Руководство по аудиту систем менеджмента качества

ВЕРНУТЬСЯ К ПЕРЕЧНЮ ДОКУМЕНТОВ ❯

Скачать ГОСТ Р ИСО 19011-2021 в формате:

.pdf

Скачать

Предисловие

1. Подготовлен Федеральным автономным учреждением «Национальный институт аккредитации» (ФАУ НИА) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2. Внесен Техническим комитетом по стандартизации ТК 079 «Оценка соответствия»
3. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 21 апреля 2021 г. № 261-ст
4. Настоящий стандарт идентичен международному стандарту ИСО 19011:2018 «Руководящие указания по проведению аудитов систем менеджмента» (ISO 19011:2018 «Guidelines for auditing management systems». IDT).
   Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5—2012 (пункт 3.5)
5. Взамен ГОСТ Р ИСО 19011—2012

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru).

© ISO, 2018 — Все права сохраняются
© Стандартинформ, оформление, 2021

В Российской Федерации настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии.

Введение

С момента публикации второго издания стандарта в 2011 г. выпущен ряд новых стандартов на системы менеджмента, многие из которых имеют общую структуру, идентичные основные требования и общие термины и определения. В результате возникла необходимость рассмотреть расширенный подход к проведению аудиту систем менеджмента, а также предоставить организациям руководящие указания более общего характера. Результаты аудита могут обеспечить входные данные для аналитической стороны бизнес-планирования а также могут внести вклад в определение потребностей в улучшении и деятельности.

Аудит можно проводить по целому ряду критериев, взятых в отдельности или в сочетании, включая, но не ограничивая, следующие:

• требования, определенные в одном или нескольких стандартах на системы менеджмента;
• политики и требования, установленные соответствующими заинтересованными сторонами;
• законодательные и нормативные правовые требования;
• один или несколько процессов системы менеджмента, определенные организацией и другими сторонами;
• план(ы) системы менеджмента, касательно обеспечения конкретных результатов системы менеджмента (например, план качества, план проекта).

Настоящий стандарт обеспечивает руководящие указания для организаций всех размеров и типов и для аудита различных областей и масштабов, включая аудиты, выполняемые большими аудиторскими группами, обычно для более крупных организаций, а также аудиты, выполняемые одним аудитором как для мелких, так и для крупных организаций. Эти руководящие указания следует адаптировать по области, сложности и масштабу программы аудита.

Данный стандарт уделяет особое внимание «внутренним аудитам» (аудит первой стороны) и аудитах, проводимых организациями у своих внешних поставщиков и иных внешних заинтересованных сторон (аудиты второй стороны).

Данный стандарт также можно использовать для внешнего аудита, выполняемого с целью, отличной от сертификации систем менеджмента третьей стороной. В стандарте ИСО/МЭК 17021-1 представлены требования к аудиту систем менеджмента для сертификации третьей стороной; данный стандарт может также представить дополнительные полезные руководящие указания (см. таблицу 1).

Таблица 1 — Различные типы аудита

Для упрощения понимания текста данного стандарта предпочительно употребление «система менеджмента» в единственном числе, при этом пользователь может адаптировать внедрение руководящих указаний к своей собственной ситуации. Это касается также выражений «физическое лицо» и «физические лица», «аудитор» и «аудиторы».

Настоящий стандарт предназначен для использования широким кругом потенциальных пользователей, включая аудиторов организации, внедряющие системы менеджмента, и организации, в которых необходимо провести аудиты по системам менеджмента согласно договорным или нормативным правовым требованиям. Пользователи данного стандарта могут, в то же время, применять эти руководящие указания для разработки своих собственных требований, касающихся аудита.

Руководящие указания, приведенные в данном стандарте, также можно использовать для декларирования о соответствии, они могут быть полезными для организаций, занимающихся обучением аудиторов или сертификации персонала.

Руководящие указания в настоящем стандарте довольно гибкие. Как указано в различных пунктах по тексту, их использование может различаться в зависимости от размера и уровня развития системы менеджмента организации. Также принимается во внимание характер и сложность организации, подвергаемой аудиту, а также цели и область аудита.

Настоящий стандарт распространяется также на подход к комбинированному аудиту, в случае, когда проверяются две или более систем менеджмента в различных областях совместно. Там, где несколько систем менеджмента объединены в одну систему, принципы и процессы аудита будут такие же, как при проведении комбинированного аудита (иногда называемого интегрированным аудитом).

Данный стандарт обеспечивает руководящие указания по управлению программой аудита, по планированию и проведению аудитов систем менеджмента, а также по компетентности и оценке аудитора и аудиторской группы.

В настоящем стандарте представлены руководящие указания по проведению аудита систем менеджмента, включая принципы проведения аудита, управление программой аудита и проведение аудитов систем менеджмента, а также руководящие указания по оценке компетентности лиц. участвующих в процессе аудита, включая деятельность лица (лиц), осуществляющего управление программой аудита, аудиторов и аудиторских групп.

Стандарт применим ко всем организациям, которым необходимо планировать и проводить внутренний или внешний аудит систем менеджмента или управлять программой аудита.

Положения настоящего стандарта могут применяться и для других типов аудита при условии, что будет уделено особое внимание вопросам, связанным с требуемым для этих целей уровнем специальной компетентности.

Нормативные ссылки в данном стандарте отсутствуют.

В настоящем стандарте применены следующие термины и определения.

Организации ИСО и МЭК ведут терминологические базы данных для применения в стандартизации по следующим ссылкам:

• онлайн-платформа ISO: https://www.iso.org/obp;
• IEC Electropedia: https://www.electropedia.org/

3.1. аудит (audit): систематический, независимый и документированный процесс установления объективного свидетельства (3.8) и его объективного оценивания для получения степени соответствия критериям аудита (3.7).

Примечания:
1. Внутренние аудиты, иногда называемые «аудитами первой стороны», проводятся обычно самой организацией или от ее имени.
2. Внешние аудиты включают так называемые «аудиты второй стороны» и «аудиты третьей стороны». Аудиты второй стороной проводятся сторонами, заинтересованными в деятельности организации, например, потребителями или другими лицами от их имени. Аудиты третьей стороны проводятся внешними независимыми аудиторскими организациями, такими, как организации, осуществляющие сертификацию/регистрацию соответствия или государственные органы.

[ИСО 9000:2015, 3.13.1, измененный — примечания также изменены]

3.2. комплексный аудит (combined audit): аудит (3.1), проводимый в одной проверяемой организации (3.13) для двух и более систем менеджмента (3.18) одновременно.

Примечание — Если две или более систем менеджмента объединены в одну систему менеджмента, эту систему называют интегрированной системой менеджмента.

[ИСО 9000:2015, 3.13.2, измененный]

3.3. совместный аудит (joint audit): аудит (3.1), проводимый в одной проверяемой организации (3.13) двумя и более проверяющими организациями.

[ИСО 9000:2015, 3.13.3]

3.4. программа аудита (audit programme): мероприятия по проведению одного или нескольких аудитов (3.1), запланированные на конкретный период времени и направленные на достижение конкретной цели.

[ИСО 9000:2015, 3.13.4, измененный — в определение добавлена формулировка]

3.5. область аудита (audit scope): объем и границы аудита (3.1).

Примечания:
1. Область аудита обычно включает в себя описание физических и виртуальных мест проведения аудита, функций, структурных единиц, видов деятельности и процессов, а также охваченный период времени.
2. Виртуальное место проведения аудита — это место, где организация выполняет услуги, используя онлайн среду, разрешая физическим лицам, независимо от физического местоположения, исполнять процессы.

[ИСО 9000:2015, 3.13.5, измененный — примечание 1 изменено, примечание 2 добавлено]

3.6. план аудита (audit plan): описание действий и мероприятий по проведению аудита (3.1).

[ИСО 9000:2015. 3.13.6]

3.7. критерии аудита (audit criteria): совокупность требований (3.23), используемых как основа для сравнения с ними объективного свидетельства (3.8).

Примечания:
1. Если критерии аудита являются правовыми (включая законодательные или нормативные правовые) требованиями, слова «соответствие» и «несоответствие» часто используют в обнаружениях аудита (3.10).
2. Требования могут включать политики, процедуры, рабочие инструкции, правовые требования, обязательства по контрактам и т.д.

[ИСО 9000:2015, 3.13.7. измененный — изменено определение и добавлены примечания 1 и 2]

3.8. объективное свидетельство (objective evidence): данные, подтверждающие наличие или истинность чего-либо.

Примечания:
1. Объективное свидетельство может быть получено путем набгоодения. измерения, испытания или другим способом.
2. Объективное свидетельство для цели аудита (3.1) обычно включает записи, изложение фактов или другую информацию, которые имеют отношение к критериям аудита (3.7) и могут быть проверены.

[ИСО 9000:2015, 3.8.3]

3.9. свидетельство аудита (audit evidence): записи, изложение фактов или другая информация, связанные с критериями аудита (3.2) и перепроверены.

[ИСО 9000:2015, 3.13.8]

3.10. обнаружения аудита (audit findings): результаты оценивания собранных свидетельств аудита (3.9) по отношению к критериям аудита (3.7).

Примечания:
1. Обнаружения аудита могут указывать на соответствие (3.20) или несоответствие (3.21).
2. Обнаружения аудита могут помочь в идентификации рисков, возможностей для улучшения или записи общепризнанной надлежащей практики.
3. Если критерии аудита выбираются из законодательных или нормативных правовых требований, обнаружения аудита сводятся к соответствию или несоответствию.

[ИСО 9000:2015,3.13.9. измененный — изменены примечания 2 и 3]

3.11. заключение по результатам аудита (audit conclusion): выход аудита (3.1) после рассмотрения целей аудита и всех обнаружений аудита (3.10).

[ИСО 9000:2015,3.13.10]

3.12. заказчик аудита (audit client): организация или лицо, заказавшее аудит (3.1).

Примечание — В случае внутреннего аудита заказчиком аудита также может быть проверяемая организация (3.13) или лицо (лица), несущее(ие) ответственность за управление программой аудита. Запросы на внешний аудит могут поступать от таких организаций, как регулирующие органы, стороны контракта, потенциальные или существующие заказчики.

[ИСО 9000:2015.3.13.11, измененный — добавлено примечание 1]

3.13. проверяемая организация (auditee): организация, в целом или частями подвергающаяся аудиту.

[ИСО 9000:2015,3.13.12, измененный]

3.14. аудиторская группа (audit team): один или несколько лиц. проводящих аудит (3.1), при необходимости, поддерживаемые техническими экспертами (3.16).

Примечания:
1. Один аудитор (3.15) из аудиторской группы (3.14) назначается руководителем группы.
2. Аудиторская группа может включать аудиторов-стажеров.

[ИСО 9000:2015, определение 3.13.14]

3.15. аудитор (auditor): лицо, которое проводит аудит (3.1).

[ИСО 9000:2015,3.13.15]

3.16. технический эксперт (technical expert): лицо, которое предоставляет специальные знания или опыт аудиторской группе (3.14).

Примечания:
1. Специальные знания или опыт относятся к организации, процессам или деятельности, товарам, услугам, отрасли знаний, подвергаемым аудиту (3.1) или к языку и культуре.
2. Технический эксперт не имеет полномочий аудитора (3.14) в аудиторской группе (3.15).

[ИСО 9000:2015,3.13.16. измененный — изменены примечания 1 и 2]

3.17. наблюдатель (observer): лицо, сопровождающее аудиторскую группу (3.14), но не участвующее в аудите (3.15).

[ИСО 9000:2015,3.13.17. измененный]

3.18. система менеджмента (management system): совокупность взаимосвязанных или взаимодействующих элементов организации для разработки политик, целей, и процессов (3.24) для достижения этих целей.

Примечания:
1. Система менеджмента может относиться к одному или нескольким аспектам деятельности, например, менеджмент качества, финансовый менеджмент или экологический менеджмент.
2. Элементы системы менеджмента определяют структуру организации, роли и ответственность, планирование, функционирование, политики, практики, правила, убеждения, цели и процессы для достижения этих целей.
3. Область применения системы менеджмента может охватывать всю организацию, определенные функции организации, определенные части организации, одну или более функций в группе организаций.

[ИСО 9000:2015. определение 3.5.3, измененный — удалено примечание 4]

3.19. риск (risk): влияние неопределенности.

Примечания:
1. Влияние выражается в отклонении от ожидаемого результата — позитивном или негативном.
2. Неопределенность является состоянием, связанным с недостатком, даже частично, информации, понимания или знания о событии, его последствиях или вероятности.
3. Риск часто определяют по отношению к потенциальным событиям (как определено в Руководстве ИСО 73:2009, 3.5.1.3) и их последствиям (как определено в Руководстве ИСО 73:2009.3.6.1.3), или к их комбинации.
4. Риск часто выражается в терминах комбинации последствий события (включая изменения в обстоятельствах) и связанных с ними вероятностей (как определено в Руководстве ИСО 73:2009, 3.6.1.1) возникновения.

[ИСО 9000:2015, 3.7.9, измененный — удалены примечания 5 и 6]

3.20. соответствие (conformity): выполнение требования (3.23).

[ИСО 9000:2015, 3.6.11, измененный — удалено примечание 1]

3.21. несоответствие (nonconformity): невыполнение требования (3.23).

[ИСО 9000:2015, 3.6.9, измененный — удалено примечание 1]

3.22. компетентность (competence): способность применять знания и умения для достижения намеченных результатов.

[ИСО 9000:2015, 3.10.4. измененный — удалено примечание 1]

3.23. требование (requirement): потребность или ожидание, которое установлено, обычно предполагается или является обязательным.

Примечания:
1. Слова «обычно предполагается» означают, что эго общепринятая практика организации и заинтересованных сторон, что рассматриваемые потребности или ожидания предполагаются.
2. Установленным является такое требование, которое определено, например, в документированной информации.

[ИСО 9000:2015, 3.6.4, измененный — удалены примечания 3.4, 5 и 6]

3.24. процесс (process): совокупность взаимосвязанных или взаимодействующих видов деятельности, использующая входы для получения намеченного результата.

[ИСО 9000:2015, 3.4.1. измененный — удалены примечания]

3.25. результаты деятельности (performance): измеримый итог.

Примечания:
1. Результаты деятельности могут относиться к количественным и качественным полученным данным.
2. Результаты деятельности могут относиться к менеджменту действий, процессам (3.24), продукции, услугам, системам или организациям.

[ИСО 9000:2015, 3.7.6, измененный — удалено примечание 3]

3.26. результативность (effectiveness): степень реализации запланированной деятельности и достижения запланированных результатов.

[ИСО 9000:2015, 3.7.11. измененный — удалено примечание 1]

Процесс проведения аудита основан на соблюдении нескольких принципов. Эти принципы помогают аудиту быть результативным и надежным инструментом следования политике менеджмента и использования средств контроля, обеспечивая информацией, на основе которой организация может улучшать результаты своей деятельности. Приверженность этим принципам является предпосылкой для получения заключений аудита, соответствующих, и достаточных для того, чтобы аудиторы, работающие независимо друг от друга, делали аналогичные заключения в аналогичных обстоятельствах.

Руководящие указания, приведенные в разделах 5 — 7, основаны на семи следующих принципах.

a) Честность: основа профессионализма

Аудиторам и руководителю программы аудита следует:

• выполнять свою работу честно, старательно и ответственно;
• проводить аудит только тогда, когда это позволяет их компетентность;
• выполнять свою работу беспристрастно, т. е. оставаться справедливым и непредубежденным во всех своих действиях;
• быть осмотрительным к любым влияниям, которые могут быть оказаны на их мнения при выполнении аудита.

b) Беспристрастное представление: обязательство представлять правдивые и точные отчеты

В обнаружениях аудита, заключениях и отчетах по аудиту следует правдиво и точно отражать действия по аудиту. Существенные препятствия, встреченные в процессе аудита, а также неразрешенные мнения и разногласия между аудиторской группой и проверяемой организацией следует отражать в отчетах. Сообщения должны быть правдивыми, точными, объективными, своевременными, четкими и полными.

c) Должная профессиональная осмотрительность: прилежание и обдуманность решений при проведении аудита

Аудиторам следует проявлять должную тщательность в соответствии с важностью задачи, которую они выполняют, и доверием, которое им оказывает заказчик аудита и другие заинтересованные стороны. Важным фактором в выполнении их работы с должной профессиональной тщательностью является способность принимать обдуманные решения в любых ситуациях в процессе аудита.

d) Конфиденциальность: защита информации

Аудиторам следует проявлять осторожность при использовании и защите информации, полученной в ходе выполнения своих обязанностей. Информацию, полученную при аудите, не следует использовать в корыстных целях аудитора или заказчика аудита, либо таким способом, который нанесет ущерб законным интересам проверяемой организации. Эта концепция включает надлежащее обращение с конфиденциальной и требующей особого отношения информацией.

e) Независимость: основа беспристрастности аудита и объективности заключений аудита

Аудиторам следует быть независимыми от деятельности, подлежащей аудиту всегда, где это осуществимо, и во всех случаях действовать независимо от пристрастий и конфликта интересов. При проведении внутренних аудитов аудиторам следует быть независимыми от проверяемых функций, если это осуществимо. Аудиторам следует сохранять объективность в процессе аудита, чтобы обеспечить уверенность, что обнаружения и заключения аудита основаны только на свидетельствах аудита.

Для небольших организаций невозможно обеспечить, чтобы внутренние аудиторы были полностью независимыми от деятельности, подвергаемой аудиту, однако следует приложить все силы, чтобы избежать предвзятости и соблюсти объективность.

f) Подход, основанный на свидетельстве, рациональный метод достижения надежных и воспроизводимых заключений аудита в систематическом процессе аудита

Свидетельство аудита должно быть проверяемым. Оно, в общем, должно быть основано на выборках имеющейся информации, поскольку аудит проводится в ограниченный период времени и с ограниченными ресурсами. Следует применять соответствующие выборки, так как это связано с уровнем доверия к заключению по аудиту.

g) Риск-ориентированный подход: подход, учитывающий риски и возможности

Риск-ориентированный подход должен оказывать существенное влияние на планирование, проведение и отчетность по аудитам, чтобы обеспечить уверенность, что аудит сфокусирован на вопросах, имеющих значение для заказчика аудита и для достижения целей программы аудита.

Следует разработать программу аудита, которая может включать аудиты, ориентированные на один или несколько стандартов на системы менеджмента или иные требования, проводимые либо отдельно, либо в совокупности (комбинированный аудит).

Объем программы аудита следует устанавливать, исходя из размера и характера проверяемой организации, а также из характера, функциональности, сложности, типа рисков и возможностей, и уровня развития систем(ы) менеджмента, подлежащих(ей) аудиту.

Функциональность системы менеджмента может оказаться даже более сложной, когда большинство важных функций отдано сторонним исполнителям и управляются под руководством других организаций. Особое внимание следует обратить на то, где именно принимаются наиболее важные решения и как формируется высшее руководство системы менеджмента.

В том случае, если у организации имеется несколько мест/площадок (например, в разных странах) или в случае, когда большинство важных функций отдано сторонним исполнителям и управляются под руководством других организаций, особое внимание следует обратить на проектирование, планирование и валидацию программы аудита.

В случае организаций меньшего масштаба или менее сложных организаций программа аудита может быть сокращена соответствующим образом.

Чтобы понять среду проверяемой организации, программа аудита должна принять во внимание:

• цели организации;
• соответствующие внешние и внутренние факторы;
• потребности и ожидания соответствующих заинтересованных сторон;
• требования к защите и конфиденциальности информации.

Планирование программы внутреннего аудита и, в некоторых случаях программы аудита внешних поставщиков, может способствовать достижению иных целей для организации.

Лицо(а), осущесталяющее(ие) управление программой аудита, должмо(ы) обеспечить целостность аудита и отсутствие постороннего влияния, оказываемого на аудит.

Приоритет следует отдать распределению ресурсов и методов к вопросам в системе менеджмента, связанным с более высоким риском и более низким уровнем итогов деятельности.

Для управления программой аудита должны выбираться компетентные работники.

Программа аудита должна включать информацию и определять ресурсы, необходимые для организации и эффективного и результативного проведения аудита в рамках установленного времени. Информация должна включать:

a) цели программы аудита;

b) риски и возможности, связанные с программой аудита (см. 5.3), и действия по обращению с ними;

c) объем (глубина охвата, границы места проведения) каждого аудита в рамках программы аудита;

d) график (число/продолжительность/частота проведения) аудитов;

e) типы аудитов, например внутренний или внешний;

f) критерии аудита;

g) методы аудита, которые должны применяться;

h) критерии для выбора членов аудиторской группы;

i) соответствующая документированная информация.

Некоторые из этих сведений могут быть недоступны до тех пор, пока не будет завершено более детальное планирование аудита.

Для достижения целей программы аудита ее выполнение следует подвергать мониторингу и измерениям (см. 5.6). Программу аудита следует анализировать, чтобы определить необходимость внесения изменений и потенциальные возможные улучшения (см. 5.7).

Рисунок 1 иллюстрирует последовательность операций процесса управления программой аудита.

Рисунок 1 — Схема последовательности действий для управления программой аудита

Примечания:
1. Этот рисунок иллюстрирует применение цикла Планирование — Исполнение — Проверка — Принятие необходимых мер в данном стандарте.
2. Нумерация раздела/подраздела относится к соответствующим разделам/подразделам данного стандарта.

Заказчику аудита следует обеспечить постановку целей, чтобы определить направления планирования и проведения аудита, а также следует обеспечить эффективное исполнение программы. Цели программы аудита должны согласовываться со стратегией развития заказчика аудита и поддерживать политику и цели системы менеджмента заказчика аудита.

Эти цели могут быть основаны на рассмотрении следующих вопросов:

а) потребности и ожидания соответствующих заинтересованных сторон, как внешних, так и внутренних;

b) характеристики и требования к процессам, продукции, услугам и проектам, и всем изменениям в этих характеристиках и требованиях;

c) требования систем менеджмента;

d) необходимость оценки внешних поставщиков;

e) уровень результатов деятельности проверяемой организации и уровень развития систем(ы) менеджмента, отражаемого соответствующими индикаторами (показателями) результатов деятельности (например, ключевые показатели деятельности, KPI), возникновение несоответствий или случаев отказа, инцидентов или жалоб заинтересованных сторон;

f) идентифицированные риски и возможности проверяемой организации;

Примеры целей программы аудита включают следующее:

• выяснить возможности улучшения системы менеджмента и ее результатов;
• оценить способность проверяемой организации установить свою среду;
• оценить способность проверяемой организации определять риски и возможности, а также вырабатывать, и осуществлять действия по эффективному обращению с ними;
• соответствовать всем уместным требованиям, например нормативным правовым требованиям, обязательствам о соответствии, требованиям к сертификации соответствия стандарту на систему менеджмента;
• получить и поддерживать уверенность в возможностях внешнего поставщика;
• определить постоянную пригодность, адекватность и результативность системы менеджмента проверяемой организации;
• оценить совместимость и согласованность целей системы менеджмента со стратегическим направлением развития организации.

Существуют риски и возможности, связанные со средой проверяемой организации, которые могут быть связаны с программой аудита и влиять на достижение ее целей. Руководителю программы аудита следует определить и представить заказчику аудита риски и возможности, учитываемые при разработке программы аудита и требований к ресурсам, так чтобы на них можно было соответствующим образом отреагировать. Могут существовать риски, связанные:

a) с планированием, например неудачной постановкой соответствующих целей аудита и определением объема, числа, продолжительности, места проведения и графика аудитов;

b) ресурсами, например отведением недостаточного периода времени, нехваткой оборудования и/или недостаточной подготовкой к разработке программы аудита или проведению аудита;

c) выбором аудиторской группы, например недостаточной общей компетентностью для эффективного проведения аудитов;

d) обменом информацией, например неэффективными процессами/каналами внешней/внутренней связи;

e) исполнением программы, например неэффективной координацией аудитов в рамках программы аудита, или недоучетом защиты и конфиденциальности информации;

f) контроль документированной информации, например неэффективное определение необходимой документированной информации, требующейся аудиторам и соответствующим заинтересованным сторонам, ненадежная защита записей аудита для демонстрации результативности программы;

g) мониторингом, анализом и улучшением программы аудита, например неэффективным мониторингом выходов (результатов) программы аудита;

h) доступностью и сотрудничеством с проверяемой организацией и доступностью свидетельств, которые должны быть отобраны.

Возможности для улучшения программы аудита могут включать:

• возможность проведения комплексного аудита за одно посещение;
• минимизацию времени и расстояний доставки до места (проведения аудита);
• обеспечение соответствия уровня компетентности аудиторской группы с уровнем компетентности, необходимым для достижения целей аудита;
• совмещение дат проведения аудита с наличием на месте основного состава проверяемой организации.

5.4.1. Роли и ответственности лица (лиц), осуществляющего(их) управление программой аудита

Лицу(ам), осуществляющему(им) управление программой аудита, следует:

a) установить объем программы аудита в соответствии с поставленными целями (см. 5.2) и известными ограничениями;

b) определить внешние и внутренние проблемы, риски и возможности, которые могут повлиять на программу аудита, и осуществить целенаправленные мероприятия, включив эти мероприятия в соответствующие виды аудиторской деятельности, в зависимости от рассматриваемого случая;

c) обеспечить выбор групп аудита, обладающих необходимой компетентностью для проведения аудита, определив их обязанности, ответственность и полномочия, и поддержку лидерства, по мере необходимости;

d) разработать все необходимые процессы, включая процессы:

• для координации и планирования всех аудитов в рамках программы аудита;
• разработки целей аудита, области применения и критериев, определения методов аудита и подбора аудиторской группы;
• оценки аудиторов;
• разработки внешних и внутренних процессов коммуникации, по мере необходимости;
• разрешения споров и обращения с жалобами;
• действий после аудита, если необходимо;
• предоставления отчетов заказчику аудита и соответствующим заинтересованным сторонам, в зависимости от конкретного случая;

е) определить и обеспечить снабжение всеми необходимыми ресурсами;

f) обеспечить подготовку и хранение соответствующей документированной информации, включая записи по программе аудита;

g) отслеживать, анализировать и улучшать программу аудита;

h) предоставить программу аудита заказчику и, при необходимости, всем заинтересованным сторонам.

Лицу(ам), осуществляющему(им) управление программой аудита, следует запросить ее одобрение у заказчика аудита.

Лицу(ам), осуществляющему(им) управление программой аудита, следует обладать необходимой компетентностью для эффективного и результативного управления программой и связанными с нею рисками и возможностями, а также внешними и внутренними проблемами, включая знания в следующих областях:

a) принципы (см. раздел 4), методы и процессы аудита (см. А.1 и А.2);

b) стандарты по системе менеджмента, другие соответствующие стандарты и ссылочные/руководящие документы;

c) сведения, касающиеся проверяемой организации и ее среды (например, внешние и внутренние проблемы, соответствующие заинтересованные стороны и их потребности и ожидания, деловая деятельность, продукция, услуги и процессы проверяемой организации);

d) применяемые нормативные и правовые требования и другие требования, касающиеся деятельности проверяемой организации.

При необходимости могут быть рассмотрены знания управления рисками, управления проектами и процессами, а также информационные и коммуникационные технологии.

Лицу(ам), осуществляющему(им) управление программой аудита, следует участвовать в соответствующей деятельности по постоянному профессиональному совершенствованию, в целях поддержания необходимой компетентности для управления программой аудита.

Лицу(ам), осуществляющему(им) управление программой аудита, следует определить объем программы аудита. Он может меняться в зависимости от сведений, предоставленных проверяемой организацией в отношении ее среды (см. 5.3).

Примечание — В определенных случаях, в зависимости от структуры проверяемой организации или ее деятельности, программа аудита может включать только отдельный аудит (например, в случае небольшого проекта или организации).

Другие факторы, влияющие на объем программы аудита, могут включать следующее:

a) цель, область и продолжительность каждого аудита и количество предполагаемых аудитов, включая способ отчетности и, если необходимо, действия по результатам аудита;

b) стандарты по системе менеджмента или иные применяемые критерии;

c) количество, значимость, сложность, схожесть и места деятельности, подлежащей аудиту;

d) факторы, влияющие на эффективность системы менеджмента;

е) применимые критерии аудита, такие как мероприятия, запланированные для внедрения стандартов на системы менеджмента, законодательные правовые и договорные требования и другие требования, которые организация обязуется выполнять;

f) результаты предшествующих внутренних и внешних аудитов и анализов со стороны руководства, если требуется;

g) результаты анализа предыдущей программы аудита;

h) язык, вопросы культуры и социальные вопросы;

i) проблемы заинтересованных сторон, такие как жалобы потребителей или несоблюдение законодательных и нормативных требований, других требований, которые организация обязуется выполнять, или проблемы в цепи поставок;

j) существенные изменения в среде проверяемой организации или в ее деятельности и соответствующих рисках и возможностях;

k) применяемые информации и технологии по обмену информацией в поддержку аудита, в частности, использование методов дистанционного аудита (см. А.16);

l) внешние и внутренние события, такие как несоответствие продукции или услуг, утечка информации, происшествия, влияющие на здоровье и безопасность, криминальные действия или экологические происшествия;

m) риски и возможности предпринимательства, включая действия по обращению с ними.

При определении ресурсов для программы аудита, лицу(лицам), осуществляющему(им) управление программой аудита, следует рассмотреть:

a) финансы и время, необходимые для разработки, внедрения, управления и улучшения аудиторской деятельности;

b) методы аудита (см. А.1);

c) наличие аудиторов и технических экспертов, обладающих надлежащей компетентностью для целей конкретной программы аудита для формирования группы;

d) объем программы аудита (см. 5.4.3) и риски и возможности программы аудита (см. 5.3);

e) затраченное время и стоимость транспорта для доставки аудиторов, расходы на их размещение, проживание и другие нужды;

f) влияние разницы во времени;

g) наличие информационных и коммуникационных технологий (например, технических ресурсов, требуемых для создания дистанционного аудита с использованием технологий, поддерживающих дистанционное взаимодействие);

h) наличие требуемых инструментов, технологий и оборудования;

i) наличие необходимой документированной информации, в соответствии с установленным при разработке программы аудита объемом (см. А.5);

j) требования, относящиеся к благоприятности условий проведения аудита, включая какие-либо проверки персональных данных и оборудования (например, проверка анкетных данных, средства индивидуальной защиты, специальная одежда для соблюдения режима «чистая комната»).

5.5.1. Общие положения

Как только программа аудита разработана (см. 5.4.3) и определены необходимые ресурсы (см. 5.4.4) необходимо выполнить оперативное планирование и координацию всей деятельности в рамках программы.

Лицу(ам), осуществляющему(им) управление программой аудита, следует:

a) довести до сведения заинтересованных сторон относящиеся к ним части программы аудита, включая связанные с ней риски и возможности и периодически извещать их о ее исполнении с использованием установленных каналов внешней и внутренней коммуникации;

b) определить цели, области и критерии для каждого отдельного аудита;

c) выбрать методы аудита (см. А.1);

d) координировать и разработать график аудитов и другой деятельности, связанной с программой аудита;

е) обеспечить необходимую компетентность аудиторской группы (см. 5.5.4);

f) предоставить необходимые индивидуальные и общие ресурсы аудиторской группе (см. 5.4.4);

g) обеспечить проведение аудитов в соответствии с программой аудита, управлять рисками, возможностями и проблемами (т.е. неожиданными событиями) по мере их возникновения при реализации программы аудита;

h) обеспечить управление и сохранность соответствующей документированной информацией, касающейся аудиторской деятельности, и ее ведения;

i) определить и проводить операционный контроль (см. 5.6), необходимый для мониторинга программы аудита;

j) анализировать программу аудита для того, чтобы, определить возможности для ее улучшения (см. 5.7).

5.5.2. Определение целей, области и критериев конкретного аудита

Каждый отдельный аудит следует основывать на определенных целях, области и критериях. Они должны быть согласованы с общими целями программы аудита.

Цели аудита определяют, что должно быть достигнуто с помощью отдельного аудита, и могут включать в себя следующее:

a) определение степени соответствия проверяемом системы менеджмента, или ее частей критериям аудита;

b) оценка возможности системы менеджмента обеспечить соответствие законодательным, нормативно-правовым требованиям, договорным требованиям, а также другим требованиям, которые организация обязуется выполнять;

c) оценка эффективности системы менеджмента при достижении намеченных результатов;

d) идентификация возможностей для потенциального улучшения системы менеджмента;

e) оценка пригодности и соответствия системы менеджмента в отношении среды и стратегического направления проверяемой организации;

f) оценка способности системы менеджмента установить и достичь целей, эффективно реагировать на риски и возможности в изменяющейся среде, включая выполнение соответствующих действий.

Область аудита должна соответствовать программе и целям аудита. Она включает такие факторы, как местоположение, функции, деятельность и процессы, подлежащие аудиту, а также сроки проведения аудита.

Критерии аудита используются в качестве ссылки, относительно которой определяется соответствие. Они могут включать одно или более критериев из следующего: проводимую политику, процессы, процедуры, нормы, соблюдаемые критерии, включая цели законодательные и нормативные требования, требования к системе менеджмента, информацию, включающую среду и риски, и возможности, определенные проверяемой организацией (включая требования соответствующих внешних и внутренних заинтересованных сторон), правила в проверяемой сфере или другие запланированные организационные моменты.

В случае изменения целей, области или критериев аудита программу аудита следует, при необходимости, скорректировать и сообщить об этом заинтересованным сторонам для утверждения, если требуется.

Если аудит проводится одновременно в более чем одной сфере деятельности, то важно, чтобы цели, области и критерии аудита были согласованы с программой аудита для каждой сферы. Некоторые сферы могут иметь область применения, которая отражает деятельность всей организации, а другие могут отражать деятельность только части организации.

5.5.3. Выбор и определение методов аудита

Лицу(ам), осуществляющему(им) управление программой аудита, следует выбрать и определить методы эффективного и результативного проведения аудита в зависимости от определенных целей, области и критериев аудита.

Аудит можно проводить непосредственно на месте, удаленно или комбинировано. Применение этих методов следует соответствующим образом сбалансировать, основываясь, в том числе, на рассмотрении сопутствующих рисков и возможностей.

Там, где две или более проверяющие организации проводят совместный аудит одной проверяемой организации, лицам, осуществляющим управление разными программами аудита, следует согласовать методы аудита и рассмотреть вопросы обеспечения ресурсами и планирования аудита. Если в проверяемой организации действуют две или более систем менеджмента в различных сферах деятельности, то программа аудита может включать комплексные аудиты.

Лицу(ам), осуществляющему(им) управление программой аудита, следует назначить членов аудиторской группы, включая руководителя группы и технических экспертов, необходимых для конкретного аудита.

Аудиторскую группу следует формировать с учетом компетентности, необходимой для достижения целей отдельного аудита в рамках определенной области. Если имеется только один аудитор, ему следует исполнять все применяемые обязанности руководителя группы.

Примечание — Раздел 7 содержит руководящие указания по определению компетентности, необходимой для членов аудиторской группы, и описывает процессы оценивания аудиторов.

Чтобы гарантировать общую компетентность аудиторской группы, необходимо выполнить следующие шаги:

• определение компетентности, необходимой для достижения целей аудита;
• отбор членов аудиторской группы осуществлять таким образом, чтобы группа в целом обладала необходимой компетентностью.

При принятии решения в отношении численности и состава группы для конкретного аудита, следует учесть;

a) общую компетентность аудиторской группы, необходимую для достижения целей аудита, принимая во внимание область и критерии аудита;

b) сложность аудита;

c) является ли аудит комплексным или совместным;

d) выбранные методы аудита;

e) обеспечение беспристрастности и объективности во избежание конфликта интересов в процессе аудита;

f) способность членов аудиторской группы эффективно работать и взаимодействовать с представителями проверяемой организации и соответствующими заинтересованными сторонами;

g) внешние и внутренние факторы, такие как язык аудита и социальные и культурные характеристики проверяемой организации. Эти вопросы могут рассматриваться самим аудитором, если он обладает соответствующим умением, или совместно с техническим экспертом, также учитывают необходимость в переводчиках.

h) тип и сложность процессов, подлежащих аудиту.

Там, где целесообразно, руководителю программы аудита следует обсудить с руководителем аудиторской группы состав этой группы.

Если необходимая компетентность не обеспечивается аудиторами в группе, в нее следует включить дополнительно технических экспертов необходимой квалификации.

В группу можно включить аудиторов-стажеров, которые должны работать под руководством аудитора.

В процессе аудита может потребоваться пересмотр состава группы, например в случае конфликта интересов или возникновения сомнений в компетентности. Такие ситуации следует обсудить с соответствующими сторонами (например, руководителем группы, лицом(ами), осуществляющим(ими) управление программой аудита, заказчиком аудита или проверяемой организацией) до внесения каких-либо изменений.

Лицу(ам), осуществляющему(им) управление программой аудита, следует назначить руководителя по проведению отдельного аудита.

Назначение следует сделать заранее, чтобы до начала аудита оставалось достаточно времени для эффективного планирования аудита.

Чтобы обеспечить эффективное проведение конкретного аудита, руководителю аудиторской группы следует предоставить следующую информацию в отношении:

a) цели аудита;

b) критерии аудита и любую относящуюся к делу документированную информацию;

c) область аудита, включая идентификацию организации и ее функций и процессов, подлежащих аудиту;

d) методы и процессы аудита;

е) состав аудиторской группы;

f) сведения для контактов с проверяемой организацией, места проведения аудита, даты и продолжительность проведения аудита;

g) распределение необходимых ресурсов для проведения аудита;

h) информацию, необходимую для оценки и рассмотрения выявленных рисков и возможностей для достижения целей аудита;

i) информацию, которая помогает руководителю группы при взаимодействии с проверяемой организацией для повышения результативности программы аудита.

Информация для назначения, при необходимости, также должна включать, следующее:

• рабочий язык и язык для отчетов по аудиту, если он отличается от языка аудитора или языка проверяемой организации;
• требуемое содержание отчета по аудиту и кому он должен быть представлен;
• вопросы, относящиеся к конфиденциальности и защите информации, если требуется программой аудита;
• все меры, касающиеся здоровья, безопасности и условий труда аудиторов;
• требования к доставке или доступу к удаленным объектам;
• требования к режиму безопасности и предоставлению прав доступа;
• все действия, которые следуют проверить, например действия по итогам предыдущего аудита;
• координирование с другой деятельностью по аудиту, например когда разные аудиторские группы проверяют схожие или связанные процессы в разных местах или в случае совместного аудита.

При проведении совместного аудита, важно достичь согласия среди организаций, проводящих аудиты, до его начала, относительно конкретных обязанностей каждой стороны, особенно с учетом полномочий назначенного руководителя аудиторской группы по данному аудиту.

5.5.6. Управление результатами выполнения программы аудита

Лицу(ам), осущестапяющему(им) управление программой аудита, следует обеспечить выполнение следующих мероприятий;

a) оценка достижения целей для каждого отдельного аудита в рамках программы аудита;

b) анализ и утверждение отчетов по аудиту касательно полноты охвата области и достижения целей аудита;

c) анализ результативности действий, предпринятых для решения вопросов по обнаружениям аудита;

d) представление отчетов по аудиту соответствующим заинтересованным сторонам;

е) определение необходимости дополнительных аудитов.

Руководителю программы аудита следует рассмотреть, при необходимости:

• доведение результатов аудита и передовой практики до сведения других подразделений организации;
• применение указанного выше для других процессов.

5.5.7. Управление записями по программе аудита и их сохранение

Лицу(ам), осуществляющему(им) управление программой аудита, следует обеспечить создание записей по аудиту, управление ими и их поддержание для демонстрации выполнения программы аудита. Следует установить процессы по обеспечению требуемой конфиденциальности и защиты информации, связанных с записями по аудиту.

Записи могут включать следующее:

a) записи, касающиеся программы аудита, такие как:

• график проведения аудитов;
• цели и объем программы аудита;
• риски и возможности, связанные с программой аудита, и соответствующие внешние и внутренние факторы;
• анализ результативности программы аудита;

b) записи, касающиеся каждого аудита, такие как:

• планы и отчеты по аудиту;
• объективные свидетельства и обнаружения аудита;
• отчеты о несоответствии;
• отчеты о коррекциях и корректирующих действиях;
• отчеты о последующих действиях;

c) записи, касающиеся группы, выполняющей аудит, по таким вопросам, как:

• результаты оценки компетентности и деятельности членов аудиторской группы;
• критерии выбора аудиторских групп и членов аудиторской группы и формирование групп;
• поддержание и повышение уровня компетентности.

Форма и степень подробности записей должны демонстрировать, что цели программы аудита достигнуты.

Лицу(ам), осуществляющему(им) управление программой аудита, следует обеспечить проведение оценки:

a) выполнен ли график и достигнуты ли цели программы аудита;

b) деятельности членов аудиторской группы, включая ее руководителя и технических экспертов;

c) способности аудиторских групп выполнить план аудита;

d) обратной связи с заказчиками аудита, проверяемыми организациями, аудиторами, техническими экспертами и другими причастными сторонами;

e) достаточности и адекватности документированной информации во всем процессе аудита.

Некоторые факторы могут определять необходимость изменения программы аудита. В их число могут быть включены:

• обнаружения аудита;
• демонстрируемый уровень эффективности и зрелости системы менеджмента проверяемой организации;
• результативность программы аудита;
• область аудита или область программы аудита;
• система менеджмента проверяемой организации;
• стандарты и другие требования, которые организация обязуется выполнять;
• внешние поставщики;
• выявленные конфликты интересов;
• требования заказчиков аудита.

Лицу(ам), осуществляющему(им) управление программой аудита, и заказчику аудита следует проанализировать программу аудита, чтобы определить, достигнуты ли ее цели. Выводы, полученные при анализе программы аудита, следует применять как входные данные для процесса постоянного совершенствования программы.

Лицу(ам), осуществляющему(им) управление программой аудита, следует рассмотреть следующее:

• результаты общего исполнения программы аудита;
• идентификация областей и возможностей для улучшения;
• внесение изменений в программу аудита, при необходимости;
• анализ непрерывного повышения квалификации аудиторов в соответствии с 7.6;
• отчет о результатах программы аудита и обсуждение с заказчиком аудита и соответствующими заинтересованными сторонами, насколько это уместно.

При проведении анализа программы аудита следует рассмотреть следующее:

a) реэультаты и тенденции, определенные в ходе мониторинга программы аудита;

b) соответствие процессам программы аудита и соответствующую документированную информацию;

c) меняющиеся потребности и ожидания соответствующих заинтересованных сторон;

d) записи по программе аудита;

e) альтернативные или новые методы аудита;

f) альтернативные или новые методы оценки аудиторов;

g) эффективность мер реагирования на риски, и возможности, а также на внутренние и внешние факторы, связанные с программой аудита;

h) вопросы конфиденциальности и информационной безопасности, связанной с программой аудита.

В данном разделе содержатся руководящие указания по подготовке и проведению конкретного аудита как части программы аудита. На рисунке 2 представлен обзор типовой схемы проведения аудита.

Степень, в которой положения данного раздела применимы, зависит от целей и области конкретного аудита.

6.2.1. Общие положения

Ответственность за проведение аудита следует оставить за назначенным руководителем аудиторской группы (см. 5.5.5) до завершения аудита (см. 6.6).

Чтобы инициировать аудит, следует рассмотреть шаги, описанные на рисунке 1, однако их последовательность может отличаться в зависимости от проверяемой организации, процессов и конкретных обстоятельств аудита.

6.2.2. Установление контакта с проверяемой организацией

Руководителю аудиторской группы следует обеспечить установление контакта с проверяемой организацией, чтобы:

a) подтвердить каналы связи с представителями проверяемой организации;

b) подтвердить полномочия на проведение аудита;

c) предоставить соответствующую информацию о целях, области, критериях, методах аудита, а также о составе аудиторской группы, включая технических экспертов;

d) обратиться с заявкой на получение соответствующей информации для целей планирования, включая информацию о рисках и возможностях, определенных организацией и способы работы с ними;

e) определить применяемые законодательные и нормативные правовые требования, а также требования, соответствующие деятельности, процессам, продукции и услугам проверяемой организации;

f) подтвердить соглашение с проверяемой организацией в отношении степени раскрытия и обработки конфиденциальной информации;

g) разрабатывать мероприятия, необходимые для проведения аудита, включая график;

h) определить положения, связанные с местоположением проверяемой организации, в отношении доступа, здоровья и безопасности, режима секретности, конфиденциальности и т. п.;

i) согласовать вопрос о присутствии наблюдателей и необходимости в сопровождающих или переводчиках для аудиторской группы;

j) определить области, которые предоставляют интерес, вызывают озабоченность или представляют риски проверяемой организации в связи с конкретным аудитом;

k) решить проблемы в отношении состава аудиторской группы с проверяемой стороной или заказчиком аудита.

6.2.3. Определение возможности проведения аудита

Осуществимость аудита следует определить для того, чтобы получить обоснованную уверенность, что цели аудита могут быть достигнуты.

Для определения осуществимости следует рассмотреть такие факторы, как наличие:

a) достаточной и надлежащей информации для планирования и проведения аудита;

b) соответствующего сотрудничества со стороны проверяемой организации;

c) необходимого времени и ресурсов для проведения аудита.

Примечание — Ресурсы включают адекватную и подходящую информационную и коммуникационную технологию.

Там, где аудит неосуществим, заказчику аудита следует предложить альтернативу по согласованию с проверяемой организацией.

6.3.1. Выполнение анализа документированной информации

Следует проанализировать соответствующую документированную информацию на систему менеджмента проверяемой организации, чтобы:

• собрать информацию для понимания функций проверяемой организации и подготовки к аудиту и разработке рабочих документов (см. 6.3.4), например на процессы, функции;
• составить общее представление об объеме документированной информации, чтобы определить возможное соответствие критериям аудита, возможные проблемные области, такие, как недостатки, упущения или конфликты.

В документированную информацию следует включить, но не ограничиваясь этим: документы на систему менеджмента и записи системы менеджмента, а также отчеты о предыдущих аудитах. При анализе документов следует учитывать среду проверяемой организации, включая ее размер, характер и сложность, а также связанные с этим риски и возможности. Также следует использовать область, критерии и цели аудита.

Примечание — Руководящие указания по проверке информации представлены в А.5.

6.3.2. Планирование аудита

6.3.2.1. Риск — ориентированный подход к планированию

Руководителю аудиторской группы следует принять риск-ориентированный подход для планирования аудита на основе информации, содержащейся в программе аудита и в документированной информации, предоставленной проверяемой организацией.

При планировании аудита следует учесть риски аудиторской деятельности в отношении процессов проверяемой организации и обеспечить основу для соглашения между заказчиком аудита, аудиторской группой и проверяемой организацией в отношении проведения аудита. Планирование должно обеспечить эффективный график и координацию проведений аудита, чтобы достигнуть цель аудита эффективно.

Подробность плана аудита должна отражать область и сложность аудита, а также риск недостижения целей аудита. При разработке плана аудита руководителю аудиторской группы следует рассмотреть:

a) состав аудиторской группы и ее общую компетентность;

b) подходящие методы выборки (см. А.6);

c) возможности повышения результативности и эффективности аудиторской деятельности;

d) риски при достижении целей аудита, связанные с неэффективным планированием аудита;

e) риски для проверяемой организации, создаваемые аудитом.

Риски для проверяемой организации могут возникать вследствие присутствия членов аудиторской группы, влияющих на обеспечение требований в области охраны труда, экологии и качества, и их присутствие может представлять определенную угрозу для продукции, услуг, персонала или инфраструктуры проверяемой организации (например, из-за загрязнений в чистых помещениях).

Для комплексных аудитов особое внимание следует уделять взаимодействиям между рабочими процессами и конкурирующими целями и приоритетами различных систем менеджмента.

6.3.2.2. Подробности планирования аудита

Масштаб и содержание плана аудита могут быть различными, например, для первоначального и последующих аудитов, а также для внутреннего и внешнего аудитов. План аудита должен быть достаточно гибким, чтобы можно было вносить в него изменения, которые могут стать необходимыми в процессе проведения аудита.

В плане аудита следует отразить или дать ссылки на следующее:

a) цели аудита;

b) область аудита, включая идентификацию организации и ее функции, а также процессы, подлежащие аудиту;

c) критерии аудита и всю представленную на рассмотрение документированную информацию;

d) места (физические и виртуальные), даты, ожидаемые сроки и продолжительность аудиторской деятельности, включая встречи с руководством проверяемой организации;

e) необходимость для аудиторской группы ознакомиться с оборудованием и процессами проверяемой организации (например, проведя поездку по объектам или путем применения информационной и коммуникационной технологии);

f) методы аудита, которые предполагается использовать, включая объем выборки при аудиторской проверке, которая необходима для получения достаточного аудиторского свидетельства;

g) функции и обязанности членов аудиторской группы, а также сопровождающих лиц и наблюдателей;

h) распределение необходимых ресурсов на основе анализа рисков и возможностей, связанных с проверяемой деятельностью организации.

В плане аудита следует учесть, если это приемлемо, следующее:

• определение представителя проверяемой организации для аудита;
• рабочий язык и язык отчетов по аудиту, если он отличается от языка аудитора и/или от языка проверяемой организации;
• вопросы, которые следует отразить в отчете по аудиту;
• мероприятия, касающиеся логистики и связи, включая конкретные мероприятия е отношении мест, где будет проводиться аудит;
• все конкретные меры, которые предполагается предпринять, чтобы учесть влияние рисков на достижение целей аудита и возникающие возможности;
• вопросы, связанные с конфиденциальностью и защитой информации;
• все действия по результатам предшествующего аудита или других источников, например полученных уроков, анализа проектов;
• все действия по результатам запланированного аудита;
• координацию с деятельностью других аудиторов в случае совместного аудита.

План аудита следует представить проверяемой организации. Все вопросы в отношении плана аудита следует решить между руководителями аудиторской группы, проверяемой организации и при необходимости, лицом(ам), осуществляющим(ими) управление программой аудита.

6.3.3. Распределение работы среди членов аудиторской группы

Руководителю аудиторской группы, при консультации с членами группы, следует распределить обязанности и назначить лиц, ответственных за конкретные процессы, действия, функции или места проведения аудита и, соответственно, полномочия для принятия решений. Такие назначения следует проводить с учетом беспристрастности и объективности аудиторов, их компетентности, эффективности использования ресурсов, а также различных функций и обязанностей аудиторов, стажеров и технических экспертов.

Руководителю аудиторской группы следует, по необходимости, проводить короткие совещания аудиторской группы, чтобы распределить рабочие задания и решить вопрос о возможных изменениях.

Изменения в рабочие задания могут быть внесены в процессе аудита, чтобы обеспечить достижение целей аудита.

Членам аудиторской группы следует подобрать и проанализировать информацию, касающуюся их заданий, и подготовить необходимую документированную информацию для аудита, используя соответствующие носители. Документированная информация для аудита может включать, но не ограничиваясь, следующее:

a) контрольные перечни вопросов (чек-листы) на физических или электронных носителях;

b) планы выборок для аудита;

c) аудиовизуальную информацию.

Применением этих носителей не следует ограничивать объем аудиторской деятельности, которая может измениться в результате информации, собранной в процессе аудита.

Примечание — Руководящие указания по подготовке рабочих документов приведены в А.13.

Документированную информацию, подготовленную и полученную в ходе аудита, следует хранить, по крайней мере, до завершения аудита, или столько времени, сколько указано в программе аудита. Сохранение документированной информации после завершения аудита описано в 6.6. Членам аудиторской группы следует всегда должным образом защищать документированную информацию, созданную в процессе аудита и включающую конфиденциальную или частную информацию.

6.4.1. Общие положения

Аудиторская деятельность обычно осуществляется в определенной последовательности, как показано на рисунке 1. Эта последовательность может меняться в зависимости от обстоятельств конкретного аудита.

6.4.2. Распределение ролей и обязанностей, сопровождающих и наблюдателей

Сопровождающие и наблюдатели могут находиться с аудиторской группой с одобрения руководителя группы, заказчика аудита и/или проверяемой организации, если требуется. Они не должны оказывать влияние или вмешиваться в ход аудита. Если это невозможно гарантировать, руководителю аудиторской группы следует дать право отказать наблюдателям присутствовать во время определенных видов аудиторской деятельности.

Для наблюдателей все вопросы доступа, здоровья и безопасности, охраны окружающей среды, конфиденциальности и защиты информации следует оговаривать с заказчиком аудита и проверяемой организацией.

Сопровождающие, назначаемые проверяемой организацией, должны помогать аудиторской группе и подчиняться ее руководителю или аудитору, к которому их прикрепляют. В обязанности сопровождающих следует включить:

a) помощь аудиторам в определении работников для проведения опроса и согласование время и места проведения интервью;

b) организация доступа в конкретные места проверяемой организации;

c) обеспечение того, чтобы правила для специфики конкретного местоположения, касающиеся доступа, здоровья и безопасности, охраны окружающей среды, защиты конфиденциальности и другие были известны и принимались во внимание членами аудиторской группы и наблюдателям и любые риски были учтены;

d) наблюдение за ходом аудита от имени проверяемой организации, когда это целесообразно;

e) пояснения или содействие в сборе информации, когда это необходимо.

6.4.3. Проведение вступительного заседания

Цель такого заседания заключается в следующем:

a) подтвердить согласие всех сторон (например, проверяемой организации, аудиторской группы) с планом аудита;

b) представить аудиторскую группу и разъяснить их функции;

c) удостовериться в том, что запланированный аудит может быть выполнен.

Открывающее аудит заседание следует проводить вместе с руководством проверяемой организации и, где необходимо, с лицами, ответственными за функции или процессы, подлежащие аудиту.

На заседании следует обеспечить возможность задавать вопросы.

Степень детализации должна соответствовать осведомленности проверяемой организацией о процессе аудита. Во многих случаях, например при проведении внутреннего аудита в небольших организациях, вступительное заседание может просто состоять из сообщения о том, что проводится аудит, и из объяснения характера этого аудита.

В других случаях заседание может быть официальным, и списки присутствующих следует сохранять. Заседание следует проводить под председательством руководителя аудиторской группы. На заседании следует, соответственно, обсудить:

• других участников, включая наблюдателей, сопровождающих лиц и переводчиков, с указанием их роли в аудите;
• методы проведения аудита для управления рисками в организации из-за присутствия членов аудиторской группы.

Следует рассмотреть подтверждение следующих вопросов, в зависимости от обстоятельств:

• целей, области, критериев аудита;
• плана проведения аудита, и другие относящиеся к делу соглашения с проверяемой организацией, например в отношении даты и времени проведения заключительного заседания, всех промежуточных заседаний аудиторской группы и руководства проверяемой организации и необходимости каких-либо изменений;
• официальных каналов связи между аудиторской группой и проверяемой организацией;
• языка, используемого при аудите;
• информируемость проверяемой организации и о ходе аудита во время его проведения;
• наличие ресурсов и средств, необходимых аудиторской группе;
• вопросы, связанные с конфиденциальностью и защитой информации;
• соответствующие мероприятия обеспечения доступа здоровья и безопасности, защиты, безопасности в чрезвычайной ситуации для аудиторской группы и другие меры;
• работа на объекте, который может повлиять на проведение аудита.

Следует рассмотреть представление информации по следующим вопросам, в зависимости от обстоятельств:

• способы сообщения обнаружений аудита, включая критерии для их классификации, если таковые имеются;
• условия, при которых аудит может быть прекращен;
• как поступать с обнаружениями аудита в процессе его проведения;
• системе обратной связи от проверяемой организации по поводу обнаружений или заключений аудита, включая жалобы или апелляции.

6.4.4. Обмен информацией в ходе аудита

В ходе аудита может потребоваться разработка официальных процедур по обмену информацией внутри аудиторской группы, а также с проверяемой организацией, заказчиком аудита и, возможно, внешними заинтересованными сторонами (например, регулирующими органами), особенно тогда, когда законодательные и нормативные правовые требования предписывают обязательную отчетность о несоответствиях.

Аудиторской группе следует периодически собираться для обмена информацией, оценки хода аудита и, в случае необходимости, перераспределению заданий между членами аудиторской группы.

Во время аудита руководителю аудиторской группы следует периодически информировать о ходе аудита и обо всех возникающих вопросах и значимых обнаружениях проверяемую организацию и заказчика аудита, по обстоятельствам. Свидетельство, полученное во время аудита, относительно предполагаемого непосредственного и существенного риска, должно быть представлено без задержки проверяемой организации и, если необходимо, заказчику аудита. Все, важное, но выходящее за рамки области аудита, следует фиксировать и сообщать руководителю аудиторской группы для возможной передачи заказчику аудита и проверяемой организации.

В случае, когда имеющееся свидетельство аудита указывает на недостижимость целей аудита, аудиторской группы следует сообщить заказчику аудита и проверяемой организации о причинах этого, с тем чтобы определить соответствующее действие. Такое действие может включать изменение плана аудита, изменение целей или области аудита или его прекращение.

Любую необходимость изменений плана аудита, которая становится очевидной в ходе его выполнения, следует анализировать и утверждать должным образом как лицу(ам), осуществляющему(им) управление программой аудита, так и проверяемой организации.

6.4.5. Наличие и доступ к информации по аудиту

Методы, выбранные для аудита, зависят от определенных целей, области и критериев, а также от продолжительности и месте проведения аудита. Место проведения аудита — это место нахождения требуемой для конкретного аудита информации, доступное для аудиторской группы. Сюда могут быть включены физические и виртуальные местоположения.

Где, когда и как получить информацию является важным вопросом для аудита. Это не зависит от того, где создана, используется и/или хранится информация. Методы аудита необходимо определять на основе этих вопросов (см. таблицу А.1). При аудите можно использовать несколько методов. Обстоятельства аудита могут диктовать необходимость изменения методов в процессе аудита.

6.4.6. Анализ документированной информации в ходе проведения аудита

Следует проанализировать относящуюся к аудиту документированную информацию проверяемой организации, чтобы:

• определить соответствие системы критериям аудита в части документирования;
• собрать информацию необходимую для проведения аудита.

Примечание — Руководящие указания по проверке информации приведены в А.5.

Анализ информации может сочетаться с другой аудиторской деятельностью и продолжаться в процессе аудита, при условии, что это не повредит эффективности аудита.

Если документированная информация не могла быть представлена в сроки, установленные в программе аудита, то руководителю группы следует уведомить об этом лицо (лиц), осуществляющее(их) управление программой аудита, и проверяемую организацию. В зависимости от целей и области аудита следует принять решение, продолжать аудит или приостановить процесс до разрешения вопросов, связанных с документированной информацией.

6.4.7. Сбор и проверка информации

Во время аудита информация, относящаяся к целям, области и критериям аудита, включая информацию, касающуюся взаимосвязей между функциями, деятельностью и процессами, должна быть собрана путем соответствующих выборок и проверена.

Примечания
1. Информацию по проверке см. в А.5.
2. Руководящие указания по выборкам см. в А.6.

Только информация, которая может быть проверена в той или иной степени, может быть свидетельством аудита. При низкой степени подтверждения информации аудитору следует использовать профессиональные навыки для определения степени надежности, которая позволит принять информацию в качестве свидетельства аудита. Свидетельства аудита, приводящие к обнаружениям аудита, должны быть записаны. Если при сборе объективного свидетельства аудиторская группа узнает о новых или изменившихся обстоятельствах, или рисках, или возможностях, их следует соответствующим образом учесть.

На рисунке 2 представлен обзор типового процесса от сбора информации до получения заключений по аудиту.

Рисунок 2 — Обзор типового процесса сбора и проверки данных

Методы сбора информации включают, но не ограничиваясь, следующее:

• опросы;
• наблюдения;
• анализ документированной информации.

Примечание 3 — Руководящие указания по выбору источников информации и наблюдению приведено в А.14.
Примечание 4 — Руководящие указания по посещению мест проверяемой организации приведено в А.15.
Примечание 5 — Руководящие указания по проведению опросов интервью приведено в А.17.

6.4.8. Формирование обнаружений аудита

Свидетельство аудита следует оценивать по критериям аудита, чтобы получить обнаружения аудита. Обнаружения аудита могут показать соответствие или несоответствие критериям аудита.

Если указано в плане аудита, отдельные обнаружения аудита следует включить как соответствующие критериям и как часть надлежащей практики вместе с подтверждающим их свидетельством, возможностями улучшения и рекомендациями для проверяемой организации.

Несоответствия и подтверждающее их свидетельство аудита необходимо зафиксировать.

Несоответствия могут классифицироваться в зависимости от среды организации и ее рисков. Эта оценка может быть количественной (например, от 1 до 5) или качественной (например, незначительное, значительное). Их следует проанализировать совместно с проверяемой организацией, чтобы получить подтверждение, что свидетельство аудита является точным и что несоответствия поняты. Следует принять все меры для согласования различающихся мнений в отношении свидетельства аудита или обнаружений аудита, а неразрешенные пункты зарегистрировать в отчете по аудиту.

Аудиторской группе следует провести совещание, необходимое для анализа обнаружений аудита на определенных этапах в ходе аудита.

Примечания
1. Дополнительные руководящие указания по идентификации и оценке обнаружений аудита приведены в А.18.
2. Соответствие или несоответствие критериям аудита, относительно законодательных и договорных требований или иных требований, иногда называют как соблюдение или несоблюдение.

6.4.9. Подготовка заключений по аудиту

6.4.9.1. Подготовка к заключительному заседанию

Аудиторская группа до заключительного заседания должна осуществить следующие мероприятия:

а) рассмотреть обнаружения аудита и другую соответствующую информацию, собранную во время аудита, на соответствие целям аудита;

b) согласовать заключения аудита с учетом неопределенности, присущей процессу аудита;

с) подготовить рекомендации, если это предусмотрено в плане аудита;

d) обсудить последующие действия, если потребуется.

6.4.9.2. Содержание заключений по аудиту

Заключения по аудиту могут охватывать следующие вопросы:

а) степень соответствия критериям аудита и работоспособность системы менеджмента, включая результативность системы менеджмента в достижении запланированных результатов, идентификации рисков и результативности действий, выполненных проверяемой организацией в отношении рисков;

b) результативное внедрение, поддержание и улучшение системы менеджмента;

с) достижение целей аудита, охват области аудита и выполнение критериев аудита;

d) аналогичные выводы, сделанные в различных областях, которые прошли аудит с целью идентификации тенденций.

Если внесено в план аудита, по заключениям аудита можно дать рекомендации по улучшению или по будущей аудиторской деятельности.

6.4.10. Проведение заключительного заседания

Заключительное заседание следует провести, чтобы представить обнаружения и заключения аудита.

Заключительное заседание следует проводить под председательством руководителя аудиторской группы в присутствии руководства проверяемой организации и при участии, по необходимости;

• ответственных за функции или процессы, которые прошли аудит;
• заказчика аудита;
• других членов аудиторской группы;
• других заинтересованных сторон, определенных заказчиком аудита и/или проверяемой организацией.

Если это необходимо, руководителю аудиторской группы следует информировать проверяемую организацию относительно ситуаций, возникших во время аудита, которые могут уменьшить доверие к заключениям аудиту. Если это определено в системе менеджмента или по соглашению с заказчиком аудита, участники должны договориться о временных рамках для представления плана действий по реагированию на обнаружения аудита.

Уровень детализации должен учитывать эффективность системы менеджмента в достижении целей проверяемой организацией, включая рассмотрение ее среды и рисков и возможностей.

На заключительном заседании следует принять во внимание осведомленность проверяемой организации в процессе проведения аудита, чтобы обеспечить надлежащий уровень детализации для участников.

Для некоторых ситуаций заседание может быть официальным, с ведением протокола, регистрацией присутствующих и с сохранением их списка. В других случаях, например при внутренних аудитах, заключительное заседание менее формально и может включать только сообщение об обнаружениях и заключениях аудита.

Если уместно, на заключительном заседании можно пояснить проверяемой организации следующее;

a) что собранное свидетельство аудита было основано на выборке из имеющейся информации и не обязательно является полностью репрезентативным для общей результативности процессов проверяемой организации:

b) способ подготовки отчетности;

c) согласованный процесс обработки обнаружений аудита;

d) возможные последствия неправильной обработки обнаружений аудита;

e) представление обнаружений и заключений аудита таким образом, чтобы это было понятно и принято к сведению руководством проверяемой организации;

f) все виды деятельности после аудита (например, выполнение и анализ корректирующих действий, рассмотрение жалоб, процесс апелляции).

Все мнения, расходящиеся относительно обнаружений и заключений по аудиту, следует обсудить между собой аудиторской группе вместе с проверяемой организацией и. по возможности, прийти к соглашению. В противном случае следует записать эти мнения.

Если это входит в цели аудита, могут быть представлены рекомендации по улучшению. Следует подчеркнуть, что рекомендации не являются обязательными.

6.5.1. Подготовка отчета по аудиту

Руководителю аудиторской группы следует составить отчет о заключениях по аудиту в соответствии с программой аудита. Отчет по аудиту должен содержать полные, точные, сжатые и понятные записи по аудиту и включать или иметь ссылки:

a) цели аудита;

b) область аудита, в частности, идентификацию организации (аудитируемой) и функциональных подразделений или процессов, подлежащих аудиту;

c) идентификация заказчика аудита;

d) идентификация аудиторской группы и участников от проверяемой организации в аудите;

e) даты и места проведения аудита;

f) критерии аудита;

g) обнаружения аудита и соответствующее свидетельство аудита;

h) заключения аудита;

i) заявление о степени соответствия критериям аудита;

j) все неразрешенные спорные вопросы между аудиторской группой и проверенной организацией;

k) то, что аудиты по характеру связаны с выборками; это имеет риск получения и изучения нерепрезентативного свидетельства аудита.

Отчет по аудиту может также включать или давать ссылки на следующее, насколько уместно:

• план аудита, включая график проведения;
• краткое описание процесса аудита, включая все возникшие препятствия, которые могут снизить достоверность заключений аудита;
• подтверждение того, что цели аудита достигнуты в рамках области аудита и в соответствии с планом аудита;
• все неохваченные части в области аудита, включая все факторы наличия свидетельства, ресурсов или конфиденциальности с соответствующими обоснованиями;
• краткое описание заключений аудита и основные обнаружения аудита, подтверждающие эти заключения;
• выявленная положительная практика;
• согласованный план последующих действий, если таковые имеются;
• заявление о конфиденциальном характере содержания отчета;
• любые последствия для программы аудита или последующих аудитов.

6.5.2. Рассылка отчета по аудиту

Отчет по аудиту следует подготовить в согласованные сроки. В случае задержки о причинах задержки следует сообщить проверяемой организации и лицу(ам), осуществляющему(им) управление программой аудита.

Отчет по аудиту следует датировать, проанализировать и утвердить в соответствии с программой аудита.

Отчет по аудиту следует разослать соответствующим заинтересованным сторонам, определенным в программе аудита или планом аудита.

При рассылке отчета необходимо предусмотреть соответствующие меры по обеспечению конфиденциальности.

Аудит считается завершенным, когда все запланированные мероприятия аудита выполнены или достигнуто иное соглашение с заказчиком аудита (например, в случае непредвиденных обстоятельств, которые мешают завершению аудита в соответствии с планом).

Документированную информацию, имеющую отношение к аудиту, следует хранить или уничтожить на основании договоренности между участвующими сторонами в соответствии с программой аудита и действующими требованиями.

Если это не предусмотрено законом, аудиторская группа и лицо(а), осуществляющее(ие) управление программой аудита, не должны раскрывать информацию, полученную во время аудита, или содержание отчетов по аудиту любой другой стороне без прямого разрешения заказчика аудита и, где это требуется, разрешения проверяемой организации. Если потребовалось раскрыть содержание документов аудита, заказчик аудита и проверяемая организация должны быть уведомлены об этом как можно скорее.

Уроки аудита необходимо использовать в процессе идентификации рисков и возможностей для программы аудита и проверяемой организации.

Результаты аудита могут, в зависимости от целей аудита, указывать на необходимость коррекции, корректирующих действий или на возможности улучшения. Такие мероприятия обычно, решаются и предпринимаются проверяемой организацией в согласованные сроки. Как правило, проверяемая организация держит руководителя программы аудита и/или аудиторскую группу в курсе этих действий.

Следует верифицировать завершение и результативность этих действий. Эта верификация может быть частью последующего аудита. Результаты можно сообщить руководителю программы аудита, заказчику аудита для анализа менеджмента.

Доверие к процессу аудита и его способности достигнуть поставленные цели зависят от компетентности тех, кто участвует в планировании и проведении аудитов, включая аудиторов и руководителей аудиторских групп. Компетентность следует оценивать систематически путем учета личных качеств и способности к применению знаний и навыков, полученных при обучении, опыте работы, аудиторской подготовке и опыте работы в качестве аудитора. При этом следует также учитывать требования программы аудита и ее цели. Некоторые знания и навыки, описанные в 7.2.3, являются общими для аудиторов, проверяющих любые системы менеджмента; другие являются специфичными для отдельных дисциплин системы менеджмента. Нет необходимости в том, чтобы каждый аудитор в группе имел одинаковую компетентность; в то же время общая компетентность группы должна быть достаточной для достижения целей аудита.

Оценку компетентности аудитора следует планировать, выполнять и документировать, чтобы обеспечить результат, являющийся объективным, последовательным, честным и надежным. Процесс оценивания должен включать четыре основных этапа, а именно:

a) определить требуемую компетентность для выполнения потребностей программы аудита;

b) установить критерии оценки;

c) выбрать подходящий метод оценки;

d) выполнить оценку.

Результат процесса оценивания следует использовать как основу:

• для отбора членов аудиторской группы (в соответствии с 5.4.4);
• определения потребности в повышении компетентности (например, дополнительное обучение);
• постоянной оценки деятельности аудиторов.

Аудиторам следует развивать, поддерживать и повышать свою компетентность путем постоянного профессионального развития и регулярного участия в аудитах (см. 7.6).

Процесс оценивания аудиторов и руководителей аудиторском группы описан в 7.3, 7.4 и 7.5.

Аудиторы и руководители аудиторской группы должны проходить оценку по критериям, установленным в 7.2.2 и 7.2.3, а также по критериям, указанным в 7.1.

Компетентность, требуемая от руководителя программы аудита, описана в 5.4.2.

7.2.1. Общие положения

При принятии решения о необходимой компетентности для выполнения аудита, знаниях и навыках аудитора следует учитывать:

a) размер, характер и сложность, продукцию, услуги и процессы организации, подлежащей аудиту;

b) методы аудита;

c) аспекты системы менеджмента, подлежащей аудиту;

d) сложность и процессы системы менеджмента, подлежащей аудиту;

e) типы и уровни рисков и возможностей, связанных с системой менеджмента;

f) цели и объем программы аудита;

g) неопределенность в достижении целей аудита;

h) другие требования, такие как предъявляемые заказчиком аудита и другими заинтересованными сторонами, где это уместно.

Эту информацию следует согласовать с данными, приведенными в 7.2.3.

Аудиторам следует обладать необходимыми качествами, позволяющими им действовать в соответствии с принципами аудита, как описано в разделе 4. Аудиторам следует демонстрировать профессиональные качества в процессе аудита.

Желаемые профессиональные качества включают:

a) этичность, т. е. порядочность, правдивость, искренность, честность и рассудительность;

b) открытость ума, т. е. желание прислушиваться к альтернативным идеям или точкам зрения;

c) дипломатичность, т. е. тактичность при работе с людьми;

d) наблюдательность, т. е. активное наблюдение физического окружения и деятельности;

е) проницательность, т. е. знание и способность понимания ситуаций;

f) гибкость, т. е. способность быстро адаптироваться к различным ситуациям;

g) упорство, т. е. настойчивость и стремление к достижению целей;

h) решительность, т. е. способность принимать своевременные решения на основе логических умозаключений и анализа;

i) уверенность в себе, т. е. способность действовать и функционировать независимо, в то же время эффективно взаимодействовать с другими;

j) настойчивость, т. е. способность действовать ответственно и не нарушать этики, даже если такое поведение не всегда будет популярным и иногда может привести к разногласиям и конфронтации;

k) готовность к совершенствованию, т. е. желание учиться в разных ситуациях;

l) восприимчивость к культуре, т. е. внимание и уважение культуре проверяемой организации;

m) контактность, т. е. умение эффективно взаимодействовать с другими, включая членов аудиторской группы и персонал проверяемой организации.

7.2.3.1. Общие положения

Аудиторы должны обладать:

a) знаниями и навыками, необходимыми для достижения намеченных результатов аудитов, в которых им придется участвовать;

Ь) общей компетентностью, а также определенным уровнем знаний и навыков, в конкретных отраслях экономической деятельности и дисциплинах систем менеджмента.

Руководителям аудиторских групп следует иметь дополнительные знания, необходимые для обеспечения руководства группой.

7.2.3.2. Общие знания и навыки аудиторов по системам менеджмента

Аудиторам следует обладать знаниями и навыками в областях, указанных ниже.

а) Принципы проведения аудита, процедуры и методы: знания и навыки в этой области позволяют аудитору гарантировать, что аудиты проводятся последовательно и методично.

Аудитору следует уметь следующее:

• понимать типы рисков и возможностей, связанных с аудитом и принципы подхода на основе оценки рисков для аудита;
• эффективно планировать и организовывать работу;
• проводить аудит в рамках согласованного графика;
• отдавать приоритет более важным вопросам и сосредоточиваться на них;
• эффективно, в устной и письменной формах обмениваться информацией (лично или через переводчика);
• собирать информацию посредством эффективного опроса, слушания, наблюдения и анализа документов, записей и данных;
• понимать уместность и последствия использования техники выборки для аудита;
• понимать и учитывать мнение технических экспертов;
• проводить аудит от начала и до конца, включая взаимодействия с другими процессами и различными функциями, в зависимости от обстоятельств;
• проверять соответствие и точность собранной информации;
• подтверждать достаточность и приемлемость свидетельства аудита, чтобы подтвердить обнаружения и заключения аудита;
• оценивать те факторы, которые могут влиять на достоверность обнаружений и заключений аудита;
• документировать деятельность и обнаружения аудита и подготавливать соответствующие отчеты по аудиту;
• сохранять конфиденциальность и защиту информации.

b) Стандарты на системы менеджмента и другие ссылочные документы: знания и навыки в этой области позволяют аудитору разобраться в области аудита и применять его критерии, а также охватить следующее:

• стандарты на системы менеджмента или другие нормативные документы или руководящие указания, используемые для разработки критериев или методов аудита;
• применение стандартов на системы менеджмента проверяемой организацией и другими организациями;
• взаимосвязь и взаимодействие между процессами системы менеджмента;
• понимание важности и приоритета нескольких стандартов или ссылочных документов;
• применение стандартов или ссылочных документов в различных ситуациях аудита.

c) Организация и ее среда: знания и навыки в этой области, позволяют аудитору понимать структуру аудитируемой организации, ее цели и практические методы менеджмента, а также охватить следующее:

• потребности и ожидания соответствующих заинтересованных сторон, оказывающих влияние на систему менеджмента;
• тип организации, методы руководства, размер, структуру, функциональные подразделения, а также взаимоотношения;
• общие концепции бизнеса и управления, процессы и соответствующую терминологию, включая планирование, бюджет и управление персоналом;
• культурные и социальные аспекты проверяемой организации.

d) Применяемые законодательные и нормативно-правовые требования, а также другие требования: знания и навыки в этой области позволяют аудитору знать и работать с учетом требований организации. Знания и навыки, касающиеся юрисдикции или деятельности проверяемой организации, ее процессов, продукции и услуг, должны охватывать:

• законодательные и нормативно-правовые требования и устанавливающие их органы;
• основную официальную терминологию;
• заключение договоров и ответственность.

Примечание — Знание законодательных и нормативных правовых требований не подразумевает юридической экспертизы, а аудит системы менеджмента не следует считать аудитом соблюдения законодательных требований.

7.2.3.3. Компетентность аудиторов в конкретном секторе или по конкретным дисциплинам

Командам аудита следует обладать совокупной компетентностью е области систем менеджмента и отраслей экономической деятельности, подходящей для проведения аудита конкретных видов систем менеджмента и отраслей экономической деятельности.

Знания и навыки аудиторов по определенным дисциплинам или в определенной отрасли включают следующее:

a) требования и принципы системы менеджмента, и их применение;

b) основные принципы дисциплин(ы) и сектора(ов), установленные стандартами на системы менеджмента, применяемыми проверяемой стороной;

c) применение методов, техники, процессов и практики связанных с определенной дисциплиной или сектором, позволяющих аудиторской группе оценить соответствие в рамках определенной области аудита и получить соответствующие обнаружения и заключения аудита;

d) принципы, методы и техника менеджмента рисков, касающиеся определенных дисциплин и сектора, так чтобы аудитор мог определить и оценить риск и возможности, связанными с целями аудита.

Для того чтобы обеспечить результативность и эффективное проведение аудита, руководителю аудиторской группы следует иметь компетентность:

a) в планировании аудита и постановка задач согласно конкретной компетентности отдельных членов аудиторской группы;

b) обсуждении стратегических вопросов с высшим руководством проверяемой организации, чтобы определить рассматривались ли эти вопросы при оценивании их рисков и возможностей;

c) разработке и поддержании контактов между членами аудиторской группы с целью сотрудничества:

d) управлении процессом аудита, включая:

• эффективное использование ресурсов в процессе аудита;
• управление неопределенностью достижения целей аудита;
• охрану здоровья и безопасность членов аудиторской группы в ходе аудита, включая обеспечение соблюдения аудиторами соответствующих требований к охране здоровья, безопасности и защите;
• направление деятельности членов аудиторской группы;
• указание направлений работы и предоставление руководящих указаний аудиторам-стажерам;
• предотвращение и разрешение конфликтов и проблем, которые могут возникнуть в процессе аудита, включая конфликты внутри аудиторской группы, по мере необходимости;

e) представлении аудиторской группы при обмене информацией с лицом(ами), осуществляющим(ими) управление программы аудита, заказчиком аудита и проверяемой организацией;

f) руководстве группой при подготовке заключений аудита;

g) подготовке и оформлении отчета по аудиту.

7.2.3.5. Знания и навыки для проведения аудита нескольких разных систем менеджмента

При проведении аудитов систем менеджмента нескольких дисциплин, члену группы аудита следует обладать пониманием взаимодействий и синергии между разными системами менеджмента.

Руководителям аудиторских групп следует понимать требования каждого из стандартов на систему менеджмента и осознавать границы своих знаний и навыков в каждой из дисциплин.

Примечание — Аудиты по нескольким дисциплинам систем менеджмента, проводимые одновременно, могут представлять собой комбинированный аудит или аудит интегрированной системы менеджмента, охватывающей несколько дисциплин.

7.2.4. Достижение компетентности аудитора

Компетентность аудитора можно приобрести, используя сочетание следующих способов:

a) освоение обучающих программ, которые охватывают общие знания и навыки аудитора;

b) приобретение опыта на соответствующей технической, управленческой или профессиональной должности, включая опыт суждения, принятия решений, решения проблем и обмена информацией с руководителями, специалистами, коллегами, заказчиками и другими заинтересованными сторонами;

c) образование/подготовка и опыт в конкретной дисциплине и секторе системы менеджмента, которые вносят вклад в развитие общей компетентности;

d) приобретение опыта аудита под наблюдением аудитора компетентного по той же дисциплине.

Примечание — Успешное окончание курса подготовки будет зависеть от типа курса. Для курсов с экзаменами это может означать успешную сдачу экзаменов. Для других курсов — участие и прохождение программы курса.

7.2.5. Компетентность руководителя аудиторских групп

Руководителю аудиторской группы следует приобрести дополнительный опыт для расширения компетентности, приведенной в 7.2.3.4. Этот дополнительный опыт следует приобрести, работая под руководством и на основе руководящих указаний другого руководителя команды аудита.

Критерии должны быть качественными (например, такими, которые демонстрируют личные качества, знания или эффективность навыков при обучении или на рабочем месте) и количественными (такими, как стаж работы и образование, количество проведенных аудитов, часов подготовки по аудиту).

Оценивание следует проводить, используя два или более методов, выбранных по таблице 2. При использовании таблицы 2, необходимо отметить следующее:

a) указанные методы представляют спектр вариантов и могут не подходить к любой ситуации;

b) различные методы могут отличаться друг от друга надежностью;

c) следует использовать сочетание методов, чтобы обеспечить объективный, последовательный, беспристрастный и надежный результат.

Таблица 2 — Методы оценивания аудиторов

Информацию, собранную о данном аудиторе, следует сопоставить с критериями, указанными в 7.2.3. Если оцениваемый аудитор, участие которого предполагается в программе аудита не соответствует этим критериям, то ему следует пройти дополнительную подготовку, обучение, поработать и приобрести дополнительный опыт по аудиту и снова пройти оценивание.

Аудиторам и руководителям групп по аудиту следует постоянно повышать свою компетентность.

Аудиторам следует поддерживать свою компетентность в области аудита посредством регулярного участия в аудитах систем менеджмента и непрерывного профессионального развития. Это может быть достигнуто посредством дополнительного опыта работы, обучения, самообразования, наставничества, посещения совещаний, участия в семинарах и конференциях или другой деятельности.

Лицу(ам), осуществляющему(им) управление программой аудита, следует создать необходимый механизм постоянного оценивания результатов деятельности аудиторов и руководителей аудиторских групп.

Для постоянного профессионального развития следует учитывать:

a) изменения потребностей отдельных лиц и организации, ответственной за проведение аудита;

b) развитие практики аудита, включая применение соответствующих технологий;

c) соответствующие стандарты, включая руководящие/подтверждающие документы и другие требования;

d) изменения в отрасли или направлениях системы менеджмента.

Дополнительные руководящие указания для аудиторов по планированию и проведению аудита

Аудит можно проездить с использованием ряда методов аудита. В данном приложении можно найти объяснение наиболее часто применяемых методов аудита. Методы, выбранные для аудита, зависят от определенных целей, области и критериев аудита, а также его продолжительности и места проведения. Также следует учитывать компетентность аудитора и неопределенность, возникающую в результате применения методов аудита. Применение различных методов аудита и их комбинаций могут оптимизировать эффективность и результативность процесса аудита и его результатов.

Проведение аудита включает взаимодействие лиц с проверяемой системой менеджмента и технологию, используемую для осуществления аудита. В таблице А.1 показаны примеры методов аудита, которые можно использовать, по отдельности или в сочетании, чтобы достичь целей аудита. Если аудит включает использование аудиторской группы, состоящей из нескольких человек, то можно одновременно использовать дистанционные методы и методы, применяемые на месте.

Примечание — Дополнительную информацию по выездам на место см. в А.15.

Ответственность за эффективное применение методов аудита в отношении любого аудита на стадии планирования ложится либо на лицо(лиц), осуществляющее(их) управление программой аудита, либо на руководителя аудиторской группы. Руководитель группы несет ответственность за проведение собственно аудита.

Осуществимость удаленного аудита может зависеть от нескольких факторов (например, от уровня риска в достижении целей аудита, от уровня доверия между аудитором и персоналом проверяемой организации и от нормативных правовых требований).

На уровне программы аудита следует обеспечить применимость и сбалансированность методов дистанционного аудита и методов аудита на месте, чтобы гарантировать удовлетворительное достижение целей программы аудита.

Применение «процессного подхода» является требованием для всех стандартов ИCO на системы менеджмента в соответствии с Директивами ИСО/МЭК Директивы, часть 1, приложение SL. Аудиторам следует понимать, что проведение аудита системы менеджмента является проведением аудита процессов организации и их взаимодействия по одному или более стандартам на системы менеджмента. Согласованные и предсказуемые результаты достигаются более эффективно и результативно, когда деятельность понятна и управляется как взаимосвязанные процессы, функционирующие как связанная система.

А.З. Профессиональное суждение

В ходе процесса аудита аудиторам следует использовать профессиональное суждение (умение правильно разбираться) и избегать концентрации на конкретных требованиях каждого раздела стандарта в достижении предполагаемого результата системы менеджмента. Некоторые разделы стандарта ISO на системы менеджмента нелегко применить к аудиту способом сравнения набора критериев с содержанием процедуры или рабочей инструкции. В таких ситуациях аудиторам следует использовать свое профессиональное суждение для определения, удовлетворены ли требование такого раздела в целом.

А.4. Достижение результатов

Аудиторам следует сфокусироваться на предполагаемом результате системы менеджмента на всем протяжении процесса аудита. Несмотря на то, что сами процессы и то, что они достигнуты важны результаты системы менеджмента и ее выполнение являются тем, что имеет значение. Также важно учесть уровень интеграции различных систем менеджмента и их предполагаемые результаты.

Отсутствие процесса или документации может иметь значение для организаций с высоким риском или сложной организации, но не имеет значение в других организациях.

По мере целесообразности, аудиторам следует рассмотреть, дает ли информация достаточно объективное свидетельство, чтобы продемонстрировать соблюдение требований, и является ли:

a) полной (все ожидаемое содержание включено в документированную информацию);

b) правильной (содержание соответствует другим заслуживающим внимание источникам, таких как стандарты и регламенты);

c) последовательной (документированная информация последовательна сама по себе и согласована с другими документами в данной области);

d) современной (содержание актуально).

Также следует рассмотреть, обеспечивает ли проверяемая информация эффективное объективное свидетельство, позволяющее продемонстрировать соответствие требованиям.

Если информация представлена в виде, отличном от ожидаемого (например, другими сотрудниками, на других носителях), следует оценить надежность свидетельства.

Особое внимание необходимо уделить защите информации в соответствии с применяемыми регламентами о защите данных (в частности, для информации, которая находится вне области аудита, но также содержится в документе).

А.6.1. Общие положения

Аудиторская выборка происходит в том случае, когда непрактично или экономически нецелесообразно изучать всю имеющуюся информацию во время аудита, например записи слишком многочисленны или слишком разбросаны географически, чтобы оправдать проверку каждой единицы из всей совокупности. Аудиторская выборка большой совокупности является процессом выбора менее чем 100 % единиц из общего имеющегося набора данных (совокупности), чтобы получить и оценить свидетельство о какой-либо характеристике этой совокупности с целью сформулировать заключение в отношении всей совокупности.

Цель аудиторской выборки заключается в предоставлении аудитору информации, которой будет достаточно, чтобы убедить его в возможности достижения целей аудита.

Риск, связанный с аудиторской выборкой, заключается в том, что выборки могут быть не представленными для совокупности, из которой они выбраны и, таким образом, заключение аудитора может быть тенденциозным и отличным от заключения, которое он мог бы сделать после изучения всей совокупности. Могут возникать другие риски в зависимости от изменчивости в пределах совокупности, из которой делают выборку, и выбранного метода.

Аудиторская выборка обычно включает следующие шаги:

а) постановку целей для выборки;

b) выбор объема и состава совокупности, из которой делают выборку;

c) выбор метода выборки;

d) определение объема выборки;

e) осуществление аудиторской выборки;

f) сбор, оценка, составление отчетов и документирование результатов.

В ходе выборки следует уделять внимание качеству имеющихся данных, поскольку выборка недостаточных и неточных данных не дает обеспечить полезный результат. Отбор соответствующей выборки следует проводить на основе методов выборки и типа требуемых данных, например, чтобы сделать вывод о конкретной модели поведения или вывести заключение по совокупности.

В отчете о сделанной выборке можно учесть объем выборки, метод отбора и оценки, сделанные на основе выборки, а также уровень доверия к выборке.

Для аудита можно использовать либо выборку, основанную на умении правильно разбираться (см. А.6.2) либо статистическую выборку (см. А.6.3).

А.6.2. Выборка на основе суждений

Выборка на основе суждений (профессионального мнения) опирается на компетентность и опыт аудиторской группы (см. раздел 7).

Для выборки на этой основе можно рассмотреть следующее:

a) опыт предшествующего аудита в рамках области аудита;

b) сложность требований (включая законодательные и нормативные правовые требования) для достижения целей аудита;

c) сложность и взаимодействие процессов организации и элементов системы менеджмента;

d) степень изменения технологии, человеческого фактора или системы менеджмента;

e) предварительно идентифицированные основные области рисков и возможностей для улучшения;

f) результат мониторинга систем менеджмента.

Недостатком выборки на основе суждения правильно разбираться является невозможность выполнить статистическую оценку эффекта неопределенности в обнаружениях аудита и сделанных заключений.

Если принято решение об исполъзовании статистической выборки, то план выборки следует основывать на целях аудита и того, что известно о характеристиках всей совокупности, из которой берется выборка.

Для составления плана статистической выборки используется процесс проведения выборки на основе теории вероятности. Выборка на основе характерного признака используется в том случае, когда существует только два возможных результата для каждой выборки (например, верно/неверно или принимается/не принимается). Выборка на основе переменной используется в том случае, когда выборка производится в непрерывном диапазоне значений.

В плане выборки следует учитывать, будут ли полученные выборки изучаться на основе признака или на основе переменной. Например, при оценке соответствия готовых форм требованиям, установленным процедурой, можно использовать метод на основе признака. При изучении встречающихся случаев, касающихся безопасности пищевых продуктов или ряда нарушений безопасности, более подходящим будет метод на основе переменной.

Элементы, которые могут влиять на план выборки аудита, следующие:

a) среда, размер характер и сложность организации;

b) число компетентных аудиторов;

c) частота проведения аудитов;

d) продолжительность отдельного аудита;

e) любой требуемый извне доверительный уровень;

f) возникновение нежелательных и/или неожиданных событий.

При разработке плана статистической выборки уровень риска при выборке, который аудитор хотел бы принять, является важным вопросом. Этот уровень часто называют приемлемым доверительным уровнем. Например, риск выборки, равный 5 %, соответствует приемлемому доверительному уровню 95 %. Риск выборки, равный 5 %, означает, что аудитор желает принять риск того, что 5 из 100 (или 1 из 20) проверяемых элементов не будут отражать реальных значений, которые были бы найдены при проверке всей совокупности в целом.

Если используется статистическая выборка, аудиторам следует соответствующим образом документировать проделанную работу. Сюда может входить описание совокупности, из которой предполагается сделать выборку, критерии выборки, используемые для оценки (например, того, что является приемлемой выборкой), статистические параметры и методы, которые были использованы, количество оцененных элементов выборки и полученные результаты.

А.7. Аудит соблюдения требований в рамках системы менеджмента

Аудиторская группа должна рассмотреть, насколько эффективны в проверяемой организации процессы:

а) идентификации законодательных и нормативных правовых требований, и других требований, которые необходимо выполнять;

b) управление деятельностью, продукцией и услугами для достижения выполнения этих требований;

c) оценивание своего статуса выполнения этих требований.

В дополнение к общим руководящим указаниям, приведенным в данном стандарте, при оценивании процессов, выполняемых проверяемой организацией для обеспечения соответствия установленным требованиям, аудиторской группе следует учесть в отношении проверяемой организации:

1) наличие у нее эффективного процесса идентификации изменений в соблюдении требований и рассмотрения их как части управления изменениями;

2) наличие у нее компетентных сотрудников для управления процессами соответствия;

3) ведение и предоставление организацией соответствующей документированной информации о статусе соответствия, согласно требованиям регулирующих органов или иных заинтересованных сторон;

4) включение требований к соответствию в свою программу внутреннего аудита;

5) принятие мер а отношении ряда примеров несоответствия;

6) рассмотрение результатов деятельности по соблюдению требований в анализе со стороны руководства.

А.8. Аудит среды организации

Многие стандарты на системы менеджмента требуют, чтобы организация определила свою среду, включая потребности и ожидания соответствующих заинтересованных сторон и внешние и внутренние факторы. Для этого организация может использовать различные способы стратегического анализа и планирования.

Аудиторам следует подтвердить, что подходящие процессы разработаны и они для этого используются эффективно, так чтобы их результаты обеспечили надежную основу для определения области применения и разработки системы менеджмента. Для этого аудиторам следует рассмотреть объективное свидетельство, касающееся следующего:

a) используемого процесса(ов) или метода(ов);

b) пригодности и компетентности сотрудников, занятых а процессе (процессах);

c) результатов процесса(ов);

d) применения результатов к определению области и развитию системы менеджмента;

e) периодического анализа среды организации, если уместно.

Аудиторы должны обладать конкретными знаниями в определенной области и пониманием инструментов управления, которые могут использоваться организацией, чтобы оценить результативность процессов, используемых для определения среды организации.

А.9. Аудит руководства и выполнение обязательств

Многие стандарты на системы менеджмента расширили требования к высшему руководству.

Эти требования включают демонстрацию руководством обязательств и руководящей роли в связи с взятием на себя ответственности за эффективность системы менеджмента и за выполнение ряда обязательств. Сюда входят задачи, которые высшее руководство должно решать само или передать для решения другим сотрудникам то, что может быть передано.

Аудиторам следует получить объективное свидетельство о той степени, в какой вовлекается высшее руководство в принятие решений относительно системы менеджмента и о том, как оно демонстрирует выполнение обязательства по обеспечению результативности системы менеджмента. Это может быть достигнуто анализом результатов от соответствующих процессов (например, политики, цепей, имеющихся ресурсов, обмена информацией, связями с высшим руководством), посредством опроса штатных сотрудников, чтобы определить степень вовлечения высшего руководства.

Аудиторам следует также стремиться опросить высшее руководство, чтобы подтвердить его адекватное понимание вопросов, связанных с определенной дисциплиной, относящейся к системе менеджмента, вместе со средой, их организации, так чтобы они смогли получить предполагаемые результаты от системы менеджмента организации.

Аудиторам следует не только сосредоточиться на руководстве на уровне высшего руководства, но также проверить руководство и выполнение им обязательств на других уровнях, насколько это уместно.

А.10. Аудит рисков и возможностей

Определение и управление рисками и возможностями организации может быть включено, как часть задания конкретного аудита. Основные цели для такого задания аудита заключаются:

• в гарантировании достоверности процесса (процессов) идентификации рисков и возможностей;
• обеспечении правильного определения и управления рисками и возможностями;
• анализе работы организации с определенными рисками и возможностями.

Аудит подхода организации к определению рисков и возможностей не следует проводить как самостоятельное направление. Следует осуществлять такую деятельность во время аудита системы менеджмента, включая момент опроса высшего руководства. Аудитору следует действовать в соответствии со следующими этапами и собирать объективное свидетельство следующим образом:

а) входы, используемые организацией, для определения своих рисков и возможностей, включая:

• анализ внешних и внутренних факторов;
• стратегическое направление организации;
• заинтересованные стороны, связанные с системой менеджмента по конкретной дисциплине, и их требования;
• потенциальные источники риска, например, экологические аспекты и угрозы безопасности и т.д.

Ь) метод оценивания рисков и возможностей, которые могут различаться по дисциплинам и секторам.

Подход организации к своим рискам и возможностям, включая уровень риска, который она желает принять, и способы контроля рисков, потребует применения профессиональной оценки аудитора.

А.11. Жизненный цикл

Некоторые конкретные системы менеджмента требуют применения жизненного цикла, перспективного для продукции и услуг организации. Аудитору следует рассмотреть это как требование принять подход на основе жизненного цикла. Перспектива жизненного цикла включает рассмотрение контроля и влияния, оказываемого организацией на разных этапах жизненного цикла их продукции и услуг. Этапы жизненного цикла включают приобретение сырья, проектирование, производство, транспортирование/поставку, использование, окончание срока эксплуатации и утилизация отходов. Такой подход способствует определению организацией тех областей, где при рассмотрении области применения, она может минимизировать свое воздействие на окружающую среду, обеспечивая одновременно дополнительную привлекательность организации. Аудитору следует использовать свою профессиональную оценку в отношении способа применения организацией перспективы жизненного цикла с точки зрения ее стратегии и следующего.

a) срок службы продукции или услуги;

b) влияние организации на цепь снабжения;

c) длина цепи снабжения;

d) технологическая сложность продукции.

Если в организации объединено несколько систем менеджмента в одну систему для удовлетворения потребностей организации, аудитору следует внимательно следить за всеми перекрытиями, касающимися жизненного цикла.

А.12. Аудит цепи снабжения

Может потребоваться аудит цели снабжения на соответствие определенным требованиям. Следует разработать программу аудита поставщиков с соответствующими критериями аудита для данного типа поставщика и внешних провайдеров. Область аудита цепи снабжения может отличаться, например для полного аудита системы менеджмента, аудита отдельного процесса, аудита продукции, аудита конфигурации.

При подготовке рабочих документов аудита аудиторской группе следует рассмотреть указанные ниже вопросы для каждого документа:

a) какая запись по аудиту будет создана с использованием данного рабочего документа;

b) какие действия по аудиту связаны с данным конкретным рабочим документом;

c) кто является пользователем данного рабочего документа;

d) какая информация необходима для подготовки данного рабочего документа.

Для комплексных аудитов рабочие документы следует разрабатывать, чтобы избежать дублирования действий по аудиту посредством:

• группирования аналогичных требований из различных критериев;
• координации содержания соответствующих контрольных листов и анкет.

Рабочие документы по аудиту следует составлять так, чтобы учесть все элементы системы менеджмента в рамках области аудита, и чтобы их можно было представлять на любом носителе.

Выбранные источники информации могут быть разными в зависимости от области и сложности аудита и могут включать следующее:

a) опросы сотрудников и других лиц;

b) наблюдения за деятельностью, окружающей производственной средой и рабочими условиями;

c) документированную информацию, такую как политики цели, планы, процедуры, стандарты, инструкции, лицензии и разрешения, технические требования, чертежи, контракты и заказы;

d) записи, такие как записи о проведенных инспекциях, протоколы заседаний, отчеты по аудитам, записи программы мониторинга и результаты измерений;

e) сводки данных, анализы данных и показатели результатов деятельности;

f) информацию о планах выборки проверяемой организации и о любых процедурах для осуществления управления процессами выборки и измерений;

g) отчеты из других источников, например, информация от потребителей, обзоры, поступающие от внешних организаций и результаты измерений, полученные внешними организациями, другая соответствующая информация от внешних сторон и рейтинги внешних поставщиков;

h) базы данных и сайты;

i) имитацию и моделирование.

Чтобы свести х минимуму взаимовлияние деятельности по аудиту и рабочих процессов проверяемой организации и обеспечить охрану здоровья и безопасность аудиторской группы во время посещения, следует рассмотреть следующее:

a) планирование посещения;

• обеспечить разрешение и доступ к тем частям проверяемой организации, которые необходимо посетить в соответствии с областью аудита;
• представить соответствующую информацию для аудиторов по технике безопасности, охране здоровья (например, карантин), профессиональной гигиене и производственной безопасности, культурным нормам и рабочим часам для посещения, включая требуемую и рекомендуемую вакцинацию и допуски, если используются;
• подтвердить у проверяемой организации наличие необходимых средств индивидуальной защиты (РРЕ) для аудиторской группы, если они необходимы;
• подтвердить договоренности с проверяемой организацией в отношении использования мобильных средств связи, камер, включая запись информации, например фотографий площадок и оборудования, скриншоты или фотокопии документов, видеозаписи деятельности или интервью с учетом безопасности и конфиденциальности;
• за исключением специальных незапланированных аудитов, обеспечить информирование посещаемых работников о целях и области аудита;

b) деятельность на месте:

• избегать ненужного вмешательства в рабочие процессы;
• обеспечить надлежащее использование аудиторской группой средств индивидуальной защиты (РРЕ);
• сообщить членам группы о действиях в чрезвычайных ситуациях (например, об аварийных выходах, пунктах сбора);
• спрограммировать обмен информацией во избежание дезорганизации;
• подобрать размер аудиторской группы и количество сопровождающих лиц и наблюдателей согласно области аудита, чтобы избежать вмешательства в рабочие процессы, по мере возможности;
• не трогать и не включать никакое оборудование без специального разрешения, несмотря на компетентность и лицензию;
• в случае инцидентов во время посещения руководителю аудиторской группы следует проанализировать ситуацию с проверяемой организацией и, в случае необходимости, с заказчиком аудита, и достичь соглашения в отношении прерывания, пересмотра графика или продолжения аудита;
• при копировании документов любого типа на любом носителе спрашивать разрешение, заранее и учитывать проблемы безопасности и конфиденциальности;
• делая записи, избегать сбора личной информации, если этого не требуют цели или критерии аудита;

c) деятельность по виртуальному аудиту:

• обеспечить использование аудиторской группой согласованного удаленного доступа к протоколам, включая требуемые устройства, программное обеспечение и т.д.;
• при снятии копий скриншотов с документов любого типа спрашивать разрешение заранее и учитывать проблемы безопасности и конфиденциальности и избегать записи персональных данных лиц без их разрешения;
• в случае инцидентов при удаленном доступе руководителю аудиторской группы следует проанализировать ситуацию с проверяемой организацией и, в случае необходимости, с заказчиком аудита, и достичь соглашения в отношении прерывания, пересмотра графика или продолжения аудита;
• использовать поэтажные планы удаленного места а качестве ссылочных документов;
• во время перерывов в аудите сохранять конфиденциальность данных.

Требуется рассмотреть вопрос о хранении информации и свидетельства аудита независимо от типа носителя, позже, как только отпадет необходимость в их использовании.

Аудиты виртуальной деятельности проводят, когда организация выполняет работы или предоставляет услуги, используя онлайн-среду, позволяющую лицам, независимо от физического местонахождения, вести процессы (например, компания интернет, «компьютерное облако»). Аудит виртуального местонахождения иногда называют виртуальным аудитом. Дистанционный аудит использует технологию сбора данных, интервью проверяемой организации и т.д., когда методы опроса при личной встрече («лицом к лицу») невозможны или нежелательны.

Виртуальный аудит применяет правила стандартного процесса аудита, используя технологию поверки объективного свидетельства. Проверяемой организации и аудиторской группе следует обеспечить требования к подходящей технологии виртуального аудита, которая может включать:

• гарантию использования аудиторской группой согласованных протоколов дистанционного доступа, включая требуемое оборудование, программное обеспечение и т.д.;
• проведение технических проверок перед аудитом для решения технических вопросов;
• обеспечение составления плана и его передачу в случае непредвиденных обстоятельств (например, прерывание доступа, использование альтернативной технологии), включая положение о дополнительном времени аудита а случае возникновения необходимости.

В компетентного аудитора следует включить:

• технические навыки использования соответствующего электронного оборудования и другой технологии в ходе аудита;
• опыт проведения виртуальных заседаний для проведения дистанционного аудита.

При проведении и открытии заседания или проведении виртуального аудита аудитору следует рассмотреть следующие вопросы:

• риски, связанные с виртуальным и дистанционным аудитом;
• использование поэтажных планов и схем удаленных мест, а качестве ссылки или отображения электронных данных;
• содействие в предотвращении прерываний и приостановок за счет помех;
• заблаговременный запрос разрешения на скриншоты документов или любых видов затеей с учетом конфиденциальности и защиты информации;
• обеспечение конфиденциальности и защиты информации в перерывах в процессе аудита, например при отключении микрофонов, постановке камер на паузу.

Опросы являются одним из важнейших средств сбора информации и их следует осуществлять так, чтобы это было привязано к ситуации и конкретному опрашиваемому работнику, либо при личном общении, либо с помощью средств связи. В то же время, аудитор должен учитывать приведенное ниже:

a) опросы следует проводить среди персонала соответствующего уровня и соответствующих должностей, выполняющих работу или задачи в рамках области аудита;

b) опросы обычно следует проводить в обычное рабочее время и, если целесообразно, на обычном рабочем месте опрашиваемого работника;

c) следует создать непринужденную обстановку для опрашиваемого лица до и во время опроса;

d) опрашиваемым следует объяснить причины для проведения опроса и составления заметок;

e) опросы можно начать с просьбы опрашиваемого лица описать свою работу;

f) следует тщательно подбирать тип вопросов (например, открытый опрос, закрытый опрос, наводящие вопросы, метод позитивной оценки ситуации);

g) осознание ограниченности невербального общения в виртуальной среде; следует сосредоточиться на типе вопросов, чтобы использовать при поиске объективного свидетельства;

h) результаты опросов следует суммировать и анализировать вместе с опрашиваемым лицом;

i) следует поблагодарить опрашиваемый персонал за участие и сотрудничество.

А.18.1. Определение обнаружений аудита

При определении обнаружений аудита необходимо учитывать:

a) работу по итогам записей и заключений предшествующих аудитов;

b) требования заказчика аудита;

c) точность, существенность и правомерность объективного свидетельства для подтверждения обнаружений аудита;

d) степень, в которой запланированная аудиторская деятельность реализуется и достигаются запланированные результаты;

е) обнаружения, выходящие за пределами обычной практики, или возможности для улучшения;

f) объем выборки;

g) распределение обнаружений аудита по категориям (если имеются).

А.18.2. Записи о соответствии

Для записей о соответствии необходимо учесть следующее:

a) описание критериев аудита, по которым показано соответствие, или ссылку на них;

b) свидетельство аудита в подтверждение соответствия и результативности, если уместно;

c) декларацию о соответствии, если применяется.

А.18.3. Записи о несоответствии

Для записей о несоответствии необходимо учесть следующее:

a) описание критериев аудита или ссылку на них;

b) свидетельство аудита;

c) декларацию о несоответствии;

d) соответствующие обнаружения аудита, если применимо.

А.18.4. Работа с обнаружениями аудита, связанными с набором критериев

В процессе аудита возможно сделать обнаружения, связанные с набором критериев. Там, где аудитор делает обнаружение по одному критерию в комплексном аудите, ему следует учитывать возможное воздействие на соответственные или аналогичные критерии других систем менеджмента.

В зависимости от договоренностей с заказчиком аудита аудитор может сделать:

а) либо отдельные обнаружения по каждому критерию; либо

b) одно обнаружение, объединяющее ссылки на множественные критерии.

В зависимости от договоренностей с заказчиком аудита, аудитор может указать проверяемой организации, как реагировать на обнаружения аудита.

ВЕРНУТЬСЯ К ПЕРЕЧНЮ ДОКУМЕНТОВ ❯

ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

ГОСТР

54882-

2011

(GHTF/SG4/N30R20

2008)

РУКОВОДСТВО ПО АУДИТУ СИСТЕМ МЕНЕДЖМЕНТА КАЧЕСТВА ИЗГОТОВИТЕЛЕЙ МЕДИЦИНСКИХ ИЗДЕЛИЙ НА СООТВЕТСТВИЕ РЕГУЛИРУЮЩИМ ТРЕБОВАНИЯМ

Часть 2

Стратегия аудита

GHTF/SG4/N30R20:2008 Guidelines for regulatory auditing of quality management systems of medical device manufacturers — Part 2: Regulatory auditing strategy (MOD)

Издание официальное

Москва

Стандартинформ

2012

Предисловие

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании», а правила применения национальных стандартов Российской Федерации — ГОСТ Р 1.0-2004 «Стандартизация в Российской Федерации. Основные положения»

Сведения о стандарте

1    ПОДГОТОВЛЕН Закрытым акционерным обществом «МЕДИТЕСТ» на основе собственного аутентичного перевода на русский язык документа, указанного в пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 436 «Управление качеством медицинских изделий»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 13 декабря 2011 г. № 1189-ст

4    Настоящий стандарт является модифицированным по отношению к документу Целевой группы по глобальной гармонизации (Global Harmonization Task Force — GHTF) «Руководство по аудиту систем менеджмента качества изготовителей медицинских изделий на соответствие регулирующим требованиям. Часть 2. Стратегия аудита» (GHTF/SG4/N30R20:2008 «Guidelines for regulatory auditing of quality management systems of medical device manufacturers — Part 2: Regulatory auditing strategy») путем изменения его структуры, а также путем изменения содержания отдельных структурных элементов (терминологических статей 3.1; 3.3; 3.7), которые выделены вертикальной линией, расположенной слева от текста. При этом исключен раздел 4 «Обоснование» примененного оригинального документа, который нецелесообразно применять в национальном стандарте в связи с требованиями к структуре национального стандарта Российской Федерации, установленными в ГОСТ Р 1.0-2004, а также в связи с тем, что содержание данного раздела дублируется содержанием введения и раздела 1 «Область применения». Также изменено обозначение приложений настоящего стандарта в связи с требованиями, установленными в ГОСТ Р 1.0-2004 (в оригинальном документе приложения обозначены арабскими цифрами). Сравнение структуры настоящего стандарта со структурой указанного оригинального документа приведено в дополнительном приложении ДА.

Оригинальный текст аутентичного перевода измененных структурных элементов примененного документа GHTF и объяснение причин внесения технических отклонений приведены в дополнительном приложении ДБ.

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных (региональных) стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДВ.

В связи с выпуском в 2010 г., в период публичного обсуждения окончательной редакции настоящего стандарта, новой редакции примененного оригинального документа GHTF, отличающейся наличием приложения Е «Аудит программного обеспечения», настоящее приложение добавлено к тексту настоящего стандарта и выделено двойной вертикальной линией, расположенной справа от текста

5    ВВЕДЕН ВПЕРВЫЕ

Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе «Национальные стандарты», а текст изменений и поправок — в ежемесячно издаваемых информационных указателях «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

© Стандартинформ, 2012

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

Таблица 2 — Примерный расчет времени проведения аудита на месте (в процентах)

Подсистема Примерное время, рассчитанное на месте, % Примечание Высшее руководство 5—10 — Проектирование и разработка 0—20 Зависит от регулирующих требований Документация на продукцию 5—20 — Управление продукцией и процессами 20—30 — Корректирующие и предупреждающие действия 10—30 — Управление закупками 5—20 Зависит от процентного соотношения и важности видов деятельности внешнего изготовителя, с которым заключен контракт Документация и записи 5 — Процессы, связанные с потребителем 5 —

Примерное время проведения аудита на месте, рассчитанное и выраженное в процентах, будет различаться в зависимости от следующих факторов:

—    области аудита;

—    изменений графика;

—    необходимости получения информации на удаленных площадках.

4.7 Руководство по материально-техническому обеспечению аудита

Для оказания помощи аудиторам в надлежащем проведении аудита рекомендуется рассмотреть следующие моменты:

—    изменения, произведенные изготовителем, если они отличаются от ранее заявленных (например, изменения в структуре организации, в системе менеджмента качества, в технических средствах, процессах, изделиях), представленных на предварительном совещании;

—    согласование графика проведения и продолжительности аудита между исполнительным руководством проверяемой организации и ответственным представителем организации, проводящей аудит;

—    безотлагательный контроль работы над несоответствиями, выявленными при проведении последнего аудита, для определения результативности проведения изготовителем корректирующих действий;

—    аудит склада готовой продукции на первоначальном этапе проведения аудита для выборки образцов с целью осуществления дальнейшей прослеживаемости (например, несоответствующих материалов, записей, относящихся к партии изделий, и т. д.);

—    осуществление прослеживаемости на первоначальном этапе проведения аудита, позволяющее выбрать направление прослеживаемости — вперед или назад — и обеспечивающее изготовителю достаточно времени для оценивания поступающей информации;

—    подтверждающие аудиты могут быть сфокусированы либо на проектировании, либо на производстве и связанных с ними видах деятельности, они должны также учитывать такие факторы, как номенклатура изделий и/или область сертификации;

—    при проведении каждого аудита следует рассматривать внутренние аудиты, жалобы, корректирующие и предупреждающие действия и анализ со стороны руководства;

—    документация по результатам аудита и тренинг по окончании аудита позволяют лучше понять ситуацию на примерах, рассматриваемых в ходе аудита;

—    оценивание системы внутреннего аудита к концу аудита позволяет избежать предубеждения со стороны аудиторов;

—    ситуация на месте может оказать влияние на последовательность действий при проведении аудита, ее следует учитывать во избежание потери времени.

7

Перечисленные выше факторы рекомендуется учитывать, но аудиторская группа может проводить аудит подсистем системы менеджмента качества изготовителя в любой последовательности.

4.8 Связи

Рисунок 1 — Примеры связей между подсистемами

Примечание — На рисунке 1 представлены основные связи между подсистемами. Существует много других связей (например, обратная связь с процессами жизненного цикла продукции и связи между вспомогательными процессами).

Несмотря на то что большая часть времени аудиторов уходит на исследование процессов внутри подсистем, важно помнить о связях между подсистемами и связях между различными процессами.

Примеры

1    Корректирующие и предупреждающие действия и высшее руководство: доведение до сведения высшего руководства информации о корректирующих и предупреждающих действиях для анализа со стороны высшего руководства.

2    Управление проектированием и разработкой и управление закупками: использование выходных данных проекта для оценивания возможных поставщиков материалов и комплектующих и доведение до сведения поставщиков конкретных требований к закупкам.

3    Внутри каждого процесса его этапы обычно связаны между собой, так как выход одного процесса образует вход следующего процесса.

4    Имеются также некоторые очевидные связи между процессами: выход процесса проектирования будет входом процесса производства; эти связи необходимо проверять на обоих этапах аудита (в данном случае — проектирования и производства) с целью подтверждения наличия данной связи и функционирования системы менеджмента качества как единого целого.

5    Другие связи могут быть менее очевидными, но их также необходимо подвергать аудиту: например, при обнаружении несоответствующей продукции среди готовой проблема несоответствия может заключаться в хранении, производстве, окончательной проверке или проектировании.

6    Существуют также связи между подсистемами: например, если дефектные комплектующие поступают в производственные помещения, будет ли причиной этому поставщик, контроль при приемке, ошибочные данные, предоставленные поставщику, или проектирование? В таком случае требуется ли от системы менеджмента качества изготовителя обязательный отчет о корректирующих и предупреждающих действиях?

5 Проверяемые подсистемы

Проведение аудита каждой подсистемы преследует конкретную цель. План аудита каждой подсистемы рекомендуется разрабатывать на основе процессного подхода (см. 4.4) так, чтобы он удовлетворял поставленным целям. В данный план следует включать подтверждение соответствия требованиям, предъявляемым к каждой подсистеме.

ГОСТ Р 54882-2011

При проведении аудита на соответствие регулирующим требованиям на протяжении процессов жизненного цикла медицинского изделия применяют принципы менеджмента риска, которые следует использовать для идентификации и решения проблем безопасности. Аудит видов деятельности по менеджменту риска рекомендуется проводить параллельно с аудитом соответствующих подсистем.

Целью аудита процесса менеджмента риска является обеспечение уверенности в разработке и поддержании надлежащего и результативного менеджмента риска на протяжении процессов жизненного цикла медицинского изделия.

Приложение Е настоящего стандарта содержит дополнительную информацию по аудиту программного обеспечения. Эта информация может быть применима к любой из подсистем системы менеджмента качества.

Примечания

1    В некоторых национальных и региональных регулирующих документах требования менеджмента риска применимы ко всем стадиям жизненного цикла медицинского изделия.

2    Номера, приведенные ниже в скобках, относятся к соответствующим разделам ГОСТР ИСО 13485.

3    Подсистемы, обозначенные ниже «звездочкой»*, являются главными подсистемами, которым следуетуде-лять основное внимание при аудите, если таково регулирующее требование (см. также 4.2).

5.1    Подсистема высшего руководства*

5.1.1    Цель

Целью аудита подсистемы высшего руководства является подтверждение того, что высшее руководство обеспечивает разработку и поддержание в рабочем состоянии надлежащей и результативной системы менеджмента качества.

5.1.2    Основные этапы

При проведении аудита подсистемы высшего руководства можно выделить следующие основные этапы:

a)    подтверждение того, что руководство по качеству, процедуры анализа со стороны высшего руководства и процедуры внутреннего аудита качества, план в области качества и процедуры и инструкции системы менеджмента качества надлежащим образом разработаны и документированы (см. ГОСТ Р ИСО 13485, подразделы 4.1, 4.2);

b)    подтверждение того, что политика и цели в области качества надлежащим образом разработаны и документированы и предприняты действия к их достижению (см. ГОСТ Р ИСО 13485, подразделы 5.3, 5.4);

c)    подтверждение того, что процессы жизненного цикла продукции включают в себя планирование менеджмента риска и последующий анализ результативности деятельности по менеджменту риска, гарантируя разработку политики, процедур и практических действий с целью анализа, оценивания и управления риском (см. ГОСТ Р ИСО 13485, подраздел 7.1);

d)    анализ организационной структуры изготовителя и относящихся к ней документов с целью подтверждения того, что в них включены положения в отношении распределения ответственности, полномочий (например, представителя высшего руководства), ресурсов, компетентности и подготовки (см. ГОСТ Р ИСО 13485, подразделы 5.1, 5.5.1,5.5.2, 6.1,6.2);

e)    подтверждение неоднократного проведения анализа со стороны высшего руководства, включающего в себя анализ пригодности и результативности системы менеджмента качества (см. ГОСТ Р ИСО 13485, подраздел 5.6);

f)    подтверждение проведения внутренних аудитов системы менеджмента качества, включающих в себя верификацию корректирующих и предупреждающих действий (см. ГОСТ РИСО 13485, пункт 8.2.2);

д) аудит должен начинаться и заканчиваться подсистемой высшего руководства, однако между началом и концом аудита подсистемы высшего руководства необходимо провести аудит других подсистем.

В заключение аудита следует принять решение о том, были ли предприняты высшим руководством необходимые действия для обеспечения постоянной пригодности надлежащей и результативной системы менеджмента качества.

5.2    Подсистема проектирования и разработки*

5.2.1 Цель

Целью аудита подсистемы проектирования и разработки является подтверждение того, что процесс проектирования и разработки является управляемым и обеспечивает соответствие медицинского изделия требованиям потребителя, предусмотренному применению и конкретным требованиям к изделию.

9

Примечание — В некоторых юрисдикциях для отдельных изделий, вследствие особенностей их классификации, не проводят аудит процесса управления проектированием. При аудите подсистемы проектирования и разработки аудит процесса управления проектированием проводится при необходимости.

5.2.2 Основные этапы

При проведении аудита подсистемы проектирования и разработки можно выделить следующие основные этапы:

a)    подтверждение того, что медицинские изделия являются объектом регулирующих требований, предъявляемых к процедурам проектирования и разработки, включая процедуры менеджмента риска (например, идентификацию опасностей, оценивание риска и управление риском) (см. ГОСТ Р ИСО 13485, подразделы 7.1, 7.3);

b)    анализ документов, описывающих процесс проектирования, и выбор достаточного количества записей, охватывающих всю номенклатуру выпускаемых изготовителем изделий. Особое внимание следует уделять отдельным изделиям, а не группам (сериям) изделий.

Критерии выбора:

1)    риск применения изделия;

2)    жалобы или известные проблемы;

3)    период существования конструктивного решения (предпочтительнее новейшие разработки);

c)    анализ плана проектирования выбранного(ых) изделия(ий) для лучшего понимания деятельности по проектированию и разработке, включая взаимодействие и распределение ответственности (см. ГОСТ Р ИСО 13485, пункт 7.3.1);

d)    подтверждение на основе выбранных записей по проектированию изделий того, что процедуры проектирования и разработки были установлены и применены (см. ГОСТ Р ИСО 13485, пункт 7.3.1);

e)    подтверждение того, что входные данные проектирования были разработаны с учетом требований потребителя к функционированию, эксплуатационным свойствам и безопасности, к предусмотренному применению изделия(ий), а также с учетом регулирующих требований и других требований, существенных для проектирования и разработки (см. ГОСТ Р ИСО 13485, пункты 7.2.1, 7.3.2);

f)    анализ спецификаций на медицинские изделия для подтверждения того, что выходные данные проекта и разработки соответствуют входным требованиям; подтверждение того, что были определены выходные данные проекта, существенные для надлежащего функционирования медицинского изделия (см. ГОСТ Р ИСО 13485, пункт 7.3.3);

д) подтверждение того, что деятельность по менеджменту риска определена и осуществлена, критерии допустимости риска установлены и являются соответствующими на протяжении всего процесса проектирования и разработки медицинского изделия, любой остаточный рискоценен и, если необходимо и целесообразно, доведен до сведения потребителя (например, с помощью маркировок, инструкций по эксплуатации, пояснительных уведомлений и т. д.) (см. ГОСТ Р ИСО 13485, подраздел 7.1, пункт 7.3.2).

Примечание — Может возникнуть необходимость в проведении аудита других подсистем для подтверждения того, что критерии допустимости риска удовлетворены и информация об остаточном риске доведена, если необходимо и целесообразно, до сведения потребителя;

h)    подтверждение того, что данные валидации проекта свидетельствуют о соответствии одобренного проекта требованиям к специальному или предусмотренному применению (см. ГОСТР ИСО 13485, пункт 7.3.6);

i)    подтверждение того, что клинические исследования были проведены, а безопасность и функционирование изделия оценены в соответствии с требованиями национальных или региональных нормативных документов (см. ГОСТ Р ИСО 13485, пункт 7.3.6);

j)    если медицинское изделие включает в себя программное обеспечение, то подтверждение того, что программное обеспечение является частью валидации процесса проектирования и разработки медицинского изделия (см. ГОСТ Р ИСО 13485, пункты 7.3.1, 7.3.6);

k)    подтверждение того, что изменения проекта были управляемыми и верифицируемыми или, при необходимости, валидируемыми, а также были приведены в соответствие с регулирующими требованиями (см. ГОСТ Р ИСО 13485, подраздел 7.1, пункты 7.3.5, 7.3.7);

l)    подтверждение того, что был проведен анализ проекта (см. ГОСТ Р ИСО 13485, пункты 7.3.1, 7.3.4);

10

ГОСТ Р 54882-2011

m) подтверждение того, что изменения проекта были проанализированы с учетом их возможного влияния на ранее изготовленные и поставленные изделия и что записи о результатах анализа поддерживаются в рабочем состоянии (см. ГОСТ Р ИСО 13485, пункт 7.3.7);

п) подтверждение того, что проект был надлежащим образом передан в производство (см. ГОСТ Р ИСО 13485, пункт 7.3.1).

Соответствие подсистемы проектирования и разработки оценивают на основании данных исследований.

5.3    Подсистема документации на продукцию*

5.3.1    Цель

Целью аудита подсистемы документации на продукцию является подтверждение того, что документация изготовителя гарантирует соответствие изделий требованиям потребителя и регулирующим требованиям.

5.3.2    Основные этапы

При проведении аудита подсистемы документации на продукцию можно выделить следующие основные этапы:

a)    подтверждение наличия документов, необходимых для того, чтобы организация могла обеспечить планирование, осуществление и управление процессами, разработанными в организации [см. ГОСТ Р ИСО 13485, пункт 4.2.1, перечисление d)];

b)    выбор документов на продукцию для такого числа изделий, которого достаточно для того, чтобы охватить всю номенклатуру выпускаемых изготовителем изделий (см. ГОСТРИСО 13485, подразделы 7.1, 7.2, пункт 7.3.3).

Критерии выбора:

1)    риск, связанный с изделиями;

2)    жалобы или известные проблемы;

3)    период существования конструктивных решений (предпочтительнее новейшие разработки);

c)    для выбранного(ых) изделия(ий) подтверждение того, что документы включают в себя (если таковы требования национальных или региональных нормативных документов):

1)    свидетельство соответствия требованиям, в том числе требованиям применимых стандартов;

2)    описание медицинского(их) изделия(ий), включая инструкции по эксплуатации, материалы и спецификацию;

3)    сводную документацию по верификации и валидации проекта(ов), включая данные клинических исследований;

4)    маркировку;

5)    документы по менеджменту риска;

6)    информацию по изготовлению, включая основных поставщиков.

Примечание — Выполнение данного перечня не избавляет аудиторов от необходимости оценивать дополнительные документы.

Соответствие подсистемы документации на продукцию оценивают на основании данных исследований.

5.4    Подсистема управления продукцией и процессами*

5.4.1    Цель

Целью аудита подсистемы управления продукцией и процессами (включая испытания, инфраструктуру, обслуживание и оборудование) является подтверждение того, что средства, с помощью которых изготовитель управляет продукцией и процессами, могут обеспечить соответствие упомянутой продукции техническим требованиям.

5.4.2    Основные этапы

При проведении аудита подсистемы управления продукцией и процессами можно выделить следующие основные этапы:

a)    подтверждение того, что процессы жизненного цикла продукции, в том числе любые применяемые средства управления и управляемые условия, являются запланированными (см. ГОСТ Р ИСО 13485, подраздел 7.1, пункт 7.5.1);

b)    подтверждение того, что планирование процессов жизненного цикла продукции взаимосвязано с требованиями, предъявляемыми к другим процессам системы менеджмента качества (см. ГОСТ Р ИСО 13485, подраздел 7.1);

11

c)    анализ производственных процессов с учетом приведенных ниже критериев, выбор одного или нескольких процессов для аудита:

1)    свидетельства проведения корректирующих и предупреждающих действий по проблемам, связанным с процессами;

2)    использование производственных процессов для изделий высокой степени потенциального риска применения;

3)    использование новых производственных процессов или технологий;

4)    использование производственных процессов для изготовления серийной продукции;

5)    процессы, не охваченные предыдущими аудитами.

Примечание — Рекомендации по аудиту процессов стерилизации приведены в приложении D;

d)    если выходные данные процессов не могут быть верифицированы, то подтверждение валидации этих процессов, демонстрирующей способность упомянутых процессов достигать запланированных результатов (см. ГОСТ Р ИСО 13485, пункт 7.5.2);

e)    подтверждение того, что оборудование, используемое при управлении производственными процессами, отрегулировано, откалибровано и содержится в исправности (надлежащим образом обслуживается) (см. ГОСТ Р ИСО 13485, подразделы 7.5, 7.6);

f)    подтверждение того, что процессы являются управляемыми и контролируемыми и функционируют в установленных пределах, а также подтверждение того, что меры по управлению риском, идентифицированные изготовителем для производственных процессов, являются управляемыми, контролируемыми и оценены надлежащим образом (см. ГОСТ Р ИСО 13485, подразделы 7.1, 7.5);

д) подтверждение того, что меры по управлению риском применяются при поставке, монтаже (установке) и обслуживании (см. ГОСТ Р ИСО 13485, подпункты 7.5.1.1, 7.5.1.2.2, 7.5.1.2.3);

h)    определение взаимосвязей с другими процессами (см. ГОСТ Р ИСО 13485, подразделы 4.1, 4.2);

i)    подтверждение того, что персонал имеет надлежащую квалификацию и/или подготовку для осу-ществления/поддержания процессов в рабочем состоянии (см. ГОСТ Р ИСО 13485, пункт 6.2.2);

j)    подтверждение того, что инфраструктура и производственная среда соответствуют регулирующим требованиям (см. ГОСТ Р ИСО 13485, подразделы 6.3, 6.4);

k)    подтверждение идентификации и прослеживаемости процессов и продукции и их соответствия регулирующим требованиям (см. ГОСТ Р ИСО 13485, пункт 7.5.3);

l)    если процесс управляется посредством программного обеспечения, то подтверждение валидации данного программного обеспечения с учетом его предусмотренного применения (см. ГОСТ Р ИСО 13485, подпункт 7.5.2.1);

т) подтверждение того, что управление устройствами для мониторинга и измерений соответствует регулирующим требованиям (см. ГОСТ Р ИСО 13485, подраздел 7.6);

п)    подтверждение того, что система для мониторинга и измерений продукции соответствует регулирующим требованиям; обеспечение выполнения всех идентифицированных мер по управлению риском (см. ГОСТ Р ИСО 13485, подраздел 7.6, пункт 8.2.4);

о) подтверждение того, что деятельность по приемке гарантирует соответствие требованиям и документирована (см. ГОСТ Р ИСО 13485, пункт 8.2.4, подпункты 8.2.4.1, 8.2.4.2);

р)    подтверждение надлежащего управления несоответствующей продукцией (см. ГОСТ Р ИСО 13485, подраздел 8.3).

Соответствие подсистемы управления продукцией и процессами оценивают на основании данных исследований.

5.5 Подсистема корректирующих и предупреждающих действий*

5.5.1    Цель

Целью аудита подсистемы корректирующих и предупреждающих действий (включая записи/про-слеживание) является подтверждение того, что процессы, разработанные изготовителем, обеспечивают сбор и анализ информации; идентификацию проблем, связанных с процессами, готовой продукцией и полуфабрикатами; изучение данных проблем и выполнение адекватных и результативных корректирующих и предупреждающих действий.

5.5.2    Основные этапы

При проведении аудита подсистемы корректирующих и предупреждающих действий можно выделить следующие основные этапы:

ГОСТ Р 54882-2011

a)    подтверждение того, что разработаны процедуры подсистемы корректирующих и предупреждающих действий, отвечающие требованиям системы менеджмента качества (см. ГОСТ Р ИСО 13485, подразделы 4.1,4.2, 8.5);

b)    подтверждение того, что входные данные корректирующих и предупреждающих действий проанализированы и достоверны и что корректирующие и предупреждающие действия оказались результативными (см. ГОСТ Р ИСО 13485, подразделы 8.4, 8.5);

c)    если корректирующие и предупреждающие действия приводят к изменениям проекта, то подтверждение того, что в рамках процесса менеджмента риска оценены все возникающие опасности и любые новые риски (см. ГОСТ Р ИСО 13485, подраздел 7.1);

d)    подтверждение идентификации и мониторинга всех имеющихся источников данных для корректирующих и предупреждающих действий и необходимости осуществления конкретных действий. Подтверждение того, что данные, полученные из вышеуказанных источников, проанализированы с помощью применимых статистических методов с целью идентификации у выпускаемой продукции проблем в области качества, требующих проведения корректирующих действий (см. ГОСТ Р ИСО 13485, подраздел 8.1, пункт 8.2.3, подраздел 8.4);

e)    определение того, были ли изучены причины отказов с целью идентификации, по возможности, причин несоответствий (см. ГОСТ Р ИСО 13485, пункт 8.5.2);

f)    подтверждение того, что изготовитель имеет средства управления для предотвращения непреднамеренного использования несоответствующей продукции (см. ГОСТ Р ИСО 13485, подраздел 8.3);

д) подтверждение проведения результативных корректирующих и предупреждающих действий, которые были документированы и не оказали неблагоприятного воздействия на готовую продукцию (см. ГОСТ Р ИСО 13485, пункты 8.2.3, 8.5.2, 8.5.3);

h)    определение того, была ли доведена до сведения высшего руководства информация в отношении несоответствующей продукции, проблем в области качества, корректирующих и предупреждающих действий, требующая анализа со стороны руководства (см. ГОСТ Р ИСО 13485, пункт 5.6.3);

i)    подтверждение того, что рассматриваемое медицинское изделие изготовлено в соответствии с применимыми регулирующими требованиями (см. ГОСТ Р ИСО 13485, пункт 8.5.1);

j)    подтверждение того, что изготовитель принимает результативные меры для накопления опыта посредством изучения постпроизводственной информации, работы с жалобами потребителей (см. ГОСТР ИСО 13485, пункт 7.8.3) и исследования причин несоответствий, имеющих отношение к рассылке пояснительных уведомлений/отзыву изделий, с целью осуществления обратной связи с подсистемой корректирующих и предупреждающих действий (см. ГОСТ Р ИСО 13485, пункты 7.2.3, 8.2.1);

k)    подтверждение того, что изготовитель принял результативные меры для выпуска и рассылки пояснительных уведомлений, а также отзыва несоответствующей продукции (см. ГОСТ Р ИСО 13485, пункт 8.5.1).

Соответствие подсистемы корректирующих и предупреждающих действий оценивают на основании данных исследований.

5.6 Подсистема управления закупками

Подсистему управления закупками следует рассматривать как основную для тех изготовителей, которые передают на аутсорсинг выполнение работ по таким существенно важным видам деятельности, как проектирование и разработка и/или выпуск продукции, одному или более субподрядчикам.

5.6.1    Цель

Целью аудита подсистемы управления закупками является подтверждение того, что процессы, разработанные изготовителем, обеспечивают соответствие поставляемых изделий, комплектующих, материалов и услуг (включая исполнителей работ и консультантов) регулирующим требованиям. Это особенно важно, если готовая продукция и услуги не могут быть верифицированы путем внешнего осмотра (например, услуги по стерилизации).

5.6.2    Основные этапы

При проведении аудита подсистемы управления закупками можно выделить следующие основные этапы:

а) подтверждение того, что разработаны процедуры оценивания и выбора поставщиков (см. ГОСТ Р ИСО 13485, пункт 7.4.1);

13

b)    подтверждение того, что изготовитель оценивает и поддерживает в рабочем состоянии результативные средства управления поставщиками, удовлетворяющие регулирующим требованиям (см. ГОСТ Р ИСО 13485, пункт 7.4.1);

c)    подтверждение того, что изготовитель обеспечивает надлежащие спецификации на изделия и услуги, поставляемые поставщиками, распределяет ответственность за проведение менеджмента риска и принимает все необходимые меры по управлению риском (см. ГОСТ Р ИСО 13485, пункт 7.4.2);

d)    подтверждение того, что записи по оцениванию поставщиков поддерживаются в рабочем состоянии (см. ГОСТ Р ИСО 13485, пункт 7.4.1);

e)    определение того, что верификация закупленной продукции и услуг выполнена надлежащим образом (см. ГОСТ Р ИСО 13485, пункт 7.4.3).

Соответствие подсистемы управления закупками оценивают на основании данных исследований.

5.7    Подсистема документации и записей

5.7.1    Цель

Целью аудита подсистемы документации и записей является подтверждение того, что процессы документирования, разработанные изготовителем, обеспечивают надлежащее управление необходимыми документами и доступ к необходимым записям.

5.7.2    Основные этапы

При проведении аудита подсистемы документации и записей можно выделить следующие основные этапы:

a)    подтверждение того, что разработаны процедуры идентификации, хранения, защиты, поиска, максимального срока хранения и удаления документов и записей (включая управление изменениями) (см. ГОСТ Р ИСО 13485, пункты 4.2.3, 4.2.4);

b)    подтверждение того, что документы и изменения в них одобрены до их применения (см. ГОСТ Р ИСО 13485, пункт 4.2.3);

c)    подтверждение того, что имеется доступ к действующим документам в местах их применения и что устаревшие документы больше не применяются (см. ГОСТ Р ИСО 13485, пункт 4.2.3);

d)    подтверждение того, что все необходимые документы и записи хранятся в течение необходимого времени (см. ГОСТ Р ИСО 13485, пункты 4.2.1, 4.2.4).

Соответствие подсистемы документации и записей оценивают на основании данных исследований.

5.8    Подсистема процессов, связанных с потребителем

5.8.1    Цель

Целью аудита подсистемы процессов, связанных с потребителем, является подтверждение того, что система менеджмента качества обеспечивает соответствие требованиям, в том числе регулирующим, установленным к процессам, связанным с потребителем.

5.8.2    Основные этапы

При проведении аудита подсистемы процессов, связанных с потребителем, можно выделить следующие основные этапы:

a)    анализ требований к продукции с целью подтверждения того, что она соответствует предусмотренному применению, а также регулирующим требованиям и требованиям потребителя (см. ГОСТ Р ИСО 13485, пункты 7.2.1, 7.2.2);

b)    подтверждение того, что все поступающие заказы и связанная с ними информация анализируются с тем, чтобы гарантировать решение всех конфликтных вопросов и обеспечить выполнение изготовителем требований потребителя (см. ГОСТ Р ИСО 13485, пункт 7.2.2);

c)    подтверждение того, что изготовитель принял результативные меры для установления связи с потребителем, включая документирование обратной связи с потребителем, с целью идентификации проблем в области качества и выполнения необходимых корректирующих и предупреждающих действий (см. ГОСТ Р ИСО 13485, пункты 7.2.3, 8.2.1);

d)    подтверждение того, что обратная связь с потребителем анализируется в ходе процессов жизненного цикла продукции и используется для повторного оценивания риска и, при необходимости, для актуализации деятельности по менеджменту риска (см. ГОСТР ИСО 13485, подраздел 7.1, пункт 7.2.3).

Соответствие подсистемы процессов, связанных с потребителем, оценивают на основании данных исследований.

ГОСТ Р 54882-2011

Приложение А (справочное)

Схемы биномиального выбора¹*

Таблица А.1 — Схемы биномиального выбора. Доверительный уровень в случае биномиального распределения

Граница доверительного интервала <95 % 0 из 1 ИЗ 2 из А 0,30 исГ 11 17 22 В 0,25 исГ 13 20 27 С 0,20 исГ 17 26 34 D 0,15 исГ 23 35 46 Е 0,10 исГ 35 52 72 F 0,05 исГ 72 115 157 * Верхний доверительный уровень.

Таблица А.2 — Схемы биномиального выбора. Доверительный уровень в случае биномиального распределения

Граница доверительного интервала <99 % 0 из 1 ИЗ 2 из А 0,30 ucl* 15 22 27 В 0,25 исГ 19 27 34 С 0,20 исГ 24 34 43 D 0,15 исГ 35 47 59 Е 0,10 исГ 51 73 90 F 0,05 исГ 107 161 190 * Верхний доверительный уровень.

Биномиальный выбор может быть использован, если необходимо принять решение об ожидаемом результате, который может иметь только два возможных исхода (например, запись является соответствующей или несоответствующей).

Факторы, рассматриваемые при выборе необходимой таблицы и объема выборки, могут включать в себя риск применения медицинского изделия или процесса, выбранные записи и время, выделенное аудитором для проведения данной части аудита. Для анализа записей, относящихся к медицинским изделиям с низкой степенью потенциального риска применения, рекомендуется использовать таблицу А.1 (граница доверительного интервала 95 %), а для анализа записей, относящихся к медицинским изделиям с высокой степенью потенциального риска применения, рекомендуется использовать таблицу А.2 (граница доверительного интервала 99 %). Приведем два примера.

Примеры

1 Анализируя записи по стерилизации, аудитор должен определить, является ли процесс стерилизации контролируемым и управляемым. Процесс стерилизации представляет собой процесс высокой степени риска, поэтому аудитор использует таблицу А.2, приведенную в приложении А. Для анализа аудитор проводит произвольную выборку и отбирает серию из 24 записей по стерилизации. Все 24 записи демонстрируют, что процесс стерилизации был контролируемым и управляемым и его проводили при утвержденных эксплуатационных параметрах. На основе таблицы А.2 аудитор может быть на 99 % уверен в том, что не более 20 % записей по стерилизации могут продемонстрировать несоответствие процесса стерилизации утвержденным эксплуатационным параметрам.

^ Заимствовано из QSIT — Quality System Inspection Technique, метод контроля системы качества, 1999 г.

15

2 Анализируя записи по подготовке, аудитор должен определить, проведена ли подготовка персонала в связи с последними пересмотрами процедур по рассмотрению жалоб потребителей. Например, изготовитель производит компьютерные томографы. Используя таблицу А.1, аудитор проводит произвольную выборку, состоящую из записей по подготовке 17 сотрудников. Аудитор обнаруживает, что один сотрудник не прошел подготовку по пересмотренным процедурам. На основе таблицы А.1 аудитор может быть на 95 % уверен в том, что не более 30 % сотрудников не получили подготовку по пересмотренным процедурам.

16

ГОСТ Р 54882-2011

Содержание

1    Область применения……………………………………..1

2    Нормативные ссылки……………………………………..1

3    Термины и определения……………………………………2

4    Общие замечания по стратегии аудита на соответствие регулирующим требованиям……..3

4.1    Цели…………………………………………..3

4.2    Проверяемая система    менеджмента качества………………………3

4.3    Подходы к аудиту…………………………………….4

4.4    Процессный подход к аудиту……………………………….5

4.5    Выборка…………………………………………5

4.6    Планирование аудита…………………………………..5

4.7    Руководство по материально-техническому обеспечению аудита…………….7

4.8    Связи…………………………………………..8

5    Проверяемые подсистемы…………………………………..8

5.1    Подсистема высшего руководства…………………………….9

5.2    Подсистема проектирования и разработки………………………..9

5.3    Подсистема документации на продукцию………………………..11

5.4    Подсистема управления продукцией и процессами……………………11

5.5    Подсистема корректирующих и предупреждающих действий………………12

5.6    Подсистема управления закупками……………………………13

5.7    Подсистема документации и записей………………………….14

5.8    Подсистема процессов, связанных с потребителем…………………..14

Приложение А (справочное) Схемы биномиального выбора………………….15

Приложение В (справочное) Факторы, применяемые для определения продолжительности аудита 17 Приложение С (справочное) Соответствие структурных элементов ИСО 13485:2003 и 21 CFR,

часть 820 ………………………………….. 18

Приложение D (справочное) Процессы стерилизации……………………..22

Приложение Е (справочное) Аудит программного обеспечения…………………23

Приложение ДА (обязательное) Сравнение структуры настоящего стандарта со структурой

документа GHTF/SG4/N30R20:2006 «Руководство по аудиту систем менеджмента качества изготовителей медицинских изделий на соответствие регулирующим

требованиям. Часть 2. Стратегия аудита»…………………..24

Приложение ДБ (обязательное) Текст измененных структурных элементов настоящего стандарта

и документа GHTF/SG4/N30R20:2006 «Руководство по аудиту систем менеджмента качества изготовителей медицинских изделий на соответствие регулирующим

требованиям. Часть 2. Стратегия аудита»…………………..25

Приложение DB (справочное) Сведения о соответствии ссылочных национальных стандартов

Российской Федерации международным стандартам, использованным в качестве

ссылочных в примененном документе…………………….26

Библиография…………………………………………27

ГОСТ Р 54882-2011

Приложение В (справочное)

Факторы, применяемые для определения продолжительности аудита

a)    Факторы, увеличивающие продолжительность аудита:

1)    субподрядчики, задействованные в каких-либо процессах или поставке комплектующих, критично влияющих на функционирование медицинского изделия и/или безопасность пользователя или готовой продукции, включая продукцию с фирменной маркировкой изготовителя. Если изготовитель не может обеспечить достаточного свидетельства соответствия критериям аудита, то может понадобиться дополнительное время для аудита каждого субподрядчика.

Примечание — В США, например, поставщики комплектующих не подпадают под действие Руководства по системам качества FDA и освобождены от обычных проверок FDA;

2)    монтаж изделия изготовителем на территории потребителя.

Примечание — Может потребоваться время для посещения объектов потребителя или анализа записей по монтажу;

3)    проведение аудитов на иностранном языке (см. ГОСТ Р 54421, пункт 7.4.6);

4)    требование изготовителя по проведению многоцелевого аудита;

5)    недостаточное соответствие изготовителя регулирующим требованиям.

b)    Факторы, сокращающие продолжительность аудита:

1)    медицинские изделия с низкой и средней степенями потенциального риска применения;

2)    наличие свидетельств об удовлетворительном проведении аудитов у любой третьей стороны или у организаций, проводящих аудиты у поставщиков;

3)    если результаты предыдущих аудитов, проведенных той же организацией, демонстрировали соответствие изготовителя регулирующим требованиям;

4)    сокращение номенклатуры изделий, производимых изготовителем, со времени проведения последнего аудита;

5)    сокращение процесса проектирования или производственных процессов со времени проведения последнего аудита.

c)    Изготовители, имеющие много производственных площадок

Если у изготовителя имеется много производственных площадок, то ему следует определить, какие виды деятельности будут осуществлены на каждой площадке.

Если на данных производственных площадках применяются разные системы менеджмента качества, то для определения продолжительности аудита каждую площадку следует рассматривать как отдельное целое.

Если изготовитель, имеющий одну или более производственных площадок, производит аналогичные изделия или услуги на разных площадках, на которых, однако, применяется единая система менеджмента качества, то продолжительность аудита можно оценить в три этапа:

1)    оценить продолжительность аудита для каждой площадки отдельно, а затем совокупную продолжительность в человеко-днях;

2)    определить общее количество персонала на всех площадках, а затем, если применимо, использовать рекомендации IAF (Inter-American Foundation) для определения основного значения;

3)    вывести среднее значение на основании двух полученных результатов.

d)    Аудиты других видов

Существуют аудиты различных видов, продолжительность которых меньше, чем это необходимо для полного первоначального аудита (см. ГОСТ Р 54421, раздел 7).

Для оценивания продолжительности других видов аудита следует рассмотреть факторы, приведенные в настоящем приложении.

Для частичных аудитов продолжительность можно рассчитать на основании количества исследуемых подсистем системы менеджмента качества. Такой способ применяют, например, при проведении повторных аудитов с целью верификации корректирующих действий, предпринятых по результатам первоначального аудита, или в тех случаях, когда проведение частичного аудита является требованием нормативных документов, например, проведение частичного аудита средств измерений класса 1.

В тех случаях, когда изготовителю необходимо произвести существенные изменения (см. ГОСТР 54421, подраздел 7.3), для проведения аудита может потребоваться дополнительное время.

17

Введение

Документ «Руководство по аудиту систем менеджмента качества изготовителей медицинских изделий на соответствие регулирующим требованиям. Часть 2. Стратегия аудита» разработан Целевой группой по глобальной гармонизации (GHTF) — добровольным сообществом, состоящим из представителей регулирующих органов медицинской промышленности.

Настоящий стандарт является руководством для регулирующих органов и организаций, проводящих аудиты систем менеджмента качества изготовителей медицинских изделий на основе процессного подхода к требованиям системы менеджмента качества.

Примечание — В контексте настоящего стандарта «аудит» означает «аудит на соответствие регулирующим требованиям».

Применение настоящего стандарта обеспечивает следующие преимущества регулирующим органам и организациям, проводящим аудиты:

—    улучшение качества проведения аудитов, ведущее к улучшению систем менеджмента качества и улучшению качества продукции;

—    достижение большей согласованности при проведении аудита как между аудиторами внутри одной организации, проводящей аудит, так и между аудиторами разных организаций, проводящих аудит;

—    достижение более продуктивного сотрудничества между регулирующими органами в отношении аудитов;

—    увеличение доверия к аудитам, осуществляемым организацией, проводящей аудиты, и признание результатов данных аудитов другими регулирующими органами;

—    более эффективное использование ресурсов организации, проводящей аудиты;

—    предоставление руководящих указаний для стран, намеревающихся разработать стратегию проведения аудитов систем менеджмента качества на соответствие регулирующим требованиям.

Применение настоящего стандарта обеспечивает следующие преимущества изготовителям медицинских изделий:

—    улучшение качества проведения аудитов, ведущее к улучшению систем менеджмента качества и улучшению качества продукции;

—    большую согласованность в процедурах проведения аудитов и в осуществлении обратной связи с изготовителями в отношении их систем менеджмента качества, что экономит ресурсы, облегчая подготовку к аудитам;

—    сокращение числа аудитов, проводимых разными регулирующими органами у одного изготовителя;

—    увеличение доверия к аудитам, осуществляемым организациями, проводящими аудиты, и признание результатов данных аудитов разными регулирующими органами.

К лицам, получающим выгоду, можно также отнести пациентов и пользователей медицинских изделий, испытывающих большую степень доверия к безопасности и клинической эффективности медицинских изделий, размещенных на рынке.

IV

ГОСТ Р 54882-2011 (GHTF/SG4/N30R20:2008)

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

РУКОВОДСТВО ПО АУДИТУ СИСТЕМ МЕНЕДЖМЕНТА КАЧЕСТВА ИЗГОТОВИТЕЛЕЙ МЕДИЦИНСКИХ ИЗДЕЛИЙ НА СООТВЕТСТВИЕ РЕГУЛИРУЮЩИМ ТРЕБОВАНИЯМ

Часть 2 Стратегия аудита

Guidelines for regulatory auditing of quality management systems of medical device manufacturers.

Part 2. Regulatory auditing strategy

Дата введения — 2013—01—01

1    Область применения

Настоящий стандарт предназначен для регулирующих органов и организаций, проводящих аудиты систем менеджмента качества изготовителей медицинских изделий на основе процессного подхода к требованиям к системам менеджмента качества (см. ГОСТ Р ИСО 13485). Если деятельность организаций, проводящих аудиты, регламентируется регулирующими требованиями или требованиями к аккредитации, то стратегию аудита, представленную в настоящем стандарте, рекомендуется рассматривать как дополнение к регулирующим требованиям или требованиям к аккредитации, если целесообразно. Несмотря на то что аудит изготовителя медицинских изделий может включать в себя аудит на соответствие регулирующим требованиям, не связанным непосредственно с менеджментом качества, область применения настоящего стандарта ограничена требованиями к системам менеджмента качества. При наличии дополнительных регулирующих требований, являющихся частью области аудита, аудитор должен рассмотреть, идентифицировать и документировать данные требования, интегрировав их в цели и критерии аудита.

Настоящий стандарт применим к первоначальным и подтверждающим аудитам, но может также применяться к другим видам аудитов, описанным в ГОСТ Р 54421, включая все дополнения, разработанные GHTF SG4 в качестве руководства для организаций, проводящих аудиты. Цели других аудитов определяются элементами подсистем менеджмента качества, выбранными для проведения аудита.

2    Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р 40.003-2008 Система сертификации ГОСТ Р. Регистр систем качества. Порядок сертификации систем менеджмента качества на соответствие ГОСТ Р ИСО 9001-2008 (ИСО 9001:2008)

ГОСТ Р 53918-2010 Изделия медицинские. Руководство по интеграции принципов менеджмента риска в систему менеджмента качества (GHTF/SG3/N15R8:2005, ЮТ)

ГОСТ Р 54421-2011 Руководство по аудиту систем менеджмента качества изготовителей медицинских изделий на соответствие регулирующим требованиям. Часть 1. Общие требования (GHTF/SG4/N28R4:2008, MOD)

ГОСТ Р ИСО 9000-2008 Системы менеджмента качества. Основные положения и словарь (ИСО 9000:2008, ЮТ)

ГОСТ Р ИСО 13485-2004 Изделия медицинские. Системы менеджмента качества. Системные требования для целей регулирования (ИСО 13485:2003, ЮТ)

ГОСТ Р ИСО/ТО 14969-2007 Изделия медицинские. Системы менеджмента качества. Руководство по применению ИСО 13485:2003 (ИСО/ТО 14969:2004, ЮТ)

Издание официальное

ГОСТ Р ИСО 14971-2010 Изделия медицинские. Применение менеджмента риска к медицинским изделиям (ИСО 14971:2007, ЮТ)

ГОСТ Р ИСО/МЭК17021—2008 Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента (ИСО/МЭК 17021:2006, ЮТ)

ГОСТ Р ИСО 19011-2003 Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента (ИСО 19011:2002, ЮТ)

Примечание — При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодно издаваемому информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по соответствующим ежемесячно издаваемым информационным указателям, опубликованным в текущем году. Если ссылочный стандарт заменен (изменен), то при пользовании настоящим стандартом следует руководствоваться заменяющим (измененным) стандартом. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.

3 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1    аудит (проверка) (audit): Систематический, независимый и документированный процесс получения свидетельств аудита и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита (заимствовано из ГОСТ Р ИСО 9000; пункт 3.9.1).

3.2    аудит на соответствие регулирующим требованиям (regulatory audit): Аудит системы менеджмента качества с целью демонстрации ее соответствия регулирующим требованиям.

Примечание — В настоящем стандарте «аудит» означает «аудит на соответствие регулирующим требованиям».

3.3    критерии аудита (audit criteria): Совокупность политики, процедур или требований, которые применяют в виде ссылок (заимствовано из ГОСТ Р ИСО 9000: пункт 3.9.3).

3.4    свидетельство аудита (audit evidence): Записи, изложение фактов или другая информация, которые связаны с критериями аудита и могут быть проверены (заимствовано из ГОСТ Р ИСО 9000, пункт 3.9.4).

Примечание — Свидетельство аудита может быть качественным и/или количественным и используется для доказательства наблюдений аудита.

3.5    организация, проводящая аудиты (auditing organization): Орган, предназначенный для проведения аудитов на базе конкретных регулирующих документов и в соответствии с поставленными задачами.

3.6    устанавливать (establish): Определять (учреждать), документировать (в письменной или электронной форме) и внедрять.

Примечание — Настоящее определение отличается от используемого в ГОСТ Р ИСО 13485 («определять, разрабатывать»), где не приведено официальное определение данного термина и его применение носит менее директивный характер.

3.7    медицинское изделие (medical device): Определение данного термина приведено в соответствующей нормативной документации.

3.8    процесс (process): Совокупность взаимосвязанных или взаимодействующих видов деятельности, преобразующая входы в выходы (заимствовано из ГОСТ Р ИСО 9000, пункт 3.4.1).

3.9    остаточный риск (residual risk): Риск, остающийся после выполнения мер по управлению риском (заимствовано из ГОСТ Р ИСО 14971, пункт 2.15).

3.10    менеджмент риска (risk management): Систематическое применение политики, процедур и практических методов менеджмента для решения задач анализа, оценивания, управления и мониторинга рисков (заимствовано из ГОСТ Р ИСО 14971, пункт 2.22).

3.11    документация на продукцию (product documentation): Документы, представляющие собой выходные данные процесса проектирования и разработки конкретного изделия независимо от того, включен ли данный процесс в область применения системы менеджмента качества организации.

Примечание — В различных юрисдикциях используются разные термины и определения.

2

ГОСТ Р 54882-2011

4 Общие замечания по стратегии аудита на соответствие регулирующим требованиям

При проведении аудита изготовителя медицинских изделий необходимо оценить его систему менеджмента качества на соответствие регулирующим требованиям к системам менеджмента качества и процедурам, установленным изготовителем. Система менеджмента качества может быть основана на применимых стандартах в отношении систем менеджмента качества (см. ГОСТ Р ИСО 13485) или на других регулирующих документах.

При проведении аудита рекомендуется использовать процессный подход, при этом желательно следовать блок-схеме процессов изготовителя медицинских изделий.

Проведение аудита должно быть основано на менеджменте риска и сфокусировано на основных процессах системы менеджмента качества, необходимых для изготовления медицинских изделий, охватываемых областью аудита. Аудитору следует сосредоточить свое внимание на факторах, в наибольшей степени воздействующих на безопасность медицинских изделий, гарантируя в то же время надлежащую полноту охвата всех классов медицинских изделий, подпадающих под область аудита.

4.1    Цели

Аудит рекомендуется планировать и проводить так, чтобы достичь следующих целей:

—    оценивания результативности системы менеджмента качества изготовителя, включая систематическое и результативное оценивание выполнения регулирующих требований в разумно необходимый период времени;

—    согласованности результатов аудита независимо от того, какая организация или какие индивидуальные аудиторы проводят аудит. Конечной целью являются гармонизация и взаимное признание результатов аудита;

—    определения с помощью аудита того, как идентифицируются и решаются проблемы, связанные с медицинским изделием или системой менеджмента качества;

—    прозрачности аудита для проверяемой организации.

4.2    Проверяемая система менеджмента качества

При проведении аудита рекомендуется сосредоточить внимание не столько на выполнении конкретных требований, сколько на результативности системы менеджмента качества изготовителя в целом. Для того чтобы разбить аудит на более управляемые части, необходимо идентифицировать подсистемы, приведенные в таблице 1.

Таблица 1 — Подсистемы или виды деятельности и связанные с ними разделы

Подсистемы Связь с разделами ГОСТ Р ИСО 13485 1 Высшее руководство 4, 5, 6, 7, 8 2 Проектирование и разработка 7 3 Документация на продукцию 4, 7 4 Управление продукцией и процессами (включая стерилизацию, где применимо) 4, 6, 7, 8 5 Корректирующие и предупреждающие действия 4, 5, 6, 7, 8 6 Управление закупками 7 7 Документация и записи 4 8 Процессы, связанные с потребителем 7

Более подробные ссылки на разделы и подразделы ГОСТР ИС0 13485 приведены в разделе 5 настоящего стандарта. Основные подсистемы идентифицированы в таблице 1 под номерами 1—5. Данным подсистемам рекомендуется уделять первостепенное внимание в процессе аудита. В каких-то конкретных ситуациях может понадобиться рассмотреть в качестве основных подсистем другие подсис-

темы. Например, управление закупками рекомендуется рассматривать как основную подсистему в следующих случаях:

—    если изготовитель закупает готовые медицинские изделия;

—    если изготовитель передает стороннему исполнителю выполнение таких основных процессов или услуг, как проектирование и разработка, процессы жизненного цикла продукции, стерилизация и др.;

—    если изготовитель закупает основные компоненты и узлы.

4.3 Подходы к аудиту

Существуют разные подходы к проведению аудита, например, «сверху вниз», «снизу вверх», комбинированный подход и аудит конкретного изделия.

Надлежащий подход следует выбрать в зависимости от цели и причины проведения аудита. Если в процессе аудита не рассматриваются какие-либо инциденты, то предпочтительнее выбрать подход «сверху вниз». Такой подход обычно практикуют при проведении первоначального аудита. Если аудит включает в себя рассмотрение возможной существенной проблемы безопасности, то обычно практикуют подход «снизу вверх». Для проведения подтверждающего аудита можно использовать комбинированный подход. Аудит конкретного изделия позволяет оценить взаимодействие между подсистемами.

Подход «сверху вниз», используемый для проведения аудита, начинается с оценивания структуры системы менеджмента качества изготовителя и ее подсистем: высшего руководства, проектирования и разработки, документации на продукцию, управления продукцией и процессами, корректирующих и предупреждающих действий. Выбранные подсистемы анализируются для того чтобы установить, как изготовитель выполняет основные требования посредством определения, документирования и внедрения соответствующих процедур. Важно отслеживать применение процессного подхода как к системе менеджмента качества в целом, так и к каждой ее подсистеме, например, используя цикл PDCA (планирование — осуществление — проверка — действие) (см. 4.4). Применяя подход «сверху вниз» аудитор должен подтвердить, что изготовитель разработал надлежащие процедуры и политику. Для этого аудитор должен проанализировать свидетельства аудита, включая записи, в целях верификации результативности внедрения изготовителем разработанных политики и процедур и соответствия системы менеджмента качества регулирующим требованиям.

Описанный подход является единым для всех сторон, участвующих в систематическом и прозрачном процессе аудита: регулирующих органов, организаций, проводящих аудиты, и изготовителей. Однако данный подход не позволяет сфокусировать внимание на конкретном изделии.

Подход «снизу вверх», используемый для проведения аудита, может иметь в качестве отправной точки проблему в области качества, например сообщение о неблагоприятном событии, произошедшим с медицинским изделием, или о несоответствующей продукции. Таким образом, аудитор начинает работать «снизу» и проходит весь путь «вверх» через систему менеджмента качества изготовителя вплоть до ответственности высшего руководства. Данный подход позволяет быстро получить представление о результативности выбранных для аудита подсистем и процессов, на функционирование которых повлияла какая-то конкретная проблема в области качества, и о причине(ах) возникновения проблемы в области качества. При использовании данного подхода труднее определить результативность системы менеджмента качества в целом.

Третий подход представляет собой комбинацию первых двух. Аудитор начинает с анализа верхнего слоя системы менеджмента качества (сверху вниз), затем проводит аудит некоторых элементов системы (например, процесса производства) и в итоге верифицирует соответствие проведенных процедур (снизу вверх). Применение комбинированного подхода часто более эффективно, чем подходов «сверху вниз» или «снизу вверх» по отдельности. Данный подход также часто является более гибким при исследовании конкретных проблем, связанных с оцениванием результативности системы менеджмента качества изготовителя.

При аудите конкретного изделия аудитор выбирает одно медицинское изделие, партию или серию и изучает историю данного образца (данной выборки) на примере разных процессов системы менеджмента качества (планирования, проектирования и разработки, закупок, производства, упаковывания, распределения и т. д.). Это необходимо делать либо начиная со стадии планирования и продвигаясь вперед, либо продвигаясь назад от стадии распределения. Кроме того, выбирая образец с известной проблемой, аудитор может также включить в аудиторское заключение подсистему корректирующих и предупреждающих действий.

4

ГОСТ Р 54882-2011

4.4 Процессный подход к аудиту

Результативная система менеджмента качества является механизмом управления, способным предупреждать и выявлять отклонения и идентифицировать причины этих отклонений. Далее результативной системе менеджмента качества следует обеспечить идентификацию, осуществление и результативность корректирующих и предупреждающих действий. Аудитору рекомендуется оценить, структурированы ли применяемые подсистемы и процессы системы менеджмента качества каксаморе-гулируемые, управляемые процессы и являются ли они результативными. ГОСТР ИСО 13485 помогает сформулировать следующие основополагающие вопросы, ответы на которые могут быть получены в процессе аудита.

4.4.1    Планирование

Разработал ли изготовитель в соответствии с регулирующими требованиями цели и процессы, необходимые для достижения его системой менеджмента качества требуемых результатов?

4.4.2    Осуществление

Руководствуется ли изготовитель в своей деятельности системой менеджмента качества?

4.4.3    Проверка

Регулярно ли оценивает изготовитель процессы системы менеджмента качества и результаты измерений в соответствии с разработанными целями и регулирующими требованиями? Оценивает ли изготовитель результативность системы менеджмента качества через запланированные периоды времени посредством проведения внутренних аудитов, анализа со стороны руководства и т. д.?

4.4.4    Действие

Осуществляет ли изготовитель результативные корректирующие и предупреждающие действия в целях обеспечения высокого качества медицинских изделий и их соответствия применимым законодательным и регулирующим документам?

4.5    Выборка

Аудиторы могут осуществлять выборку, основываясь на факторах, с наибольшей вероятностью воздействующих на безопасность применения медицинского изделия. При планировании аудитов систем менеджмента качества (см. также 4.6) аудиторам необходимо рассматривать многие факторы (например, область аудита, классификацию медицинского изделия, сложность медицинского изделия, предусмотренное применение, применимые регулирующие требования, результаты предыдущих аудитов и т. д.). Может возникнуть необходимость в проведении выборки внутри каждой подсистемы, для того чтобы оценить результативность внедрения данной подсистемы (и связанных с ней подсистем). Для определения соответствующих размеров статистической выборки можно использовать таблицы А.1 и/или А.2, приведенные в приложении А.

4.6    Планирование аудита

В дополнение к требованиям, приведенным в ГОСТ Р 54421, рекомендуется рассмотреть следующие факторы:

—    информацию, полученную от изготовителя;

—    продолжительность аудита, его периодичность и примерный расчет времени проведения аудита на месте.

Остальные факторы, которые необходимо рассмотреть, приведены в разделе 5 настоящего стандарта.

4.6.1 Информация, которую необходимо получить от изготовителя

На стадии планирования рекомендуется запросить следующую информацию от изготовителя, для того чтобы определить продолжительность аудита и разработать план аудита в соответствии с ГОСТ Р 54421, пункт 7.1.2:

—    официальное наименование организации-изготовителя и все ее прочие наименования, ее адрес, а также структуру организации;

—    наименование представителя, контактный телефон, факс и адрес электронной почты;

—    общее число сотрудников (во всех сменах), попадающих под область аудита;

—    номенклатуру и класс безопасности изготавливаемых медицинских изделий (класс безопасности медицинского изделия может отличаться у разных регулирующих органов);

—    виды проданных и/или планируемых к продаже в страны и/или регионы медицинских изделий, регулирующие требования которых должны быть оценены, включая полный список авторизаций (например, лицензий), выданных на рассматриваемые медицинские изделия (где применимо);

5

—    местоположение и функции каждой производственной площадки, включенной в аудит;

—    список видов деятельности, осуществляемых на каждой площадке;

—    специальные производственные процессы, например разработка программного обеспечения, стерилизация и т. д.;

—    перечень материалов и услуг, поставляемых наиболее значимыми поставщиками, и их местонахождение, а также способ управления процессами, переданными сторонней организации;

—    все имеющиеся результаты аудитов, проведенных другими организациями, при наличии соответствующего разрешения;

—    возможность монтажа или обслуживания медицинских изделий;

—    сведения обо всех изменениях, произошедших со времени проведения последнего аудита, если таковое имели место.

4.6.2 Определение продолжительности аудита, его периодичности и примерный расчет времени проведения аудита на месте

4.6.2.1    Периодичность аудита

Периодичность аудита зависит от факторов, приведенных в ГОСТР 54421, подраздел 7.2, а также от регулирующих требований и предыстории изготовителя.

4.6.2.2    Продолжительность аудита

Продолжительность аудита оказывает существенное воздействие на регулирующие органы и промышленные структуры в зависимости от используемых ресурсов, а также от полноты охвата аудитом и тщательности его проведения.

Продолжительность аудита зависит от таких факторов, как область аудита, цели и конкретные регулирующие требования, соответствие которым необходимо оценить, а также от номенклатуры, класса безопасности, сложности медицинских изделий, размеров и сложности структуры организации-изготовителя. Если специально не оговорено, то перечисленные факторы относятся к первоначальным и подтверждающим аудитам.

4.6.2.3    Взаимосвязь между периодичностью и продолжительностью аудита

Продолжительность аудита зависит от его периодичности. Например, базовым уровнем является

ежегодно проводимый аудит (см. ГОСТ Р ИСО/МЭК17021).

4.6.2.4    Метод определения продолжительности аудита

Если организация, проводящая аудиты, планирует проведение аудита, то аудиторской группе следует предоставить достаточно времени для того, чтобы определить соответствие системы менеджмента качества изготовителя применимым регулирующим требованиям. Если необходимо дополнительное время для того, чтобы оценить соответствие национальным или региональным регулирующим требованиям, то эта необходимость должна быть обоснована.

Например, для определения базовой продолжительности первоначальных аудитов на соответствие стандартам серии ГОСТ Р ИСО 9000, измеряемой в человеко-днях, можно использовать таблицу из ГОСТ Р 40.003. Поскольку данная таблица не предназначена непосредственно для нужд аудиторов медицинских изделий, рекомендуется добавить дополнительное время с учетом требований ГОСТ Р ИСО 13485 и регулирующих требований. Данный стандарт можно также рассматривать как руководство для определения продолжительности других видов аудитов, например подтверждающих аудитов.

Увеличенное базовое время включает в себя время для подготовки к аудиту, предварительного анализа документации системы менеджмента качества и составления отчета. В него не входит время, необходимое для анализа пакета проектной документации, изучения типа, проверки одобрения выпуска изделия в продажу и других подобных видов деятельности, но входит время, необходимое для оценивания документов на продукцию на базе образца, выбранного для аудита. Увеличенное базовое время для первоначального аудита рекомендуется корректировать с учетом других видов аудитов и факторов, приведенных в приложении В, которые могут увеличивать или уменьшать установленную продолжительность аудита, но только если требование учета данных факторов содержится в применимых регулирующих документах.

4.6.2.5    Примерный расчет времени проведения аудита на месте (в процентах)

Примерно рассчитать время проведения аудита на месте (в процентах) для разных подсистем можно с помощью таблицы 2.

6