Руководство по проведению это

ФЕДЕРАЛЬНОЕ
АГЕНТСТВО
ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ГОСТ Р исо/мэк 15504-3-2009

Информационная технология

ОЦЕНКА ПРОЦЕССА

Часть 3

Руководство по проведению оценки

ISO/IEC 15504-3:2004
Information technology — Process assessment —
Part 3: Guidance on performing an assessment
(IDT)

Предисловие

Цели и принципы стандартизации в
Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом
регулировании», а правила применения национальных стандартов Российской
Федерации — ГОСТ Р
1.0-2004 «Стандартизация в Российской Федерации. Основные положения»

Сведения о стандарте

1 ПОДГОТОВЛЕН Федеральным государственным унитарным предприятием
«Государственный научно-исследовательский и конструкторско-технологический институт
«ТЕСТ» (ФГУП ГосНИИ «ТЕСТ») на основе собственного аутентичного перевода на
русский язык стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 «Информационные
технологии»

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по
техническому регулированию и метрологии от 9 декабря 2009 г. № 635-ст

4 Настоящий стандарт идентичен
международному стандарту ИСО/МЭК 15504-3:2004 «Информационная технология.
Оценка процесса. Часть 3. Руководство по проведению оценки» (ISO/IEC 15504-3:2004 «Information technology — Process assessment —
Part 3: Guidance on performing an assessment»).

При применении настоящего
стандарта рекомендуется использовать вместо ссылочных международных стандартов
соответствующие им национальные стандарты Российской Федерации, сведения о
которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

Информация об изменениях к
настоящему стандарту публикуется в ежегодно издаваемом информационном указателе
«Национальные стандарты», а текст изменений и поправок — в ежемесячно издаваемых информационных указателях
«Национальные стандарты». В случае пересмотра (замены) или отмены настоящего
стандарта соответствующее уведомление будет опубликовано в ежемесячно
издаваемом информационном указателе «Национальные стандарты». Соответствующая
информация, уведомление и тексты размещаются также в информационной системе
общего пользования — на официальном сайте Федерального агентства по
техническому регулированию и метрологии в сети Интернет

СОДЕРЖАНИЕ

ГОСТ Р ИСО/МЭК 15504-3-2009

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ
ФЕДЕРАЦИИ

Дата введения — 2010 — 09 — 01

1 Область применения

Настоящий стандарт устанавливает руководство по обеспечению
минимального набора требований для проведения оценки, содержащихся в ИСО/МЭК
15504-2.

В стандарте приведены: обзор оценки процессов и
интерпретация требований посредством предоставления руководства относительно:

a) осуществления
оценки;

b) схемы измерения
возможностей процесса;

c) базовых моделей
процессов и моделей оценки процессов;

d) выбора
и использования инструментов оценки;

e) компетентности
оценщиков;

f)
подтверждения соответствия.

В настоящем стандарте использована схема: текст в рамке
повторяет текст из ИСО/МЭК 15504-2, а последующий текст представляет собой
руководство по применению приведенных нормативных требований ИСО/МЭК 15504-2.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на
следующие стандарты:

ИСО/МЭК 15504-1:2004 Информационная технология. Оценивание
процесса. Часть 1. Основные понятия и
словарь (ISO/IEC
15504-1:2004, Information technology — Process assessment — Part 1: Concepts
and vocabulary)

ИСО/МЭК 15504-2:2003 Информационная технология. Оценивание
процесса. Часть 2. Проведение оценки (ISO/IEC 15504-2:2003, Information
technology — Process assessment — Part 2: Performing an assessment)

В настоящем стандарте применены термины, определенные в
ИСО/МЭК 15504-1.

4 Обзор оценки процессов

4.1 Введение

Оценка процесса необходима для понимания возможностей текущих
процессов подразделений организации. Оценка процесса может охватывать все или
некоторое подмножество процессов (управление проектом, разработка,
сопровождение, управление конфигурацией), используемых организацией.

Оценка процесса выполняется одним или несколькими
оценщиками, один из которых (компетентный оценщик) отвечает за обеспечение
соответствия оценки требованиям ИСО/МЭК 15504-2.

Оценка процессов подразделения организации осуществляется с
использованием модели оценки процесса, основанной на базовой модели процесса
(например, ИСО/МЭК 12207:1995/Доп. 1:2002). Базовая модель процесса описывает
процессы в терминах назначения и выходов. Модель оценки процесса предоставляет
подробные индикаторы, необходимые для оценки достижения атрибутов процесса.

Имеется набор из девяти атрибутов процесса, применимых к
любым процессам, характеризующих возможности реализованного процесса и
определенных в ИСО/МЭК 15504-2.

Атрибуты процесса сгруппированы по уровням возможностей,
которые определяют упорядоченную шкалу возможностей процесса и указывают
рациональный способ реализации каждого отдельного процесса. Каждый атрибут
процесса представляет собой измеряемую характеристику, которая поддерживает
достижение цели процесса и вносит вклад в удовлетворение бизнес-целей организации.

Основной выход оценки состоит из рейтингов, до девяти
включительно, атрибутов каждого оцененного процесса (называемых профилем
процесса).

4.2 Процесс оценки

Оценка должна быть проведена в соответствии с
документированным процессом, удовлетворяющим назначению оценки. Ключевые
элементы документированного процесса оценки тесно связаны с требованиями к
проведению оценки, определенными в разделе 4 ИСО/МЭК 15504-2. Краткий обзор
этих элементов приведен в следующем подразделе. Более подробная интерпретация
деятельности по проведению оценки содержится в разделе 5. Однако данное руководство не
представляет полный документированный процесс оценки. Оно лишь обеспечивает
интерпретацию требований ИСО/МЭК 15504-2 и указывает исходную позицию для
выбора или создания документированного процесса оценки.

Документированный процесс оценки является набором инструкций
по проведению оценки. Он направлен на следующие составляющие проведения оценки:

— определение
входов оценки, таких как назначение, область применения, ограничения и
идентификация соответствующей модели оценки процесса, которая должна быть
использована;

-определение
ключевых ролей и ответственностей;

— предоставление
руководства по планированию, сбору и проверке данных, созданию рейтинга
атрибутов процесса и написанию отчета о результатах оценки;

— протоколирование
выходов оценки.

Раздел 5 содержит руководство относительно требований к
процессу оценки, а подраздел 11.3 содержит руководство по подтверждению
оценок процессов. В приложении А приведен пример документированного процесса
оценки.

4.3 Схема измерения возможностей процесса

Схема измерения определяет шеститочечную упорядоченную шкалу
рейтингов возрастающих возможностей процессов: от процесса, который не может
достичь своего назначения (уровень 0 возможностей процесса), до процесса,
который оптимизирует свое осуществление (уровень 5 возможностей процесса).
Каждый процесс имеет набор рейтингов атрибутов, образующий профиль процесса.
Рейтинги атрибутов процесса выражают с помощью шкалы атрибутов процесса,
определенной в ИСО/МЭК 15504-2. Модель уровней возможностей процессов описана в
терминах рейтингов атрибутов процесса, которые должны быть обеспечены для
достижения конкретного уровня. В разделе 6 дано руководство по схеме
измерения возможностей процесса.

4.4 Базовая модель процесса

Базовая модель процесса описывает набор из одного или
нескольких процессов в терминах назначения и ожидаемых выходов.

Назначение описывает цели высокого уровня, которых должен
достичь процесс, а соответствующие выходы представляют собой ожидаемые
результаты успешной постановки процесса. Утверждения о назначении вместе с
выходами определяют, что должно быть достигнуто, но не предписывают, как
процесс должен достичь своих целей. В разделе 7 приведено руководство по
базовым моделям процессов, а в подразделе 11.1 — руководство по
подтверждению их соответствия или согласованности.

Базовые модели процессов приведены ИСО/МЭК 12207:1995/Доп.
1:2002, приложение F,
а также в ИСО/МЭК 15288.

4.5 Модель оценки процесса

Согласно настоящему стандарту модель оценки процесса — такая
модель, которая удовлетворяет требованиям, определенным в ИСО/МЭК 15504-2.
Соответствующая модель оценки процесса:

— пригодна для
целей оценки процесса;

— ее необходимые элементы отображаются в процессы, описанные
в выбранной(ых) соответствующей(их) базовой(ых) модели(ях) процесса, и в
атрибуты процесса, определенные в ИСО/МЭК 15504-2;

— основана на наборе индикаторов, используемых при оценке
для сбора информации о процессах и их атрибутах;

— имеет формальный и проверяемый метод для выражения
информации, собранной с использованием модели оценки процесса, в виде рейтингов
атрибутов процесса, как определено в ИСО/МЭК 15504-2.

В разделе 8 приведено руководство по моделям оценки
процессов, а в подразделе 11.2 — руководство по подтверждению их соответствия.
Модель в ИСО/МЭК 15504-5 представляет собой пример модели оценки процесса,
основанной на базовой модели процесса, определенной в ИСО/МЭК 12207:1995/Доп.
1:2002.

4.6 Инструменты оценки

При любой оценке необходимо собрать данные, записать их, сохранить,
упорядочить, обработать, проанализировать, получить обратно из мест хранения и
представить. Это может быть обеспечено различными инструментами. При некоторых
оценках поддерживающие инструменты могут быть основаны на бумажном носителе
(формы, вопросники, проверочные листы и т. п.). В некоторых случаях объем и
сложность информации оценки могут потребовать использования поддерживающих
инструментов, основанных на компьютерной технологии.

Независимо от формы представления поддерживающие инструменты
предназначены:

— для помощи
оценщику при проведении оценки согласованным и проверяемым способом,
уменьшающим субъективность и вносящим вклад в достижение проверяемых, полезных
и сравнимых результатов оценки;

— для более
эффективного проведения оценки.

Для достижения этих целей оценщикам с помощью поддерживающих
инструментов должна быть обеспечена доступность модели оценки процесса и ее
индикаторов.

В разделе 9 приведено руководство по выбору и использованию
инструментов оценки.

4.7 Компетентность команды оценки

Оценку должны проводить лица:

— с адекватным сочетанием образования, тренировок и опыта в
соответствующих процессах;

— имеющие доступ к необходимым документированным
руководствам по проведению определенной деятельности по оценке;

— компетентные в использовании выбранных для поддержки
оценки инструментов. Компетентность членов команды оценки должна быть проверена
компетентным оценщиком до распределения ролей и ответственностей при проведении
оценки.

Компетентность компетентного оценщика должна быть проверена
заказчиком. В разделе 10 приведено руководство по компетентности
оценщиков.

4.8 Подходы к оценке

4.8.1 Самооценка

Самооценка проводится организацией для оценки возможностей
собственного процесса. Заказчик оценки, как правило, является внутренним
относительно организации, как и члены команды оценки.

4.8.2
Независимая оценка

Независимая оценка проводится командой оценки, члены которой
независимы от оцениваемого подразделения организации. Независимая оценка может
проводиться, например, организацией в своих собственных интересах как
независимая проверка того, что ее программа оценки функционирует надлежащим
образом; в этом случае заказчик оценки относится к той же самой организации, но
необязательно к оцениваемому подразделению.

Заказчик оценки может быть внешним по отношению к
оцениваемому подразделению организации, таким как получатель, желающий иметь
независимое определение возможностей процесса. Однако степень независимости
может варьироваться в соответствии с назначением, областью применения и
контекстом оценки.

В случае внешнего заказчика оценки должно быть принято
взаимное соглашение между заказчиком оценки и оцениваемой организацией.

4.9 Факторы успеха при оценке процесса

Для успешной оценки процесса существенны следующие факторы.

4.9.1
Обязательства

Обязательства заказчика существенны для гарантии того, что
будут достигнуты цели оценки. Эти обязательства требуют, чтобы необходимые
ресурсы, время и персонал были доступны для проведения оценки. Для перехода к
оценке компетентный оценщик должен подтвердить обязательства заказчика.

4.9.2 Мотивация

Позиция руководства организации имеет существенное влияние
на выход оценки. Следовательно, руководству организации необходимо мотивировать
участников быть открытыми и конструктивными. Оценка процесса сфокусирована на
процессе, а не на его выполнении членами подразделения организации. Задача
состоит в том, чтобы сделать процесс более эффективным в обеспечении
определенных бизнес-целей, а не в том, чтобы возложить вину на отдельных лиц.
Обеспечение обратной связи и поддержание атмосферы, которая поощряет открытую
дискуссию о предварительных результатах оценки, помогают гарантировать, что
выход оценки будет значимым для подразделения организации. Организации следует
понимать, что участники являются главным источником соответствующего опыта и
знаний о процессе и что они положительно относятся к идентификации
потенциальных слабостей.

4.9.3
Конфиденциальность

Уважение к конфиденциальности источников информации и
документации, собранной в ходе оценки, существенно для секретности этой
информации. При интервьюировании или обсуждении должно быть уделено внимание
гарантиям того, чтобы участники не чувствовали угрозы и не имели сомнений
относительно конфиденциальности. Некоторая предоставленная информация может
быть собственностью подразделения организации. Следовательно, важно обеспечить
адекватный контроль за работой с такой информацией.

4.9.4 Уместность

Члены подразделения организации должны быть уверены, что
оценка прямо или косвенно принесет им некоторую пользу.

4.9.5
Доверительность

Заказчик, руководство и штат подразделения организации
должны быть уверены, что оценка принесет объективные и представительные в области
оценки результаты. Важно, чтобы все стороны могли быть уверены в том, что
оценщики обладают адекватным опытом проведения оценки, достаточно
беспристрастны и имеют адекватное для проведение оценки понимание подразделения
организации и его деятельности.

5 Руководство по требованиям к проведению оценки

5.1 Общие положения

Определенные в ИСО/МЭК 15504-2 требования к проведению
оценки направлены на достижение большей степени единообразия в подходах к
оценке процессов, чтобы максимизировать надежность разных подходов и обеспечить
некоторую степень сравнимости результатов разных оценок. Допускается проверять
требования до и в ходе проведения оценки, что позволит предпринимать
корректирующие действия.

5.2 Виды деятельности в процессе оценки

Данный раздел направлен на
удовлетворение двух различных требований оценки процесса:

-документированный
процесс оценки должен быть способен удовлетворить назначению оценки;

— оценка должна
проводиться в соответствии с документированным процессом оценки.

Назначение оценки определено как один из выходов оценки
[ИСО/МЭК 15504-2, 4.4.2 b)];
в данной серии стандартов назначение оценки определено как «утверждение,
являющееся частью входа оценки, определяющее основания для проведения оценки».

Документированный процесс оценки обеспечивает повторяемость
подхода к оценке. В подразделе 5.6 приведено руководство по выбору
документированного процесса оценки.

5.2.1 Планирование

Деятельность, которая должна быть
осуществлена, определяется выбранным документированным процессом оценки,
привязанным по мере необходимости.

Ресурсы и график в значительной степени зависят от
информации, содержащейся во входе оценки, а именно, области и назначении оценки.
До планирования эту информацию следует тщательно изучить. Потребности во
времени и ресурсах могут изменяться в ходе деятельности по оценке процесса. В
числе планируемых видов деятельности должны быть мониторинг и корректирующие
действия для поддержания графика и ресурсов.

В первой версии плана может отсутствовать или быть неполной
некоторая информация (например, идентификация всех участников). По мере
развития деятельности по оценке процесса план должен обновляться необходимой
информацией.

В разделе 11 приведено руководство по критериям для проверки
выполнения требований настоящего стандарта.

Должен быть идентифицирован и кратко описан выход оценки,
который будет предоставлен заказчику оценки. Минимальным требуемым выходом
является протокол оценки. Любая необходимая дополнительная информация
[указанная в ИСО/МЭК 15504-2,4.5.2, перечисление f)] должна быть определена в плане.

5.2.2 Сбор
данных

Сбор данных может быть осуществлен различными
способами, такими как интервью, вопросники, обсуждения и обзор артефактов. До
начала сбора данных процессы подразделения организации должны быть отображены в
процессы, определенные в модели оценки процесса.

Механизм выбора образцов должен гарантировать, что выбранные
процессы пригодны для назначения оценки. Информация об образцах и обоснование
должны быть сохранены.

Собранная информация может быть организована как часть
механизма мониторинга или отчетности, используемого в одном или нескольких проектах.
Альтернативно сбор информации может осуществляться автоматически или
полуавтоматически с помощью поддерживающих инструментов. Инструменты могут быть
использованы непрерывно по всему жизненному циклу, например в определенных
контрольных точках для измерения соответствия процессу, прогресса в улучшении
процесса или для сбора информации, облегчающей последующую оценку.

5.2.3 Валидация
данных

Собранные данные должны быть
аккуратно представлены для оценки процессов. Валидация этих данных должна
включать в себя оценку того, достаточно ли представителен для оценки процессов
выбранный объем образцов.

Для обеспечения валидации данных полезны следующие методы:

— сравнение
результатов с результатами предыдущих оценок того же самого подразделения
организации;

— просмотр
согласованности между связанными или взаимодействующими процессами; -заседания
по предварительным результатам с целью обеспечить обратную связь с подразделением

организации.

Некоторая валидация данных может быть проведена в фазе сбора
данных по мере их сбора и оценки.

Если валидация не может быть обеспечена, то это
обстоятельство должно быть явно отмечено в выходе оценки процесса совместно с
анализом рисков, связанных с потенциальным отсутствием валидности результатов.

5.2.4 Присвоение
рейтингов атрибутов процесса

Рейтинг в существенной мере основан
на мнении оценщика и на проверенных объективных свидетельствах. Оценщик должен
также принимать во внимание назначение и контекст оценки. Когда элементы
рейтинга используемой модели оценки процесса отличаются от атрибутов процесса
(по ИСО/МЭК 15504-2, раздел 5), то этот
рейтинг должен быть преобразован в соответствии с методами, определенными в
модели оценки процесса (см. 8.1.3).

Рейтинги атрибутов должны быть проверены и запротоколированы
и должны гарантировать, что каждый протокол рейтинга может быть однозначно
идентифицирован и прослежен до процесса, к которому он относится. Рейтинг
присваивают каждому атрибуту процесса, а набор рейтингов атрибутов процесса
представляет собой профиль процесса оцениваемого подразделения организации.
Каждому атрибуту процесса рейтинг присваивают на основе проверенных объективных
свидетельств, собранных с помощью индикаторов оценки, представленных в модели
оценки процесса.

При определении рейтинга каждого оцениваемого атрибута
желательно максимальное согласие между оценщиками. Если согласие не
единодушное, то должны быть установлены правила для процесса принятия решения
(например, консенсус, принятие большинством голосов и т. п.). Правила
согласования должны быть запротоколированы.

Профиль процесса должен быть представлен в форме(ах),
допускающей(их) непосредственную интерпретацию смысла и значения. Требования к
построению модели оценки процесса гарантируют, что индикаторы прослеживаемы до
утверждений о назначении и выходе процесса в базовой модели процесса и до
атрибутов процесса по ИСО/МЭК 15504-2, раздел 5. В этом разделе содержится
требование дальнейшей прослеживаемости между рейтингами атрибутов и
использованными объективными свидетельствами с целью определить мнения
оценщиков и обеспечить основу для повторяемости. Таким образом, при верификации
или повторении рейтинга третьей стороной могут быть прослежены все
свидетельства, связанные с рейтингом атрибутов, и, предположительно, достигнуты
те же самые результаты. Более того, для облегчения такой прослеживаемости и
обеспечения уверенности в правомерности присутствия индикаторов требуется,
чтобы для каждого атрибута были запротоколированы связи между индикаторами и
объективными свидетельствами.

5.2.5
Составление отчета

Отчет о результатах оценки может
быть представлен в форме презентации для внутренней оценки или в форме
подробного отчета для независимой внешней оценки. Дополнительно могут быть
подготовлены, в зависимости от назначения оценки и при проведении одновременно
с оценкой дополнительного анализа, другие обнаруженные факты или предлагаемый
план действий. Эти результаты могут быть представлены в абсолютных или
относительных терминах, в сравнении с результатами предыдущей оценки, с
бизнес-потребностями, с эталонными данными и т. п.

Результаты оценки, как правило, используют в качестве основы
для разработки плана улучшения или определения возможностей и соответствующих
рисков. Соответствующее руководство приведено в ИСО/МЭК 15504-4.

5.3 Роли и ответственности

5.3.1 Ответственность заказчика

Заказчик должен нести ответственность и иметь полномочия
обеспечить доступность адекватных ресурсов и компетенции для проведения
соответствующей оценки. Примерами ресурсов, к которым требуется доступ команды
оценки, могут быть ключевые лица для интервьюирования, инфраструктура,
необходимая при проведении оценки, артефакты, которые должны быть проверены.
Несмотря на то, что конкретная ответственность непосредственно не возложена на
руководство подразделения организации, его согласие и мотивация очень важны.
Это, в частности, справедливо, когда заказчик не является членом руководства
подразделения организации.

5.3.2 Ответственность компетентного оценщика

Компетентный оценщик отвечает за обеспечение того,
чтобы оценка достигла своего назначения и соответствовала требованиям ИСО/МЭК
15504-2. Следовательно, крайне необходимо, чтобы компетентный оценщик выбрал
подходящий документированный процесс оценки. Даже если документированный
процесс оценки выбран заказчиком оценки, компетентный оценщик остается
ответственным за то, чтобы обеспечить компетентное использование его
оценщиками.

5.3.3 Ответственности оценщиков

Деятельность по созданию рейтинга целиком
осуществляется оценщиками и компетентным оценщиком. Другие лица, участвующие
как члены команды оценки, обеспечивают конкретную экспертизу или поддерживающую
канцелярскую работу. Они могут поддерживать оценщиков при формулировке мнений,
но не отвечают за окончательный рейтинг атрибутов процесса.

5.4 Определение начального входа оценки

Вся информация, требуемая для входа оценки, должна
быть подробно сопоставлена, просмотрена, одобрена и документирована до начала
оценки. Одобрение заказчиком входа оценки является существенным, так как он
включает в себя управляющие элементы процесса оценки. Одобряя вход оценки,
заказчик также демонстрирует свою вовлеченность и согласие с назначением оценки.

Как правило, заказчик оценки является лицом внутренним
по отношению к организации, но необязательно по отношению к оцениваемому
подразделению организации. В случае независимой оценки заказчик может быть
правомочной единицей, внешней по отношению к оцениваемому подразделению
организации, такой как получатель, желающий иметь выход независимо проведенной
оценки.

Оценки разных типов имеют разное назначение.
Назначение может изменяться в зависимости от бизнес-целей заказчика, таких как
содействие улучшению внутренних процессов или выбор поставщика (внутреннего или
внешнего).

Область действия процесса может включать в себя один
или несколько процессов совместно с высшими уровнями возможностей, которые
должны быть включены в оценку. Предельное число процессов и уровней
возможностей, использованных в оценке, влияет на направленность исследования.
Например, заказчик может пожелать сосредоточить внимание на одном или
нескольких критических процессах или процессах, которые являются кандидатами
действий по улучшению. Получатель может пожелать оценить возможности
поставщиков только для процессов, относящихся к требованиям тендера или
контракта.

Выбор подразделения организации должен отражать
предполагаемое использование заказчиком выхода оценки. Например, если выход
должен быть использован для улучшения процесса, подразделение организации
должно соответствовать предполагаемым усилиям по улучшению. Подразделением
организации может быть что угодно — от одного проекта до всей организации.

Изощренность и сложность реализованного процесса зависят
от контекста этого процесса в подразделении организации. Например, для команды
проектировщиков из пяти человек требуется намного меньше планирования, чем из
пятидесяти. Этот контекст процесса, запротоколированный на входе оценки, влияет
на то, как компетентный оценщик будет обсуждать и оценивать атрибуты
реализованного процесса. Контекст процесса также влияет на степень сравнимости между
атрибутами процесса и/или рейтингами уровней возможностей процесса.

Возможные подходы к оценке описаны в 4.8 настоящего стандарта
(самооценка и независимая оценка).

Оценка может не достичь успеха, если ключевые ресурсы
недоступны. Необходимо провести рассмотрение с целью минимизировать нарушения
нормальной деловой активности.

Процесс и область применения могут быть приспособлены с
целью уложиться в отведенное время.

Может потребоваться исключить некоторые части
подразделения организации, ответственные за некоторую фазу жизненного цикла, и
т. п.

Могут быть установлены ограничения на число и типы
объективных свидетельств, которые должны быть собраны и проверены. Например,
может быть установлено, что должно быть проинтервьюировано не более 20 %
персонала подразделения организации или что свидетельства должны быть собраны
только путем интервью, но не путем проверки документов и т. п.

Исключение процессов в качестве ограничения может
быть излишним, так как область оценки [ИСО/МЭК 15504-2,4.4.2 перечисление с)]
определяет процессы, которые должны быть оценены. Однако при оценке процесса в
пределах конкретной области может потребоваться исследовать другие связанные
процессы, полезные для понимания конкретного атрибута. В таком случае связанные
процессы могут быть исключены явным образом и, следовательно, не должны быть
проверены.

Для простоты может быть использована единственная
модель оценки процесса, однако в зависимости от назначения оценки могут быть
использованы избранные части других моделей оценки процесса.

При оценке процессов программных систем или инженерии
используемая модель оценки процесса и связанная(ые) с ней базовая(ые) модель(и)
процесса могут быть основаны на ИСО/МЭК 15288 и ИСО/МЭК 12207:1995/Доп.1:2002
или иметь с ними взаимосвязи.

Вход оценки должен устанавливать взаимосвязи, при их
наличии, существующие между базовой(ыми) моделью(ями) процесса и двумя
стандартами: ИСО/МЭК 15288 и ИСО/МЭК 12207:1995/Доп.1:2002. Даже если
взаимосвязь состоит в том, что «взаимосвязь отсутствует», это должно быть явно
указано.

В разделе 10
приведено руководство по компетентности оценщиков. Документированный процесс
оценки должен предоставлять специфические критерии, относящиеся к компетентному
оценщику.

Число оценщиков, участвующих в деятельности по оценке, может
варьироваться, однако совместные знания и опыт оценщиков обеспечивают доверие к
результатам оценки. Члены команды оценки из подразделения организации должны
участвовать в обеспечении контекста процесса, поддержании прав собственности и
уверенности в результатах. Эти члены команды должны быть представителями оцениваемого
подразделения организации. В таком случае высока вероятность того, что
результаты оценки позволят получить правильное представление о возможностях
процесса.

Должна быть документирована информация, обеспечивающая контекст процесса,
такая как возможности улучшения или риски для получателя.

При выполнении оценки могут произойти изменения в
определении входа оценки. Изменения должны быть одобрены заказчиком оценки или
его полномочным представителем. Если эти изменения влияют на временное
расписание и ресурсы, то соответствующим образом должен быть пересмотрен план
оценки.

Также должен быть проведен анализ влияния на уже собранные
данные с целью определить, не следует ли повторить какую-либо деятельность.

5.5 Регистрация выхода оценки

Информационное содержимое выхода оценки предназначено
для обеспечения понимания результатов оценки и облегчения такой деятельности,
как определение уровней и верификация третьей стороной. Информация может быть
сохранена в различных электронных и бумажных видах в зависимости от
обстоятельств и использованных для поддержания оценки инструментов.

На основании какого-либо соглашения о конфиденциальности
или ограничений доступа, идентифицированных на входе оценки, регистрация может
храниться заказчиком, компетентным оценщиком, подразделением организации или
иным лицом, или организацией.

5.6 Выбор документированного процесса оценки

В настоящем подразделе установлено руководство по выбору и
применению документированного процесса оценки для использования при проведении
оценки процесса, соответствующей ИСО/МЭК 15504. Руководство предназначено,
главным образом, для использования оценщиками и заказчиками оценки. Руководство
не предназначено непосредственно для разработчиков моделей оценок процессов, но
они могут им воспользоваться.

Документированный процесс оценки может быть выбран оценщиком
или установлен в качестве условия заказчиком оценки (в данном случае это
обстоятельство должно быть запротоколировано на входе оценки как ограничение).
В любом случае должны быть использованы критерии, показывающие, что выбор
пригоден для рассматриваемого применения. Конкретные документированные процессы
оценок могут быть применимы для конкретных контекстов процесса, конкретных
подходов к оценке и конкретных процессов. Организации также могут быть
ограничены в использовании конкретного документированного процесса оценки, если
он выбран как стандарт de facto
для обеспечения наиболее эффективного использования ресурсов.

Априори имеющиеся ограничения на базовую модель процесса
и/или на модель оценки процесса могут налагать ограничения на выбранный
документированный процесс оценки.

Основное внимание при выборе документированного процесса
оценки следует уделять его способности гарантировать, что назначение оценки
выполнено. Также критически важна его применимость в контексте и области
оценки. Основными факторами, влияющими на выбор процесса, должны быть:

— планируемое
назначение оценки;

— планируемая
область оценки;

— выбранный подход
к оценке;

— контексты
выбранных процессов;

— размер рисков
относительно точности обнаружения того, что примет заказчик оценки.

Когда существует документированный процесс оценки,
специально разработанный для поддержания конкретного подхода или подходов к
оценке, то его и следует использовать по мере возможности. Большие, сложные
организации могут быть ограничены в выборе документированных процессов оценки
также способностью этих процессов охватывать весь диапазон их деловой
активности с целью обеспечить согласованность подходов, повторного
использования опыта и т. п.

Имеется множество вторичных факторов, которые также будут
влиять на выбор. Эти факторы в большей степени относятся к практическим
вопросам, таким как цена, продолжительность и наличие других ресурсов — таких
как оценщики, — необходимых для проведения оценки. Могут быть такие
ограничения, связанные с применением документированного процесса оценки, как
использование специально подготовленных оценщиков или доступность относящихся к
оценке материалов.

Документированный процесс оценки должен быть пригоден для
привязки к конкретным потребностям отдельной оценки. Назначение, область и
общий подход к оценке будут влиять на способ выполнения требуемых действий.
Процесс конкретной оценки может быть привязан путем добавления или исключения
конкретных задач при условии осуществления минимально требуемого набора
действий. Руководства по привязке могут быть направлены:

— на требуемый в
планах уровень подробностей;

— на источники и
способы сбора данных;

— на методы
хранения и получения данных;

— на дополнительные
задачи, которые должны быть частью оценки;

— на способы
достижения согласия по рейтингам процесса;

— подходы к
написанию отчетов по результатам.

6 Схема измерения возможностей процесса

Схема измерения возможностей основана на понятии процессов,
имеющих общие атрибуты. Эти атрибуты процессов должны быть определены и
отнесены к уровням возможностей.

Ниже приведены интерпретация смысла уровней возможностей и
руководство о том, как распознать достижение девятью атрибутами процессов
уровней возможностей с 1 -го по 5-й.

6.1 Уровень 0. Неполный процесс

Неполный процесс-это такой процесс, который
либо не осуществляется, либо имеется мало свидетельств систематических
достижений назначения процесса, либо эти свидетельства отсутствуют.
Систематическое достижение характеризуется процедурой совершения необходимых
действий и наличием соответствующих входов и выходов рабочих продуктов, которые
совместно гарантируют, что назначение процесса достигнуто. Уровень 0 — это
единственный уровень возможностей без атрибутов, следовательно, уровень 0 может
быть рассмотрен как состояние отсутствия возможностей уровня 1 или выше.
Соответственно, определение процесса как находящегося на уровне 0 основано,
главным образом, на отсутствии адекватных, объективных свидетельств для
рассмотрения его как действующего на уровне 1.

6.2 Уровень 1. Осуществленный процесс

Осуществленный процесс достиг своего
назначения путем осуществления необходимых действий, а наличие соответствующих
входов и выходов рабочих продуктов совместно гарантирует, что назначение
процесса достигнуто.

Уровень 1 — это единственный уровень с одним атрибутом.

Несмотря на то, что на уровне 1 установлен единственный
атрибут таким образом, чтобы он был общим для всех процессов (как и все
атрибуты процессов), в действительности атрибут относится к осуществлению и к достижению
выходов процесса, которые различаются от процесса к процессу. Следовательно,
индикаторы, демонстрирующие свидетельства достижения единственного атрибута на
уровне 1, не общие для всех процессов, а специфичные для оцениваемого процесса.

Уровень возможностей 1 направлен исключительно на
установление того, в какой степени достигнуты выходы, определенные для
процесса. Выход процесса описывает один или несколько из следующих элементов:

— создание артефакта;

— существенное изменение состояния;

— удовлетворение заданным ограничениям, например
требованиям, целям и т. п.

Приведенные выше элементы основаны на ИСО/МЭК 15504-2,
6.2.4.

Соответственно, оценщик должен сосредоточить свое внимание
на рабочих продуктах и действиях, которые относятся к одному или нескольким
приведенным выше выходам процесса в зависимости от характера конкретного
рассматриваемого выхода процесса.

Базовые модели процессов определяют для каждого
процесса назначение и ожидаемые выходы, а модель оценки процесса предоставляет
индикаторы как осуществления, так и возможностей процесса.

Индикаторы, относящиеся к атрибуту 1.1, являются
индикаторами осуществления процесса, которые различаются от процесса к
процессу, но, в общем случае, состоят:

— из идентифицированных рабочих продуктов, являющихся
входом процесса;

— из идентифицированных рабочих продуктов, созданных
процессом;

— из действий, предпринятых для преобразования входных
рабочих продуктов в выходные. Оценщики должны проверить, что люди,
осуществляющие процесс, понимают назначение самого

процесса и выполняют необходимые действия. Рабочие
продукты, получающиеся в результате выполнения действий, вместе с входными
рабочими продуктами представляют собой следующие свидетельства осуществления процесса.
Однако простого существования этих продуктов недостаточно, должно быть
засвидетельствовано, что они вносят вклад в достижение назначения процесса.

6.3 Уровень 2. Управляемый процесс

Управляемый процесс подлежит планированию,
мониторингу и корректировке для удовлетворения идентифицированных целей
осуществления процесса и создания рабочих продуктов, которые должны быть
идентифицированы, документированы и проконтролированы.

Основное отличие от осуществленного процесса состоит в
том, что на данном уровне осуществление процесса планируется, проводятся его
мониторинг и корректировка для создания рабочих продуктов, удовлетворяющих
сформулированным требованиям. Таким образом, существенными элементами
управляемого процесса являются управление его выполнением и направленность на
управление рабочими продуктами. Критическая роль задействованного управления
этими двумя элементами выполнения процесса состоит в повышении уверенности в
том, что создается то, что необходимо, и процесс совершается более
предсказуемым образом.

Применяемое управление процессом приведет к проверяемым
артефактам и/или действиям (к ним относятся, например, планирование, методы
мониторинга и/или коррекции процесса, основанные на результатах сравнения
запланированного и фактического совершения процесса).

Атрибут управления осуществлением относится к
применению основных методов управления для обеспечения разумной уверенности в
том, что цели осуществления процесса достигнуты.

Идентификация целей осуществления процесса является
критическим требованием достижения этого атрибута. Как правило, цели
осуществления включают в себя такие составляющие, как: 1) качество создаваемых
артефактов; 2) время цикла процесса; 3) используемые ресурсы. Цели
осуществления процесса, в свою очередь, вытекают из рассмотрения входов
процесса, общих ограничений и характеристик процесса и/или продукта. На этом
уровне возможностей цели осуществления процесса допускается выражать либо в
качественных терминах (например, сравнительный обзор должно быть легко
проводить и понимать), либо в количественных (например, сравнительный обзор
должен выявлять в среднем не менее 80 % дефектов продукта).

Некоторые процессы (например, поддерживающие,
организационные или управления) могут не требовать планирования в каждом
случае, а могут осуществляться непрерывно в установленном порядке.

Без четко определенных ответственностей и понимания
полномочий любое предприятие рискованно с самого начала. Следовательно,
необходимо разграничение процесса управления в целях явного распределения
ответственностей и полномочий при осуществлении процесса. Существенными
действиями являются идентификация, присвоение и доведение до сведения указанных
ответственностей и полномочий. Все участники процесса (например, владелец
процесса, исполнители процесса и т. п.) должны быть проинформированы об этих
действиях.

Ресурсы и информация, необходимые для реализации процесса
в соответствии с идентифицированными целями осуществления процесса, должны быть
идентифицированными, доступными, распределенными и используемыми. Особенно
важно быть готовым внести коррективы в уже доступные ресурсы и информацию,
поскольку на данном уровне осуществление процесса управляется, потенциально
корректируется, как это необходимо при отклонении от запланированного
осуществления. Связанным с управлением ресурсом, необходимым для осуществления
процесса, является управление интерфейсами между вовлеченными сторонами для
обеспечения эффективного взаимодействия и четкого распределения
ответственности. Как правило, необходимо рассмотреть несколько типов участников
процесса. К ним относятся: владелец(владельцы) процесса; исполнитель(и)
процесса; лица, предоставляющие необходимые ресурсы и информацию; лица,
действующие против течения процесса, и лица, действующие по течению процесса;
другие потенциальные участники. Поскольку кажущиеся минимальными изменения в
осуществлении процесса могут иметь значительное влияние на одного или
нескольких участников, жизненно важно планирование интерфейсов между сторонами,
ведение их мониторинга, внесение необходимых корректив, а также четкое и
регулярное доведение этой информации до сведения.

Атрибут управления рабочим
продуктом относится к применению основных методов управления с целью обеспечить
разумную уверенность в том, что созданные рабочие продукты надлежащим образом
идентифицированы, документированы и контролируются. Рабочие продукты,
рассматриваемые в настоящем разделе, это те продукты, которые получаются в
результате достижения выходов процесса (например, получающиеся в результате
достижения процессом уровня 1).

Рабочий продукт является артефактом, связанным с выполнением
процесса; в соответствии с его характером рабочий продукт будет изменяться в
зависимости от назначения процесса. Одни рабочие продукты могут быть частью
поставляемого продукта, а другие — нет (например, некоторые документы, такие
как персональные документы или протоколы совещаний).

Требования к рабочим продуктам процесса идентифицированы с
целью обеспечить основу для производства (и проверки). Требования к рабочему
продукту будут, вероятно, иметь значительное влияние на требования к
осуществлению самого процесса; следовательно, два атрибута процессов на уровне
возможностей 2 взаимосвязаны.

Требования к рабочим продуктам процесса могут быть
функциональными требованиями, которые имеют отношение к атрибутам рабочего
продукта (производительность, размер и т. п.), нефункциональными, которые имеют
отношение к ограничениям, непосредственно не связанным с атрибутами рабочего
продукта (дата поставки, упаковка) или их комбинацией.

Подобным образом определены требования к документации и
контролю рабочих продуктов процесса; их следует рассматривать как отличные от
требований к рабочим продуктам. В зависимости от конкретных особенностей рабочих
продуктов и/или проектов может быть уместной различная степень контроля за
изменениями и управления конфигурацией.

Требования к документации и контролю за рабочими продуктами
процесса применяют как основу для надлежащей идентификации, документирования и
контроля за рабочими продуктами.

Рабочие продукты процесса, появляющиеся в результате его
реализации, следует просматривать в соответствии с запланированным порядком и
по мере необходимости корректировать для соответствия требованиям. Степень и
характер надзора будут зависеть от многих факторов, все из которых следует
рассматривать как часть планирования управления рабочим продуктом.

6.4 Уровень 3. Установленный процесс

Установленный процесс
основан на стандартном процессе, который эффективно развернут как определенный
процесс для достижения выходов этого процесса. Процесс осуществляется с
использованием определенного процесса, который является привязанным
установленным и поддерживаемым стандартным процессом. Стандартный процесс
идентифицирует ресурсы — как человеческие, так и инфраструктурные, —
необходимые для осуществления процесса, и эти ресурсы включены в определенный
процесс. Должны быть собраны требуемые данные, чтобы идентифицировать
возможности для установления и улучшения как стандартного, так и определенного
процессов.

Главное отличие от управляемого процесса состоит в том, что
установленный процесс — это определенный процесс, развернутый в результате
привязки стандартного.

Уровень возможностей 3 предоставляет основу для перехода к
следующему уровню возможностей процесса, устанавливая стандартный процесс,
который привязан и эффективно развернут в инфраструктуре, необходимой для
обеспечения основы замкнутого цикла улучшения процесса.

Атрибут определения процесса
относится к установке стандартного процесса, его использованию как основы для
осуществления определенного процесса, сбору и оценке данных об осуществлении процесса
как основы для понимания и улучшения стандартного процесса.

Определенный процесс создается путем привязки стандартного
процесса с учетом ограничений и условий, образующих среду, в которой он будет
развернут. В практическом понимании достижение этого атрибута определяется
степенью, в которой установлены и доступны стандартный процесс и
соответствующие руководства по привязке, и степенью, в которой руководства по
привязке содержат четкие указания по надлежащей адаптации стандартного процесса
к диапазону его приложений.

Определенный процесс — это процесс, который развернут в
результате привязки набора стандартных процессов организации в соответствии с
руководствами по привязке, имеет собственное поддерживаемое описание, вносит
вклад в рабочие продукты, измерения и другую информацию по улучшению процесса
на благо деятельности организации. Определенный процесс проекта предоставляет
основу для планирования, осуществления и улучшения задач и работ проекта.

Привязка процесса создает, изменяет или адаптирует описание
процесса для конкретного случая. Например, проект создает свой определенный
процесс, привязывая набор стандартных процессов организации к удовлетворению
целей, ограничений и среды данного проекта. Руководства по привязке
используются для того, чтобы позволить организациям развернуть стандартный
процесс в различных контекстах. Набор стандартных процессов организации описан
на общем уровне, который может оказаться неприменимым непосредственно для
осуществления процесса. Руководства по привязке предназначены для тех, кто
устанавливает определенные процессы для проектов. Руководства по привязке
описывают, что может быть изменено, а что не может быть изменено,
идентифицируют компоненты процесса, являющиеся кандидатами на изменение.

Последовательность и взаимодействие процессов необязательно
предполагают последовательное выполнение; возможно конкурентное выполнение,
циклическая обратная связь или какое-то другое взаимодействие.

Очевидное предварительное условие получения значимой
обратной связи со стандартным процессом — это пунктуальное использование
определенного процесса, т. е. исполнители процесса должны действовать в
соответствии с определенным процессом. В совершенстве привязанные процессы не
имеют длительной ценности, если они не отражают работу, которая должна быть
выполнена.

По мере сбора данных об использовании процесса накапливается
и основа для понимания поведения стандартного процесса. Это хранилище знаний
предоставляет основу для понимания и улучшения стандартного процесса.

Атрибут развертывания процесса
относится к эффективному развертыванию определенного процесса, основанного на
выбранном и/или привязанном стандартном процессе из набора стандартных
процессов, работающих в актив подразделения организации. Имеется ряд
критических факторов, которые вносят вклад в эффективное развертывание, как
идентифицировано в определении атрибута.

Достижение этого атрибута отражается в приверженности
стандартному процессу, требуемому для применения в каждом конкретном случае.
Атрибут также отражает эффективное развертывание ресурсов для реализации
определенного процесса, сбор и анализ данных для понимания и уточнения
поведения определенного процесса.

Другой критический фактор этого атрибута процесса
заключается в обеспечении условий для успешного развертывания (выполнения)
определенного процесса. Предоставляющие такую возможность условия включают в
себя:

— определение
конкретных атрибутов человеческих ресурсов, выполняющих процесс;

— понимание
инфраструктуры процесса и рабочей среды, требуемых для осуществления
определенного процесса;

-успешное выделение
и развертывание требуемых человеческих ресурсов и инфраструктур процесса;

— общее
определенное понимание ролей, ответственностей и компетенции для осуществления
определенного процесса.

Инфраструктура процесса включает в себя инструменты, методы
и специальные возможности, требуемые для осуществления определенного процесса.

Определение, сбор и анализ соответствующих данных, связанных
с выполнением определенного процесса, предоставляют основу для понимания
поведения определенного процесса, а также для демонстрации его пригодности и
эффективности. Это, в свою очередь, вносит вклад в последующее улучшение
элементов стандартного процесса, на которых основан определенный процесс.

6.5 Уровень 4. Предсказуемый процесс

Предсказуемый процесс для
достижения своих выходов действует согласованно в определенных пределах; кроме
того, его выполнение поддерживается и осуществляется с помощью количественной
информации, получаемой из результатов надлежащих измерений. Для поддержания
общих бизнес-целей осуществление процесса, который действует на уровне
возможностей 4, количественно управляется, и процесс ведет себя предсказуемым
образом. Специальные случаи изменений в осуществлении обрабатываются.

Основное отличие от установленного процесса заключается в
том, что на данном уровне определенный процесс для достижения своих выходов
осуществляется согласованно в определенных пределах.

Атрибут измерения процесса
относится к эффективной системе для сбора результатов измерений, связанных с
осуществлением процесса и качеством рабочих продуктов. Измерения применяют для
определения степени достижения бизнес-целей организации.

Соответствующие бизнес-цели организации поняты и ясно
идентифицированы, и установлена некоторая форма соответствия между
бизнес-целями и конкретными целями и измерениями продукта и процесса.

На рисунке 1 показаны взаимосвязи между некоторыми важными
понятиями, относящимися к атрибуту измерения процесса.

Рисунок 1 —
Взаимосвязи между понятиями, относящимися к атрибуту измерения процесса

Примером «определенных бизнес-целей» для
подразделения организации, развертывающего главным образом процесс «построения
программного обеспечения», основанного на детальном проекте,
предоставленном потребителями, может быть «становление лидером рынка для
быстрого перемещения в конкретные рыночные ниши, такие как программное
обеспечение для е-бизнеса». В этом примере «информационными
потребностями» для управления могут быть:

— время, требуемое
на разработку и возврат программного блока (нормированного размера и
сложности);

— стоимость
разработки каждого программного блока (нормированного размера и сложности);

— приемлемость
каждого программного блока с точки зрения удовлетворения требований, числа
дефектов, сопровождаемости и эстетики.

На основании этого примера «информационных потребностей» могут
быть получены такие количественные «цели измерения процесса», как:

— фактические
время, размер и сложность разработки,

— фактическая
стоимость разработки,

— степень
удовлетворения требований,

— число дефектов,

— сопровождаемость,

— эстетика.

«Мерами» этих «целей измерения процесса» могут
быть:

a) нормированное
время в часах и десятых долях часа:

— фактические
время, размер и сложность;

b) нормированная стоимость:

— фактические время, размер и сложность,

— нормированная стоимость, находящаяся в установленных
пределах (да/нет);

c) приемлемость:

— удовлетворение требований в идентифицированных процентах,

— нормированное число дефектов как число дефектов на 100
строк,

— сопровождаемость в процентах по схеме измерений,

— эстетичность в процентах по схеме измерений.

С другой стороны, для поддержания соответствующих
бизнес-целей «целью осуществления процесса» создания программного
обеспечения может быть «минимизация времени разработки программного блока
при сохранении стоимости и порогов приемлемости», где «порог
приемлемости» может относиться к степени удовлетворения требований, числу
дефектов, сопровождаемости кода, эстетике графического пользовательского
интерфейса. Цель осуществления процесса становится «количественной целью», когда
определены эти пороги.

Оставшаяся часть этого примера может иметь «количественные
цели осуществления процесса», установленные следующим образом:

«Для нормализованного блока в 100 строк исходного текста
и сложности 5 (по 10 балльной шкале):

— время минимально возможное,

— стоимость не превышает $1000,

— удовлетворение требований не менее чем на 100 %,

— плотность дефектов не выше чем 0,01 % для класса А, 0,1
% для класса В, 1 % для класса С,

— сопровождаемость более 85 %,

— эстетичность более 65 %.»

Недостаточно только собрать результаты измерения, они должны
быть проанализированы с целью обеспечить проведение мониторинга степени, в
которой достигнуты количественные цели осуществления процесса.

Выбор методов анализа и контроля
будет зависеть от характера процесса, а также от общего контекста оцениваемого
подразделения организации. Например, не все процессы одинаково подходят для
статистического контроля, и могут быть выбраны альтернативные методы (например,
анализ Парето, скелетные диаграммы и т. п.), демонстрирующие качественное
понимание процесса.

Идентифицированные методы анализа должны быть применимы для
целей идентификации коренных причин отклонений в осуществлении процесса.
Контрольные пределы для осуществления процесса могут быть определены либо на
основании опыта, либо в терминах установленных целей осуществления.

Частные случаи отклонения называются дефектами в процессе,
они являются не столько присущими процессу, сколько случайными; как правило,
они возникают из-за проблем выполнения.

Количественное измерение осуществления процесса предполагает
эффективное выполнение корректирующих действий, целенаправленных на
идентифицированные частные случаи отклонений. Подразделение организации,
эффективно использующее измерения, будет применять измерения и анализ для
принятия решений на основе их благоприятного влияния на осуществление процесса.

6.6 Уровень 5. Оптимизирующий процесс

Оптимизирующий процесс
упорядоченно и преднамеренно изменен и адаптирован для эффективного ответа на
изменяющиеся бизнес-цели, и это является нормой поведения. Этот уровень
возможностей процесса фундаментально зависит от понимания поведения процесса в
количественном отношении, что является отличительным признаком предсказуемого
процесса.

Процесс, работающий на уровне возможностей 5, демонстрирует
три критических вида поведения, которые отличают его от предсказуемого
процесса. Во-первых, задействована направленность на непрерывное улучшение
осуществления как текущих, так и проектируемых бизнес-целей подразделения
организации; т. е. продумываются и планируются усилия по улучшению
эффективности и производительности процесса. Во-вторых, имеется упорядоченный и
планируемый подход к идентификации надлежащих изменений процесса и проведению
их таким образом, чтобы минимизировать нежелательные нарушения действия
процесса. Наконец, эффективность изменений оценивается по фактическим
результатам, и по мере необходимости вносятся поправки для достижения
желательных целей продукта и процесса.

Осуществление предсказуемого процесса непрерывно улучшается
для удовлетворения текущих и проектируемых бизнес-целей. Установлены
количественные цели улучшения осуществления процесса, основанные на
соответствующих бизнес-целях подразделения организации. Для идентификации
возможностей хорошей практики и инноваций данные собираются и анализируются;
идентифицируются и обрабатываются общие причины отклонений в осуществлении
процесса. Оптимизирующий процесс привлекает внедрение инновационных идей и
технологий и изменение неэффективных процессов для достижения определенных
бизнес-целей и задач.

Основное отличие от предсказуемого процесса состоит в том,
что на данном уровне определенные и стандартные процессы динамически изменяются
и адаптируются для эффективного достижения текущих и проектируемых
бизнес-целей.

Атрибут инновации процесса
относится к существованию задействованной направленности на непрерывное
улучшение достижения как текущих, так и проектируемых бизнес-целей подразделения
организации.

Наличие явно определенных целей улучшения процесса
предоставляет основу для уровня возможностей 5. Это совместно с текущими и
проектируемыми бизнес-целями организации дает направление для всего, связанного
с уровнем 5 поведения.

Инновация является другим направлением улучшения процесса и
может следовать из анализа данных, относящихся к хорошей практике или к
введению новых технологий.

Вытекающее из целей улучшения процесса понимание причин
существующих проблем процесса, а также его потенциальных проблем представляет
собой важный источник предлагаемых изменений процесса.

Предлагаемые изменения процесса будут результатом
рассмотрения существующего процесса в свете текущих и проектируемых
бизнес-целей подразделения организации.

Сложность организационного развертывания и долговременный
характер непрерывного улучшения требуют для обеспечения успешного достижения
уровня возможностей 5 наличия хорошо рассмотренной стратегии. Стратегия
требуется для обеспечения достижения результатов, которые включает в себя этот
уровень возможностей.

Атрибут оптимизации процесса
относится к упорядоченному и задействованному подходу к идентификации
приемлемых изменений процесса и проведению их таким образом, чтобы
минимизировать нежелательное нарушение работы процесса. Эффективность изменений
оценивают по фактическим результатам и проводят корректировки, необходимые для
достижения соответствующих целей улучшения процесса.

Для достижения наиболее возможных улучшений с наличными
ресурсами оценивают влияние предложенных изменений; понимание предсказуемого
процесса в количественном отношении будет способствовать такой оценке.

Время и последовательность согласованных изменений тщательно
планируют таким образом, чтобы обеспечить минимальные нарушения в осуществлении
процесса. Это планирование, как правило, учитывает такие факторы, как
критичность и статус проекта, оценка эффективности изменений процесса и
создание нового бизнеса.

Понимание фактического влияния изменений процесса является
критическим фактором для уровня возможностей 5, дающим основание для замкнутого
цикла изучения процесса.

6.7 Рейтинг атрибутов процессов

Описанные выше уровни возможностей и атрибуты процессов, как
они определены в ИСО/МЭК 15504-2, 5.1 — 5.6, предоставляют базовые элементы
схемы оценки для рейтинга возможностей процесса. Для завершения схемы
определена шкала рейтингов степени достижения атрибута процесса.

Числовое выражение уровней рейтинга
предназначено для обеспечения твердых опорных точек для поддержки мнений
оценщиков. Не предполагается, что процент достижения будет запротоколирован
явным образом, но эти значения должны быть руководством для оценщиков при
решении задачи определения рейтинга. Нелинейное размещение опорных точек является
преднамеренным; именно таким способом обеспечивается дальнейшее определение
значений рейтингов атрибутов процесса. Использование нелинейной шкалы рейтингов
способствует более легкому и надежному различению мнений оценщиков.

Использование шкалы рейтингов атрибутов
процесса позволяет применять формальный и проверяемый метод представления
результатов оценки в виде набора рейтингов атрибутов каждого оцененного
процесса.

Набор рейтингов атрибутов процесса
представляет собой результат измерения возможностей, определенных в настоящей
серии стандартов; этот результат называют профилем процесса. При любой оценке
результат представляет собой набор профилей всех процессов из области оценки.
Профиль может содержать до девяти рейтингов (по одному на каждый атрибут), но
может быть сужен, если область оценки ограничена в части рассматриваемых
уровней возможностей. Оценки, посредством некоторой модели оценки процесса,
должны предоставить метод выражения оценок возможностей процесса в виде ряда
профилей процесса.

6.8 Модель уровней возможностей процессов

Таблица
1 — Рейтинговые оценки уровней возможностей

Уровень	Атрибуты процесса	Рейтинговая оценка
Уровень 1	Осуществление процесса	В основном или полностью
Уровень 2	Осуществление процесса	Полностью
	Управление осуществлением	В основном или полностью
	Управление рабочим продуктом	В основном или полностью
Уровень 3	Осуществление процесса	Полностью
	Управление осуществлением	Полностью
	Управление рабочим продуктом	Полностью
	Определение процесса	В основном или полностью
	Развертывание процесса	В основном или полностью
Уровень 4	Осуществление процесса	Полностью
	Управление осуществлением	Полностью
	Управление рабочим продуктом	Полностью
	Определение процесса	Полностью
	Развертывание процесса	Полностью
	Измерение процесса	В основном или полностью
	Контроль процесса	В основном или полностью
Уровень 5	Осуществление процесса	Полностью
	Управление осуществлением	Полностью
	Управление рабочим продуктом	Полностью
	Определение процесса	Полностью
	Развертывание процесса	Полностью
	Измерение процесса	Полностью
	Контроль процесса	Полностью
	Инновация процесса	В основном или полностью
	Оптимизация процесса	В основном или полностью

Элементы в таблице 1
основаны на ИСО/МЭК 15504-2,5.8.1.

Таблица 1 определяет взаимосвязи между рейтингами атрибутов
процесса и уровнями возможностей процесса. Когда соответствующие рейтинги
атрибутов процесса присвоены, таблица 1 предоставляет метод для
недвусмысленного получения соответствующего уровня возможностей процесса.

Таблица преобразования позволяет понять, что необходимо
процессу для того, чтобы он был оценен как процесс уровня 2: атрибуты процесса
уровня 1 должны быть оценены как достигнутые полностью, а атрибуты процесса
уровня 2 должны быть оценены как достигнутые в основном или полностью.
Аналогично для более высоких уровней возможностей: все атрибуты процесса более
низких уровней должны быть оценены как достигнутые полностью, а атрибуты
рассматриваемого уровня должны быть оценены как достигнутые в основном или
полностью.

7 Базовые модели процесса

В настоящем разделе приведено руководство по выбору и
применению соответствующих базовых моделей процесса. Сначала приведено
руководство по интерпретации требований к базовой модели процесса. Руководство
по интерпретации будет полезно прежде всего поставщикам базовых моделей
процессов, а руководство по выбору и использованию будет полезно прежде всего
пользователям базовых моделей процессов.

7.1 Интерпретация требований к базовым моделям
процессов

7.1.1 Содержание базовой модели процесса

Это требование устанавливает
минимальное содержание базовой модели процесса; может присутствовать
дополнительный материал, но только указанное в ИСО/МЭК 15504-2 следует
трактовать как нормативное (см. ниже).

Декларация области применения, как правило, имеет вид
описания области применения и ее конкретных составляющих, на которые направлена
модель. Например, базовая модель процесса может быть разработана для применения
в программной индустрии и может быть направлена на процессы жизненного цикла
программной продукции (например, ИСО/МЭК 12207:1995/Доп.1:2002). Как правило,
эта декларация области применения будет включать в себя перечисление процессов,
охваченных базовой моделью процесса.

Приведенная выше декларация области применения должна
сопровождаться описанием каждого процесса, охваченного базовой моделью
процесса; эти описания процессов предоставляют дополнительные подробности,
необходимые для обеспечения применимости модели в схеме, установленной в
настоящей серии стандартов. В ИСО/МЭК 15504-2, 6.2.4 приведены конкретные
требования к содержанию и структуре этих описаний процессов.

При наличии, как правило, нескольких способов разделения
процессов для обеспечения удобства конкретного режима применения базовая модель
процесса также предоставляет декларацию предполагаемого использования этой
модели.

С целью способствовать обеспечению правильного понимания
предполагаемого использования базовой модели процесса должны быть предоставлены
описания того, как определенные в базовой модели процессы связаны друг с
другом. Как правило, это описание должно связывать конкретные процессы в
базовой модели с частями той области, в которой эти процессы должны работать.
Например, в ИСО/МЭК 12207:1995/Доп.1:2002 определен набор процессов, которые
направлены на разработку программного обеспечения; отдельные процессы
непосредственно отображаются в работы, необходимые для создания программного
обеспечения.

7.1.2 Ограничения на
содержание базовой модели процесса

7.1.2.1 Консенсус сообщества

Одним из индикаторов приемлемости и
полезности процессов для конкретной составляющей области применения должна быть
степень участия членов сообщества по интересам в определении базовой модели
процесса. Так как большинство сообществ по интересам смогут активно
использовать только относительно малое число базовых моделей процессов (для
данной области), то в интересах каждого необходимо знать об успешных шагах,
предпринятых поставщиком базовой модели процесса для достижения консенсуса.

Международные документы проходят определенный процесс,
содержащий много контрольных этапов, до того как получат статус международного
стандарта, что обеспечивает внутреннюю уверенность в высокой степени
международного консенсуса. Аналогично поставщик базовой модели процесса должен
явным образом документировать меры, принятые для обеспечения консенсуса в
рамках сообщества по интересам для базовой модели процесса.

В предположении особых ситуаций, когда консенсус сообщества
будет мало полезен для применимости базовой модели процесса, требования ИСО/МЭК
15504-2, 6.2.3 предусматривают, что в том случае, когда меры по его достижению
не были приняты, заявление о влиянии этой ситуации адекватно удовлетворяет
требованиям настоящего раздела. Примером такой ситуации мог бы быть случай,
когда организация на протяжении длительного времени разрабатывала набор
процедур, полезность которых доказана годами практики. Если эта организация
сочтет их полезными для обратной инженерии базовой модели процесса так, что
схема настоящего стандарта может работать, то явно предпринятые действия по
достижению консенсуса могут быть рассмотрены как малозначительные или не
имеющие значения.

7.1.2.2 Уникальность определений и идентификации

Назначение этого требования
самоочевидно; оно предотвращает путаницу в контексте данной базовой модели
процесса. Два процесса в одной и той же базовой модели процесса не могут иметь
одно и то же определение или идентификацию.

7.1.2.3 Ограничение нормативного содержания

Примечание — Любые элементы, содержащиеся в базовой модели процесса и не включенные в настоящий раздел, следует рассматривать как справочные.

[ИСО/МЭК 15504-2, 6.2.3]

В общем случае разработчики базовых
моделей процессов будут включать в базовую модель процесса дополнительное содержание,
выходящее за рамки обязательного в соответствии с требованиями раздела 6
ИСО/МЭК 15504-2.

ИСО/МЭК 15504-2, 6.2.3 разъясняет, что только содержание,
обязательное по разделу 6 ИСО/МЭК 15504-2, может быть рассмотрено как
нормативное в отношении соответствия этому стандарту.

7.1.3 Описания
процессов

Положения ИСО/МЭК 15504-2, 6.2.4
являются критическими для нормального функционирования в рамках схемы,
установленной стандартами серии ИСО/МЭК 15504, модели оценки процесса,
основанной на базовой модели процесса. Эти положения отражают фундаментальные
представления о том, как структурированы процессы, чтобы быть совместимыми со
схемой измерения возможностей процесса, определенной в стандартах серии ИСО/МЭК
15504.

Термины «назначение процесса» и «выход процесса» определены
в ИСО/МЭК 15504-1, причем ключевой элемент определения этих терминов состоит в
их наблюдаемости. Это критически важно для жизнеспособности осуществления
оценки, так как оценщики могут рассчитывать на получение повторимых надежных
рейтингов, только если они основаны на наблюдаемых особенностях действия
процесса.

Как правило, определение назначения процесса состоит из
одного абзаца (одного или нескольких предложений), устанавливающего назначение
осуществления процесса и описывающего на высоком уровне общие цели этого
осуществления. Назначение процесса дополняется перечислением основных выходов
этого процесса. Выход процесса представляет собой наблюдаемый результат
успешного выполнения процесса. Как правило, выходы процесса формулируют в виде
описательных утверждений.

Выходы каждого процесса перечисляют в описании каждого
процесса непосредственно за фразой «В результате успешного выполнения процесса:».
Оценивая достижение выходов процесса, оценщик может сформировать мнение о
возможностях процесса.

7.2 Выбор базовых моделей процессов

Теоретически имеется много факторов, которые могут быть
использованы для отличия одной базовой модели процесса от других. На практике,
вероятно, необходимо рассмотреть только некоторые из них, чтобы лучший выбор
стал очевидным.

Факторы могут быть объединены в следующие группы:
контекстные, технические, унаследованные.

7.2.1
Контекстные факторы выбора

Контекстные факторы выбора — такие факторы, на которые
подразделение организации оказывает мало влияния или не оказывает его; эти
факторы имеют тенденцию в меньшей степени относиться к техническим достоинствам
базовой модели процесса и в большей — к внешним ограничениям и требованиям к
подразделению организации.

В качестве примеров таких ограничений могут выступать
правительственное регулирующее агентство, устанавливающее требование
использования конкретной базовой модели процесса, а также бизнес-возможности,
требующие использования конкретной базовой модели процесса в качестве условия
заключения и/или выполнения контракта.

Наконец, существующие в некоторой отрасли промышленности
стандарты фактически диктуют, какие базовые модели процессов приемлемы.

7.2.2
Технические факторы выбора

Технические факторы выбора — такие факторы, которые
относятся к пригодности данной базовой модели процесса для конкретного
характера подразделения организации и контекста использования.

Одним из наиболее критических технических факторов выбора будет
решение вопроса о том, определяет ли базовая модель процесса набор процессов,
согласующийся с потребностями оцениваемого подразделения организации. Ясно, что
базовая модель процесса должна включать в себя все процессы, представляющие
интерес для подразделения организации, но подразделение организации не обязано
априори задействовать все процессы, определенные в базовой модели.

Важным вопросом при рассмотрении выбора должно быть
разграничение процессов, определенных базовой моделью процесса. Для заданного
конкретного контекста применения, например управления конфигурацией
программного обеспечения, имеется, в общем случае, несколько способов деления
области процессов как по функциям, так и по размерам границ. Одна базовая
модель процесса для этой области может определять пять процессов, а другая —
пятьдесят. Вопросы, которые должны быть рассмотрены в этой связи, включают в
себя степень необходимой сложности, требуемую точность результатов оценки и
приемлемый уровень усилий по проведению оценки с использованием модели оценки
процесса, согласующейся сданной базовой моделью процесса.

С этим может быть связано рассмотрение степени
согласованности с другими базовыми моделями процесса, требуемыми или
выбранными, относительно которых должно быть оценено подразделение организации.

7.2.3
Унаследованные факторы выбора

Унаследованные факторы выбора — такие факторы, которые
относятся к истории усилий по улучшению процесса в подразделении организации;
решение таких вопросов, как опыт обращения с конкретным набором определений
процессов или с конкретным подходом, может повлиять на выбор базовой модели
процесса, поскольку этот выбор фактически вытекает из использованного
подразделением организации в прошлом подхода к оценке. Подразделения
организаций, только начинающие улучшение процессов, могут не учитывать этих
вопросов при своем выборе.

Примером может быть подразделение организации, которое ранее
приняло ИСО/МЭК 12207 и теперь предполагает проводить оценку процессов,
установленных этим стандартом.

8 Модели оценки процессов

8.1 Интерпретация требований к модели оценки
процесса

В настоящем разделе приведено руководство по выбору и
использованию модели оценки процесса в качестве основы для проведения оценки
процесса. Руководство предназначено для использования оценщиками и заказчиками
оценки. Руководство не предназначено конкретно разработчикам моделей оценки
процессов, но может быть ими использовано.

Модель оценки процесса вместе с документированным процессом
оценки направлена на формирование основы для организации с целью определить
состояние ее процессов с точки зрения перспективы возможностей процессов;
модель оценки процесса предоставляет набор индикаторов, используемых как базис
для сбора объективных свидетельств и определения степени, в которой достигнут
атрибут или назначение процесса.

Имеется много различных типов способов моделирования,
позволяющих описать, специфицировать и выполнить процессы. Модели, не
разрабатываемые специально для целей оценки процессов, могут не дать надежных
результатов, и их применимость для этих целей должна быть проверена до их
выбора. Применимость при оценке возможностей процесса зависит от степени
направленности индикаторов модели на наблюдаемые стороны воздействия процесса и
степени сопоставимости модели с соответствующей базовой моделью процесса и
схемой измерений возможностей процесса. Основное назначение проверки
применимости состоит в определении той степени, в которой модель (и связанные с
ней базовые модели процессов) удовлетворяет требованиям, установленным в
ИСО/МЭК 15504-2.

Применяемые инженерные принципы будут специфическими для
предполагаемой прикладной области модели оценки процесса; принципы управления
процессом должны быть встроены в схему измерений возможностей процесса (ИСО/МЭК
15504-2, ИСО/МЭК 15504-4).

8.1.1 Область
применения модели оценки процесса

Базовая модель процесса определяет
набор процессов, которые считают фундаментальными для результативной и эффективной
работы в рассматриваемой области. Для того чтобы быть согласованной с базовой
моделью, любая модель оценки процесса должна содержать, по крайней мере, часть
этой области применения. Область процессов модели оценки процесса может быть
подмножеством процессов, определенных в базовой модели процесса. Она может быть
и надмножеством базовой модели процесса, охватывая все определенные процессы
вместе с дополнительными процессами, находящимися вне области применения
базовой модели процесса.

Модель оценки процесса может также включать в себя процессы,
находящиеся вне базовой модели процесса, при условии, что она содержит, по
крайней мере, один процесс из этой модели. Наконец, область действия модели
может быть прямо эквивалентна базовой модели процесса.

Модель оценки процесса должна явным образом декларировать
свою область применения, как описано выше.

8.1.2 Индикаторы
модели оценки процесса

Модель оценки процесса должна
документировать набор индикаторов осуществления и возможностей процесса,
которые позволяют обеспечить глубокую обоснованность объективными
свидетельствами мнений о возможностях процесса.

Предполагается, что индикаторы будут разделены на две
категории: факторы, которые показывают осуществление процесса, и факторы,
которые показывают его возможности. При выборе модели явным образом должно быть
уделено внимание использованию индикаторов в модели, полноте охвата и
применимости множества индикаторов.

В ИСО/МЭК 15504-5 приведен пример модели с полным набором
индикаторов, который может служить в качестве руководства по степени охвата,
ожидаемой для базовой модели процесса, определенной в приложении F ИСО/МЭК
12207:1995/Доп.1:2002. В приложении В этого стандарта приведено руководство по
индикаторам.

8.1.3
Отображение моделей оценки процессов в базовые модели процессов

Требования к отображению играют
критическую роль в стандартах серии ИСО/МЭК 15504, предоставляя основания для
преобразования результатов из согласованных с этими стандартами оценок в общий
формат, который облегчает сравнение рейтингов оценок. Из требований к
отображению следует, что модель оценки процесса должна сопровождаться подробным
набором отображений, которые показывают, как индикаторы осуществления процесса
обеспечивают охват назначений и выходов процессов в заданной базовой модели
процесса и как индикаторы возможностей процесса в модели обеспечивают охват
атрибутов процесса (включая все результаты достижения атрибутов процесса) в
схеме измерения.

Существенно, чтобы оценщик имел доступ к деталям отображения
элементов модели в базовую модель процесса. Отображение может быть простым, как
в случае модели, определенной в ИСО/МЭК 15504-5, где процессы базовой модели
соответствуют процессам модели оценки и модель оценки процесса использует
непрерывную архитектуру. Когда структура модели существенно отличается от
базовой модели процесса, как в случае модели оценки процесса, использующей
другую архитектуру (например, поэтапную архитектуру), отображение, вероятно,
будет более сложным.

Оценщик должен подтвердить, что отображение имеет смысл,
например, взяв некоторые компоненты нижнего уровня в модели и локализовав их в
базовой модели процесса либо как элементы процесса, либо как вклад в атрибуты
процесса. Отображение, результатом которого являются элементы, идентифицируемые
как компоненты нескольких атрибутов процесса, может указывать на проблемы в
структуре модели, которые могут вызвать двусмысленность преобразований
результатов.

8.1.4 Выражение
результатов оценки

Одним из ключевых компонентов
выхода оценки, согласованной со стандартами серии ИСО/МЭК 15504, является набор
профилей процессов, по одному на каждый процесс, включенный в область оценки.
Профиль процесса является набором от одного до девяти рейтингов, по одному для
каждого атрибута процесса, включенного в область оценки.

Метод выражения результатов оценки может быть ручным,
автоматическим или их комбинацией. Он может потребовать включения
дополнительной информации, собранной в ходе оценки, и может привлекать
последующие мнения части оценщиков. Однако правила для преобразования
результатов должны быть ясными и недвусмысленными и должны быть предоставлены
либо разработчиком модели, либо поставщиком метода.

Если модель явным образом предоставляет результаты в
формате, предписанном ИСО/МЭК 15504-2, то нет необходимости в каком-либо методе
преобразования.

8.2 Выбор модели оценки процесса

Как правило, модель оценки должна быть выбрана компетентным
оценщиком или заказчиком оценки (в данном случае это обстоятельство должно быть
документировано как ограничение). Независимо от того, какая сторона делает
окончательный выбор, имеются факторы, которые должны быть рассмотрены, чтобы
способствовать обеспечению пригодности выбора для рассматриваемого
использования.

Независимо от целей выбора модели любая выбранная модель,
совместимая с базовой моделью процесса, должна быть применима в контексте
оценки. В числе основных факторов, влияющих на выбор модели, должны быть:

— планируемая
область оценки;

— бизнес-цели
оцениваемого подразделения организации;

-отрасль
промышленности оцениваемого подразделения организации;

— прикладная область
компонентов программного обеспечения, находящегося в фокусе оценки;

—
бизнес-возможности, которые могут повлиять на использование конкретной модели
оценки, такие как условия выполнения контракта;

— учет направлений
улучшения для повышения зрелости процесса подразделения организации и

— специфические
требования строгой сравнимости с другими оценками или подразделениями
организации.

Существующие модели, разработанные специально для
использования в конкретных отраслях промышленности (например, телекоммуникационной,
оборонной, авиакосмической) или для конкретных прикладных областей (например,
систем повышенной секретности, критических систем защиты, встроенного
программного обеспечения реального времени), если применимы, должны быть
рассмотрены.

Когда организация предполагает провести оценку в области, не
являющейся представителем ее обычной области деятельности, следует принять
меры, чтобы выбранная модель была применимой. Например, авиакосмическая
организация, которая предполагает оценить процессы, ответственные за
сопровождение ее внутренних систем управления, может обнаружить, что
специфическая для ее отрасли модель не подходит для решения этой задачи.

Модель, приведенная в ИСО/МЭК 15504-5, является общей для
индустрии программного обеспечения. Она спроектирована для применений во всех
отраслях промышленности и всех прикладных областях.

Прежде всего следует определить, существует ли базовая
модель процесса для рассматриваемой модели оценки процесса. Если это не так, то
необходимо построить подходящую базовую модель процесса и удостовериться, что
она удовлетворяет требованиям к этим моделям.

После этого различные факторы выбора, которые должны быть
рассмотрены, могут быть классифицированы аналогично факторам для выбора базовой
модели процесса, т.е. контекстные, технические и унаследованные факторы.

8.2.1
Контекстные факторы

8.2.1.1 Рыночная
приемлемость

Важным фактором выбора, на который отдельная организация,
как правило, оказывает относительно малое влияние, является степень, в которой
рыночный сегмент имеет уже фактически устоявший подход к оценке. При наличии
такого подхода отдельная организация, скорее всего, сочтет его наиболее
влиятельным фактором выбора. Это, тем не менее, не препятствует организации
использовать дополнительные подходы к оценке, но большинство сочтет
дополнительные расходы и усилия неуместными.

Со временем, по мере увеличения предпринятых подходов к
оценке, соответствующих стандартам серии ИСО/МЭК 15504, роль этого фактора
будет снижаться, так как результаты оценок станут преобразуемыми к единому
профилю возможностей процесса и рассмотрение унаследованных факторов будет
оказывать меньшее влияние.

8.2.1.2 Требования
потребителя

Некоторые бизнес-возможности могут повлиять на использование
конкретной модели оценки процесса, такие как условия цены и/или осуществления
контракта.

8.2.2
Технические факторы

8.2.2.1 Разделение
индикаторов

В общем случае модели оценки процесса будут предоставлять
различные видения процесса на основе ряда индикаторов оценки конкретной модели.
При одной и той же заданной области оценки следует рассматривать модель оценки
процесса с двадцатью индикаторами оценки как обеспечивающую большее видение
процесса, чем модель с десятью индикаторами. Следовательно, важным фактором
выбора является желательная или необходимая степень видения модели. Как общее
правило, большее видение подразумевает большую точность рейтингов оценок и
более конкретное приложение последующих усилий по улучшению процесса. При этом
следует учесть, что лучшее видение приводит к большей стоимости усилий,
необходимых для извлечения при проведении оценки данных, относящихся к
индикаторам оценки, и при последующей обработке данных для формулирования
рейтингов оценки. Соответственно, должно быть рассмотрено влияние числа
индикаторов оценки для данной области процессов на «предписательность» модели
оценки процесса. Как общее правило, с ростом числа индикаторов оценки растет
степень «предпи-сательности». Эта оценка основана на допущении, что набор
индикаторов не является избыточным.

8.2.2.2 Архитектура
процесса

Несмотря на то, что со стандартами серии ИСО/МЭК 15504 могут
быть совместимы различные архитектуры, они могут различаться используемыми
характеристиками, что должны понимать потенциальные пользователи. Ни одна
архитектура не является превосходящей все остальные во всех отношениях; скорее,
разные архитектуры предоставляют дополняющие друг друга черты. Соответственно,
организация может принять одну из них более полезной в зависимости от
конкретных потребностей, которые должны быть оценены, а также от общих
возможностей процесса в организации.

8.2.2.3
Предназначенная для использования область процессов

Поскольку выбор базовой модели процесса необязательно
подразумевает использование одной конкретной модели оценки процесса,
организация в общем случае будет иметь выбор среди моделей оценки процесса,
согласующихся с выбранной базовой моделью процесса. Одним из факторов выбора
является набор процессов, охваченный моделью оценки процесса. Например,
ситуация, отображенная в таблице 2, показывает, что после решения о выборе
конкретной базовой модели процесса (которая определяет процессы П1-П10) имеется
на выбор три модели оценки процесса. Если принять, что организации требуется
оценить процессы П1, П2 и П5, то на основании ожидаемого покрытия должна быть
выбрана модель оценки процесса 2, так как только она предоставляет требуемый
охват процессов (пробел в ячейке означает, что модель оценки процесса не
охватывает данный процесс).

Таблица
2 — Выбор модели оценки процесса

Процесс	Модель оценки процесса 1	Модель оценки процесса 2	Модель оценки процесса 3
П1		Да	Да
П2	Да	Да
ПЗ	Да	Да	Да
П4	Да		Да
П5		Да	Да
П6		Да	Да
П7	Да		Да
П8	Да		Да
П9	Да		Да
П10	Да

9 Выбор и использование инструментов оценки

При любой оценке информация должна быть собрана,
документирована, сохранена, классифицирована, обработана, проанализирована,
получена из мест хранения и представлена. Инструменты могут предоставить ценную
поддержку в сборе свидетельств, используемых оценщиками для присвоения
рейтингов атрибутам каждого оцениваемого процесса, и протоколировании рейтингов
в виде набора профилей процессов.

Имеется два основных типа инструментов с разными
характеристиками: основанных на бумажном носителе и автоматизированных.
Соответствие инструментов процессу оценки зависит от планируемого режима
использования и методологии оценки. Для обеспечения эффективного и результативного
осуществления оценки инструменты должны быть выбраны и спроектированы так,
чтобы соответствовать процессу оценки. Инструменты могут быть использованы для
обеспечения проведения оценки несколькими способами:

-оценщиками,
собирающими информацию;

— владельцами
процессов или представителями подразделений организаций при подготовке и в ходе
оценки, собирающими информацию для последующих процессов;

— представителями
подразделений организаций непрерывно по всему жизненному циклу и при
определенных обстоятельствах для измерения степени приверженности процессу,
прогресса в улучшении процесса или для сбора информации с целью облегчить
будущую оценку;

— после оценки для
получения или организации информации оценки в целях облегчения планирования
улучшения процесса или анализа определения возможностей;

— при
распределенном подходе для самооценки по всей организации;

— когда образцы
рабочих продуктов и информации процесса собирают в возрастающей степени и
просматривают до совершения на месте оценочной деятельности, такой как
интервьюирование;

— в помощь оценщику
при проведении оценки собранной информации;

-для хранения и
получения результатов оценки, что делает результаты более доступными для
планирования улучшения процесса или анализа определения возможностей;

— в помощь оценщику
при послеоценочном анализе результатов, таком как анализ результатов улучшения
процесса относительно предшествующей истории осуществления или анализ профиля
поставщика относительно установленного целевого профиля;

-для сбора
информации по возрастающей и распределенным способом;

— для сбора
информации по возрастающей в ряде контрольных точек в ходе осуществления
процесса или когда несколько подразделений организации должны быть оценены по
возрастающей;

— для создания
результирующих профилей или для помощи при проведении анализа проблем.

Компетентность в использовании выбранных инструментов
является ключевым фактором в обеспечении того, что информация собрана,
документирована, обработана и проанализирована надежным, повторяемым и
подходящим образом. Оценщики и другие участники, использующие инструменты,
должны быть надлежащим образом тренированы и должны иметь необходимый опыт в
использовании этих инструментов. В дополнение к компетентности при работе с
инструментами, тренированности и/или опыту должно быть обеспечено хорошее
теоретическое понимание основополагающих принципов, относящихся к модели оценки
процесса, индикаторам и рейтингам.

Конкретные инструменты могут быть специфицированы как часть
документированного процесса оценки. Альтернативно предполагаемый пользователь
может потребовать выбрать подходящие инструменты. Представленное здесь
руководство позволяет определить некоторые факторы, подлежащие рассмотрению при
выборе инструментов для использования в ходе оценки. Оно не направлено на
факторы, относящиеся к общим поддерживающим инструментам, таким как текстовые
процессоры и средства представления, а обеспечивает рассмотрение поддержки при
подготовке отчетов и презентаций выходов оценки.

На критерии выбора типа инструмента могут влиять следующие
факторы:

— область и
назначение оценки;

— необходимость
помощи при сборе и хранении информации, включая сбор данных входа оценки и
протоколирование их в приемлемой форме для передачи на выход оценки;

— поддержка
выбранной модели оценки процесса, по крайней мере, в области оценки;

— возможность сбора
информации, которую необходимо использовать при создании рейтингов, как
определено в ИСО/МЭК 15504-2;

— возможность
получения и сопровождения поддерживающий информации, как определено на входе
оценки;

— возможность
поддерживать схему рейтингов, определенную в ИСО/МЭК 15504-2;

— возможность
поддерживать представление профилей процессов в форме, допускающей
непосредственную интерпретацию их смысла и значения;

— возможность
сохранения и получения результатов оценки для последующего использования в
улучшении процесса или определении возможностей;

— обеспечение
надлежащего разделения различных классов информации и данных для их
использования или распространения различными способами;

— возможность
безопасного сохранения полученной информации для удовлетворения ограничений
конфиденциальности;

— возможность
осуществлять динамические нацеливание и привязку в целях обеспечения
специфических культурных или организационных потребностей, потребностей
заказчика или оценки;

— обеспечение
адекватного контроля за конфигурацией инструментов и собранных результатов;

— возможность
разделять функции процессов и работ;

— возможность
использовать требуемым образом модель оценки процесса;

— мобильность (удобство
интервьюирования, распределенного или одновременного ввода);

— возможность
обрабатывать ввод от нескольких оценщиков;

— возможность
интегрироваться с другими инструментами (измерительными, CASE и т. п.);

— возможность
поддерживать проверочное прослеживание доступа к вводу информации;

— работа в реальном
времени: скорость ввода и получения информации;

— возможность
использовать навыки, требуемые для специфических интервью.

Руководство и стандарты по выбору инструментов, основанных
на компьютерных технологиях, приведены в ИСО/МЭК 12199:1994 «Информационная
технология. Программные пакеты. Требования к качеству и тестирование» и в
ИСО/МЭК 14598 (все части) «Программная инженерия. Оценка продукции».

10 Руководство по компетентности оценщиков

10.1 Обзор

Рисунок 2 —
Демонстрация и подтверждение компетентности оценщика

На рисунке 2 показаны взаимосвязи, относящиеся к демонстрации
и подтверждению компетентности оценщиков. Они могут быть сформулированы следующим
образом:

a) Оценщик
демонстрирует свою компетентность для проведения оценок.

b) Компетентность
является результатом:

1) знания
процессов;

2) навыков
применения основных технологий стандартов серии ИСО/МЭК 15504, включая: базовые
модели процессов; модели оценки процессов; методы и инструменты; рейтинги
процессов;

3) личных качеств,
вносящих вклад в эффективность осуществления оценок.

c) Знания, навыки и
личные качества приобретаются в результате образования, тренировок и опыта.

d)
Альтернативой демонстрации компетентности является подтверждение
соответствующих оценщику образования, тренировок и опыта.

10.2 Приобретение и поддержание компетентности

10.2.1 Кандидат в
оценщики

Кандидат в оценщики достиг приемлемого уровня образования,
тренировки и опыта, но не имеет необходимого участия в оценках, проведенных в
соответствии с положениями стандартов серии ИСО/МЭК 15504.

Кандидат в оценщики должен быть тренирован и иметь опыт в
отношении как процесса, так и оценки процесса. Кандидат в оценщики должен пройти
тренировку, которая соответствует руководству настоящего стандарта. Кандидат в
оценщики должен также иметь свидетельства приемлемого уровня образования.

Приемлемый уровень образования может включать в себя:

— соответствующие курсы
в университете или колледже;

— профессиональные
курсы, организованные признанным местным или международным органом;

— курсы, заказанные
поставщиком;

— курсы, заказанные
работодателем

Приемлемый уровень тренировки может включать в себя:

— тренировки, обеспеченные
признанным местным или международным органом;

— тренировки,
обеспеченные поставщиками или тренерами. Приемлемый уровень опыта может
включать в себя:

— непосредственный
опыт работы специалиста в сфере базовых моделей процессов;

— опыт управления в
сфере базовых моделей процессов.

10.2.2
Компетентный оценщик

Компетентный оценщик должен участвовать в оценках,
проводимых в соответствии с положениями стандартов серии ИСО/МЭК 15504. В
протоколах должна быть отражена документация по образованию, тренировкам и
опыту.

10.2.3
Поддержание компетентности

Для поддержания компетентности оценщик должен обновлять свои
знания, навыки и личные качества в процессе обучения, тренировки и
соответствующей профессиональной деятельности, а также при осуществлении дальнейших
оценок в соответствии с положениями стандартов серии ИСО/МЭК 15504. Это должно
быть отражено в протоколах, указанных в 10.2.2.

11 Руководство по подтверждению соответствия

Подтверждение соответствия стандартам серии ИСО/МЭК 15504
является критическим для реализации одной из главных целей этих стандартов, а
именно принятия рынком общей схемы измерения для выражения возможностей
процессов. Принятие рынком будет зависеть от доверия к тому, что результаты оценки,
соответствующей стандартам серии ИСО/МЭК 15504, выраженные с использованием
общей схемы измерений, имеют действительное содержание (т.е. они отображают то,
об отображении чего заявляют), являются повторимыми и надежными.

11.1 Подтверждение соответствия базовых моделей процесса

11.2 Подтверждение соответствия моделей оценки процесса

Проверка соответствия модели оценки
процесса достигается путем обзора способа, которым поставщик этой модели
обеспечивает требования. Для облегчения задачи проверки поставщик модели должен
описать и/или продемонстрировать способ, которым обеспечивается каждое из
требований к модели оценки процесса. Для целей обсуждения эта совокупность
описаний называется декларацией и описанием соответствия модели оценки
процесса. Таким образом, проверка соответствия модели оценки процесса
достигается путем проверки соответствующей декларации и описания соответствия
модели оценки процесса.

Тип информации, предполагаемой в декларации и описании
соответствия модели оценки процесса, описан ниже.

11.2.1 Область
действия модели оценки процесса

Информация, необходимая для удовлетворения требованиям,
установленным в ИСО/МЭК 15504-2, 6.3.2, включает в себя:

— перечисление
процессов, включенных в модель оценки процесса, и идентификацию для каждого
процесса базовой модели, на которой основана модель оценки;

— идентификацию для
каждого процесса выбранной из схемы измерений области применения уровней
возможностей.

11.2.2
Индикаторы модели оценки процесса

Это требование выполняется путем предоставления общего
описания способов, которыми индикаторы модели реализованы в модели оценки
процесса с указанием того, какие типы индикаторов (при наличии) определены
(например, индикаторы осуществления процесса, возможностей процессов и т. п.).

11.2.3
Отображение моделей оценки процессов в базовые модели процессов

Это требование выполняется путем предоставления подробного
отображения, которое демонстрирует, что индикаторы модели обеспечивают
заявленное покрытие выбранной базовой модели процесса схемы измерений,
определенной в стандартах настоящей серии. Отображение должно быть построено
таким образом, чтобы проверка покрытия назначений, выходов и атрибутов
процессов могла быть проведена при визуальном просмотре.

В большинстве случаев предполагается, что таблица
взаимосвязей отображения будет составлять основной объем декларации и описания
соответствия модели оценки процесса и что для обеспечения визуальной проверки
могут потребоваться несколько видов данных отображения.

Жизненно важно, чтобы отображение сопровождалось достаточными
обоснованиями области покрытия, заявленной для модели оценки процесса.

11.2.4 Выражение
результатов оценки

Это требование выполняется путем предоставления детального
определения метода, с помощью которого из объективных свидетельств, собранных в
ходе оценки, выводится набор рейтингов атрибутов процессов. Для этого
потребуется некоторая степень разъяснения отношения собранных данных к модели
оценки процесса и их уместность для назначения выходов и возможностей процесса.

11.3 Подтверждение соответствия оценок процесса

Подтверждение того, что оценка
согласуется со стандартами серии ИСО/МЭК 15504, должно состоять из проверки
протокола оценки на соответствие требованиям раздела 4 ИСО/МЭК 15504-2 и
проверки соответствия плана и содержания проверки согласно ИСО/МЭК
15504-2,4.4.2.

Приложение
А
(справочное)

Пример
документированного процесса оценки

Настоящее приложение содержит пример документированного
процесса оценки и служит в качестве руководства о характере процесса,
требуемого в настоящей серии стандартов. Содержание этого примера включает в
себя минимум элементов документированного процесса оценки, применимого для
использования в контексте улучшения процесса и/или определения возможностей;
дополнительная информация по его применению приведена в ИСО/МЭК 15504-4. Этот
пример документированного процесса оценки связан с примером модели оценки в
ИСО/МЭК 15504-5.

Несмотря на то, что пример включает в себя только виды
деятельности, их описание неявно содержит другие элементы, которые может
содержать процесс: назначение, начальные и конечные условия, входы, выходы,
роли и ответственности.

А.1 Обзор деятельности процесса оценки

Процесс оценки состоит из деятельности следующих видов:

1) инициирования,

2) планирования,

3) инструктажа,

4) сбора данных,

5) валидации
данных,

6) создания
рейтингов атрибутов процесса,

7) отчета об
оценке.

А.2 Инициирование оценки

А.2.1 Обзор

Процесс оценки начинается со следующих действий:

— идентификации
заказчика и определения назначения оценки (зачем она должна быть проведена);

— определения
области оценки (какие процессы должны быть оценены) и ограничений оценки, если
они есть;

— идентификации
любой дополнительной информации, которую необходимо собрать;

— выбора участников
и команды оценки и определения ролей членов команды;

— определения всех
входов оценки и одобрения их заказчиком.

А.2.2 Задачи

Идентифицировать заказчика оценки.

Выбрать лидера команды оценки, который будет
руководить командой и обеспечивать, чтобы предлагаемые лица обладали
необходимыми компетентностью и опытом.

Определить назначение оценки, включая согласование с
бизнес-целями (когда это применимо).

Идентифицировать модель оценки процесса, которая должна
быть использована.

Идентифицировать необходимость в соглашении о
конфиденциальности и одобрить его (при необходимости), особенно если должны
быть использованы внешние консультанты.

Выбрать местного координатора оценки. Местный
координатор оценки (МКО) управляет логистикой оценки и интерфейсами с
подразделением организации.

Представить на рассмотрение местного координатора оценки
предоценочный вопросник. Предоценочный вопросник (ПОВ) помогает
структурировать интервью на местах путем сбора информации о подразделении
организации и проектах оцениваемого подразделения.

Создать команду оценки и распределить в ней роли. Как
правило, команда будет состоять из двух оценщиков (в зависимости от ресурсов и
стоимости). Члены команды оценки обеспечивают сбалансированный набор опыта,
необходимого для осуществления оценки. Лидер команды оценки должен быть
компетентным оценщиком.

Определить контекст. Идентифицировать в подразделении
организации факторы, которые влияют на процесс оценки. Эти факторы включают в
себя, как минимум:

— размер
подразделения организации;

— прикладную
область продукции или услуг подразделения организации;

— размер,
критичность и сложность продукции или услуг;

— качественные
характеристики продукции.

Определить область оценки, включая процессы, которые
должны быть исследованы в подразделении организации, наивысший уровень
возможностей, который должен быть рассмотрен для каждого процесса в области
оценки, и подразделение организации, которое задействует эти процессы. Область
оценки может быть пересмотрена в ходе осуществления оценки.

Специфицировать ограничения на проведение проверки.
Ограничения проверки могут включать в себя:

— доступность
ключевых ресурсов;

— максимальное
количество времени, которое может быть использовано для оценки;

— конкретные
процессы или подразделения организации, которые должны быть исключены из оценки;

— максимальный,
минимальный или конкретный размер образцов или охват, желательные для оценки;

— права
собственности на выходы оценки и возможные ограничения на их использование;

— контроль за информацией,
следующий из соглашения о конфиденциальности.

Отобразить подразделение организации в модель оценки
процесса. Установить соответствие между процессами подразделения
организации, заданными в области оценки, и процессами в модели оценки процесса.
Идентифицировать любые конфликты в области терминологии между подразделением
организации и моделью оценки процесса.

Выбрать участников оценки от подразделения
организации. Участники должны адекватно представлять процессы в области оценки.

Определить ответственности. Определить
ответственности всех лиц, имеющих отношение к оценке, включая заказчика,
компетентного оценщика, оценщиков, местного координатора оценки и других
участников.

Идентифицировать владельца протокола оценки и лиц,
ответственных за одобрение журналов оценщиков.

Идентифицировать любую дополнительную информацию, которую
заказчик потребовал собрать в ходе оценки.

Просмотреть все входы.

Получить от заказчика одобрение входов.

А.3 Планирование оценки

А.3.1 Обзор

План оценки, описывающий всю деятельность, осуществляемую
при проведении оценки, разрабатывается и документируется вместе с расписанием
оценки. С использованием области действия проекта идентифицируются и
обеспечиваются ресурсы, необходимые для осуществления оценки. Определяются все
методы упорядочения, просмотра, валидации и документирования всей информации,
необходимой для оценки. Наконец, планируется координация с участниками в
подразделении организации.

А.3.2 Задачи

Определить деятельность по оценке. Деятельность по
оценке будет включать в себя всю деятельность, описанную в данном документе, но
может быть привязана так, как это необходимо.

Определить необходимые ресурсы и график оценки. На
основании области оценки идентифицировать время и ресурсы, необходимые для
осуществления оценки. Ресурсы могут включать в себя использование оборудования,
такого как проекторы и т. п.

Определить, как будут собраны, запротоколированы,
сохранены, проанализированы и представлены данные оценки с указанием
инструментов оценки.

Определить планируемые выходы оценки. Должны быть
идентифицированы и описаны выходы оценки, желательные заказчику, в дополнение к
тем, которые требуются как часть протокола оценки.

Проверить соответствие требованиям. Детализировать,
как оценка будет удовлетворять все требования стандарта.

Управлять рисками. Должны быть документированы,
установлены приоритеты и прослежены по всему плану оценки потенциальные факторы
риска и стратегия миграции. Потенциальные риски могут включать в себя изменения
в команде оценки, организационные изменения, изменения назначения/области
оценки, отсутствие ресурсов для оценки, конфиденциальность, очередность данных,
критичность индикаторов и доступность ключевых рабочих продуктов, таких как
документы.

Скоординировать логистику оценки с местным координатором
оценки. Обеспечить совместимость и доступность технического оборудования и
подтвердить, что идентифицированные рабочее пространство и запланированные
требования будут в наличии.

Просмотреть план и убедиться в его приемлемости. Заказчик
идентифицирует, кто будет утверждать план оценки. План, включая график и
логистику оценки для визита на места, должен быть просмотрен и одобрен.

Подтвердить согласие заказчика на продолжение оценки.

А.4 Инструктаж

А.4.1 Обзор

До сбора данных лидер команды оценки обеспечивает, чтобы
команда оценки понимала вход, процесс и выход оценки. Подразделение организации
также должно быть проинструктировано о проведении оценки.

А.4.2 Задачи

Инструктаж команды оценки. Обеспечить, чтобы команда
понимала подход, определенный в документированном процессе, входы и выходы
оценки и имела бы навыки в использовании инструментов оценки.

Инструктаж подразделения организации. Объяснить
назначение, область, ограничения и модель оценки. Подчеркнуть политику
конфиденциальности и преимущества от выходов оценки. Представить график оценки.
Обеспечить, чтобы персонал понимал, какие действия должны быть предприняты,
свои роли в процессе и был в состоянии ответить на любые вопросы или
озабоченность тем, что может произойти. В ходе инструктажа должны быть представлены
потенциальные участники и все свидетели презентации окончательных результатов.

А.5 Сбор данных

А.5.1 Обзор

Сбор данных, требуемых для оценки процессов в области
оценки, должен быть систематическим. Стратегия и методы выбора, сбора, анализа
данных и определения рейтингов должны быть явным образом идентифицированы и
пригодны для демонстрации. Каждый процесс, идентифицированный в области оценки,
должен быть оценен на основе объективных свидетельств. Объективные
свидетельства, собранные для каждого атрибута каждого оцениваемого процесса,
должны быть достаточными для соответствия назначению и области оценки.
Объективные свидетельства, подтверждающие мнения оценщиков о рейтингах
атрибутов процессов, должны быть внесены в протокол оценки. Этот протокол должен
предоставлять свидетельства для обоснования рейтингов и проверки
согласованности с требованиями.

А.5.2 Задачи

Собрать свидетельства осуществления каждого процесса из
области оценки. Эти свидетельства включают в себя наблюдения рабочих
продуктов и их характеристик, показания исполнителей процесса и наблюдения
инфраструктуры, установленной для осуществления процесса.

Собрать свидетельства возможностей каждого процесса из
области оценки. Свидетельства возможностей процесса могут быть более
абстрактными, чем свидетельства осуществления процесса. В некоторых случаях
свидетельства осуществления процесса могут быть использованы как свидетельства
возможностей процесса.

Запротоколировать и сопровождать ссылки на свидетельства,
которые поддерживают мнения оценщиков о рейтингах атрибутов процессов.

Проверить полноту данных. Обеспечить для каждого
оцениваемого процесса наличие достаточных свидетельств соответствия назначению
и области оценки.

А.6 Валидация данных

А.6.1 Обзор

Должны быть предприняты действия, гарантирующие, что данные
точны и достаточно покрывают область оценки, включая поиск информации из первых
рук и независимых источников, использование результатов предыдущих оценок,
проведение совещаний для обратной связи в целях валидации собранной информации.
В некоторой степени валидация данных может происходить при сборе данных.

А.6.2 Задачи

Собрать и объединить данные. Для каждого процесса
связать свидетельства с определенными индикаторами процесса.

Валидировать данные. Обеспечить, чтобы собранные данные
были корректны и объективны и чтобы валидированные данные обеспечивали полное
покрытие области оценки.

А.7 Рейтинг атрибутов процесса

А.7.1 Обзор

Для каждого оцениваемого процесса присвоить рейтинг каждому
атрибуту процесса до наивысшего уровня возможностей, определенного в области
оценки, включительно. Рейтинг должен быть основан на данных, подтвержденных при
предшествующей деятельности.

Должна поддерживаться прослеживаемость между собранными
объективными свидетельствами и присвоенными рейтингами атрибутов процессов.

Для каждого получившего рейтинг атрибута процесса должна
быть запротоколирована связь между индикаторами и объективными свидетельствами.

А.7.2 Задачи

Установить и документировать процесс принятия решения, использованный
для достижения согласия по рейтингам (например, консенсус команды оценки или
голосование большинством).

Для каждого оцениваемого процесса присвоить рейтинг
каждому атрибуту процесса. Использовать определенный набор индикаторов
оценки в модели оценки процесса для подтверждения мнений оценщиков.

Запротоколировать набор рейтингов атрибутов процесса в
виде профиля процесса и вычислить рейтинг уровня возможностей, используя
критерии рейтингов уровней возможностей.

А.8 Отчет о результатах

А.8.1 Обзор

Результаты оценки должны быть проанализированы и
представлены в отчете. Отчет также должен охватывать любые ключевые вопросы,
возникшие при проведении оценки, такие как наблюдаемые области силы и слабости
процесса и найденные высокие риски.

А.8.2 Задачи

Подготовить протокол оценки. Необходимо кратко
изложить обнаруженное при оценке, подчеркнуть профили процессов, ключевые
результаты, наблюдаемые сильные и слабые стороны, идентифицированные факторы
риска и потенциальные действия по улучшению (если это относится к области
оценки).

Представить результаты оценки участникам. Презентация
должна быть нацелена на определение возможностей оцениваемых процессов.

Представить результаты оценки заказчику. Результаты
оценки должны быть также переданы всем сторонам (например, руководству
подразделения организации, участкам и т. п.), установленным заказчиком.

Завершить протокол и распространить его среди
соответствующих сторон.

Проверить и документировать, что оценка была осуществлена
в соответствии с требованиями.

Собрать протокол оценки. Передать протокол оценки
заказчику для держания и сохранения.

Подготовить и одобрить протоколы оценщиков. Для
каждого оценщика необходимо запротоколировать подтверждение участия в оценке.
Заказчик или представитель заказчика должен одобрить протоколы.

Обеспечить обратную связь от оценки как способ
улучшить процесс оценки.

Приложение В
(справочное)

Руководство
по индикаторам

В.1 Введение

С целью уменьшить уровень субъективности и вариации при
интерпретации модель оценки процесса должна быть разработана с применением
набора индикаторов осуществления процесса, относящихся к назначению процесса, и
набора индикаторов возможностей процесса, относящихся к атрибутам процесса. Эти
индикаторы оценки описывают набор детализированных реальных рабочих продуктов
(входов и выходов, связанных с осуществлением процесса и его управлением),
характеристик рабочих продуктов или характеристик возможностей процесса.
Индикаторы должны быть использованы в ходе оценки для сбора объективных
свидетельств об удовлетворении конкретного назначения или атрибута процесса.
Индикаторы не представляют требований к процессу, как это следует из их
наименования. Они представляют общую начальную точку для оценки, что повышает
согласованность мнений оценщиков и увеличивает повторяемость результатов.
Поскольку организации используют разную технику для создания продукции,
отсутствие некоторых индикаторов в некоторых ситуациях может быть
несущественным.

Выход оценки в виде набора профилей процессов показывает
рейтинги каждого из девяти атрибутов для каждого оцененного процесса, но не
показывает, как был присвоен конкретный рейтинг. Индикаторы помогают
идентифицировать, что присутствует или отсутствует в процессе или рабочем
продукте, и предоставляют руководство оценщику при присвоении рейтинга процессу
или атрибуту. Подробная информация, собранная при проведении проверки, о
присутствии или отсутствии конкретных индикаторов представляет собой значимый
исходный материал для анализа и планирования улучшения процесса.

Индикаторы предоставляют схему оценки, которая позволяет
обеспечить следующее:

— интерпретацию
оценщиками согласованной с моделями оценки процессов реализации процесса
подразделением организации;

— сбор информации
для последующего анализа;

— сбор информации,
необходимой подразделению организации для планирования и осуществления
улучшения процесса;

—
представительность, надежность и повторяемость результатов оценки.

В.1.1 Индикаторы
осуществления процесса

Индикаторы осуществления процесса обеспечивают оценщику
руководство, позволяющее судить о том, насколько хорошо процесс удовлетворяет
своему назначению, определенному в базовой модели процесса. Эти индикаторы
показывают, что на практике осуществляется в заданном процессе, а также
создаваемые на практике рабочие продукты и их характеристики.

Осуществление соответствующей практики представляет собой
первое указание того, что реализованный процесс удовлетворяет утверждению о его
назначении. Вторым указанием является существование рабочих продуктов в
результате выполнения этой практики. Характеристики рабочих продуктов помогают
оценщику в понимании того, какие элементы следует ожидать в значимой реализации
рабочего продукта конкретного типа.

Одно только кажущееся выполнение практики не предоставляет
свидетельства достаточной реализации. Из существования необходимых рабочих
продуктов и их содержимого или из их характеристик должно быть собрано
следующее свидетельство того, что выполнение практики соответствует назначению.
Индикаторы должны помочь оценщику распознать требуемый рабочий продукт.

В.1.2 Индикаторы
возможностей процесса

Индикаторы возможностей процесса связаны с каждым атрибутом
процесса на уровнях возможностей от 2-го до 5-го. Подобно индикаторам
осуществления процесса они дополняют возможности оценщика судить о достижении
возможности, описанной атрибутами процесса. Они также помогают идентифицировать
способность подразделения организации эффективно управлять процессом.
Индикаторы возможностей процесса предоставляют структурированный способ записи
в протоколе оценки того, что было найдено в конкретной реализации атрибута
процесса.

В.2 Индикаторы и
сбор информации

При сборе информации могут быть использованы многочисленные
подходы. Документированный процесс оценки и подходы будут зависеть от многих
факторов, включая:

— размер
оцениваемого подразделения организации;

— число
подразделений организации, вовлеченных в оценку;

— уровень участия
организации в осуществлении оценки (сбор информации, демонстрация
соответствия);

— зрелость отношения
поставщик-заказчик (уровень доверия между подразделением организации и
заказчиком);

— потребности
заказчика;

— опыт и
возможности оценщиков;

— потребности
организации.

Какой бы документированный процесс оценки ни был применен,
определенный набор индикаторов в согласованной модели будет образовывать основу
для сбора информации и должен быть использован для подтверждения мнений
оценщиков при создании рейтингов атрибутов процесса. Если только оценка не
является небольшой и ограниченной по области, то в общем случае будет полезно
включить индикаторы оценки в инструменты. Таким образом, модель оценки процесса
и ее индикаторы будут доступными оценщикам в ходе оценки. Инструменты также
могут обеспечить протоколирование и организацию собранных информации и
свидетельств.

Приложение
ДА
(справочное)

Сведения о соответствии ссылочных
международных стандартов
ссылочным национальным стандартам Российской Федерации

Таблица ДА.1

Обозначение ссылочного международного стандарта	Степень соответствия	Обозначение и наименование соответствующего национального стандарта
ИСО/МЭК 15504-1:2004	IDT	ГОСТ Р ИСО/МЭК 15504-1-2009 «Информационные технологии. Оценка процессов. Часть 1. Концепция и словарь»
ИСО/МЭК 15504-2:2003	IDT	ГОСТ Р ИСО/МЭК 15504-2-2009 «Информационная технология. Оценка процесса. Часть 2. Проведение оценки»
Примечание — В настоящей таблице использовано следующее условное обозначение степени соответствия стандартов: — IDT — идентичные стандарты:

Библиография

[1]	ИСО 9001:2000	Системы менеджмента качества. Требования
	(ISO 9001:2000)	(Quality management systems — Requirements)
[2]	ИСО/МЭК 9126-1:2001	Программная инженерия. Качество продукции. Часть 1. Модель качества
	(ISO/IEC 9126-1:2001)	Software engineering — Product quality — Part 1: Quality model)
[3]	ИСО/МЭК 12119:1994	(Информационная технология. Программные пакеты. Требования к качеству и тестирование
	(ISO/IEC 12119:1994)	(Information technology — Software packages — Quality requirements and testing)
[4]	ИСО/МЭК 14598 (все части)	Информационная технология. Оценка программных продуктов
	[ISO/IEC 14598 (all parts)]	(Information technology — Software product evaluation)
[5]	ИСО/МЭК 15288:2002	Системная инженерия. Процессы жизненного цикла систем
	(ISO/IEC 15288:2002)	(Systems engineering — System life cycle processes)
[6]	ИСО/МЭК 12207:1995/Доп.1:2002	Информационная технология. Процессы жизненного цикла программных средств
	(ISO/IEC12207:1995/Amd1:2002)	(Information technology — Software life cycle processes)

Ключевые слова: программное обеспечение, разработка, оценка,
оценивание процесса

Интервьюеры играют важную роль в росте компании. Своевременный и эффективный поиск и отбор подходящих кандидатов позволяет компании продолжать работу с минимальными перебоями. Создание структурированного процесса интервью, который может включать в себя руководство по проведению интервью, помогает интервьюерам сосредоточить свой поиск на наиболее подходящих кандидатах и получить наиболее важную информацию из каждого интервью.

В этой статье мы дадим определение руководства по проведению собеседования, опишем общие элементы этих документов, расскажем о преимуществах их использования, объясним, как его составить, и приведем два примера.

Что такое руководство по проведению собеседования?

Руководство по проведению собеседования — это инструмент для интервьюеров, который описывает процесс собеседования. Помогает менеджерам, сотрудникам кадровых служб и другим руководителям эффективно проводить собеседования. Как правило, руководство по проведению собеседования занимает одну страницу и содержит рекомендации по определенным вопросам и темам, которые интервьюер может обсуждать с кандидатами. В него также могут быть включены темы, которых следует избегать, чтобы обеспечить соответствие интервью трудовому законодательству и отраслевым нормам.

Что включает в себя руководство по проведению собеседования?

Руководство по проведению собеседования содержит информацию о компании и должности, а также предлагаемые вопросы и темы. В нем также может быть предусмотрено место для записи ответов кандидата интервьюером. Хотя точное содержание каждого руководства может зависеть от целей отдела или компании по подбору персонала, эти ресурсы могут включать следующие компоненты:

• Информация о компании и должности

• Образцы вопросов или типы вопросов

• Последующие вопросы в зависимости от ответов кандидата

• Информация о процессе найма для использования в заключении

Преимущества использования руководства по проведению собеседования

Вот некоторые преимущества использования этих документов в процессе собеседования:

• Повышение справедливости: Поскольку руководства по проведению интервью стандартизируют процесс собеседования, эти документы гарантируют, что каждый кандидат получит одинаковую возможность рассказать о своих навыках и опыте. Они также позволяют команде по найму сравнить кандидатов по общим показателям.

• Повышение соответствия требованиям: В руководстве по проведению собеседования указывается, какие вопросы может задавать интервьюер. Это поможет интервьюерам избежать вопросов, которые могут не соответствовать трудовому законодательству или политике компании.

• Улучшение процесса отбора: Определив вопросы, которые необходимо задать до начала собеседования, команда по подбору персонала может гарантировать, что интервьюер задаст ключевые вопросы о квалификации кандидата. Этот процесс может помочь менеджеру и директору по найму выбрать сотрудника, который соответствует их потребностям.

Как составить руководство по проведению собеседования за 6 шагов

Вот шесть шагов, которые вы можете предпринять для создания руководства по проведению собеседования:

1. Определите, для какой должности или отдела нужны руководства

Команда по подбору персонала может проанализировать затраты и выгоды от создания руководств по проведению собеседований для различных должностей. Руководства по проведению собеседований могут быть полезны для новых предприятий, нанимающих сотрудников на многие должности быстро. Руководство может помочь упорядочить и организовать процесс собеседования и предоставить схожие результаты для совместного анализа менеджерами. Вы также можете создать стандартные руководства для отделов, поскольку сотрудники одного отдела могут иметь общий опыт или общие навыки. Например, отдел продаж может иметь руководство по проведению собеседования для всех должностей в сфере продаж, включая специалистов по поддержке продаж и менеджеров по работе с клиентами.

2. Встретиться с сотрудниками, занимающими данную должность

Беседа с сотрудниками, занимающими в настоящее время каждую должность, может дать ценную информацию о рабочей среде, мягких навыках и культуре, связанной с данной должностью. Вы можете включить соответствующие вопросы в свое руководство по проведению собеседования, используя эту информацию. Например, если менеджеры по продажам объясняют, что они работают независимо и редко сотрудничают, вы можете задать кандидатам вопросы об их опыте самостоятельной работы над проектами.

3. Определите необходимые и полезные навыки для той или иной роли

Вы можете изучить описание вакансии или встретиться с менеджерами отдела, чтобы определить ключевые навыки и квалификацию, необходимые для открытой вакансии. Необходимы некоторые навыки. Например, бухгалтерам необходимы знания о действующих налоговых кодексах. Другие навыки могут быть не обязательными, но полезными в данной роли. Например, знание популярных налоговых программ, хотя и не является необходимостью, но повышает шансы кандидата на должность бухгалтера.

4. Выбор типов вопросов

Выберите, какие типы вопросов помогут вам узнать о кандидате больше всего. Как правило, руководства по проведению собеседований включают в себя различные типы вопросов. К ним можно отнести:

• Закрытые вопросы: Закрытые вопросы требуют ответа в виде простого слова или фразы, например, Где вы учились в колледже?

• Открытые вопросы: Открытые вопросы требуют более продуманных, поясняющих ответов. Они также могут включать проверочные вопросы, связанные с информацией, содержащейся в резюме или сопроводительном письме кандидата.

• Вопросы, выражающие мнение: Вопросы о мнениях просят респондентов высказать свое мнение или предпочтение. Например, вы можете спросить, Какие программы управления проектами вы считаете наиболее эффективными??

• Поведенческие вопросы: Поведенческие вопросы просят привести конкретные примеры определенных навыков, например, общения или решения проблем.

• Вопросы по делу: Вопросы по делу предлагают кандидатам сценарий и спрашивают, как они могли бы его решить. Например, вы можете задать, Если ваш отдел достиг только 50% квартальных целей по продажам, что вы можете сделать, чтобы исправить ситуацию??

Задавайте по одному вопросу за раз, чтобы интервьюируемые могли сосредоточиться на одном вопросе. Затем вы можете задать последующие вопросы, чтобы кандидат мог уточнить или расширить свои ответы.

5. Организуйте руководство по проведению собеседования

Расположите руководство по проведению собеседования в логическом порядке. Обычно имеет смысл начать с более простых проверочных и закрытых вопросов, прежде чем переходить к открытым вопросам, таким как поведенческие вопросы и вопросы по кейсам. Подумайте об организации вопросов от общего к конкретному, как в этой последовательности вопросов:

• Как вы пришли в маркетинг?

• Что вам больше всего нравилось на вашей последней работе?

• Можете ли вы рассказать мне о случае, когда вы работали с трудным клиентом??

Затем добавьте в начало документа всю необходимую информацию о компании и должности. Вы также можете добавить заключительные замечания, описывающие процесс приема на работу, чтобы кандидат знал, чего ожидать.

6. Раздайте руководство по проведению собеседования

Поделитесь своим руководством по проведению интервью с теми, кто проводит собеседования или принимает в них участие. Это может включать в себя:

• Менеджеры по найму

• Рекрутеры

• Сотрудники отдела кадров

• Директора отделов

• Сотрудников, проводящих собеседования с коллегами

Вы также можете отправить копии анкеты сотрудникам, которые в настоящее время занимают эту должность, чтобы они могли прокомментировать ваши вопросы.

Примеры руководств по проведению собеседования

Вот два примера руководств по проведению собеседований для разных должностей:

Пример 1

Вот пример руководства по проведению собеседования на должность менеджера по маркетингу:

1. Поприветствуйте кандидата и представьтесь, назвав свое полное имя и должность.

2. Спросите кандидата, как он себя чувствует сегодня.

3. Объясните должность, включая то, кому она подчиняется и каковы ее основные задачи.

4. Спросите кандидата о его опыте работы в маркетинге.

5. Спросите кандидата об обязанностях на предыдущей должности. Спросите, почему кандидат покинул должность.

6. Опишите программное обеспечение для управления проектами, которое предпочитает компания, и спросите кандидата, знаком ли он с этим продуктом.

7. Попросите кандидата описать, когда он видел возможность для роста и воспользовался ею. Попросите кандидата рассказать о важности профессионального развития.

8. Попросите кандидата описать случай, когда он примирял разногласия в своей команде. Последующие вопросы о стиле и методах управления.

9. Спросите, как бы они отреагировали, если бы клиент постоянно отклонял их предложения.

10. Обсудите объем работы на должности и спросите кандидата, как он справляется с несколькими проектами в сжатые сроки. Последующие вопросы о программах и стратегиях управления проектами.

11. Дайте кандидату время задать вопросы.

12. Подтвердите их контактную информацию.

13. Поблагодарите кандидата за уделенное время и укажите срок ожидания ответа.

Пример 2

Вот пример руководства по проведению собеседования для должности менеджера по строительству:

1. Поприветствуйте кандидата и представьтесь, назвав свое полное имя и должность.

2. Опишите должность, включая процент времени, который кандидат может ожидать от поездок на объекты.

3. Спросите, как у них дела сегодня.

4. Поинтересуйтесь лицензией подрядчика, чтобы убедиться в ее актуальности.

5. Спросите их об их предыдущем опыте руководства. Задайте вопрос о стиле руководства и спросите, как они работают с различными типами личности.

6. Спросите их, что им больше всего нравится в управлении строительством и что они считают самым сложным в этой области.

7. Попросите кандидата описать, когда ему приходилось улаживать разногласия в своей команде.

8. Опишите процесс управления бюджетом в компании и спросите кандидата об опыте управления строительным бюджетом.

9. Попросите их ответить на следующий сценарий: Что бы вы сделали, если бы получили поставку, в которой была только половина заказанных материалов, и вам сказали, что может пройти два месяца, прежде чем прибудут новые?

10. Спросите кандидата, как он реагирует, когда подрядчики опаздывают или не соответствуют стандартам работы.

11. Дайте кандидату время задать вопросы о вакансии.

12. Подтвердите свою контактную информацию.

13. Поблагодарите кандидата за уделенное время и укажите срок ожидания ответа.

ВЕРНУТЬСЯ К ПЕРЕЧНЮ ДОКУМЕНТОВ ❯

Скачать ГОСТ Р ИСО 19011-2021 в формате:

.pdf

Скачать

Предисловие

1. Подготовлен Федеральным автономным учреждением «Национальный институт аккредитации» (ФАУ НИА) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2. Внесен Техническим комитетом по стандартизации ТК 079 «Оценка соответствия»
3. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 21 апреля 2021 г. № 261-ст
4. Настоящий стандарт идентичен международному стандарту ИСО 19011:2018 «Руководящие указания по проведению аудитов систем менеджмента» (ISO 19011:2018 «Guidelines for auditing management systems». IDT).
   Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5—2012 (пункт 3.5)
5. Взамен ГОСТ Р ИСО 19011—2012

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru).

© ISO, 2018 — Все права сохраняются
© Стандартинформ, оформление, 2021

В Российской Федерации настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии.

Введение

С момента публикации второго издания стандарта в 2011 г. выпущен ряд новых стандартов на системы менеджмента, многие из которых имеют общую структуру, идентичные основные требования и общие термины и определения. В результате возникла необходимость рассмотреть расширенный подход к проведению аудиту систем менеджмента, а также предоставить организациям руководящие указания более общего характера. Результаты аудита могут обеспечить входные данные для аналитической стороны бизнес-планирования а также могут внести вклад в определение потребностей в улучшении и деятельности.

Аудит можно проводить по целому ряду критериев, взятых в отдельности или в сочетании, включая, но не ограничивая, следующие:

• требования, определенные в одном или нескольких стандартах на системы менеджмента;
• политики и требования, установленные соответствующими заинтересованными сторонами;
• законодательные и нормативные правовые требования;
• один или несколько процессов системы менеджмента, определенные организацией и другими сторонами;
• план(ы) системы менеджмента, касательно обеспечения конкретных результатов системы менеджмента (например, план качества, план проекта).

Настоящий стандарт обеспечивает руководящие указания для организаций всех размеров и типов и для аудита различных областей и масштабов, включая аудиты, выполняемые большими аудиторскими группами, обычно для более крупных организаций, а также аудиты, выполняемые одним аудитором как для мелких, так и для крупных организаций. Эти руководящие указания следует адаптировать по области, сложности и масштабу программы аудита.

Данный стандарт уделяет особое внимание «внутренним аудитам» (аудит первой стороны) и аудитах, проводимых организациями у своих внешних поставщиков и иных внешних заинтересованных сторон (аудиты второй стороны).

Данный стандарт также можно использовать для внешнего аудита, выполняемого с целью, отличной от сертификации систем менеджмента третьей стороной. В стандарте ИСО/МЭК 17021-1 представлены требования к аудиту систем менеджмента для сертификации третьей стороной; данный стандарт может также представить дополнительные полезные руководящие указания (см. таблицу 1).

Таблица 1 — Различные типы аудита

Для упрощения понимания текста данного стандарта предпочительно употребление «система менеджмента» в единственном числе, при этом пользователь может адаптировать внедрение руководящих указаний к своей собственной ситуации. Это касается также выражений «физическое лицо» и «физические лица», «аудитор» и «аудиторы».

Настоящий стандарт предназначен для использования широким кругом потенциальных пользователей, включая аудиторов организации, внедряющие системы менеджмента, и организации, в которых необходимо провести аудиты по системам менеджмента согласно договорным или нормативным правовым требованиям. Пользователи данного стандарта могут, в то же время, применять эти руководящие указания для разработки своих собственных требований, касающихся аудита.

Руководящие указания, приведенные в данном стандарте, также можно использовать для декларирования о соответствии, они могут быть полезными для организаций, занимающихся обучением аудиторов или сертификации персонала.

Руководящие указания в настоящем стандарте довольно гибкие. Как указано в различных пунктах по тексту, их использование может различаться в зависимости от размера и уровня развития системы менеджмента организации. Также принимается во внимание характер и сложность организации, подвергаемой аудиту, а также цели и область аудита.

Настоящий стандарт распространяется также на подход к комбинированному аудиту, в случае, когда проверяются две или более систем менеджмента в различных областях совместно. Там, где несколько систем менеджмента объединены в одну систему, принципы и процессы аудита будут такие же, как при проведении комбинированного аудита (иногда называемого интегрированным аудитом).

Данный стандарт обеспечивает руководящие указания по управлению программой аудита, по планированию и проведению аудитов систем менеджмента, а также по компетентности и оценке аудитора и аудиторской группы.

В настоящем стандарте представлены руководящие указания по проведению аудита систем менеджмента, включая принципы проведения аудита, управление программой аудита и проведение аудитов систем менеджмента, а также руководящие указания по оценке компетентности лиц. участвующих в процессе аудита, включая деятельность лица (лиц), осуществляющего управление программой аудита, аудиторов и аудиторских групп.

Стандарт применим ко всем организациям, которым необходимо планировать и проводить внутренний или внешний аудит систем менеджмента или управлять программой аудита.

Положения настоящего стандарта могут применяться и для других типов аудита при условии, что будет уделено особое внимание вопросам, связанным с требуемым для этих целей уровнем специальной компетентности.

Нормативные ссылки в данном стандарте отсутствуют.

В настоящем стандарте применены следующие термины и определения.

Организации ИСО и МЭК ведут терминологические базы данных для применения в стандартизации по следующим ссылкам:

• онлайн-платформа ISO: https://www.iso.org/obp;
• IEC Electropedia: https://www.electropedia.org/

3.1. аудит (audit): систематический, независимый и документированный процесс установления объективного свидетельства (3.8) и его объективного оценивания для получения степени соответствия критериям аудита (3.7).

Примечания:
1. Внутренние аудиты, иногда называемые «аудитами первой стороны», проводятся обычно самой организацией или от ее имени.
2. Внешние аудиты включают так называемые «аудиты второй стороны» и «аудиты третьей стороны». Аудиты второй стороной проводятся сторонами, заинтересованными в деятельности организации, например, потребителями или другими лицами от их имени. Аудиты третьей стороны проводятся внешними независимыми аудиторскими организациями, такими, как организации, осуществляющие сертификацию/регистрацию соответствия или государственные органы.

[ИСО 9000:2015, 3.13.1, измененный — примечания также изменены]

3.2. комплексный аудит (combined audit): аудит (3.1), проводимый в одной проверяемой организации (3.13) для двух и более систем менеджмента (3.18) одновременно.

Примечание — Если две или более систем менеджмента объединены в одну систему менеджмента, эту систему называют интегрированной системой менеджмента.

[ИСО 9000:2015, 3.13.2, измененный]

3.3. совместный аудит (joint audit): аудит (3.1), проводимый в одной проверяемой организации (3.13) двумя и более проверяющими организациями.

[ИСО 9000:2015, 3.13.3]

3.4. программа аудита (audit programme): мероприятия по проведению одного или нескольких аудитов (3.1), запланированные на конкретный период времени и направленные на достижение конкретной цели.

[ИСО 9000:2015, 3.13.4, измененный — в определение добавлена формулировка]

3.5. область аудита (audit scope): объем и границы аудита (3.1).

Примечания:
1. Область аудита обычно включает в себя описание физических и виртуальных мест проведения аудита, функций, структурных единиц, видов деятельности и процессов, а также охваченный период времени.
2. Виртуальное место проведения аудита — это место, где организация выполняет услуги, используя онлайн среду, разрешая физическим лицам, независимо от физического местоположения, исполнять процессы.

[ИСО 9000:2015, 3.13.5, измененный — примечание 1 изменено, примечание 2 добавлено]

3.6. план аудита (audit plan): описание действий и мероприятий по проведению аудита (3.1).

[ИСО 9000:2015. 3.13.6]

3.7. критерии аудита (audit criteria): совокупность требований (3.23), используемых как основа для сравнения с ними объективного свидетельства (3.8).

Примечания:
1. Если критерии аудита являются правовыми (включая законодательные или нормативные правовые) требованиями, слова «соответствие» и «несоответствие» часто используют в обнаружениях аудита (3.10).
2. Требования могут включать политики, процедуры, рабочие инструкции, правовые требования, обязательства по контрактам и т.д.

[ИСО 9000:2015, 3.13.7. измененный — изменено определение и добавлены примечания 1 и 2]

3.8. объективное свидетельство (objective evidence): данные, подтверждающие наличие или истинность чего-либо.

Примечания:
1. Объективное свидетельство может быть получено путем набгоодения. измерения, испытания или другим способом.
2. Объективное свидетельство для цели аудита (3.1) обычно включает записи, изложение фактов или другую информацию, которые имеют отношение к критериям аудита (3.7) и могут быть проверены.

[ИСО 9000:2015, 3.8.3]

3.9. свидетельство аудита (audit evidence): записи, изложение фактов или другая информация, связанные с критериями аудита (3.2) и перепроверены.

[ИСО 9000:2015, 3.13.8]

3.10. обнаружения аудита (audit findings): результаты оценивания собранных свидетельств аудита (3.9) по отношению к критериям аудита (3.7).

Примечания:
1. Обнаружения аудита могут указывать на соответствие (3.20) или несоответствие (3.21).
2. Обнаружения аудита могут помочь в идентификации рисков, возможностей для улучшения или записи общепризнанной надлежащей практики.
3. Если критерии аудита выбираются из законодательных или нормативных правовых требований, обнаружения аудита сводятся к соответствию или несоответствию.

[ИСО 9000:2015,3.13.9. измененный — изменены примечания 2 и 3]

3.11. заключение по результатам аудита (audit conclusion): выход аудита (3.1) после рассмотрения целей аудита и всех обнаружений аудита (3.10).

[ИСО 9000:2015,3.13.10]

3.12. заказчик аудита (audit client): организация или лицо, заказавшее аудит (3.1).

Примечание — В случае внутреннего аудита заказчиком аудита также может быть проверяемая организация (3.13) или лицо (лица), несущее(ие) ответственность за управление программой аудита. Запросы на внешний аудит могут поступать от таких организаций, как регулирующие органы, стороны контракта, потенциальные или существующие заказчики.

[ИСО 9000:2015.3.13.11, измененный — добавлено примечание 1]

3.13. проверяемая организация (auditee): организация, в целом или частями подвергающаяся аудиту.

[ИСО 9000:2015,3.13.12, измененный]

3.14. аудиторская группа (audit team): один или несколько лиц. проводящих аудит (3.1), при необходимости, поддерживаемые техническими экспертами (3.16).

Примечания:
1. Один аудитор (3.15) из аудиторской группы (3.14) назначается руководителем группы.
2. Аудиторская группа может включать аудиторов-стажеров.

[ИСО 9000:2015, определение 3.13.14]

3.15. аудитор (auditor): лицо, которое проводит аудит (3.1).

[ИСО 9000:2015,3.13.15]

3.16. технический эксперт (technical expert): лицо, которое предоставляет специальные знания или опыт аудиторской группе (3.14).

Примечания:
1. Специальные знания или опыт относятся к организации, процессам или деятельности, товарам, услугам, отрасли знаний, подвергаемым аудиту (3.1) или к языку и культуре.
2. Технический эксперт не имеет полномочий аудитора (3.14) в аудиторской группе (3.15).

[ИСО 9000:2015,3.13.16. измененный — изменены примечания 1 и 2]

3.17. наблюдатель (observer): лицо, сопровождающее аудиторскую группу (3.14), но не участвующее в аудите (3.15).

[ИСО 9000:2015,3.13.17. измененный]

3.18. система менеджмента (management system): совокупность взаимосвязанных или взаимодействующих элементов организации для разработки политик, целей, и процессов (3.24) для достижения этих целей.

Примечания:
1. Система менеджмента может относиться к одному или нескольким аспектам деятельности, например, менеджмент качества, финансовый менеджмент или экологический менеджмент.
2. Элементы системы менеджмента определяют структуру организации, роли и ответственность, планирование, функционирование, политики, практики, правила, убеждения, цели и процессы для достижения этих целей.
3. Область применения системы менеджмента может охватывать всю организацию, определенные функции организации, определенные части организации, одну или более функций в группе организаций.

[ИСО 9000:2015. определение 3.5.3, измененный — удалено примечание 4]

3.19. риск (risk): влияние неопределенности.

Примечания:
1. Влияние выражается в отклонении от ожидаемого результата — позитивном или негативном.
2. Неопределенность является состоянием, связанным с недостатком, даже частично, информации, понимания или знания о событии, его последствиях или вероятности.
3. Риск часто определяют по отношению к потенциальным событиям (как определено в Руководстве ИСО 73:2009, 3.5.1.3) и их последствиям (как определено в Руководстве ИСО 73:2009.3.6.1.3), или к их комбинации.
4. Риск часто выражается в терминах комбинации последствий события (включая изменения в обстоятельствах) и связанных с ними вероятностей (как определено в Руководстве ИСО 73:2009, 3.6.1.1) возникновения.

[ИСО 9000:2015, 3.7.9, измененный — удалены примечания 5 и 6]

3.20. соответствие (conformity): выполнение требования (3.23).

[ИСО 9000:2015, 3.6.11, измененный — удалено примечание 1]

3.21. несоответствие (nonconformity): невыполнение требования (3.23).

[ИСО 9000:2015, 3.6.9, измененный — удалено примечание 1]

3.22. компетентность (competence): способность применять знания и умения для достижения намеченных результатов.

[ИСО 9000:2015, 3.10.4. измененный — удалено примечание 1]

3.23. требование (requirement): потребность или ожидание, которое установлено, обычно предполагается или является обязательным.

Примечания:
1. Слова «обычно предполагается» означают, что эго общепринятая практика организации и заинтересованных сторон, что рассматриваемые потребности или ожидания предполагаются.
2. Установленным является такое требование, которое определено, например, в документированной информации.

[ИСО 9000:2015, 3.6.4, измененный — удалены примечания 3.4, 5 и 6]

3.24. процесс (process): совокупность взаимосвязанных или взаимодействующих видов деятельности, использующая входы для получения намеченного результата.

[ИСО 9000:2015, 3.4.1. измененный — удалены примечания]

3.25. результаты деятельности (performance): измеримый итог.

Примечания:
1. Результаты деятельности могут относиться к количественным и качественным полученным данным.
2. Результаты деятельности могут относиться к менеджменту действий, процессам (3.24), продукции, услугам, системам или организациям.

[ИСО 9000:2015, 3.7.6, измененный — удалено примечание 3]

3.26. результативность (effectiveness): степень реализации запланированной деятельности и достижения запланированных результатов.

[ИСО 9000:2015, 3.7.11. измененный — удалено примечание 1]

Процесс проведения аудита основан на соблюдении нескольких принципов. Эти принципы помогают аудиту быть результативным и надежным инструментом следования политике менеджмента и использования средств контроля, обеспечивая информацией, на основе которой организация может улучшать результаты своей деятельности. Приверженность этим принципам является предпосылкой для получения заключений аудита, соответствующих, и достаточных для того, чтобы аудиторы, работающие независимо друг от друга, делали аналогичные заключения в аналогичных обстоятельствах.

Руководящие указания, приведенные в разделах 5 — 7, основаны на семи следующих принципах.

a) Честность: основа профессионализма

Аудиторам и руководителю программы аудита следует:

• выполнять свою работу честно, старательно и ответственно;
• проводить аудит только тогда, когда это позволяет их компетентность;
• выполнять свою работу беспристрастно, т. е. оставаться справедливым и непредубежденным во всех своих действиях;
• быть осмотрительным к любым влияниям, которые могут быть оказаны на их мнения при выполнении аудита.

b) Беспристрастное представление: обязательство представлять правдивые и точные отчеты

В обнаружениях аудита, заключениях и отчетах по аудиту следует правдиво и точно отражать действия по аудиту. Существенные препятствия, встреченные в процессе аудита, а также неразрешенные мнения и разногласия между аудиторской группой и проверяемой организацией следует отражать в отчетах. Сообщения должны быть правдивыми, точными, объективными, своевременными, четкими и полными.

c) Должная профессиональная осмотрительность: прилежание и обдуманность решений при проведении аудита

Аудиторам следует проявлять должную тщательность в соответствии с важностью задачи, которую они выполняют, и доверием, которое им оказывает заказчик аудита и другие заинтересованные стороны. Важным фактором в выполнении их работы с должной профессиональной тщательностью является способность принимать обдуманные решения в любых ситуациях в процессе аудита.

d) Конфиденциальность: защита информации

Аудиторам следует проявлять осторожность при использовании и защите информации, полученной в ходе выполнения своих обязанностей. Информацию, полученную при аудите, не следует использовать в корыстных целях аудитора или заказчика аудита, либо таким способом, который нанесет ущерб законным интересам проверяемой организации. Эта концепция включает надлежащее обращение с конфиденциальной и требующей особого отношения информацией.

e) Независимость: основа беспристрастности аудита и объективности заключений аудита

Аудиторам следует быть независимыми от деятельности, подлежащей аудиту всегда, где это осуществимо, и во всех случаях действовать независимо от пристрастий и конфликта интересов. При проведении внутренних аудитов аудиторам следует быть независимыми от проверяемых функций, если это осуществимо. Аудиторам следует сохранять объективность в процессе аудита, чтобы обеспечить уверенность, что обнаружения и заключения аудита основаны только на свидетельствах аудита.

Для небольших организаций невозможно обеспечить, чтобы внутренние аудиторы были полностью независимыми от деятельности, подвергаемой аудиту, однако следует приложить все силы, чтобы избежать предвзятости и соблюсти объективность.

f) Подход, основанный на свидетельстве, рациональный метод достижения надежных и воспроизводимых заключений аудита в систематическом процессе аудита

Свидетельство аудита должно быть проверяемым. Оно, в общем, должно быть основано на выборках имеющейся информации, поскольку аудит проводится в ограниченный период времени и с ограниченными ресурсами. Следует применять соответствующие выборки, так как это связано с уровнем доверия к заключению по аудиту.

g) Риск-ориентированный подход: подход, учитывающий риски и возможности

Риск-ориентированный подход должен оказывать существенное влияние на планирование, проведение и отчетность по аудитам, чтобы обеспечить уверенность, что аудит сфокусирован на вопросах, имеющих значение для заказчика аудита и для достижения целей программы аудита.

Следует разработать программу аудита, которая может включать аудиты, ориентированные на один или несколько стандартов на системы менеджмента или иные требования, проводимые либо отдельно, либо в совокупности (комбинированный аудит).

Объем программы аудита следует устанавливать, исходя из размера и характера проверяемой организации, а также из характера, функциональности, сложности, типа рисков и возможностей, и уровня развития систем(ы) менеджмента, подлежащих(ей) аудиту.

Функциональность системы менеджмента может оказаться даже более сложной, когда большинство важных функций отдано сторонним исполнителям и управляются под руководством других организаций. Особое внимание следует обратить на то, где именно принимаются наиболее важные решения и как формируется высшее руководство системы менеджмента.

В том случае, если у организации имеется несколько мест/площадок (например, в разных странах) или в случае, когда большинство важных функций отдано сторонним исполнителям и управляются под руководством других организаций, особое внимание следует обратить на проектирование, планирование и валидацию программы аудита.

В случае организаций меньшего масштаба или менее сложных организаций программа аудита может быть сокращена соответствующим образом.

Чтобы понять среду проверяемой организации, программа аудита должна принять во внимание:

• цели организации;
• соответствующие внешние и внутренние факторы;
• потребности и ожидания соответствующих заинтересованных сторон;
• требования к защите и конфиденциальности информации.

Планирование программы внутреннего аудита и, в некоторых случаях программы аудита внешних поставщиков, может способствовать достижению иных целей для организации.

Лицо(а), осущесталяющее(ие) управление программой аудита, должмо(ы) обеспечить целостность аудита и отсутствие постороннего влияния, оказываемого на аудит.

Приоритет следует отдать распределению ресурсов и методов к вопросам в системе менеджмента, связанным с более высоким риском и более низким уровнем итогов деятельности.

Для управления программой аудита должны выбираться компетентные работники.

Программа аудита должна включать информацию и определять ресурсы, необходимые для организации и эффективного и результативного проведения аудита в рамках установленного времени. Информация должна включать:

a) цели программы аудита;

b) риски и возможности, связанные с программой аудита (см. 5.3), и действия по обращению с ними;

c) объем (глубина охвата, границы места проведения) каждого аудита в рамках программы аудита;

d) график (число/продолжительность/частота проведения) аудитов;

e) типы аудитов, например внутренний или внешний;

f) критерии аудита;

g) методы аудита, которые должны применяться;

h) критерии для выбора членов аудиторской группы;

i) соответствующая документированная информация.

Некоторые из этих сведений могут быть недоступны до тех пор, пока не будет завершено более детальное планирование аудита.

Для достижения целей программы аудита ее выполнение следует подвергать мониторингу и измерениям (см. 5.6). Программу аудита следует анализировать, чтобы определить необходимость внесения изменений и потенциальные возможные улучшения (см. 5.7).

Рисунок 1 иллюстрирует последовательность операций процесса управления программой аудита.

Рисунок 1 — Схема последовательности действий для управления программой аудита

Примечания:
1. Этот рисунок иллюстрирует применение цикла Планирование — Исполнение — Проверка — Принятие необходимых мер в данном стандарте.
2. Нумерация раздела/подраздела относится к соответствующим разделам/подразделам данного стандарта.

Заказчику аудита следует обеспечить постановку целей, чтобы определить направления планирования и проведения аудита, а также следует обеспечить эффективное исполнение программы. Цели программы аудита должны согласовываться со стратегией развития заказчика аудита и поддерживать политику и цели системы менеджмента заказчика аудита.

Эти цели могут быть основаны на рассмотрении следующих вопросов:

а) потребности и ожидания соответствующих заинтересованных сторон, как внешних, так и внутренних;

b) характеристики и требования к процессам, продукции, услугам и проектам, и всем изменениям в этих характеристиках и требованиях;

c) требования систем менеджмента;

d) необходимость оценки внешних поставщиков;

e) уровень результатов деятельности проверяемой организации и уровень развития систем(ы) менеджмента, отражаемого соответствующими индикаторами (показателями) результатов деятельности (например, ключевые показатели деятельности, KPI), возникновение несоответствий или случаев отказа, инцидентов или жалоб заинтересованных сторон;

f) идентифицированные риски и возможности проверяемой организации;

Примеры целей программы аудита включают следующее:

• выяснить возможности улучшения системы менеджмента и ее результатов;
• оценить способность проверяемой организации установить свою среду;
• оценить способность проверяемой организации определять риски и возможности, а также вырабатывать, и осуществлять действия по эффективному обращению с ними;
• соответствовать всем уместным требованиям, например нормативным правовым требованиям, обязательствам о соответствии, требованиям к сертификации соответствия стандарту на систему менеджмента;
• получить и поддерживать уверенность в возможностях внешнего поставщика;
• определить постоянную пригодность, адекватность и результативность системы менеджмента проверяемой организации;
• оценить совместимость и согласованность целей системы менеджмента со стратегическим направлением развития организации.

Существуют риски и возможности, связанные со средой проверяемой организации, которые могут быть связаны с программой аудита и влиять на достижение ее целей. Руководителю программы аудита следует определить и представить заказчику аудита риски и возможности, учитываемые при разработке программы аудита и требований к ресурсам, так чтобы на них можно было соответствующим образом отреагировать. Могут существовать риски, связанные:

a) с планированием, например неудачной постановкой соответствующих целей аудита и определением объема, числа, продолжительности, места проведения и графика аудитов;

b) ресурсами, например отведением недостаточного периода времени, нехваткой оборудования и/или недостаточной подготовкой к разработке программы аудита или проведению аудита;

c) выбором аудиторской группы, например недостаточной общей компетентностью для эффективного проведения аудитов;

d) обменом информацией, например неэффективными процессами/каналами внешней/внутренней связи;

e) исполнением программы, например неэффективной координацией аудитов в рамках программы аудита, или недоучетом защиты и конфиденциальности информации;

f) контроль документированной информации, например неэффективное определение необходимой документированной информации, требующейся аудиторам и соответствующим заинтересованным сторонам, ненадежная защита записей аудита для демонстрации результативности программы;

g) мониторингом, анализом и улучшением программы аудита, например неэффективным мониторингом выходов (результатов) программы аудита;

h) доступностью и сотрудничеством с проверяемой организацией и доступностью свидетельств, которые должны быть отобраны.

Возможности для улучшения программы аудита могут включать:

• возможность проведения комплексного аудита за одно посещение;
• минимизацию времени и расстояний доставки до места (проведения аудита);
• обеспечение соответствия уровня компетентности аудиторской группы с уровнем компетентности, необходимым для достижения целей аудита;
• совмещение дат проведения аудита с наличием на месте основного состава проверяемой организации.

5.4.1. Роли и ответственности лица (лиц), осуществляющего(их) управление программой аудита

Лицу(ам), осуществляющему(им) управление программой аудита, следует:

a) установить объем программы аудита в соответствии с поставленными целями (см. 5.2) и известными ограничениями;

b) определить внешние и внутренние проблемы, риски и возможности, которые могут повлиять на программу аудита, и осуществить целенаправленные мероприятия, включив эти мероприятия в соответствующие виды аудиторской деятельности, в зависимости от рассматриваемого случая;

c) обеспечить выбор групп аудита, обладающих необходимой компетентностью для проведения аудита, определив их обязанности, ответственность и полномочия, и поддержку лидерства, по мере необходимости;

d) разработать все необходимые процессы, включая процессы:

• для координации и планирования всех аудитов в рамках программы аудита;
• разработки целей аудита, области применения и критериев, определения методов аудита и подбора аудиторской группы;
• оценки аудиторов;
• разработки внешних и внутренних процессов коммуникации, по мере необходимости;
• разрешения споров и обращения с жалобами;
• действий после аудита, если необходимо;
• предоставления отчетов заказчику аудита и соответствующим заинтересованным сторонам, в зависимости от конкретного случая;

е) определить и обеспечить снабжение всеми необходимыми ресурсами;

f) обеспечить подготовку и хранение соответствующей документированной информации, включая записи по программе аудита;

g) отслеживать, анализировать и улучшать программу аудита;

h) предоставить программу аудита заказчику и, при необходимости, всем заинтересованным сторонам.

Лицу(ам), осуществляющему(им) управление программой аудита, следует запросить ее одобрение у заказчика аудита.

Лицу(ам), осуществляющему(им) управление программой аудита, следует обладать необходимой компетентностью для эффективного и результативного управления программой и связанными с нею рисками и возможностями, а также внешними и внутренними проблемами, включая знания в следующих областях:

a) принципы (см. раздел 4), методы и процессы аудита (см. А.1 и А.2);

b) стандарты по системе менеджмента, другие соответствующие стандарты и ссылочные/руководящие документы;

c) сведения, касающиеся проверяемой организации и ее среды (например, внешние и внутренние проблемы, соответствующие заинтересованные стороны и их потребности и ожидания, деловая деятельность, продукция, услуги и процессы проверяемой организации);

d) применяемые нормативные и правовые требования и другие требования, касающиеся деятельности проверяемой организации.

При необходимости могут быть рассмотрены знания управления рисками, управления проектами и процессами, а также информационные и коммуникационные технологии.

Лицу(ам), осуществляющему(им) управление программой аудита, следует участвовать в соответствующей деятельности по постоянному профессиональному совершенствованию, в целях поддержания необходимой компетентности для управления программой аудита.

Лицу(ам), осуществляющему(им) управление программой аудита, следует определить объем программы аудита. Он может меняться в зависимости от сведений, предоставленных проверяемой организацией в отношении ее среды (см. 5.3).

Примечание — В определенных случаях, в зависимости от структуры проверяемой организации или ее деятельности, программа аудита может включать только отдельный аудит (например, в случае небольшого проекта или организации).

Другие факторы, влияющие на объем программы аудита, могут включать следующее:

a) цель, область и продолжительность каждого аудита и количество предполагаемых аудитов, включая способ отчетности и, если необходимо, действия по результатам аудита;

b) стандарты по системе менеджмента или иные применяемые критерии;

c) количество, значимость, сложность, схожесть и места деятельности, подлежащей аудиту;

d) факторы, влияющие на эффективность системы менеджмента;

е) применимые критерии аудита, такие как мероприятия, запланированные для внедрения стандартов на системы менеджмента, законодательные правовые и договорные требования и другие требования, которые организация обязуется выполнять;

f) результаты предшествующих внутренних и внешних аудитов и анализов со стороны руководства, если требуется;

g) результаты анализа предыдущей программы аудита;

h) язык, вопросы культуры и социальные вопросы;

i) проблемы заинтересованных сторон, такие как жалобы потребителей или несоблюдение законодательных и нормативных требований, других требований, которые организация обязуется выполнять, или проблемы в цепи поставок;

j) существенные изменения в среде проверяемой организации или в ее деятельности и соответствующих рисках и возможностях;

k) применяемые информации и технологии по обмену информацией в поддержку аудита, в частности, использование методов дистанционного аудита (см. А.16);

l) внешние и внутренние события, такие как несоответствие продукции или услуг, утечка информации, происшествия, влияющие на здоровье и безопасность, криминальные действия или экологические происшествия;

m) риски и возможности предпринимательства, включая действия по обращению с ними.

При определении ресурсов для программы аудита, лицу(лицам), осуществляющему(им) управление программой аудита, следует рассмотреть:

a) финансы и время, необходимые для разработки, внедрения, управления и улучшения аудиторской деятельности;

b) методы аудита (см. А.1);

c) наличие аудиторов и технических экспертов, обладающих надлежащей компетентностью для целей конкретной программы аудита для формирования группы;

d) объем программы аудита (см. 5.4.3) и риски и возможности программы аудита (см. 5.3);

e) затраченное время и стоимость транспорта для доставки аудиторов, расходы на их размещение, проживание и другие нужды;

f) влияние разницы во времени;

g) наличие информационных и коммуникационных технологий (например, технических ресурсов, требуемых для создания дистанционного аудита с использованием технологий, поддерживающих дистанционное взаимодействие);

h) наличие требуемых инструментов, технологий и оборудования;

i) наличие необходимой документированной информации, в соответствии с установленным при разработке программы аудита объемом (см. А.5);

j) требования, относящиеся к благоприятности условий проведения аудита, включая какие-либо проверки персональных данных и оборудования (например, проверка анкетных данных, средства индивидуальной защиты, специальная одежда для соблюдения режима «чистая комната»).

5.5.1. Общие положения

Как только программа аудита разработана (см. 5.4.3) и определены необходимые ресурсы (см. 5.4.4) необходимо выполнить оперативное планирование и координацию всей деятельности в рамках программы.

Лицу(ам), осуществляющему(им) управление программой аудита, следует:

a) довести до сведения заинтересованных сторон относящиеся к ним части программы аудита, включая связанные с ней риски и возможности и периодически извещать их о ее исполнении с использованием установленных каналов внешней и внутренней коммуникации;

b) определить цели, области и критерии для каждого отдельного аудита;

c) выбрать методы аудита (см. А.1);

d) координировать и разработать график аудитов и другой деятельности, связанной с программой аудита;

е) обеспечить необходимую компетентность аудиторской группы (см. 5.5.4);

f) предоставить необходимые индивидуальные и общие ресурсы аудиторской группе (см. 5.4.4);

g) обеспечить проведение аудитов в соответствии с программой аудита, управлять рисками, возможностями и проблемами (т.е. неожиданными событиями) по мере их возникновения при реализации программы аудита;

h) обеспечить управление и сохранность соответствующей документированной информацией, касающейся аудиторской деятельности, и ее ведения;

i) определить и проводить операционный контроль (см. 5.6), необходимый для мониторинга программы аудита;

j) анализировать программу аудита для того, чтобы, определить возможности для ее улучшения (см. 5.7).

5.5.2. Определение целей, области и критериев конкретного аудита

Каждый отдельный аудит следует основывать на определенных целях, области и критериях. Они должны быть согласованы с общими целями программы аудита.

Цели аудита определяют, что должно быть достигнуто с помощью отдельного аудита, и могут включать в себя следующее:

a) определение степени соответствия проверяемом системы менеджмента, или ее частей критериям аудита;

b) оценка возможности системы менеджмента обеспечить соответствие законодательным, нормативно-правовым требованиям, договорным требованиям, а также другим требованиям, которые организация обязуется выполнять;

c) оценка эффективности системы менеджмента при достижении намеченных результатов;

d) идентификация возможностей для потенциального улучшения системы менеджмента;

e) оценка пригодности и соответствия системы менеджмента в отношении среды и стратегического направления проверяемой организации;

f) оценка способности системы менеджмента установить и достичь целей, эффективно реагировать на риски и возможности в изменяющейся среде, включая выполнение соответствующих действий.

Область аудита должна соответствовать программе и целям аудита. Она включает такие факторы, как местоположение, функции, деятельность и процессы, подлежащие аудиту, а также сроки проведения аудита.

Критерии аудита используются в качестве ссылки, относительно которой определяется соответствие. Они могут включать одно или более критериев из следующего: проводимую политику, процессы, процедуры, нормы, соблюдаемые критерии, включая цели законодательные и нормативные требования, требования к системе менеджмента, информацию, включающую среду и риски, и возможности, определенные проверяемой организацией (включая требования соответствующих внешних и внутренних заинтересованных сторон), правила в проверяемой сфере или другие запланированные организационные моменты.

В случае изменения целей, области или критериев аудита программу аудита следует, при необходимости, скорректировать и сообщить об этом заинтересованным сторонам для утверждения, если требуется.

Если аудит проводится одновременно в более чем одной сфере деятельности, то важно, чтобы цели, области и критерии аудита были согласованы с программой аудита для каждой сферы. Некоторые сферы могут иметь область применения, которая отражает деятельность всей организации, а другие могут отражать деятельность только части организации.

5.5.3. Выбор и определение методов аудита

Лицу(ам), осуществляющему(им) управление программой аудита, следует выбрать и определить методы эффективного и результативного проведения аудита в зависимости от определенных целей, области и критериев аудита.

Аудит можно проводить непосредственно на месте, удаленно или комбинировано. Применение этих методов следует соответствующим образом сбалансировать, основываясь, в том числе, на рассмотрении сопутствующих рисков и возможностей.

Там, где две или более проверяющие организации проводят совместный аудит одной проверяемой организации, лицам, осуществляющим управление разными программами аудита, следует согласовать методы аудита и рассмотреть вопросы обеспечения ресурсами и планирования аудита. Если в проверяемой организации действуют две или более систем менеджмента в различных сферах деятельности, то программа аудита может включать комплексные аудиты.

Лицу(ам), осуществляющему(им) управление программой аудита, следует назначить членов аудиторской группы, включая руководителя группы и технических экспертов, необходимых для конкретного аудита.

Аудиторскую группу следует формировать с учетом компетентности, необходимой для достижения целей отдельного аудита в рамках определенной области. Если имеется только один аудитор, ему следует исполнять все применяемые обязанности руководителя группы.

Примечание — Раздел 7 содержит руководящие указания по определению компетентности, необходимой для членов аудиторской группы, и описывает процессы оценивания аудиторов.

Чтобы гарантировать общую компетентность аудиторской группы, необходимо выполнить следующие шаги:

• определение компетентности, необходимой для достижения целей аудита;
• отбор членов аудиторской группы осуществлять таким образом, чтобы группа в целом обладала необходимой компетентностью.

При принятии решения в отношении численности и состава группы для конкретного аудита, следует учесть;

a) общую компетентность аудиторской группы, необходимую для достижения целей аудита, принимая во внимание область и критерии аудита;

b) сложность аудита;

c) является ли аудит комплексным или совместным;

d) выбранные методы аудита;

e) обеспечение беспристрастности и объективности во избежание конфликта интересов в процессе аудита;

f) способность членов аудиторской группы эффективно работать и взаимодействовать с представителями проверяемой организации и соответствующими заинтересованными сторонами;

g) внешние и внутренние факторы, такие как язык аудита и социальные и культурные характеристики проверяемой организации. Эти вопросы могут рассматриваться самим аудитором, если он обладает соответствующим умением, или совместно с техническим экспертом, также учитывают необходимость в переводчиках.

h) тип и сложность процессов, подлежащих аудиту.

Там, где целесообразно, руководителю программы аудита следует обсудить с руководителем аудиторской группы состав этой группы.

Если необходимая компетентность не обеспечивается аудиторами в группе, в нее следует включить дополнительно технических экспертов необходимой квалификации.

В группу можно включить аудиторов-стажеров, которые должны работать под руководством аудитора.

В процессе аудита может потребоваться пересмотр состава группы, например в случае конфликта интересов или возникновения сомнений в компетентности. Такие ситуации следует обсудить с соответствующими сторонами (например, руководителем группы, лицом(ами), осуществляющим(ими) управление программой аудита, заказчиком аудита или проверяемой организацией) до внесения каких-либо изменений.

Лицу(ам), осуществляющему(им) управление программой аудита, следует назначить руководителя по проведению отдельного аудита.

Назначение следует сделать заранее, чтобы до начала аудита оставалось достаточно времени для эффективного планирования аудита.

Чтобы обеспечить эффективное проведение конкретного аудита, руководителю аудиторской группы следует предоставить следующую информацию в отношении:

a) цели аудита;

b) критерии аудита и любую относящуюся к делу документированную информацию;

c) область аудита, включая идентификацию организации и ее функций и процессов, подлежащих аудиту;

d) методы и процессы аудита;

е) состав аудиторской группы;

f) сведения для контактов с проверяемой организацией, места проведения аудита, даты и продолжительность проведения аудита;

g) распределение необходимых ресурсов для проведения аудита;

h) информацию, необходимую для оценки и рассмотрения выявленных рисков и возможностей для достижения целей аудита;

i) информацию, которая помогает руководителю группы при взаимодействии с проверяемой организацией для повышения результативности программы аудита.

Информация для назначения, при необходимости, также должна включать, следующее:

• рабочий язык и язык для отчетов по аудиту, если он отличается от языка аудитора или языка проверяемой организации;
• требуемое содержание отчета по аудиту и кому он должен быть представлен;
• вопросы, относящиеся к конфиденциальности и защите информации, если требуется программой аудита;
• все меры, касающиеся здоровья, безопасности и условий труда аудиторов;
• требования к доставке или доступу к удаленным объектам;
• требования к режиму безопасности и предоставлению прав доступа;
• все действия, которые следуют проверить, например действия по итогам предыдущего аудита;
• координирование с другой деятельностью по аудиту, например когда разные аудиторские группы проверяют схожие или связанные процессы в разных местах или в случае совместного аудита.

При проведении совместного аудита, важно достичь согласия среди организаций, проводящих аудиты, до его начала, относительно конкретных обязанностей каждой стороны, особенно с учетом полномочий назначенного руководителя аудиторской группы по данному аудиту.

5.5.6. Управление результатами выполнения программы аудита

Лицу(ам), осущестапяющему(им) управление программой аудита, следует обеспечить выполнение следующих мероприятий;

a) оценка достижения целей для каждого отдельного аудита в рамках программы аудита;

b) анализ и утверждение отчетов по аудиту касательно полноты охвата области и достижения целей аудита;

c) анализ результативности действий, предпринятых для решения вопросов по обнаружениям аудита;

d) представление отчетов по аудиту соответствующим заинтересованным сторонам;

е) определение необходимости дополнительных аудитов.

Руководителю программы аудита следует рассмотреть, при необходимости:

• доведение результатов аудита и передовой практики до сведения других подразделений организации;
• применение указанного выше для других процессов.

5.5.7. Управление записями по программе аудита и их сохранение

Лицу(ам), осуществляющему(им) управление программой аудита, следует обеспечить создание записей по аудиту, управление ими и их поддержание для демонстрации выполнения программы аудита. Следует установить процессы по обеспечению требуемой конфиденциальности и защиты информации, связанных с записями по аудиту.

Записи могут включать следующее:

a) записи, касающиеся программы аудита, такие как:

• график проведения аудитов;
• цели и объем программы аудита;
• риски и возможности, связанные с программой аудита, и соответствующие внешние и внутренние факторы;
• анализ результативности программы аудита;

b) записи, касающиеся каждого аудита, такие как:

• планы и отчеты по аудиту;
• объективные свидетельства и обнаружения аудита;
• отчеты о несоответствии;
• отчеты о коррекциях и корректирующих действиях;
• отчеты о последующих действиях;

c) записи, касающиеся группы, выполняющей аудит, по таким вопросам, как:

• результаты оценки компетентности и деятельности членов аудиторской группы;
• критерии выбора аудиторских групп и членов аудиторской группы и формирование групп;
• поддержание и повышение уровня компетентности.

Форма и степень подробности записей должны демонстрировать, что цели программы аудита достигнуты.

Лицу(ам), осуществляющему(им) управление программой аудита, следует обеспечить проведение оценки:

a) выполнен ли график и достигнуты ли цели программы аудита;

b) деятельности членов аудиторской группы, включая ее руководителя и технических экспертов;

c) способности аудиторских групп выполнить план аудита;

d) обратной связи с заказчиками аудита, проверяемыми организациями, аудиторами, техническими экспертами и другими причастными сторонами;

e) достаточности и адекватности документированной информации во всем процессе аудита.

Некоторые факторы могут определять необходимость изменения программы аудита. В их число могут быть включены:

• обнаружения аудита;
• демонстрируемый уровень эффективности и зрелости системы менеджмента проверяемой организации;
• результативность программы аудита;
• область аудита или область программы аудита;
• система менеджмента проверяемой организации;
• стандарты и другие требования, которые организация обязуется выполнять;
• внешние поставщики;
• выявленные конфликты интересов;
• требования заказчиков аудита.

Лицу(ам), осуществляющему(им) управление программой аудита, и заказчику аудита следует проанализировать программу аудита, чтобы определить, достигнуты ли ее цели. Выводы, полученные при анализе программы аудита, следует применять как входные данные для процесса постоянного совершенствования программы.

Лицу(ам), осуществляющему(им) управление программой аудита, следует рассмотреть следующее:

• результаты общего исполнения программы аудита;
• идентификация областей и возможностей для улучшения;
• внесение изменений в программу аудита, при необходимости;
• анализ непрерывного повышения квалификации аудиторов в соответствии с 7.6;
• отчет о результатах программы аудита и обсуждение с заказчиком аудита и соответствующими заинтересованными сторонами, насколько это уместно.

При проведении анализа программы аудита следует рассмотреть следующее:

a) реэультаты и тенденции, определенные в ходе мониторинга программы аудита;

b) соответствие процессам программы аудита и соответствующую документированную информацию;

c) меняющиеся потребности и ожидания соответствующих заинтересованных сторон;

d) записи по программе аудита;

e) альтернативные или новые методы аудита;

f) альтернативные или новые методы оценки аудиторов;

g) эффективность мер реагирования на риски, и возможности, а также на внутренние и внешние факторы, связанные с программой аудита;

h) вопросы конфиденциальности и информационной безопасности, связанной с программой аудита.

В данном разделе содержатся руководящие указания по подготовке и проведению конкретного аудита как части программы аудита. На рисунке 2 представлен обзор типовой схемы проведения аудита.

Степень, в которой положения данного раздела применимы, зависит от целей и области конкретного аудита.

6.2.1. Общие положения

Ответственность за проведение аудита следует оставить за назначенным руководителем аудиторской группы (см. 5.5.5) до завершения аудита (см. 6.6).

Чтобы инициировать аудит, следует рассмотреть шаги, описанные на рисунке 1, однако их последовательность может отличаться в зависимости от проверяемой организации, процессов и конкретных обстоятельств аудита.

6.2.2. Установление контакта с проверяемой организацией

Руководителю аудиторской группы следует обеспечить установление контакта с проверяемой организацией, чтобы:

a) подтвердить каналы связи с представителями проверяемой организации;

b) подтвердить полномочия на проведение аудита;

c) предоставить соответствующую информацию о целях, области, критериях, методах аудита, а также о составе аудиторской группы, включая технических экспертов;

d) обратиться с заявкой на получение соответствующей информации для целей планирования, включая информацию о рисках и возможностях, определенных организацией и способы работы с ними;

e) определить применяемые законодательные и нормативные правовые требования, а также требования, соответствующие деятельности, процессам, продукции и услугам проверяемой организации;

f) подтвердить соглашение с проверяемой организацией в отношении степени раскрытия и обработки конфиденциальной информации;

g) разрабатывать мероприятия, необходимые для проведения аудита, включая график;

h) определить положения, связанные с местоположением проверяемой организации, в отношении доступа, здоровья и безопасности, режима секретности, конфиденциальности и т. п.;

i) согласовать вопрос о присутствии наблюдателей и необходимости в сопровождающих или переводчиках для аудиторской группы;

j) определить области, которые предоставляют интерес, вызывают озабоченность или представляют риски проверяемой организации в связи с конкретным аудитом;

k) решить проблемы в отношении состава аудиторской группы с проверяемой стороной или заказчиком аудита.

6.2.3. Определение возможности проведения аудита

Осуществимость аудита следует определить для того, чтобы получить обоснованную уверенность, что цели аудита могут быть достигнуты.

Для определения осуществимости следует рассмотреть такие факторы, как наличие:

a) достаточной и надлежащей информации для планирования и проведения аудита;

b) соответствующего сотрудничества со стороны проверяемой организации;

c) необходимого времени и ресурсов для проведения аудита.

Примечание — Ресурсы включают адекватную и подходящую информационную и коммуникационную технологию.

Там, где аудит неосуществим, заказчику аудита следует предложить альтернативу по согласованию с проверяемой организацией.

6.3.1. Выполнение анализа документированной информации

Следует проанализировать соответствующую документированную информацию на систему менеджмента проверяемой организации, чтобы:

• собрать информацию для понимания функций проверяемой организации и подготовки к аудиту и разработке рабочих документов (см. 6.3.4), например на процессы, функции;
• составить общее представление об объеме документированной информации, чтобы определить возможное соответствие критериям аудита, возможные проблемные области, такие, как недостатки, упущения или конфликты.

В документированную информацию следует включить, но не ограничиваясь этим: документы на систему менеджмента и записи системы менеджмента, а также отчеты о предыдущих аудитах. При анализе документов следует учитывать среду проверяемой организации, включая ее размер, характер и сложность, а также связанные с этим риски и возможности. Также следует использовать область, критерии и цели аудита.

Примечание — Руководящие указания по проверке информации представлены в А.5.

6.3.2. Планирование аудита

6.3.2.1. Риск — ориентированный подход к планированию

Руководителю аудиторской группы следует принять риск-ориентированный подход для планирования аудита на основе информации, содержащейся в программе аудита и в документированной информации, предоставленной проверяемой организацией.

При планировании аудита следует учесть риски аудиторской деятельности в отношении процессов проверяемой организации и обеспечить основу для соглашения между заказчиком аудита, аудиторской группой и проверяемой организацией в отношении проведения аудита. Планирование должно обеспечить эффективный график и координацию проведений аудита, чтобы достигнуть цель аудита эффективно.

Подробность плана аудита должна отражать область и сложность аудита, а также риск недостижения целей аудита. При разработке плана аудита руководителю аудиторской группы следует рассмотреть:

a) состав аудиторской группы и ее общую компетентность;

b) подходящие методы выборки (см. А.6);

c) возможности повышения результативности и эффективности аудиторской деятельности;

d) риски при достижении целей аудита, связанные с неэффективным планированием аудита;

e) риски для проверяемой организации, создаваемые аудитом.

Риски для проверяемой организации могут возникать вследствие присутствия членов аудиторской группы, влияющих на обеспечение требований в области охраны труда, экологии и качества, и их присутствие может представлять определенную угрозу для продукции, услуг, персонала или инфраструктуры проверяемой организации (например, из-за загрязнений в чистых помещениях).

Для комплексных аудитов особое внимание следует уделять взаимодействиям между рабочими процессами и конкурирующими целями и приоритетами различных систем менеджмента.

6.3.2.2. Подробности планирования аудита

Масштаб и содержание плана аудита могут быть различными, например, для первоначального и последующих аудитов, а также для внутреннего и внешнего аудитов. План аудита должен быть достаточно гибким, чтобы можно было вносить в него изменения, которые могут стать необходимыми в процессе проведения аудита.

В плане аудита следует отразить или дать ссылки на следующее:

a) цели аудита;

b) область аудита, включая идентификацию организации и ее функции, а также процессы, подлежащие аудиту;

c) критерии аудита и всю представленную на рассмотрение документированную информацию;

d) места (физические и виртуальные), даты, ожидаемые сроки и продолжительность аудиторской деятельности, включая встречи с руководством проверяемой организации;

e) необходимость для аудиторской группы ознакомиться с оборудованием и процессами проверяемой организации (например, проведя поездку по объектам или путем применения информационной и коммуникационной технологии);

f) методы аудита, которые предполагается использовать, включая объем выборки при аудиторской проверке, которая необходима для получения достаточного аудиторского свидетельства;

g) функции и обязанности членов аудиторской группы, а также сопровождающих лиц и наблюдателей;

h) распределение необходимых ресурсов на основе анализа рисков и возможностей, связанных с проверяемой деятельностью организации.

В плане аудита следует учесть, если это приемлемо, следующее:

• определение представителя проверяемой организации для аудита;
• рабочий язык и язык отчетов по аудиту, если он отличается от языка аудитора и/или от языка проверяемой организации;
• вопросы, которые следует отразить в отчете по аудиту;
• мероприятия, касающиеся логистики и связи, включая конкретные мероприятия е отношении мест, где будет проводиться аудит;
• все конкретные меры, которые предполагается предпринять, чтобы учесть влияние рисков на достижение целей аудита и возникающие возможности;
• вопросы, связанные с конфиденциальностью и защитой информации;
• все действия по результатам предшествующего аудита или других источников, например полученных уроков, анализа проектов;
• все действия по результатам запланированного аудита;
• координацию с деятельностью других аудиторов в случае совместного аудита.

План аудита следует представить проверяемой организации. Все вопросы в отношении плана аудита следует решить между руководителями аудиторской группы, проверяемой организации и при необходимости, лицом(ам), осуществляющим(ими) управление программой аудита.

6.3.3. Распределение работы среди членов аудиторской группы

Руководителю аудиторской группы, при консультации с членами группы, следует распределить обязанности и назначить лиц, ответственных за конкретные процессы, действия, функции или места проведения аудита и, соответственно, полномочия для принятия решений. Такие назначения следует проводить с учетом беспристрастности и объективности аудиторов, их компетентности, эффективности использования ресурсов, а также различных функций и обязанностей аудиторов, стажеров и технических экспертов.

Руководителю аудиторской группы следует, по необходимости, проводить короткие совещания аудиторской группы, чтобы распределить рабочие задания и решить вопрос о возможных изменениях.

Изменения в рабочие задания могут быть внесены в процессе аудита, чтобы обеспечить достижение целей аудита.

Членам аудиторской группы следует подобрать и проанализировать информацию, касающуюся их заданий, и подготовить необходимую документированную информацию для аудита, используя соответствующие носители. Документированная информация для аудита может включать, но не ограничиваясь, следующее:

a) контрольные перечни вопросов (чек-листы) на физических или электронных носителях;

b) планы выборок для аудита;

c) аудиовизуальную информацию.

Применением этих носителей не следует ограничивать объем аудиторской деятельности, которая может измениться в результате информации, собранной в процессе аудита.

Примечание — Руководящие указания по подготовке рабочих документов приведены в А.13.

Документированную информацию, подготовленную и полученную в ходе аудита, следует хранить, по крайней мере, до завершения аудита, или столько времени, сколько указано в программе аудита. Сохранение документированной информации после завершения аудита описано в 6.6. Членам аудиторской группы следует всегда должным образом защищать документированную информацию, созданную в процессе аудита и включающую конфиденциальную или частную информацию.

6.4.1. Общие положения

Аудиторская деятельность обычно осуществляется в определенной последовательности, как показано на рисунке 1. Эта последовательность может меняться в зависимости от обстоятельств конкретного аудита.

6.4.2. Распределение ролей и обязанностей, сопровождающих и наблюдателей

Сопровождающие и наблюдатели могут находиться с аудиторской группой с одобрения руководителя группы, заказчика аудита и/или проверяемой организации, если требуется. Они не должны оказывать влияние или вмешиваться в ход аудита. Если это невозможно гарантировать, руководителю аудиторской группы следует дать право отказать наблюдателям присутствовать во время определенных видов аудиторской деятельности.

Для наблюдателей все вопросы доступа, здоровья и безопасности, охраны окружающей среды, конфиденциальности и защиты информации следует оговаривать с заказчиком аудита и проверяемой организацией.

Сопровождающие, назначаемые проверяемой организацией, должны помогать аудиторской группе и подчиняться ее руководителю или аудитору, к которому их прикрепляют. В обязанности сопровождающих следует включить:

a) помощь аудиторам в определении работников для проведения опроса и согласование время и места проведения интервью;

b) организация доступа в конкретные места проверяемой организации;

c) обеспечение того, чтобы правила для специфики конкретного местоположения, касающиеся доступа, здоровья и безопасности, охраны окружающей среды, защиты конфиденциальности и другие были известны и принимались во внимание членами аудиторской группы и наблюдателям и любые риски были учтены;

d) наблюдение за ходом аудита от имени проверяемой организации, когда это целесообразно;

e) пояснения или содействие в сборе информации, когда это необходимо.

6.4.3. Проведение вступительного заседания

Цель такого заседания заключается в следующем:

a) подтвердить согласие всех сторон (например, проверяемой организации, аудиторской группы) с планом аудита;

b) представить аудиторскую группу и разъяснить их функции;

c) удостовериться в том, что запланированный аудит может быть выполнен.

Открывающее аудит заседание следует проводить вместе с руководством проверяемой организации и, где необходимо, с лицами, ответственными за функции или процессы, подлежащие аудиту.

На заседании следует обеспечить возможность задавать вопросы.

Степень детализации должна соответствовать осведомленности проверяемой организацией о процессе аудита. Во многих случаях, например при проведении внутреннего аудита в небольших организациях, вступительное заседание может просто состоять из сообщения о том, что проводится аудит, и из объяснения характера этого аудита.

В других случаях заседание может быть официальным, и списки присутствующих следует сохранять. Заседание следует проводить под председательством руководителя аудиторской группы. На заседании следует, соответственно, обсудить:

• других участников, включая наблюдателей, сопровождающих лиц и переводчиков, с указанием их роли в аудите;
• методы проведения аудита для управления рисками в организации из-за присутствия членов аудиторской группы.

Следует рассмотреть подтверждение следующих вопросов, в зависимости от обстоятельств:

• целей, области, критериев аудита;
• плана проведения аудита, и другие относящиеся к делу соглашения с проверяемой организацией, например в отношении даты и времени проведения заключительного заседания, всех промежуточных заседаний аудиторской группы и руководства проверяемой организации и необходимости каких-либо изменений;
• официальных каналов связи между аудиторской группой и проверяемой организацией;
• языка, используемого при аудите;
• информируемость проверяемой организации и о ходе аудита во время его проведения;
• наличие ресурсов и средств, необходимых аудиторской группе;
• вопросы, связанные с конфиденциальностью и защитой информации;
• соответствующие мероприятия обеспечения доступа здоровья и безопасности, защиты, безопасности в чрезвычайной ситуации для аудиторской группы и другие меры;
• работа на объекте, который может повлиять на проведение аудита.

Следует рассмотреть представление информации по следующим вопросам, в зависимости от обстоятельств:

• способы сообщения обнаружений аудита, включая критерии для их классификации, если таковые имеются;
• условия, при которых аудит может быть прекращен;
• как поступать с обнаружениями аудита в процессе его проведения;
• системе обратной связи от проверяемой организации по поводу обнаружений или заключений аудита, включая жалобы или апелляции.

6.4.4. Обмен информацией в ходе аудита

В ходе аудита может потребоваться разработка официальных процедур по обмену информацией внутри аудиторской группы, а также с проверяемой организацией, заказчиком аудита и, возможно, внешними заинтересованными сторонами (например, регулирующими органами), особенно тогда, когда законодательные и нормативные правовые требования предписывают обязательную отчетность о несоответствиях.

Аудиторской группе следует периодически собираться для обмена информацией, оценки хода аудита и, в случае необходимости, перераспределению заданий между членами аудиторской группы.

Во время аудита руководителю аудиторской группы следует периодически информировать о ходе аудита и обо всех возникающих вопросах и значимых обнаружениях проверяемую организацию и заказчика аудита, по обстоятельствам. Свидетельство, полученное во время аудита, относительно предполагаемого непосредственного и существенного риска, должно быть представлено без задержки проверяемой организации и, если необходимо, заказчику аудита. Все, важное, но выходящее за рамки области аудита, следует фиксировать и сообщать руководителю аудиторской группы для возможной передачи заказчику аудита и проверяемой организации.

В случае, когда имеющееся свидетельство аудита указывает на недостижимость целей аудита, аудиторской группы следует сообщить заказчику аудита и проверяемой организации о причинах этого, с тем чтобы определить соответствующее действие. Такое действие может включать изменение плана аудита, изменение целей или области аудита или его прекращение.

Любую необходимость изменений плана аудита, которая становится очевидной в ходе его выполнения, следует анализировать и утверждать должным образом как лицу(ам), осуществляющему(им) управление программой аудита, так и проверяемой организации.

6.4.5. Наличие и доступ к информации по аудиту

Методы, выбранные для аудита, зависят от определенных целей, области и критериев, а также от продолжительности и месте проведения аудита. Место проведения аудита — это место нахождения требуемой для конкретного аудита информации, доступное для аудиторской группы. Сюда могут быть включены физические и виртуальные местоположения.

Где, когда и как получить информацию является важным вопросом для аудита. Это не зависит от того, где создана, используется и/или хранится информация. Методы аудита необходимо определять на основе этих вопросов (см. таблицу А.1). При аудите можно использовать несколько методов. Обстоятельства аудита могут диктовать необходимость изменения методов в процессе аудита.

6.4.6. Анализ документированной информации в ходе проведения аудита

Следует проанализировать относящуюся к аудиту документированную информацию проверяемой организации, чтобы:

• определить соответствие системы критериям аудита в части документирования;
• собрать информацию необходимую для проведения аудита.

Примечание — Руководящие указания по проверке информации приведены в А.5.

Анализ информации может сочетаться с другой аудиторской деятельностью и продолжаться в процессе аудита, при условии, что это не повредит эффективности аудита.

Если документированная информация не могла быть представлена в сроки, установленные в программе аудита, то руководителю группы следует уведомить об этом лицо (лиц), осуществляющее(их) управление программой аудита, и проверяемую организацию. В зависимости от целей и области аудита следует принять решение, продолжать аудит или приостановить процесс до разрешения вопросов, связанных с документированной информацией.

6.4.7. Сбор и проверка информации

Во время аудита информация, относящаяся к целям, области и критериям аудита, включая информацию, касающуюся взаимосвязей между функциями, деятельностью и процессами, должна быть собрана путем соответствующих выборок и проверена.

Примечания
1. Информацию по проверке см. в А.5.
2. Руководящие указания по выборкам см. в А.6.

Только информация, которая может быть проверена в той или иной степени, может быть свидетельством аудита. При низкой степени подтверждения информации аудитору следует использовать профессиональные навыки для определения степени надежности, которая позволит принять информацию в качестве свидетельства аудита. Свидетельства аудита, приводящие к обнаружениям аудита, должны быть записаны. Если при сборе объективного свидетельства аудиторская группа узнает о новых или изменившихся обстоятельствах, или рисках, или возможностях, их следует соответствующим образом учесть.

На рисунке 2 представлен обзор типового процесса от сбора информации до получения заключений по аудиту.

Рисунок 2 — Обзор типового процесса сбора и проверки данных

Методы сбора информации включают, но не ограничиваясь, следующее:

• опросы;
• наблюдения;
• анализ документированной информации.

Примечание 3 — Руководящие указания по выбору источников информации и наблюдению приведено в А.14.
Примечание 4 — Руководящие указания по посещению мест проверяемой организации приведено в А.15.
Примечание 5 — Руководящие указания по проведению опросов интервью приведено в А.17.

6.4.8. Формирование обнаружений аудита

Свидетельство аудита следует оценивать по критериям аудита, чтобы получить обнаружения аудита. Обнаружения аудита могут показать соответствие или несоответствие критериям аудита.

Если указано в плане аудита, отдельные обнаружения аудита следует включить как соответствующие критериям и как часть надлежащей практики вместе с подтверждающим их свидетельством, возможностями улучшения и рекомендациями для проверяемой организации.

Несоответствия и подтверждающее их свидетельство аудита необходимо зафиксировать.

Несоответствия могут классифицироваться в зависимости от среды организации и ее рисков. Эта оценка может быть количественной (например, от 1 до 5) или качественной (например, незначительное, значительное). Их следует проанализировать совместно с проверяемой организацией, чтобы получить подтверждение, что свидетельство аудита является точным и что несоответствия поняты. Следует принять все меры для согласования различающихся мнений в отношении свидетельства аудита или обнаружений аудита, а неразрешенные пункты зарегистрировать в отчете по аудиту.

Аудиторской группе следует провести совещание, необходимое для анализа обнаружений аудита на определенных этапах в ходе аудита.

Примечания
1. Дополнительные руководящие указания по идентификации и оценке обнаружений аудита приведены в А.18.
2. Соответствие или несоответствие критериям аудита, относительно законодательных и договорных требований или иных требований, иногда называют как соблюдение или несоблюдение.

6.4.9. Подготовка заключений по аудиту

6.4.9.1. Подготовка к заключительному заседанию

Аудиторская группа до заключительного заседания должна осуществить следующие мероприятия:

а) рассмотреть обнаружения аудита и другую соответствующую информацию, собранную во время аудита, на соответствие целям аудита;

b) согласовать заключения аудита с учетом неопределенности, присущей процессу аудита;

с) подготовить рекомендации, если это предусмотрено в плане аудита;

d) обсудить последующие действия, если потребуется.

6.4.9.2. Содержание заключений по аудиту

Заключения по аудиту могут охватывать следующие вопросы:

а) степень соответствия критериям аудита и работоспособность системы менеджмента, включая результативность системы менеджмента в достижении запланированных результатов, идентификации рисков и результативности действий, выполненных проверяемой организацией в отношении рисков;

b) результативное внедрение, поддержание и улучшение системы менеджмента;

с) достижение целей аудита, охват области аудита и выполнение критериев аудита;

d) аналогичные выводы, сделанные в различных областях, которые прошли аудит с целью идентификации тенденций.

Если внесено в план аудита, по заключениям аудита можно дать рекомендации по улучшению или по будущей аудиторской деятельности.

6.4.10. Проведение заключительного заседания

Заключительное заседание следует провести, чтобы представить обнаружения и заключения аудита.

Заключительное заседание следует проводить под председательством руководителя аудиторской группы в присутствии руководства проверяемой организации и при участии, по необходимости;

• ответственных за функции или процессы, которые прошли аудит;
• заказчика аудита;
• других членов аудиторской группы;
• других заинтересованных сторон, определенных заказчиком аудита и/или проверяемой организацией.

Если это необходимо, руководителю аудиторской группы следует информировать проверяемую организацию относительно ситуаций, возникших во время аудита, которые могут уменьшить доверие к заключениям аудиту. Если это определено в системе менеджмента или по соглашению с заказчиком аудита, участники должны договориться о временных рамках для представления плана действий по реагированию на обнаружения аудита.

Уровень детализации должен учитывать эффективность системы менеджмента в достижении целей проверяемой организацией, включая рассмотрение ее среды и рисков и возможностей.

На заключительном заседании следует принять во внимание осведомленность проверяемой организации в процессе проведения аудита, чтобы обеспечить надлежащий уровень детализации для участников.

Для некоторых ситуаций заседание может быть официальным, с ведением протокола, регистрацией присутствующих и с сохранением их списка. В других случаях, например при внутренних аудитах, заключительное заседание менее формально и может включать только сообщение об обнаружениях и заключениях аудита.

Если уместно, на заключительном заседании можно пояснить проверяемой организации следующее;

a) что собранное свидетельство аудита было основано на выборке из имеющейся информации и не обязательно является полностью репрезентативным для общей результативности процессов проверяемой организации:

b) способ подготовки отчетности;

c) согласованный процесс обработки обнаружений аудита;

d) возможные последствия неправильной обработки обнаружений аудита;

e) представление обнаружений и заключений аудита таким образом, чтобы это было понятно и принято к сведению руководством проверяемой организации;

f) все виды деятельности после аудита (например, выполнение и анализ корректирующих действий, рассмотрение жалоб, процесс апелляции).

Все мнения, расходящиеся относительно обнаружений и заключений по аудиту, следует обсудить между собой аудиторской группе вместе с проверяемой организацией и. по возможности, прийти к соглашению. В противном случае следует записать эти мнения.

Если это входит в цели аудита, могут быть представлены рекомендации по улучшению. Следует подчеркнуть, что рекомендации не являются обязательными.

6.5.1. Подготовка отчета по аудиту

Руководителю аудиторской группы следует составить отчет о заключениях по аудиту в соответствии с программой аудита. Отчет по аудиту должен содержать полные, точные, сжатые и понятные записи по аудиту и включать или иметь ссылки:

a) цели аудита;

b) область аудита, в частности, идентификацию организации (аудитируемой) и функциональных подразделений или процессов, подлежащих аудиту;

c) идентификация заказчика аудита;

d) идентификация аудиторской группы и участников от проверяемой организации в аудите;

e) даты и места проведения аудита;

f) критерии аудита;

g) обнаружения аудита и соответствующее свидетельство аудита;

h) заключения аудита;

i) заявление о степени соответствия критериям аудита;

j) все неразрешенные спорные вопросы между аудиторской группой и проверенной организацией;

k) то, что аудиты по характеру связаны с выборками; это имеет риск получения и изучения нерепрезентативного свидетельства аудита.

Отчет по аудиту может также включать или давать ссылки на следующее, насколько уместно:

• план аудита, включая график проведения;
• краткое описание процесса аудита, включая все возникшие препятствия, которые могут снизить достоверность заключений аудита;
• подтверждение того, что цели аудита достигнуты в рамках области аудита и в соответствии с планом аудита;
• все неохваченные части в области аудита, включая все факторы наличия свидетельства, ресурсов или конфиденциальности с соответствующими обоснованиями;
• краткое описание заключений аудита и основные обнаружения аудита, подтверждающие эти заключения;
• выявленная положительная практика;
• согласованный план последующих действий, если таковые имеются;
• заявление о конфиденциальном характере содержания отчета;
• любые последствия для программы аудита или последующих аудитов.

6.5.2. Рассылка отчета по аудиту

Отчет по аудиту следует подготовить в согласованные сроки. В случае задержки о причинах задержки следует сообщить проверяемой организации и лицу(ам), осуществляющему(им) управление программой аудита.

Отчет по аудиту следует датировать, проанализировать и утвердить в соответствии с программой аудита.

Отчет по аудиту следует разослать соответствующим заинтересованным сторонам, определенным в программе аудита или планом аудита.

При рассылке отчета необходимо предусмотреть соответствующие меры по обеспечению конфиденциальности.

Аудит считается завершенным, когда все запланированные мероприятия аудита выполнены или достигнуто иное соглашение с заказчиком аудита (например, в случае непредвиденных обстоятельств, которые мешают завершению аудита в соответствии с планом).

Документированную информацию, имеющую отношение к аудиту, следует хранить или уничтожить на основании договоренности между участвующими сторонами в соответствии с программой аудита и действующими требованиями.

Если это не предусмотрено законом, аудиторская группа и лицо(а), осуществляющее(ие) управление программой аудита, не должны раскрывать информацию, полученную во время аудита, или содержание отчетов по аудиту любой другой стороне без прямого разрешения заказчика аудита и, где это требуется, разрешения проверяемой организации. Если потребовалось раскрыть содержание документов аудита, заказчик аудита и проверяемая организация должны быть уведомлены об этом как можно скорее.

Уроки аудита необходимо использовать в процессе идентификации рисков и возможностей для программы аудита и проверяемой организации.

Результаты аудита могут, в зависимости от целей аудита, указывать на необходимость коррекции, корректирующих действий или на возможности улучшения. Такие мероприятия обычно, решаются и предпринимаются проверяемой организацией в согласованные сроки. Как правило, проверяемая организация держит руководителя программы аудита и/или аудиторскую группу в курсе этих действий.

Следует верифицировать завершение и результативность этих действий. Эта верификация может быть частью последующего аудита. Результаты можно сообщить руководителю программы аудита, заказчику аудита для анализа менеджмента.

Доверие к процессу аудита и его способности достигнуть поставленные цели зависят от компетентности тех, кто участвует в планировании и проведении аудитов, включая аудиторов и руководителей аудиторских групп. Компетентность следует оценивать систематически путем учета личных качеств и способности к применению знаний и навыков, полученных при обучении, опыте работы, аудиторской подготовке и опыте работы в качестве аудитора. При этом следует также учитывать требования программы аудита и ее цели. Некоторые знания и навыки, описанные в 7.2.3, являются общими для аудиторов, проверяющих любые системы менеджмента; другие являются специфичными для отдельных дисциплин системы менеджмента. Нет необходимости в том, чтобы каждый аудитор в группе имел одинаковую компетентность; в то же время общая компетентность группы должна быть достаточной для достижения целей аудита.

Оценку компетентности аудитора следует планировать, выполнять и документировать, чтобы обеспечить результат, являющийся объективным, последовательным, честным и надежным. Процесс оценивания должен включать четыре основных этапа, а именно:

a) определить требуемую компетентность для выполнения потребностей программы аудита;

b) установить критерии оценки;

c) выбрать подходящий метод оценки;

d) выполнить оценку.

Результат процесса оценивания следует использовать как основу:

• для отбора членов аудиторской группы (в соответствии с 5.4.4);
• определения потребности в повышении компетентности (например, дополнительное обучение);
• постоянной оценки деятельности аудиторов.

Аудиторам следует развивать, поддерживать и повышать свою компетентность путем постоянного профессионального развития и регулярного участия в аудитах (см. 7.6).

Процесс оценивания аудиторов и руководителей аудиторском группы описан в 7.3, 7.4 и 7.5.

Аудиторы и руководители аудиторской группы должны проходить оценку по критериям, установленным в 7.2.2 и 7.2.3, а также по критериям, указанным в 7.1.

Компетентность, требуемая от руководителя программы аудита, описана в 5.4.2.

7.2.1. Общие положения

При принятии решения о необходимой компетентности для выполнения аудита, знаниях и навыках аудитора следует учитывать:

a) размер, характер и сложность, продукцию, услуги и процессы организации, подлежащей аудиту;

b) методы аудита;

c) аспекты системы менеджмента, подлежащей аудиту;

d) сложность и процессы системы менеджмента, подлежащей аудиту;

e) типы и уровни рисков и возможностей, связанных с системой менеджмента;

f) цели и объем программы аудита;

g) неопределенность в достижении целей аудита;

h) другие требования, такие как предъявляемые заказчиком аудита и другими заинтересованными сторонами, где это уместно.

Эту информацию следует согласовать с данными, приведенными в 7.2.3.

Аудиторам следует обладать необходимыми качествами, позволяющими им действовать в соответствии с принципами аудита, как описано в разделе 4. Аудиторам следует демонстрировать профессиональные качества в процессе аудита.

Желаемые профессиональные качества включают:

a) этичность, т. е. порядочность, правдивость, искренность, честность и рассудительность;

b) открытость ума, т. е. желание прислушиваться к альтернативным идеям или точкам зрения;

c) дипломатичность, т. е. тактичность при работе с людьми;

d) наблюдательность, т. е. активное наблюдение физического окружения и деятельности;

е) проницательность, т. е. знание и способность понимания ситуаций;

f) гибкость, т. е. способность быстро адаптироваться к различным ситуациям;

g) упорство, т. е. настойчивость и стремление к достижению целей;

h) решительность, т. е. способность принимать своевременные решения на основе логических умозаключений и анализа;

i) уверенность в себе, т. е. способность действовать и функционировать независимо, в то же время эффективно взаимодействовать с другими;

j) настойчивость, т. е. способность действовать ответственно и не нарушать этики, даже если такое поведение не всегда будет популярным и иногда может привести к разногласиям и конфронтации;

k) готовность к совершенствованию, т. е. желание учиться в разных ситуациях;

l) восприимчивость к культуре, т. е. внимание и уважение культуре проверяемой организации;

m) контактность, т. е. умение эффективно взаимодействовать с другими, включая членов аудиторской группы и персонал проверяемой организации.

7.2.3.1. Общие положения

Аудиторы должны обладать:

a) знаниями и навыками, необходимыми для достижения намеченных результатов аудитов, в которых им придется участвовать;

Ь) общей компетентностью, а также определенным уровнем знаний и навыков, в конкретных отраслях экономической деятельности и дисциплинах систем менеджмента.

Руководителям аудиторских групп следует иметь дополнительные знания, необходимые для обеспечения руководства группой.

7.2.3.2. Общие знания и навыки аудиторов по системам менеджмента

Аудиторам следует обладать знаниями и навыками в областях, указанных ниже.

а) Принципы проведения аудита, процедуры и методы: знания и навыки в этой области позволяют аудитору гарантировать, что аудиты проводятся последовательно и методично.

Аудитору следует уметь следующее:

• понимать типы рисков и возможностей, связанных с аудитом и принципы подхода на основе оценки рисков для аудита;
• эффективно планировать и организовывать работу;
• проводить аудит в рамках согласованного графика;
• отдавать приоритет более важным вопросам и сосредоточиваться на них;
• эффективно, в устной и письменной формах обмениваться информацией (лично или через переводчика);
• собирать информацию посредством эффективного опроса, слушания, наблюдения и анализа документов, записей и данных;
• понимать уместность и последствия использования техники выборки для аудита;
• понимать и учитывать мнение технических экспертов;
• проводить аудит от начала и до конца, включая взаимодействия с другими процессами и различными функциями, в зависимости от обстоятельств;
• проверять соответствие и точность собранной информации;
• подтверждать достаточность и приемлемость свидетельства аудита, чтобы подтвердить обнаружения и заключения аудита;
• оценивать те факторы, которые могут влиять на достоверность обнаружений и заключений аудита;
• документировать деятельность и обнаружения аудита и подготавливать соответствующие отчеты по аудиту;
• сохранять конфиденциальность и защиту информации.

b) Стандарты на системы менеджмента и другие ссылочные документы: знания и навыки в этой области позволяют аудитору разобраться в области аудита и применять его критерии, а также охватить следующее:

• стандарты на системы менеджмента или другие нормативные документы или руководящие указания, используемые для разработки критериев или методов аудита;
• применение стандартов на системы менеджмента проверяемой организацией и другими организациями;
• взаимосвязь и взаимодействие между процессами системы менеджмента;
• понимание важности и приоритета нескольких стандартов или ссылочных документов;
• применение стандартов или ссылочных документов в различных ситуациях аудита.

c) Организация и ее среда: знания и навыки в этой области, позволяют аудитору понимать структуру аудитируемой организации, ее цели и практические методы менеджмента, а также охватить следующее:

• потребности и ожидания соответствующих заинтересованных сторон, оказывающих влияние на систему менеджмента;
• тип организации, методы руководства, размер, структуру, функциональные подразделения, а также взаимоотношения;
• общие концепции бизнеса и управления, процессы и соответствующую терминологию, включая планирование, бюджет и управление персоналом;
• культурные и социальные аспекты проверяемой организации.

d) Применяемые законодательные и нормативно-правовые требования, а также другие требования: знания и навыки в этой области позволяют аудитору знать и работать с учетом требований организации. Знания и навыки, касающиеся юрисдикции или деятельности проверяемой организации, ее процессов, продукции и услуг, должны охватывать:

• законодательные и нормативно-правовые требования и устанавливающие их органы;
• основную официальную терминологию;
• заключение договоров и ответственность.

Примечание — Знание законодательных и нормативных правовых требований не подразумевает юридической экспертизы, а аудит системы менеджмента не следует считать аудитом соблюдения законодательных требований.

7.2.3.3. Компетентность аудиторов в конкретном секторе или по конкретным дисциплинам

Командам аудита следует обладать совокупной компетентностью е области систем менеджмента и отраслей экономической деятельности, подходящей для проведения аудита конкретных видов систем менеджмента и отраслей экономической деятельности.

Знания и навыки аудиторов по определенным дисциплинам или в определенной отрасли включают следующее:

a) требования и принципы системы менеджмента, и их применение;

b) основные принципы дисциплин(ы) и сектора(ов), установленные стандартами на системы менеджмента, применяемыми проверяемой стороной;

c) применение методов, техники, процессов и практики связанных с определенной дисциплиной или сектором, позволяющих аудиторской группе оценить соответствие в рамках определенной области аудита и получить соответствующие обнаружения и заключения аудита;

d) принципы, методы и техника менеджмента рисков, касающиеся определенных дисциплин и сектора, так чтобы аудитор мог определить и оценить риск и возможности, связанными с целями аудита.

Для того чтобы обеспечить результативность и эффективное проведение аудита, руководителю аудиторской группы следует иметь компетентность:

a) в планировании аудита и постановка задач согласно конкретной компетентности отдельных членов аудиторской группы;

b) обсуждении стратегических вопросов с высшим руководством проверяемой организации, чтобы определить рассматривались ли эти вопросы при оценивании их рисков и возможностей;

c) разработке и поддержании контактов между членами аудиторской группы с целью сотрудничества:

d) управлении процессом аудита, включая:

• эффективное использование ресурсов в процессе аудита;
• управление неопределенностью достижения целей аудита;
• охрану здоровья и безопасность членов аудиторской группы в ходе аудита, включая обеспечение соблюдения аудиторами соответствующих требований к охране здоровья, безопасности и защите;
• направление деятельности членов аудиторской группы;
• указание направлений работы и предоставление руководящих указаний аудиторам-стажерам;
• предотвращение и разрешение конфликтов и проблем, которые могут возникнуть в процессе аудита, включая конфликты внутри аудиторской группы, по мере необходимости;

e) представлении аудиторской группы при обмене информацией с лицом(ами), осуществляющим(ими) управление программы аудита, заказчиком аудита и проверяемой организацией;

f) руководстве группой при подготовке заключений аудита;

g) подготовке и оформлении отчета по аудиту.

7.2.3.5. Знания и навыки для проведения аудита нескольких разных систем менеджмента

При проведении аудитов систем менеджмента нескольких дисциплин, члену группы аудита следует обладать пониманием взаимодействий и синергии между разными системами менеджмента.

Руководителям аудиторских групп следует понимать требования каждого из стандартов на систему менеджмента и осознавать границы своих знаний и навыков в каждой из дисциплин.

Примечание — Аудиты по нескольким дисциплинам систем менеджмента, проводимые одновременно, могут представлять собой комбинированный аудит или аудит интегрированной системы менеджмента, охватывающей несколько дисциплин.

7.2.4. Достижение компетентности аудитора

Компетентность аудитора можно приобрести, используя сочетание следующих способов:

a) освоение обучающих программ, которые охватывают общие знания и навыки аудитора;

b) приобретение опыта на соответствующей технической, управленческой или профессиональной должности, включая опыт суждения, принятия решений, решения проблем и обмена информацией с руководителями, специалистами, коллегами, заказчиками и другими заинтересованными сторонами;

c) образование/подготовка и опыт в конкретной дисциплине и секторе системы менеджмента, которые вносят вклад в развитие общей компетентности;

d) приобретение опыта аудита под наблюдением аудитора компетентного по той же дисциплине.

Примечание — Успешное окончание курса подготовки будет зависеть от типа курса. Для курсов с экзаменами это может означать успешную сдачу экзаменов. Для других курсов — участие и прохождение программы курса.

7.2.5. Компетентность руководителя аудиторских групп

Руководителю аудиторской группы следует приобрести дополнительный опыт для расширения компетентности, приведенной в 7.2.3.4. Этот дополнительный опыт следует приобрести, работая под руководством и на основе руководящих указаний другого руководителя команды аудита.

Критерии должны быть качественными (например, такими, которые демонстрируют личные качества, знания или эффективность навыков при обучении или на рабочем месте) и количественными (такими, как стаж работы и образование, количество проведенных аудитов, часов подготовки по аудиту).

Оценивание следует проводить, используя два или более методов, выбранных по таблице 2. При использовании таблицы 2, необходимо отметить следующее:

a) указанные методы представляют спектр вариантов и могут не подходить к любой ситуации;

b) различные методы могут отличаться друг от друга надежностью;

c) следует использовать сочетание методов, чтобы обеспечить объективный, последовательный, беспристрастный и надежный результат.

Таблица 2 — Методы оценивания аудиторов

Информацию, собранную о данном аудиторе, следует сопоставить с критериями, указанными в 7.2.3. Если оцениваемый аудитор, участие которого предполагается в программе аудита не соответствует этим критериям, то ему следует пройти дополнительную подготовку, обучение, поработать и приобрести дополнительный опыт по аудиту и снова пройти оценивание.

Аудиторам и руководителям групп по аудиту следует постоянно повышать свою компетентность.

Аудиторам следует поддерживать свою компетентность в области аудита посредством регулярного участия в аудитах систем менеджмента и непрерывного профессионального развития. Это может быть достигнуто посредством дополнительного опыта работы, обучения, самообразования, наставничества, посещения совещаний, участия в семинарах и конференциях или другой деятельности.

Лицу(ам), осуществляющему(им) управление программой аудита, следует создать необходимый механизм постоянного оценивания результатов деятельности аудиторов и руководителей аудиторских групп.

Для постоянного профессионального развития следует учитывать:

a) изменения потребностей отдельных лиц и организации, ответственной за проведение аудита;

b) развитие практики аудита, включая применение соответствующих технологий;

c) соответствующие стандарты, включая руководящие/подтверждающие документы и другие требования;

d) изменения в отрасли или направлениях системы менеджмента.

Дополнительные руководящие указания для аудиторов по планированию и проведению аудита

Аудит можно проездить с использованием ряда методов аудита. В данном приложении можно найти объяснение наиболее часто применяемых методов аудита. Методы, выбранные для аудита, зависят от определенных целей, области и критериев аудита, а также его продолжительности и места проведения. Также следует учитывать компетентность аудитора и неопределенность, возникающую в результате применения методов аудита. Применение различных методов аудита и их комбинаций могут оптимизировать эффективность и результативность процесса аудита и его результатов.

Проведение аудита включает взаимодействие лиц с проверяемой системой менеджмента и технологию, используемую для осуществления аудита. В таблице А.1 показаны примеры методов аудита, которые можно использовать, по отдельности или в сочетании, чтобы достичь целей аудита. Если аудит включает использование аудиторской группы, состоящей из нескольких человек, то можно одновременно использовать дистанционные методы и методы, применяемые на месте.

Примечание — Дополнительную информацию по выездам на место см. в А.15.

Ответственность за эффективное применение методов аудита в отношении любого аудита на стадии планирования ложится либо на лицо(лиц), осуществляющее(их) управление программой аудита, либо на руководителя аудиторской группы. Руководитель группы несет ответственность за проведение собственно аудита.

Осуществимость удаленного аудита может зависеть от нескольких факторов (например, от уровня риска в достижении целей аудита, от уровня доверия между аудитором и персоналом проверяемой организации и от нормативных правовых требований).

На уровне программы аудита следует обеспечить применимость и сбалансированность методов дистанционного аудита и методов аудита на месте, чтобы гарантировать удовлетворительное достижение целей программы аудита.

Применение «процессного подхода» является требованием для всех стандартов ИCO на системы менеджмента в соответствии с Директивами ИСО/МЭК Директивы, часть 1, приложение SL. Аудиторам следует понимать, что проведение аудита системы менеджмента является проведением аудита процессов организации и их взаимодействия по одному или более стандартам на системы менеджмента. Согласованные и предсказуемые результаты достигаются более эффективно и результативно, когда деятельность понятна и управляется как взаимосвязанные процессы, функционирующие как связанная система.

А.З. Профессиональное суждение

В ходе процесса аудита аудиторам следует использовать профессиональное суждение (умение правильно разбираться) и избегать концентрации на конкретных требованиях каждого раздела стандарта в достижении предполагаемого результата системы менеджмента. Некоторые разделы стандарта ISO на системы менеджмента нелегко применить к аудиту способом сравнения набора критериев с содержанием процедуры или рабочей инструкции. В таких ситуациях аудиторам следует использовать свое профессиональное суждение для определения, удовлетворены ли требование такого раздела в целом.

А.4. Достижение результатов

Аудиторам следует сфокусироваться на предполагаемом результате системы менеджмента на всем протяжении процесса аудита. Несмотря на то, что сами процессы и то, что они достигнуты важны результаты системы менеджмента и ее выполнение являются тем, что имеет значение. Также важно учесть уровень интеграции различных систем менеджмента и их предполагаемые результаты.

Отсутствие процесса или документации может иметь значение для организаций с высоким риском или сложной организации, но не имеет значение в других организациях.

По мере целесообразности, аудиторам следует рассмотреть, дает ли информация достаточно объективное свидетельство, чтобы продемонстрировать соблюдение требований, и является ли:

a) полной (все ожидаемое содержание включено в документированную информацию);

b) правильной (содержание соответствует другим заслуживающим внимание источникам, таких как стандарты и регламенты);

c) последовательной (документированная информация последовательна сама по себе и согласована с другими документами в данной области);

d) современной (содержание актуально).

Также следует рассмотреть, обеспечивает ли проверяемая информация эффективное объективное свидетельство, позволяющее продемонстрировать соответствие требованиям.

Если информация представлена в виде, отличном от ожидаемого (например, другими сотрудниками, на других носителях), следует оценить надежность свидетельства.

Особое внимание необходимо уделить защите информации в соответствии с применяемыми регламентами о защите данных (в частности, для информации, которая находится вне области аудита, но также содержится в документе).

А.6.1. Общие положения

Аудиторская выборка происходит в том случае, когда непрактично или экономически нецелесообразно изучать всю имеющуюся информацию во время аудита, например записи слишком многочисленны или слишком разбросаны географически, чтобы оправдать проверку каждой единицы из всей совокупности. Аудиторская выборка большой совокупности является процессом выбора менее чем 100 % единиц из общего имеющегося набора данных (совокупности), чтобы получить и оценить свидетельство о какой-либо характеристике этой совокупности с целью сформулировать заключение в отношении всей совокупности.

Цель аудиторской выборки заключается в предоставлении аудитору информации, которой будет достаточно, чтобы убедить его в возможности достижения целей аудита.

Риск, связанный с аудиторской выборкой, заключается в том, что выборки могут быть не представленными для совокупности, из которой они выбраны и, таким образом, заключение аудитора может быть тенденциозным и отличным от заключения, которое он мог бы сделать после изучения всей совокупности. Могут возникать другие риски в зависимости от изменчивости в пределах совокупности, из которой делают выборку, и выбранного метода.

Аудиторская выборка обычно включает следующие шаги:

а) постановку целей для выборки;

b) выбор объема и состава совокупности, из которой делают выборку;

c) выбор метода выборки;

d) определение объема выборки;

e) осуществление аудиторской выборки;

f) сбор, оценка, составление отчетов и документирование результатов.

В ходе выборки следует уделять внимание качеству имеющихся данных, поскольку выборка недостаточных и неточных данных не дает обеспечить полезный результат. Отбор соответствующей выборки следует проводить на основе методов выборки и типа требуемых данных, например, чтобы сделать вывод о конкретной модели поведения или вывести заключение по совокупности.

В отчете о сделанной выборке можно учесть объем выборки, метод отбора и оценки, сделанные на основе выборки, а также уровень доверия к выборке.

Для аудита можно использовать либо выборку, основанную на умении правильно разбираться (см. А.6.2) либо статистическую выборку (см. А.6.3).

А.6.2. Выборка на основе суждений

Выборка на основе суждений (профессионального мнения) опирается на компетентность и опыт аудиторской группы (см. раздел 7).

Для выборки на этой основе можно рассмотреть следующее:

a) опыт предшествующего аудита в рамках области аудита;

b) сложность требований (включая законодательные и нормативные правовые требования) для достижения целей аудита;

c) сложность и взаимодействие процессов организации и элементов системы менеджмента;

d) степень изменения технологии, человеческого фактора или системы менеджмента;

e) предварительно идентифицированные основные области рисков и возможностей для улучшения;

f) результат мониторинга систем менеджмента.

Недостатком выборки на основе суждения правильно разбираться является невозможность выполнить статистическую оценку эффекта неопределенности в обнаружениях аудита и сделанных заключений.

Если принято решение об исполъзовании статистической выборки, то план выборки следует основывать на целях аудита и того, что известно о характеристиках всей совокупности, из которой берется выборка.

Для составления плана статистической выборки используется процесс проведения выборки на основе теории вероятности. Выборка на основе характерного признака используется в том случае, когда существует только два возможных результата для каждой выборки (например, верно/неверно или принимается/не принимается). Выборка на основе переменной используется в том случае, когда выборка производится в непрерывном диапазоне значений.

В плане выборки следует учитывать, будут ли полученные выборки изучаться на основе признака или на основе переменной. Например, при оценке соответствия готовых форм требованиям, установленным процедурой, можно использовать метод на основе признака. При изучении встречающихся случаев, касающихся безопасности пищевых продуктов или ряда нарушений безопасности, более подходящим будет метод на основе переменной.

Элементы, которые могут влиять на план выборки аудита, следующие:

a) среда, размер характер и сложность организации;

b) число компетентных аудиторов;

c) частота проведения аудитов;

d) продолжительность отдельного аудита;

e) любой требуемый извне доверительный уровень;

f) возникновение нежелательных и/или неожиданных событий.

При разработке плана статистической выборки уровень риска при выборке, который аудитор хотел бы принять, является важным вопросом. Этот уровень часто называют приемлемым доверительным уровнем. Например, риск выборки, равный 5 %, соответствует приемлемому доверительному уровню 95 %. Риск выборки, равный 5 %, означает, что аудитор желает принять риск того, что 5 из 100 (или 1 из 20) проверяемых элементов не будут отражать реальных значений, которые были бы найдены при проверке всей совокупности в целом.

Если используется статистическая выборка, аудиторам следует соответствующим образом документировать проделанную работу. Сюда может входить описание совокупности, из которой предполагается сделать выборку, критерии выборки, используемые для оценки (например, того, что является приемлемой выборкой), статистические параметры и методы, которые были использованы, количество оцененных элементов выборки и полученные результаты.

А.7. Аудит соблюдения требований в рамках системы менеджмента

Аудиторская группа должна рассмотреть, насколько эффективны в проверяемой организации процессы:

а) идентификации законодательных и нормативных правовых требований, и других требований, которые необходимо выполнять;

b) управление деятельностью, продукцией и услугами для достижения выполнения этих требований;

c) оценивание своего статуса выполнения этих требований.

В дополнение к общим руководящим указаниям, приведенным в данном стандарте, при оценивании процессов, выполняемых проверяемой организацией для обеспечения соответствия установленным требованиям, аудиторской группе следует учесть в отношении проверяемой организации:

1) наличие у нее эффективного процесса идентификации изменений в соблюдении требований и рассмотрения их как части управления изменениями;

2) наличие у нее компетентных сотрудников для управления процессами соответствия;

3) ведение и предоставление организацией соответствующей документированной информации о статусе соответствия, согласно требованиям регулирующих органов или иных заинтересованных сторон;

4) включение требований к соответствию в свою программу внутреннего аудита;

5) принятие мер а отношении ряда примеров несоответствия;

6) рассмотрение результатов деятельности по соблюдению требований в анализе со стороны руководства.

А.8. Аудит среды организации

Многие стандарты на системы менеджмента требуют, чтобы организация определила свою среду, включая потребности и ожидания соответствующих заинтересованных сторон и внешние и внутренние факторы. Для этого организация может использовать различные способы стратегического анализа и планирования.

Аудиторам следует подтвердить, что подходящие процессы разработаны и они для этого используются эффективно, так чтобы их результаты обеспечили надежную основу для определения области применения и разработки системы менеджмента. Для этого аудиторам следует рассмотреть объективное свидетельство, касающееся следующего:

a) используемого процесса(ов) или метода(ов);

b) пригодности и компетентности сотрудников, занятых а процессе (процессах);

c) результатов процесса(ов);

d) применения результатов к определению области и развитию системы менеджмента;

e) периодического анализа среды организации, если уместно.

Аудиторы должны обладать конкретными знаниями в определенной области и пониманием инструментов управления, которые могут использоваться организацией, чтобы оценить результативность процессов, используемых для определения среды организации.

А.9. Аудит руководства и выполнение обязательств

Многие стандарты на системы менеджмента расширили требования к высшему руководству.

Эти требования включают демонстрацию руководством обязательств и руководящей роли в связи с взятием на себя ответственности за эффективность системы менеджмента и за выполнение ряда обязательств. Сюда входят задачи, которые высшее руководство должно решать само или передать для решения другим сотрудникам то, что может быть передано.

Аудиторам следует получить объективное свидетельство о той степени, в какой вовлекается высшее руководство в принятие решений относительно системы менеджмента и о том, как оно демонстрирует выполнение обязательства по обеспечению результативности системы менеджмента. Это может быть достигнуто анализом результатов от соответствующих процессов (например, политики, цепей, имеющихся ресурсов, обмена информацией, связями с высшим руководством), посредством опроса штатных сотрудников, чтобы определить степень вовлечения высшего руководства.

Аудиторам следует также стремиться опросить высшее руководство, чтобы подтвердить его адекватное понимание вопросов, связанных с определенной дисциплиной, относящейся к системе менеджмента, вместе со средой, их организации, так чтобы они смогли получить предполагаемые результаты от системы менеджмента организации.

Аудиторам следует не только сосредоточиться на руководстве на уровне высшего руководства, но также проверить руководство и выполнение им обязательств на других уровнях, насколько это уместно.

А.10. Аудит рисков и возможностей

Определение и управление рисками и возможностями организации может быть включено, как часть задания конкретного аудита. Основные цели для такого задания аудита заключаются:

• в гарантировании достоверности процесса (процессов) идентификации рисков и возможностей;
• обеспечении правильного определения и управления рисками и возможностями;
• анализе работы организации с определенными рисками и возможностями.

Аудит подхода организации к определению рисков и возможностей не следует проводить как самостоятельное направление. Следует осуществлять такую деятельность во время аудита системы менеджмента, включая момент опроса высшего руководства. Аудитору следует действовать в соответствии со следующими этапами и собирать объективное свидетельство следующим образом:

а) входы, используемые организацией, для определения своих рисков и возможностей, включая:

• анализ внешних и внутренних факторов;
• стратегическое направление организации;
• заинтересованные стороны, связанные с системой менеджмента по конкретной дисциплине, и их требования;
• потенциальные источники риска, например, экологические аспекты и угрозы безопасности и т.д.

Ь) метод оценивания рисков и возможностей, которые могут различаться по дисциплинам и секторам.

Подход организации к своим рискам и возможностям, включая уровень риска, который она желает принять, и способы контроля рисков, потребует применения профессиональной оценки аудитора.

А.11. Жизненный цикл

Некоторые конкретные системы менеджмента требуют применения жизненного цикла, перспективного для продукции и услуг организации. Аудитору следует рассмотреть это как требование принять подход на основе жизненного цикла. Перспектива жизненного цикла включает рассмотрение контроля и влияния, оказываемого организацией на разных этапах жизненного цикла их продукции и услуг. Этапы жизненного цикла включают приобретение сырья, проектирование, производство, транспортирование/поставку, использование, окончание срока эксплуатации и утилизация отходов. Такой подход способствует определению организацией тех областей, где при рассмотрении области применения, она может минимизировать свое воздействие на окружающую среду, обеспечивая одновременно дополнительную привлекательность организации. Аудитору следует использовать свою профессиональную оценку в отношении способа применения организацией перспективы жизненного цикла с точки зрения ее стратегии и следующего.

a) срок службы продукции или услуги;

b) влияние организации на цепь снабжения;

c) длина цепи снабжения;

d) технологическая сложность продукции.

Если в организации объединено несколько систем менеджмента в одну систему для удовлетворения потребностей организации, аудитору следует внимательно следить за всеми перекрытиями, касающимися жизненного цикла.

А.12. Аудит цепи снабжения

Может потребоваться аудит цели снабжения на соответствие определенным требованиям. Следует разработать программу аудита поставщиков с соответствующими критериями аудита для данного типа поставщика и внешних провайдеров. Область аудита цепи снабжения может отличаться, например для полного аудита системы менеджмента, аудита отдельного процесса, аудита продукции, аудита конфигурации.

При подготовке рабочих документов аудита аудиторской группе следует рассмотреть указанные ниже вопросы для каждого документа:

a) какая запись по аудиту будет создана с использованием данного рабочего документа;

b) какие действия по аудиту связаны с данным конкретным рабочим документом;

c) кто является пользователем данного рабочего документа;

d) какая информация необходима для подготовки данного рабочего документа.

Для комплексных аудитов рабочие документы следует разрабатывать, чтобы избежать дублирования действий по аудиту посредством:

• группирования аналогичных требований из различных критериев;
• координации содержания соответствующих контрольных листов и анкет.

Рабочие документы по аудиту следует составлять так, чтобы учесть все элементы системы менеджмента в рамках области аудита, и чтобы их можно было представлять на любом носителе.

Выбранные источники информации могут быть разными в зависимости от области и сложности аудита и могут включать следующее:

a) опросы сотрудников и других лиц;

b) наблюдения за деятельностью, окружающей производственной средой и рабочими условиями;

c) документированную информацию, такую как политики цели, планы, процедуры, стандарты, инструкции, лицензии и разрешения, технические требования, чертежи, контракты и заказы;

d) записи, такие как записи о проведенных инспекциях, протоколы заседаний, отчеты по аудитам, записи программы мониторинга и результаты измерений;

e) сводки данных, анализы данных и показатели результатов деятельности;

f) информацию о планах выборки проверяемой организации и о любых процедурах для осуществления управления процессами выборки и измерений;

g) отчеты из других источников, например, информация от потребителей, обзоры, поступающие от внешних организаций и результаты измерений, полученные внешними организациями, другая соответствующая информация от внешних сторон и рейтинги внешних поставщиков;

h) базы данных и сайты;

i) имитацию и моделирование.

Чтобы свести х минимуму взаимовлияние деятельности по аудиту и рабочих процессов проверяемой организации и обеспечить охрану здоровья и безопасность аудиторской группы во время посещения, следует рассмотреть следующее:

a) планирование посещения;

• обеспечить разрешение и доступ к тем частям проверяемой организации, которые необходимо посетить в соответствии с областью аудита;
• представить соответствующую информацию для аудиторов по технике безопасности, охране здоровья (например, карантин), профессиональной гигиене и производственной безопасности, культурным нормам и рабочим часам для посещения, включая требуемую и рекомендуемую вакцинацию и допуски, если используются;
• подтвердить у проверяемой организации наличие необходимых средств индивидуальной защиты (РРЕ) для аудиторской группы, если они необходимы;
• подтвердить договоренности с проверяемой организацией в отношении использования мобильных средств связи, камер, включая запись информации, например фотографий площадок и оборудования, скриншоты или фотокопии документов, видеозаписи деятельности или интервью с учетом безопасности и конфиденциальности;
• за исключением специальных незапланированных аудитов, обеспечить информирование посещаемых работников о целях и области аудита;

b) деятельность на месте:

• избегать ненужного вмешательства в рабочие процессы;
• обеспечить надлежащее использование аудиторской группой средств индивидуальной защиты (РРЕ);
• сообщить членам группы о действиях в чрезвычайных ситуациях (например, об аварийных выходах, пунктах сбора);
• спрограммировать обмен информацией во избежание дезорганизации;
• подобрать размер аудиторской группы и количество сопровождающих лиц и наблюдателей согласно области аудита, чтобы избежать вмешательства в рабочие процессы, по мере возможности;
• не трогать и не включать никакое оборудование без специального разрешения, несмотря на компетентность и лицензию;
• в случае инцидентов во время посещения руководителю аудиторской группы следует проанализировать ситуацию с проверяемой организацией и, в случае необходимости, с заказчиком аудита, и достичь соглашения в отношении прерывания, пересмотра графика или продолжения аудита;
• при копировании документов любого типа на любом носителе спрашивать разрешение, заранее и учитывать проблемы безопасности и конфиденциальности;
• делая записи, избегать сбора личной информации, если этого не требуют цели или критерии аудита;

c) деятельность по виртуальному аудиту:

• обеспечить использование аудиторской группой согласованного удаленного доступа к протоколам, включая требуемые устройства, программное обеспечение и т.д.;
• при снятии копий скриншотов с документов любого типа спрашивать разрешение заранее и учитывать проблемы безопасности и конфиденциальности и избегать записи персональных данных лиц без их разрешения;
• в случае инцидентов при удаленном доступе руководителю аудиторской группы следует проанализировать ситуацию с проверяемой организацией и, в случае необходимости, с заказчиком аудита, и достичь соглашения в отношении прерывания, пересмотра графика или продолжения аудита;
• использовать поэтажные планы удаленного места а качестве ссылочных документов;
• во время перерывов в аудите сохранять конфиденциальность данных.

Требуется рассмотреть вопрос о хранении информации и свидетельства аудита независимо от типа носителя, позже, как только отпадет необходимость в их использовании.

Аудиты виртуальной деятельности проводят, когда организация выполняет работы или предоставляет услуги, используя онлайн-среду, позволяющую лицам, независимо от физического местонахождения, вести процессы (например, компания интернет, «компьютерное облако»). Аудит виртуального местонахождения иногда называют виртуальным аудитом. Дистанционный аудит использует технологию сбора данных, интервью проверяемой организации и т.д., когда методы опроса при личной встрече («лицом к лицу») невозможны или нежелательны.

Виртуальный аудит применяет правила стандартного процесса аудита, используя технологию поверки объективного свидетельства. Проверяемой организации и аудиторской группе следует обеспечить требования к подходящей технологии виртуального аудита, которая может включать:

• гарантию использования аудиторской группой согласованных протоколов дистанционного доступа, включая требуемое оборудование, программное обеспечение и т.д.;
• проведение технических проверок перед аудитом для решения технических вопросов;
• обеспечение составления плана и его передачу в случае непредвиденных обстоятельств (например, прерывание доступа, использование альтернативной технологии), включая положение о дополнительном времени аудита а случае возникновения необходимости.

В компетентного аудитора следует включить:

• технические навыки использования соответствующего электронного оборудования и другой технологии в ходе аудита;
• опыт проведения виртуальных заседаний для проведения дистанционного аудита.

При проведении и открытии заседания или проведении виртуального аудита аудитору следует рассмотреть следующие вопросы:

• риски, связанные с виртуальным и дистанционным аудитом;
• использование поэтажных планов и схем удаленных мест, а качестве ссылки или отображения электронных данных;
• содействие в предотвращении прерываний и приостановок за счет помех;
• заблаговременный запрос разрешения на скриншоты документов или любых видов затеей с учетом конфиденциальности и защиты информации;
• обеспечение конфиденциальности и защиты информации в перерывах в процессе аудита, например при отключении микрофонов, постановке камер на паузу.

Опросы являются одним из важнейших средств сбора информации и их следует осуществлять так, чтобы это было привязано к ситуации и конкретному опрашиваемому работнику, либо при личном общении, либо с помощью средств связи. В то же время, аудитор должен учитывать приведенное ниже:

a) опросы следует проводить среди персонала соответствующего уровня и соответствующих должностей, выполняющих работу или задачи в рамках области аудита;

b) опросы обычно следует проводить в обычное рабочее время и, если целесообразно, на обычном рабочем месте опрашиваемого работника;

c) следует создать непринужденную обстановку для опрашиваемого лица до и во время опроса;

d) опрашиваемым следует объяснить причины для проведения опроса и составления заметок;

e) опросы можно начать с просьбы опрашиваемого лица описать свою работу;

f) следует тщательно подбирать тип вопросов (например, открытый опрос, закрытый опрос, наводящие вопросы, метод позитивной оценки ситуации);

g) осознание ограниченности невербального общения в виртуальной среде; следует сосредоточиться на типе вопросов, чтобы использовать при поиске объективного свидетельства;

h) результаты опросов следует суммировать и анализировать вместе с опрашиваемым лицом;

i) следует поблагодарить опрашиваемый персонал за участие и сотрудничество.

А.18.1. Определение обнаружений аудита

При определении обнаружений аудита необходимо учитывать:

a) работу по итогам записей и заключений предшествующих аудитов;

b) требования заказчика аудита;

c) точность, существенность и правомерность объективного свидетельства для подтверждения обнаружений аудита;

d) степень, в которой запланированная аудиторская деятельность реализуется и достигаются запланированные результаты;

е) обнаружения, выходящие за пределами обычной практики, или возможности для улучшения;

f) объем выборки;

g) распределение обнаружений аудита по категориям (если имеются).

А.18.2. Записи о соответствии

Для записей о соответствии необходимо учесть следующее:

a) описание критериев аудита, по которым показано соответствие, или ссылку на них;

b) свидетельство аудита в подтверждение соответствия и результативности, если уместно;

c) декларацию о соответствии, если применяется.

А.18.3. Записи о несоответствии

Для записей о несоответствии необходимо учесть следующее:

a) описание критериев аудита или ссылку на них;

b) свидетельство аудита;

c) декларацию о несоответствии;

d) соответствующие обнаружения аудита, если применимо.

А.18.4. Работа с обнаружениями аудита, связанными с набором критериев

В процессе аудита возможно сделать обнаружения, связанные с набором критериев. Там, где аудитор делает обнаружение по одному критерию в комплексном аудите, ему следует учитывать возможное воздействие на соответственные или аналогичные критерии других систем менеджмента.

В зависимости от договоренностей с заказчиком аудита аудитор может сделать:

а) либо отдельные обнаружения по каждому критерию; либо

b) одно обнаружение, объединяющее ссылки на множественные критерии.

В зависимости от договоренностей с заказчиком аудита, аудитор может указать проверяемой организации, как реагировать на обнаружения аудита.

ВЕРНУТЬСЯ К ПЕРЕЧНЮ ДОКУМЕНТОВ ❯

Часть третья. РУКОВОДСТВО ПО ПРОВЕДЕНИЮ ЭКСПЕРТИЗЫ ЗАЯВОК НА ИЗОБРЕТЕНИЯ ПО СУЩЕСТВУ

Оглавление части третьей

1. Общие положения

Настоящее Руководство по проведению экспертизы заявок на изобретения по существу (далее – Руководство) является третьей частью Руководства по экспертизе заявок на изобретения.

Руководство посвящено рассмотрению вопросов, связанных с проведением экспертизы по существу, преимущественно с проверкой требований, предъявляемых к формуле изобретения, и проверкой патентоспособности изобретений.

Руководство разработано в целях обеспечения единообразной практики применения Кодекса и Регламента ИЗ при проведении экспертизы по существу.

Основные этапы экспертизы по существу состоят в анализе описания изобретения, в проверке соблюдения требований, предъявляемых к формуле изобретения, в проверке принципиальной патентоспособности изобретения, в проведении информационного поиска и подготовке отчета о нем, в проверке промышленной применимости изобретения, новизны, изобретательского уровня. Эти этапы экспертизы по существу осуществляются после завершения формальной экспертизы с положительным результатом.

Вместе с тем приведенная последовательность этапов не является алгоритмом проведения экспертизы по существу. Не следует рассматривать в качестве алгоритма и последовательность разделов, представленную в оглавлении к Руководству. Настоящее Руководство не содержит рекомендаций, касающихся алгоритма. Он не установлен ни Кодексом, ни Регламентом ИЗ. Это объясняется тем, что решение вопроса о выборе алгоритма не может быть однозначным, так как оно во многом зависит от качества оформления заявки на изобретение, от того, выявлены ли в результате первичного анализа описания и формулы изобретения препятствия для проведения экспертизы по существу, и если выявлены, то какой характер имеют эти препятствия.

Общепринятый подход состоит в том, что  экспертиза по существу начинается с тщательного анализа описания и формулы изобретения в целях уяснения решаемой задачи, технического результата (результатов) и сущности заявленного изобретения. При проведении этого анализа эксперт должен принимать во внимание весь комплекс требований, предъявляемых к формуле изобретения (подпункты (1)–(7) пункта 24.4 Регламента ИЗ, раздел 2 настоящего Руководства), и требований, связанных с проверкой принципиальной патентоспособности заявленного изобретения (пункты 1, 5 статьи 1350 Кодекса, пункт 24.5 Регламента ИЗ, раздел 3 настоящего Руководства).

Если на данном этапе не выявлены препятствия для дальнейшего проведения экспертизы по существу, т. е. основания для запроса, и получен положительный вывод по результатам проверки принципиальной патентоспособности, далее проводится информационный поиск и подготавливается отчет о нем. При проведении информационного поиска и подготовке отчета о нем принимаются во внимание положения раздела 26 Регламента ИЗ и второй части Руководства по экспертизе заявок на изобретения. Следует иметь ввиду, что если формула изобретения наряду с совокупностью признаков, характеризующей изобретение, содержит признаки, характерные для решений, не являющихся изобретениями в соответствии с пунктом 5 статьи 1350 Кодекса, и в результате проведения информационного поиска выявлен более близкий аналог, то необходимо вернуться к проверке принципиальной патентоспособности заявленного решения (пункт 24.5 Регламента ИЗ, пункт 3.3.4 настоящего Руководства).

Затем осуществляется проверка промышленной применимости, новизны и изобретательского уровня заявленного изобретения. Если и на этих этапах экспертизы по существу не выявлены основания для запроса, заявителю, как правило, направляется уведомление о результатах проверки патентоспособности заявленного изобретения с предложением представить доводы по приведенным в уведомлении мотивам. Доводы заявителя учитываются при принятии решения, если они представлены в течение шести месяцев со дня получения им уведомления (пункт 1 статьи 1387 Кодекса). До принятия решения о выдаче патента указанное уведомление может не направляться, если мотивы не выявлены. Решение по заявке на изобретение по результатам экспертизы по существу принимается федеральным органом исполнительной власти по интеллектуальной собственности (далее – Роспатент) на основании заключения по результатам экспертизы, подготовленного экспертом.

В отдельных случаях эксперты проводят проверку промышленной применимости до проведения информационного поиска. Однако в этих случаях вывод о несоответствии заявленного изобретения условию промышленной применимости не освобождает эксперта от обязанности провести информационный поиск и направить отчет о нем заявителю (пункты 2, 3 статьи 1386 Кодекса).

Если в процессе экспертизы заявки на изобретение по существу на любом ее этапе возникают препятствия для дальнейшего проведения экспертизы по существу, эксперт может запросить у заявителя дополнительные материалы, в частности измененную формулу изобретения, без которых проведение экспертизы невозможно. Дополнительные материалы должны быть представлены заявителем в течение двух месяцев со дня получения заявителем запроса. Если заявитель в течение месяца со дня получения им запроса запросит копии материалов, противопоставленных заявке, двухмесячный срок представления дополнительных материалов исчисляется со дня получения им копий. Дополнительные материалы не должны изменять сущность изобретения (статья 1378 Кодекса). Если заявитель в установленный срок не представит запрашиваемые материалы или не подаст ходатайство о продлении этого срока, заявка признается отозванной. Срок, установленный для представления заявителем запрашиваемых материалов, может быть продлен, но не более чем на десять месяцев (пункт 5 статьи 1386 Кодекса). Если заявителем срок представления дополнительных материалов  пропущен, он может быть восстановлен в порядке, установленном статьей 1389 Кодекса.

Таким образом, в ходе проведения экспертизы по существу экспертом, как правило, подготавливаются запросы, уведомление о результатах проверки патентоспособности заявленного изобретения с предложением представить свои доводы по приведенным в уведомлении мотивам и заключение по результатам экспертизы, на основе которого Роспатент принимает решение по заявке на изобретение по результатам экспертизы по существу.

Общая рекомендация, касающаяся подготовки запросов, состоит в том, что каждый запрос должен быть максимально полным и ясным, поэтому запрос следует направлять только после того, как будут исчерпаны все возможности дальнейшего проведения экспертизы по существу. Замечания и предложения, приводимые в запросе, должны быть конструктивными и полезными. Такой подход позволяет минимизировать трудоемкость и общие сроки рассмотрения заявки на изобретение.

Общие требования, предъявляемые к уведомлениям и заключениям, состоят в том, что они должны быть мотивированными.

Стиль изложения документов экспертизы должен быть беспристрастным.

Несмотря на то что вопрос о последовательности действий, связанных с проведением экспертизы по существу, отнесен к компетенции эксперта, при проведении экспертизы по существу должны неукоснительно соблюдаться общие принципы, закрепленные в нормах Кодекса и  Регламента ИЗ.

Следует помнить, что экспертиза заявки на изобретение по существу проводится в отношении формулы, предложенной заявителем, и именно с этой формулой Роспатент принимает решение о выдаче патента на изобретение либо об отказе в выдаче патента на изобретение(пункт 1 статьи 1387 Кодекса).

Пунктом 2 статьи 1386 Кодекса установлено, что экспертиза заявки на изобретение по существу включает:

– информационный поиск в отношении заявленного изобретения для определения уровня техники (см.  часть вторую Руководства по экспертизе заявок на изобретения), по сравнению с которым будет осуществляться оценка новизны и изобретательского уровня изобретения;
– проверку соответствия заявленного изобретения условиям патентоспособности, предусмотренным статьей 1350 Кодекса.

При этом информационный поиск в отношении заявленного изобретения, относящегося к объектам, указанным в пункте 4 статьи 1349 и в пунктах 5 и 6 статьи 1350 Кодекса, не проводится.

Запрос дополнительных материалов, в том числе измененной формулы изобретения, направляется только в том случае, если имеются препятствия для дальнейшего проведения экспертизы по существу (пункт 5 статьи 1386 Кодекса).

Обстоятельства, которые могут служить препятствием для проведения экспертизы по существу, рассмотрены в пункте 24.6  Регламента ИЗ. Однако при подготовке запроса не следует опираться на эти положения формально. При их применении необходимо неукоснительно соблюдать положение абзаца первого подпункта (1) пункта 24.6 Регламента ИЗ, устанавливающее, что запрос дополнительных материалов направляется только в том случае, если без таких материалов невозможно проведение экспертизы по существу (см. также раздел 7 настоящего Руководства).

В частности, к препятствиям для проведения экспертизы по существу отнесена необходимость уточнения формулы изобретения по результатам ее проверки в соответствии с пунктом 24.4Регламента ИЗ (раздел 2 настоящего Руководства). В связи с этим следует помнить положение подпункта (8) пункта 24.4 Регламента ИЗ. Все вопросы, связанные с корректировкой формулы изобретения, выясняются экспертом с заявителем после получения предварительного вывода о патентоспособности изобретения, охарактеризованного такой формулой, если выявленные экспертом нарушения требований, предъявляемых к формуле изобретения Регламентом ИЗ, не препятствуют проверке патентоспобности заявленного изобретения.

Следует также помнить, что до принятия по заявке решения о выдаче патента либо об отказе в выдаче патента заявитель вправе внести изменения в документы заявки на изобретение, в том числе представить измененную формулу изобретения, не изменяющую его сущность(пункт 1 статьи 1378 Кодекса). Такие изменения могут быть внесены заявителем, в частности, путем подачи  дополнительных материалов либо при представлении доводов по мотивам уведомления по результатам проверки патентоспособности изобретения. В связи с этим норма подпункта (1) пункта 26.2 Регламента ИЗ обязывает эксперта проводить поиск не только в отношении изобретения, охарактеризованного в формуле, предложенной заявителем. Следует учитывать существенные признаки, содержащиеся в описании, но не включенные в формулу изобретения. Необходимо также учитывать описание и чертежи в случае необходимости толкования терминов, используемых в формуле изобретения. Такая стратегия поиска позволяет с большой степенью вероятности учесть при поиске возможные изменения формулы изобретения. Это дает возможность привести в запросе не только результаты проверки патентоспособности изобретения, выраженного формулой, предложенной заявителем, но и сделать полезные замечания, касающиеся возможной корректировки притязаний.

Если вывод о несоответствии условию новизны или изобретательского уровня получен в отношении изобретения, охарактеризованного в независимом пункте формулы, имеющей зависимые пункты, целесообразно направить заявителю запрос с предложением представить скорректированную формулу изобретения (подпункт (7) пункта 24.5.2, подпункт (9) пункта 24.5.3, подпункт (1) пункта 24.5.4 Регламента ИЗ). В таких случаях целесообразно уведомить заявителя об источниках информации, которые могли бы быть приняты во внимание при условии включения зависимых пунктов формулы в независимый пункт.

В то же время, если вывод о несоответствии условию промышленной применимости, новизны или изобретательского уровня получен в отношении изобретения, охарактеризованного формулой, не имеющей зависимых пунктов, эксперт может, но не обязан направлять заявителю запрос с предложением представить скорректированную формулу изобретения. Такой подход определен подпунктом (3) пункта 24.5.1, подпунктом (8) пункта 24.5.2, подпунктом (10) пункта 24.5.3 Регламента ИЗ.

В любом случае целесообразно исходить из того, что запрос формулы изобретения следует направлять только тогда, когда возможна корректировка формулы изобретения без изменения сущности заявленного изобретения, и эта корректировка позволит преодолеть выявленные экспертом препятствия для принятия решения о выдаче патента.

В запросе наряду с аргументированным выводом о непатентоспобности заявленного изобретения эксперт может указать признаки, включение которых в независимый пункт формулы изобретения позволит изменить вывод на противоположный. Такое предложение следует обосновывать ссылкой на подпункт (2) пункта 24.4 Регламента ИЗ.

В случае если экспертом однозначно установлена невозможность подобной корректировки формулы изобретения, направление запроса с единственным предложением скорректировать формулу нецелесообразно.

Если основания для запроса исчерпаны, и эксперт приходит к выводу о том, что заявленное изобретение, выраженное формулой, предложенной заявителем, либо каждое изобретение заявленной группы изобретений соответствует всем условиям патентоспособности, заявителю может быть направлено мотивированное уведомление о результатах проверки патентоспособности заявленного изобретения. Уведомление направляется в случаях, предусмотренных пунктом 24.8 Регламента ИЗ.

Если основания для запроса исчерпаны, и эксперт приходит к выводу о несоответствии заявленного изобретения, выраженного формулой, предложенной заявителем, хотя бы одному из условий патентоспособности, заявителю в обязательном порядке направляется мотивированное уведомление о результатах проверки патентоспособности заявленного изобретения.

Экспертиза заявки на изобретение по существу завершается принятием Роспатентом решения о выдаче патента на изобретение, об отказе в выдаче патента на изобретение, о признании заявки на выдачу патента на изобретение отозванной. Решение о выдаче патента либо об отказе в выдаче патента принимается с учетом доводов заявителя по приведенным в уведомлении мотивам, если доводы поступили в установленный Кодексом шестимесячный срок (пункт 1 статьи 1387).

Экспертиза также может завершиться уведомлением об отзыве заявки по заявлению, поданному заявителем (статья 1380 Кодекса).

Более подробно затронутые вопросы рассмотрены ниже в соответствующих разделах настоящего Руководства.