Законодательная база Российской Федерации

"РУКОВОДЯЩИЕ УКАЗАНИЯ ПО АУДИТУ СИСТЕМ МЕНЕДЖМЕНТА. ГОСТ Р ИСО 19011-2012" (утв. Приказом Ростехрегулирования от 19.07.2012 N 196-ст)

Приложение А
(справочное)

В настоящем приложении приведены наиболее характерные примеры специальных знаний и навыков для аудиторов систем менеджмента в области отдельных дисциплин менеджмента, предназначенные для того, чтобы помочь лицу, ответственному за управление программой аудита, отобрать или произвести оценку аудиторов.

Другие примеры специальных знаний и навыков для аудиторов, характерные для дисциплин менеджмента, могут также быть разработаны применительно к системам менеджмента. Предполагается, что там, где это возможно, такие примеры будут приведены в той же общей структуре для обеспечения возможности их сравнения.

Знания и навыки, относящиеся к менеджменту безопасности при транспортировании и к применению методов, технических приемов, процессов и практик в этой области, должны быть достаточными для того, чтобы позволить аудитору надлежащим образом изучить данную систему менеджмента и сделать соответствующие выводы и заключения по результатам аудита.

Примеры знаний и навыков в этой области включают в себя:

- терминологию менеджмента безопасности;

- понимание системного подхода, относящегося к обеспечению безопасности;

- оценку рисков и их уменьшение;

- анализ факторов, связанных с деятельностью человека, относящихся к менеджменту безопасности при транспортировании;

- поведение и взаимодействие людей;

- взаимодействие и взаимное влияние факторов, относящихся к людям, машинам, процессам и производственной среде;

- потенциальные опасности и другие факторы на рабочих местах, влияющие на безопасность;

- методы и практики по расследованию происшествий и мониторинг показателей деятельности в области безопасности;

- оценку происшествий и несчастных случаев на производстве;

- разработку показателей деятельности и соответствующих метрик в области профилактических мер и мер по своевременному реагированию.

Примечание - Дополнительную информацию см. в ИСО 39001 (на стадии подготовки) по системам менеджмента безопасности дорожного движения, разработанном ИСО/ПК 241.

Знания и навыки, относящиеся к этой дисциплине менеджмента и к применению методов, технических приемов, процессов и практик в этой области, должны быть достаточными для того, чтобы позволить аудитору надлежащим образом изучить данную систему менеджмента и сделать соответствующие выводы и заключения по результатам аудита.

Примеры знаний и навыков в этой области включают в себя:

- терминологию в области охраны окружающей среды;

- экологические метрики и статистические методы;

- методологию измерений и мониторинга;

- взаимодействие экосистем и их биологическое разнообразие;

- экологические среды и их носители (например, воздух, вода, земля, растительный и животный мир);

- технические приемы для определения рисков (например, оценку экологических аспектов/воздействий, включая методы для оценки их значительности);

- оценку жизненного цикла;

- оценивание экологических показателей;

- предотвращение и контроль загрязнения окружающей среды (например, наилучшие из имеющихся технических приемов для контроля загрязнения или в области энерго-эффективности);

- снижение потребления сырьевых источников, уменьшение образования и повторное использование отходов (практики и процессы переработки и повторных циклов);

- использование опасных веществ;

- расчет и управление выбросами в атмосферу парниковых газов;

- менеджмент природных ресурсов (например, природное топливо, вода, флора и фауна, земля);

- экологическое проектирование;

- экологическую отчетность и оглашение экологических данных;

- эффективное управление ресурсами при реализации процессов жизненного цикла продукции;

- технологии с применением возобновляемых ресурсов и пониженным образованием углекислого газа.

Примечание - Дополнительную информацию см. в соответствующих стандартах в области экологического менеджмента, разработанных ИСО/ТК 207.

Знания и навыки, относящиеся к этой дисциплине менеджмента и к применению методов, технических приемов, процессов и практик в этой области, должны быть достаточными для того, чтобы позволить аудитору надлежащим образом изучить данную систему менеджмента и сделать соответствующие выводы и заключения по результатам аудита.

Примеры знаний и навыков в этой области включают в себя:

- терминологию, относящуюся к качеству, менеджменту, организации, процессам и продукции, характеристикам, соответствию, документации, аудиту и процессам, связанным с проведением измерений;

- подходы, ориентированные на потребителя; процессы, связанные с потребителями, мониторинг и измерение удовлетворенности потребителей, обращение с жалобами, правила поведения и разрешение разногласий;

- лидерство, роль высшего руководства, управление устойчивым успехом организации, подход менеджмента качества, реализующий финансовые и экономические преимущества через управление качеством, системы менеджмента качества и модели совершенства в области управления качеством;

- вовлечение персонала, факторы, связанные с деятельностью персонала, компетентность, подготовку и осведомленность персонала;

- процессный подход, технические приемы для анализа процессов, возможностей и управления процессами, методы работы с рисками;

- системный подход к менеджменту (логическое обоснование систем менеджмента качества, основные ориентиры систем менеджмента качества и других систем менеджмента, документация систем менеджмента качества), виды и стоимость, проекты, планы в области качества, управление конфигурацией;

- постоянное улучшение, инновации и обучение;

- подход по принятию решений, основанный на фактах, технические приемы по оценке рисков (идентификация, анализ и оценивание рисков), деятельность по оцениванию менеджмента качества (аудит, анализ и самооценка), техника проведения измерений и мониторинга, требования к процессам проведения измерений и к измерительному оборудованию, анализ корневых причин, статистические методы;

- характеристики процессов и продукции, включая услуги;

- взаимовыгодные отношения с поставщиками, требования к системам менеджмента качества и требования к продукции, специальные требования к менеджменту качества в различных отраслях экономики.

Примечание - Дополнительную информацию см. в соответствующих стандартах в области менеджмента качества, разработанных ИСО/ТК 176.

Знания и навыки, относящиеся к этой дисциплине менеджмента и к применению методов, технических приемов, процессов и практик в этой области, должны быть достаточными для того, чтобы позволить аудитору надлежащим образом изучить данную систему менеджмента и сделать соответствующие выводы и заключения по результатам аудита.

Примеры знаний и навыков в этой области включают в себя:

- записи, процессы управления записями и терминологию систем менеджмента для записей;

- разработку показателей деятельности и метрик в этой области;

- проведение исследования и оценку практик по ведению записей посредством проведения опросов, наблюдения и валидации;

- анализ выборок записей, созданных в бизнес-процессах, ключевые характеристики записей, систем записей, процессов и средств управления записями;

- оценку рисков (например, оценка рисков при неудачных действиях по созданию адекватных записей, а также по поддержанию и управлению этими записями, относящимися к бизнес-процессам организации);

- продуктивность и адекватность соответствующих процессов для создания, сохранения и управления записями;

- оценку адекватности и результативности систем записей (включая бизнес-системы для создания и управления записями), пригодность используемых технологических средств, технических приспособлений и оборудования;

- различные уровни компетентности в области управления записями на всех уровнях организации и проведение оценки данной компетентности;

- значение содержания, рассматриваемого контекста, структуры, представления и управления информацией (обмена данных) для определения и управления записями и системами записей;

- методы для разработки специальных инструментов для ведения и поддержания записей;

- технологии, используемые для создания, сохранения, преобразования и передачи, а также для обеспечения долгосрочной сохранности электронных/цифровых записей;

- идентификацию и значение документации, связанной с авторизацией, для процессов, связанных с записями.

Примечание - Дополнительную информацию см. в соответствующих стандартах в области управления записями, разработанных ИСО/ТК 46/ПК 11.

Знания и навыки, относящиеся к этой дисциплине менеджмента и к применению методов, технических приемов, процессов и практик в этой области, должны быть достаточными для того, чтобы позволить аудитору надлежащим образом изучить данную систему менеджмента и сделать соответствующие выводы и заключения по результатам аудита.

Примеры знаний и навыков в этой области включают в себя:

- процессы, научные подходы и практические приемы, лежащие в основе менеджмента обеспечения безопасности, постоянной готовности, устойчивого и непрерывного организационного управления;

- методы разведывательного характера по сбору информации и мониторингу в области безопасности;

- управление рисками, связанными с чрезвычайными и аварийными ситуациями (прогнозирование, предотвращение, защита и уменьшение негативных последствий, принятие мер оперативного реагирования и устранение последствий чрезвычайной ситуации);

- оценку рисков (идентификацию и оценку стоимости имущества, идентификацию, анализ и оценку рисков) и анализ негативного воздействия (на людей, материальные и нематериальные активы, а также на окружающую среду);

- принятие мер по рискам (адаптивного, упреждающего и противодействующего характера);

- методы и практики по обеспечению сохранения целостности информации и по ее защите в случае несанкционированных попыток внести изменения;

- методы для обеспечения безопасности и защиты людей;

- методы и практики для защиты имущества и физической безопасности;

- методы и практики по управлению деятельностью в области профилактики, предупреждения и обеспечения мер безопасности;

- методы и практики по управлению в кризисных ситуациях, по адекватному реагированию и минимизации последствий происшествий;

- методы и практики по управлению действиями в чрезвычайных и аварийных ситуациях, по поддержанию непрерывности организационного управления и по восстановлению нормального режима работы;

- методы и практики по мониторингу, измерению и регистрации показателей деятельности (включая методологии в области исследований и тестирования).

Примечание - Дополнительную информацию см. в соответствующих стандартах в области менеджмента обеспечения безопасности, постоянной готовности, устойчивого и непрерывного организационного управления, разработанных ИСО/ТК 8, ИСО/ТК 223 и ИСО/ТК 247.

Знания и навыки, относящиеся к этой дисциплине менеджмента и к применению методов, технических приемов, процессов и практик в этой области, должны быть достаточными для того, чтобы позволить аудитору надлежащим образом изучить данную систему менеджмента и сделать соответствующие выводы и заключения по результатам аудита.

Примеры знаний и навыков в этой области включают в себя:

- руководящие указания стандартов, таких как ИСО/МЭК 27000, ИСО/МЭК 27001, ИСО/МЭК 27002, ИСО/МЭК 27003, ИСО/МЭК 27004 и ИСО/МЭК 27005;

- идентификацию и оценку требований потребителей и других заинтересованных сторон;

- законы и правила, касающиеся информационной безопасности (например, интеллектуальная собственность; содержание, защита и сохранение организационных записей; защита и конфиденциальность данных, применение средств в области шифрования, антитеррористические меры, электронная коммерция, электронные и

цифровые подписи, надзор рабочих мест, эргономика рабочих мест, контроль телекоммуникационной связи и мониторинг данных (например, электронной почты), работа с компьютером, сбор свидетельств в электронном виде, тестирование на проникновение для оценки безопасности компьютерных систем или сетей от атак или попыток проникновения и т. д.);

- процессы, научные подходы и практические приемы, лежащие в основе менеджмента информационной безопасности;

- оценку рисков (идентификация, анализ и проведение оценки) и тенденций в технике, угроз и уязвимых мест;

- управление рисками в области информационной безопасности;

- методы и практики, касающиеся средств управления в области информационной безопасности (электронные и физические);

- методы и практики по обеспечению сохранения целостности информации и по ее защите в случае несанкционированных попыток внести изменения;

- методы и практики для измерения и оценки эффективности системы менеджмента информационной безопасности и связанных с ней мер в области управления;

- методы и практики для измерения, мониторинга и регистрации показателей деятельности (включая тестирование, аудиты и анализы).

Примечание - Дополнительную информацию см. в соответствующих стандартах в области менеджмента информационной безопасности, разработанных объединенным техническим комитетом ИСО/МЭК ОТК 1/ПК 27.

Знания и навыки, относящиеся к этой дисциплине менеджмента и к применению методов, технических приемов, процессов и практик в этой области, должны быть достаточными для того, чтобы позволить аудитору надлежащим образом изучить данную систему менеджмента и сделать соответствующие выводы и заключения по результатам аудита.

Примеры знаний и навыков в этой области включают в себя:

- идентификацию опасностей, включая факторы, влияющие на работу персонала на рабочем месте, и другие факторы (такие как физические, химические и биологические факторы, а также пол, возраст, физические ограничения, влияющие на трудоспособность, или другие физиологические, психологические факторы или факторы, относящиеся к охране здоровья);

- оценку рисков, определение мер по управлению, передачу сведений о рисках [определение мер в области управления должно основываться на "иерархии мер по управлению" (см. OHSAS 18001:2007, пункт 4.3.1)];

- оценивание здоровья и факторов, связанных с деятельностью человека (включая физиологические и психологические факторы), и принципы для проведения их оценки;

- метод для мониторинга воздействий на персонал вредных или опасных факторов и для оценки рисков в области профессиональной безопасности и охраны здоровья персонала (включая риски, возникающие вследствие указанных выше факторов, связанных с деятельностью персонала, или имеющие отношение к производственной гигиене), и связанные с этим стратегии по устранению или минимизации таких воздействий;

- особенности поведения людей, взаимодействие между людьми, между людьми и машинами, процессами и производственной средой (включая рабочие места, принципы организации рабочих мест с учетом эргономических факторов и техники безопасности, информационные и коммуникационные технологии);

- оценивание различных типов и уровней компетентности в области профессиональной безопасности и охраны здоровья, требуемых на всех уровнях организации, и проведение оценки данной компетентности;

- методы по стимулированию участия и вовлечению работников в деятельность в данной области менеджмента;

- методы поощрения правильного или образцового поведения персонала и личной ответственности работников (в отношении курения, потребления веществ с наркотическими свойствами, алкоголя, проблем, связанных с избыточным весом, стрессами, агрессивным поведением и т. д.) как в рабочее, так и свободное от работы время;

- разработку, применение и оценивание показателей деятельности и соответствующих метрик в области профилактических мер и мер по своевременному реагированию;

- принципы и практики для идентификации возможных аварийных ситуаций, а также по планированию соответствующих действий, предотвращению, адекватному реагированию и устранению последствий аварийных ситуаций;

- методы для расследования и оценивания происшествий (включая несчастные случаи на производстве и профессиональные заболевания);

- определение и использование информации, относящейся к охране здоровья работников (включая данные мониторинга по воздействию вредных и опасных факторов на производстве и заболеваниям работников), с учетом требований по обеспечению конфиденциальности в отношении отдельных аспектов информации такого характера;

- понимание информации в области медицины (включая медицинскую терминологию, для того чтобы понимать сведения, относящиеся к предотвращению травм и профессиональных заболеваний);

- величины систем предельно допустимого воздействия вредных и опасных факторов на производстве;

- методы проведения мониторинга и регистрации показателей в области профессиональной безопасности и охраны здоровья;

- понимание законодательных и других требований в области профессиональной безопасности и охраны здоровья в достаточной степени, для того чтобы аудитор мог оценивать систему менеджмента в области профессиональной безопасности и охраны здоровья.

Знания и навыки, относящиеся к проверяемой в ходе аудита отрасли, должны быть достаточными для того, чтобы аудитор мог изучить проверяемую систему менеджмента в контексте тех требований, которые применяются в данной отрасли, и сделать соответствующие выводы и заключения по результатам аудита.

Примеры знаний и навыков в этой области включают в себя:

- процессы, оборудование, сырьевые материалы, опасные вещества, производственные циклы, меры по обслуживанию и ремонту, материально-техническому обеспечению, организацию цепочки производственных процессов, практики и методы работы, организацию посменной работы, корпоративной культуры, лидерство, поведение и мотивацию персонала, а также другие вопросы, характерные для данной производственной деятельности или отрасли;

- типовые опасности и риски, включая факторы, связанные с деятельностью персонала или влияющие на его здоровье, характерные для данной отрасли.

Примечание - Дополнительную информацию см. в соответствующих стандартах в области профессиональной безопасности и охраны здоровья, разработанных проектной группой OHSAS.

Приложение В
(справочное)

Для выполнения аудита могут применяться различные методы. В настоящем приложении приведены объяснения, относящиеся к широко применяемым в настоящее время методам аудита. Методы, выбираемые для проведения аудита, зависят от установленных целей, области применения и критериев аудита, а также от сроков и мест проведения аудитов. При выборе метода проведения аудита следует также учитывать имеющийся на данный момент уровень аудиторской компетентности и любые неопределенности (погрешности), возникающие вследствие применения этих методов. Применение множества и использование сочетания различных методов может оптимизировать продуктивность и эффективность процесса, связанного с аудитом, и его результаты.

При выполнении аудита происходит взаимодействие среди людей с системой менеджмента, проверяемой при аудите, и с технологией, используемой при проведении аудита. В таблице В.1 представлены примеры методов аудита, которые могут быть использованы отдельно или в сочетании с другими методами для того, чтобы достичь поставленных целей аудита. В случае, если при проведении аудита задействована группа по аудиту,включающая в себя многочисленных членов, то могут одновременно применяться методы, предусматривающие проведение мероприятий аудита как непосредственно на местах производственной деятельности, так и на расстоянии с использованием соответствующих средств коммуникации.

Примечание - Дополнительная информация, касающаяся посещений подразделений проверяемой организации на местах, приведена в В.6.

Таблица В.1

Применяемые методы проведения аудита

Ответственность за эффективное применение методов аудита для любого аудита на стадии планирования остается либо за лицом, ответственным за управление программой аудита, или за руководителем группы по аудиту. Руководитель группы по аудиту несет ответственность за проведение мероприятий аудита.

Возможность проведения мероприятий аудита на расстоянии зависит от степени доверия между аудитором и персоналом проверяемой организации.

На уровне программы аудита следует обеспечить, что использование методов аудита на расстоянии и на местах является приемлемым для того, чтобы обеспечить достижение целей программы аудита.

Аудиторы должны рассмотреть, является ли информация, представленная в документах:

- полной (все ожидаемые сведения содержатся в представленном документе);

- правильной (содержимое документа соответствует другим надежным источникам, таким как стандарты и правила);

- совместимой (положения документа согласуются между собой и связанными с ним документами);

- актуальной (положения, содержащиеся в документе, имеют силу на момент проверки);

- охватывают ли анализируемые документы область применения аудита и предоставляют ли они достаточную информацию для поддержания целей аудита;

- способствует ли использование информации и коммуникационных технологий согласно применяемым методам аудита эффективному проведению данного аудита: при этом необходимо уделить особое внимание информационной безопасности, обусловленной применяемыми правилами по обеспечению защиты данных (особенно для информации, которая выходит за рамки области применения аудита,но которая содержится в представленной документации).

Примечание - Анализ документации может указать на эффективность управления документами в рамках системы менеджмента проверяемой организации.

Представительную выборку для аудита производят в случае, когда представляется нецелесообразным или дорогостоящим изучать всю имеющуюся информацию во время проведения аудита, например, когда записей слишком много или они слишком разбросаны географически, чтобы могло быть оправдано изучение каждой позиции в имеющейся совокупности. Такая выборка из большой совокупности является процессом отбора менее чем 100 % единиц (позиций) из имеющегося в полном объеме набора данных (генеральной совокупности) для получения и оценивания свидетельств в отношении отдельной характеристики такой совокупности, с тем чтобы сформировать заключение, касающееся данной совокупности.

Цель осуществления представительной выборки для аудита - это предоставить информацию для аудитора, с тем чтобы иметь уверенность в том, что цели аудита могут быть или будут достигнуты.

Риск, связанный с использованием выборки, состоит в том, что отобранные выборки могут быть непоказательными в отношении той генеральной совокупности, из которой они отобраны, и, следовательно, это может повлиять на заключение аудитора таким образом, что оно будет отличаться от заключения, которое было бы достигнуто, если бы проводилось изучение всей имеющейся совокупности данных. Могут иметься и другие риски в зависимости от изменчивости или непостоянства в рамках той генеральной совокупности, из которой проводится выборка, или в зависимости от выбранного метода.

Осуществление выборки для аудита, как правило, включает в себя следующие шаги:

- постановку целей плана осуществления выборки;

- выбор объема и композиции той генеральной совокупности, из которой будет производиться выборка;

- выбор метода проведения выборки;

- определение объема производимой выборки;

- проведение выборки;

- сбор материала, проведение оценки, регистрации и документирования результатов.

В ходе проведения выборки, следует уделить внимание качеству имеющихся данных, поскольку недостаточные или неточные выборочные данные не обеспечат получение требуемого результата. Отбор подходящих выборок должен основываться как на методе производства выборки, так и на типе требуемых данных, например для того, чтобы делать заключения по отдельному образцу или выводы по всей совокупности.

Составление отчетов по сделанной выборке может учитывать размер выборки, применяемый метод отбора и оценки, сделанные на основе выборки, и уровень достоверности.

При проведении аудитов могут использоваться выборки по усмотрению, т. е. сделанные на основе решения аудитора (см. В.3.2), или статистические выборки (см. В.3.3).

Выборки, сделанные по усмотрению, полагаются на знания, навыки и опыт группы по аудиту (см. раздел 7). Для осуществления таких выборок может учитываться следующее:

- предыдущий опыт проведения аудитов в данной области применения аудита;

- сложность требований (включая законодательные требования) для достижения целей данного аудита;

- сложность и взаимодействие процессов и элементов системы менеджмента организации;

- степень изменения в технологии, системе менеджмента или человеческом факторе;

- идентифицированные до этого времени зоны ключевых рисков и области улучшения;

- результаты мониторинга систем менеджмента.

Недостатком выборок, сделанных по усмотрению на основе решения проверяющей стороны, является то, что может не быть статистической оценки влияния неопределенности (погрешности), присутствующей в выводах аудита и полученных заключениях.

В случае, если принято решение использовать статистическую выборку, то план проведения такой выборки должен основываться на целях аудита и на той информации, которая известна о характеристиках всей генеральной совокупности, из которой будут проводиться данные выборки.

Расчет статистической выборки использует процесс отбора выборок, основанный на теории вероятности. Выборка на основе характерного признака используется в случаях, когда имеются только два возможных исхода для каждой выборки (например, верный/неверный или годен/негоден). Выборка на основе переменного параметра используется в случаях, когда результаты выборки наблюдаются в сплошном диапазоне.

План проведения выборки должен учитывать, будут ли исследуемые результаты выборки подходить под анализ на основе характерного признака или на основе переменного параметра. Например, в случае, если оценивается соответствие законченных форм (разновидностей) требованиям, установленным в процедуре, то мог бы использоваться подход на основе характерного признака. В случае, если исследуется возникновение инцидентов, связанных с безопасностью пищевой продукции, или количество нарушений при обеспечении безопасности, то подход на основе переменной величины скорее всего был бы более подходящим.

Ключевыми элементами, которые могут повлиять на план проведения выборки для аудита, являются:

- размер организации;

- количество компетентных аудиторов;

- периодичность аудитов в течение года;

- сроки конкретного аудита;

- любой требуемый внешними источниками уровень достоверности результатов аудита.

Когда разработан план проведения статистической выборки, то важным соображением будет уровень риска, связанный с использованием выборки, на который организация-аудитор готова согласиться. Это часто называется "допустимым уровнем достоверности". Например, 5 %-ный риск, связанный с использованием выборки, соответствует допустимому уровню достоверности, равному 95 %. Связанный с использованием выборки 5 %-ный риск означает, что организация-аудитор согласна принять риск, что 5 из 100 (или 1 из 20) исследуемых выборок не будут отражать реальные значения, которые были бы показаны в случае, если бы проводилось исследование всей генеральной совокупности в ее полном объеме.

Когда используется статистическая выборка, аудиторы должны надлежащим образом документировать выполненную работу. Это должно включать в себя описание генеральной совокупности прецедентов, для которой было намечено осуществление выборки, критерии выборки, используемые для проведения оценки (например, что представляет собой приемлемая выборка), статистические параметры и методы, которые были использованы, число выборок, подвергнутых оценке, и полученные результаты.

При подготовке рабочих документов группа по аудиту применительно к каждому документу должна рассматривать приведенные ниже вопросы.

a) Какие записи по аудиту будут создаваться с помощью этого рабочего документа?

b) Какая деятельность по аудиту связана с этим конкретным рабочим документом?

c) Кто будет пользователем этого рабочего документа?

d) Какая информация требуется, чтобы подготовить этот рабочий документ?

Для комплексных аудитов рабочие документы должны разрабатываться, чтобы избежать дублирования действий при проведении аудита. Это достигается путем:

- сведения в одну группу аналогичных требований, относящихся к различным критериям;

- согласования позиций, содержащихся в соответствующих контрольных листах и вопросниках. Рабочие документы должны быть адекватными, для того чтобы в достаточной мере охватывать элементы

всей системы менеджмента в рамках области применения аудита, и они могут быть представлены на любом носителе.

Выбранные источники информации могут различаться в зависимости от области применения и сложности аудита и могут включать в себя следующее:

- интервью с работниками и другими лицами;

- наблюдения за осуществляемыми действиями и окружающей производственной средой и условиями;

- документы, такие как политики, цели, планы, процедуры, стандарты, инструкции, лицензии и разрешения, спецификации, чертежи, контракты и заказы;

- записи, такие как записи инспекционного контроля, протоколы совещаний, отчеты по проведению аудитов, записи, относящиеся к программе мониторинга, и результаты измерений;

- сводки данных, анализы и показатели деятельности;

- информацию о планах проведения выборок проверяемой организации и процедурах для управления процессами, связанными с проведением выборок и измерений;

- отчеты из других источников, например, обратная связь с потребителем, внешние обзоры и измерения, другая подходящая информация от внешних сторон и оценки поставщиков;

- базы данных и интернет-сайты;

- моделирование.

Для того чтобы мероприятия, осуществляемые в ходе аудита, не мешали осуществлению рабочих процессов проверяемой организации, а также для обеспечения гарантий здоровья и безопасности группы по аудиту во время аудита следует рассматривать следующее:

a) планирование посещения:

- получение разрешения и допуска к тем объектам проверяемой организации, которые следует посетить в соответствии с областью применения аудита,

- предоставление аудиторам всей необходимой информации (например, инструктаж), касающейся безопасности, санитарной обстановки (например, карантин), вопросов, связанных с профессиональной безопасностью и охраной здоровья, культурных норм поведения для посещения объектов, включая требуемые или рекомендуемые вакцинации и уровни допуска, если это применимо,

- договор с проверяемой организацией, что все требуемые средства индивидуальной защиты будут иметься для группы по аудиту, если это применимо,

- за исключением внеплановых аудитов для специальной цели, обеспечение того, что персонал посещаемого объекта будет проинформирован о целях и области применения аудита;

b) действия на посещаемых объектах:

- избежать привнесения любых ненужных помех в осуществление рабочих процессов,

- обеспечить надлежащее использование средств индивидуальной защиты членами группы по аудиту,

- обеспечить доведение информации по процедурам, устанавливающим порядок действий в чрезвычайных и аварийных ситуациях (например, аварийные выходы, места сбора),

- обсудить график мероприятий аудита с целью минимизации возможных помех для распорядка производственной деятельности проверяемой организации,

- обеспечить соразмерность численности группы по аудиту и числа сопровождающих лиц и наблюдателей в соответствии с областью применения аудита, для того чтобы избежать, насколько это возможно, вмешательства в рабочие процессы,

- не прикасаться или каким-либо образом не обращаться с любым оборудованием, если на это не имеется специального разрешения, даже когда аудиторы имеют достаточный уровень компетентности или соответствующую лицензию,

- если во время посещения проверяемой организации произошло какое-либо происшествие или инцидент, то руководитель группы по аудиту должен проанализировать сложившуюся ситуацию с представителями проверяемой организации и, в случае необходимости, с заказчиком аудита и прийти к соглашению относительно того, следует ли прерывать или продолжать аудит или о том, что следует внести изменения в график проведения мероприятий аудита,

- в случае проведения фото- или видеосъемки проверяющей стороной следует заранее запросить соответствующее разрешение у руководства проверяемой организации и рассмотреть вопросы, связанные с обеспечением надлежащей защиты и конфиденциальности, и следует избегать фотографирования частных лиц без их разрешения,

- при снятии копий или взятии экземпляров документов любого вида следует заранее запросить соответствующее разрешение у руководства проверяемой организации и рассмотреть вопросы, связанные с обеспечением надлежащей защиты и конфиденциальности,

- при сборе данных и записей следует избегать сбора персональной информации, касающейся сотрудников, если это не требуется целями или критериями аудита.

Интервьюирование является одним из важнейших средств по сбору информации, и его следует проводить с учетом конкретной ситуации или опрашиваемых лиц, будь это беседа при непосредственной встрече или посредством использования соответствующих средств коммуникации. При этом аудитору нужно учитывать следующее:

-интервью должны проводиться с лицами соответствующих уровней или функциональных подразделений, выполняющих действия или задачи в рамках области применения аудита;

- интервью, как правило, должны проводиться в рабочее время и там, где это целесообразно, на рабочем месте опрашиваемого сотрудника;

- нужно постараться создать непринужденную атмосферу до начала и во время проведения интервью;

- следует объяснить причины для проведения интервью и любые производимые записи;

- интервью можно начать с просьбы к опрашиваемым лицам описать выполняемую ими работу;

-следует тщательно выбирать тип задаваемых вопросов (например, прямые, наводящие вопросы, вопросы, предусматривающие единственный ответ);

- результаты, полученные в ходе интервью, должны быть суммированы и проанализированы с опрашиваемым сотрудником;

- следует поблагодарить опрошенных сотрудников за их участие и содействие.

При определении выводов аудита следует рассматривать следующее:

- меры, предпринятые по результатам предыдущих записей и заключений аудита;

- требования заказчика аудита;

- выводы (наблюдения), превосходящие границы обычной практики, или возможности для улучшения;

- размер представительной выборки;

- распределение выводов аудита по категориям (если они имеются).

Для записей о соответствии следует рассмотреть следующее:

- идентификацию критериев аудита, по которым выявляется соответствие;

- свидетельство аудита для подтверждения соответствия;

- декларацию о соответствии, если это применимо.

Для записей о несоответствии следует рассмотреть следующее:

- описание или ссылку на критерии аудита;

- декларацию о несоответствии;

- свидетельство аудита;

- соответствующие выводы аудита, если это применимо.

Во время проведения аудита представляется возможным идентифицировать наблюдения (выводы), относящиеся к критериям со сложной структурой. В случае, когда при проведении комплексного аудита аудитор идентифицирует вывод (наблюдение), связанный с одним критерием или характерным признаком, аудитор должен рассмотреть возможное воздействие на согласованность с данным критерием или на аналогичные критерии других систем менеджмента.

В зависимости от предварительных договоренностей с заказчиком аудита проверяющая сторона может собирать и фиксировать либо:

- отдельные выводы для каждого критерия-признака;

- единственный вывод, объединяющий ссылки для сложносоставного критерия.

В зависимости от предварительных соглашений с заказчиком аудита проверяющая сторона может указать проверяемой организации на то, каким образом ей следует реагировать и какие действия необходимо предпринять по результатам этих выводов, и проконтролировать разработку соответствующих мероприятий.