятельность в рамках небольшого проекта).Другие факторы, влияющие на объем программы аудита, включают в себя следующее:- конкретную цель, область применения, продолжительность каждого аудита и общее количество планируемых аудитов, включая там, где это возможно, мероприятия по исполнению решений аудитов;

— количество, важность, сложность, степень сходства видов осуществляемой деятельности и местоположение подразделений, осуществляющих деятельность, подлежащую аудиту;- факторы, влияющие на эффективность системы менеджмента;- применимые критерии аудита, такие как запланированные мероприятия для соответствующих стандартов по системам менеджмента, законодательные, контрактные и другие требования, которые организация обязана выполнять;

— заключения по результатам предыдущих внутренних или внешних аудитов;- результаты предыдущего анализа программы аудита;- вопросы, связанные с языком, культурной и социальной средой;- мнения и озабоченность заинтересованных сторон, например, жалобы потребителей или несоответствие законодательным требованиям;

https://www.youtube.com/watch?v=ytadvertise

— существенные изменения в проверяемой организации или ее деятельности;- наличие информации и приемов ее передачи для обеспечения мероприятий по проведению аудита, в частности использование методов аудита на расстоянии от проверяемого объекта (см. В.1 приложения В);- возникновение событий внутреннего и внешнего характеров, таких как дефекты продукции, утечки секретной информации, инциденты, связанные с охраной здоровья и техникой безопасности, действия преступного характера или инциденты в области экологии.

5.3.4 Идентификация и оценка рисков программы аудитаСуществуют различные риски, связанные с разработкой, внедрением, мониторингом и анализом программы аудита, что может оказывать влияние на цели программы аудита. Лицу, ответственному за управление программой аудита, следует рассматривать эти риски при разработке программы аудита.

Риски могут быть связаны с:- планированием, например, ошибкой, связанной с постановкой соответствующих целей аудита и определением объема программы аудита;- ресурсами, например выделение недостаточного периода времени для разработки программы аудита или проведения аудита;- формированием группы по аудиту, например недостаточной совокупной компетентностью группы для эффективного проведения аудита;

— внедрением, например, неэффективным доведением и получением информации по программе аудита;- записями и их управлением, например проблемами с обеспечением необходимой защиты записей аудита, чтобы демонстрировать эффективность программы аудита;- мониторингом, анализом, улучшением программы аудита, например неэффективным мониторингом результатов программы аудита.

5.3.5 Разработка процедур по программе аудитаЛицу, ответственному за управление программой аудита, следует разработать одну или несколько процедур, включающих в себя, где это применимо, следующее:- планирование и составление графиков аудитов с учетом рисков, связанных с программой аудита;- обеспечение защиты и конфиденциальности информации;

— обеспечение компетентности аудиторов и руководителей групп по аудиту;- подбор соответствующих групп по аудиту и распределение ролей и обязанностей;- проведение аудитов, включая использование соответствующих методов на основе выборок;- выполнение действий по результатам аудита, если это требуется;- составление отчетов для заказчика аудита (например, для высшего руководства) об основных достижениях программы аудита;- поддержание записей по программе аудита;- осуществление мониторинга анализа реализации, рисков и эффективности программы аудита.

5.3.6 Идентификация ресурсов для программы аудитаПри идентификации ресурсов для программы аудита лицу, ответственному за управление программой аудита, следует учитывать:- финансовые ресурсы, необходимые для развития, внедрения, управления и улучшения деятельности по аудиту;- методы/технические приемы и средства проведения аудитов;

https://www.youtube.com/watch?v=https:accounts.google.comServiceLogin

— наличие аудиторов и технических экспертов, обладающих компетентностью, требуемой для достижения конкретных целей программы аудита;- объем программы аудита и риски по аудиту;- время в пути и затраты на транспорт, размещение и другие потребности организационного характера для проведения аудита;- объем и уровень развития информационных и коммуникационных систем.

Предыдущая запись Имеет ли право пациент смотреть историю болезни
Следующая запись Какие права имееш если прописан

Ваш комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Adblock detector