Guidelines for remote production condition analysis and management systems auditing
ОКС 03.120.20
Дата введения - 1 сентября 2021 г.
Введен впервые
Предисловие
1 Разработан Ассоциацией по сертификации "Русский Регистр"
2 Внесен Техническим комитетом по стандартизации ТК 076 "Системы менеджмента"
3 Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 9 апреля 2021 г. N 194-ст
4 Введен впервые
Введение
Настоящий стандарт разработан в связи с необходимостью создания единого документа, регламентирующего порядок проведения анализа состояния производства и аудита систем менеджмента дистанционно, посредством применения информационно-коммуникационных технологий с целью повышения результативности их оценки соответствия, снижения затрат и минимизации рисков в области охраны труда.
Основанием для разработки стандарта является стремительная цифровизация экономики, создающая новые возможности проведения аудитов систем менеджмента, а также необходимость противостоять различным задачам глобального масштаба, таким как эпидемии, политическая и экономическая нестабильность и т.д., и связанным с ними ограничениям.
Настоящий стандарт полностью основывается на руководящих указаниях по аудиту систем менеджмента, изложенных в ГОСТ Р ИСО 19011 и является дополнением к ним.
Настоящий стандарт не отменяет и не вносит изменения в какие-либо законодательные и нормативные правовые требования Российской Федерации. Его применение частично или полностью возможно лишь в случае, если оно не нарушает законодательные и нормативные правовые требования.
1 Область применения
В настоящем стандарте представлено руководство по дистанционному проведению анализа состояния производства и аудита систем менеджмента.
Настоящий стандарт применим к организациям любого рода, любой структуры, формы собственности и сектора экономики, проводящим анализ состояния производства и/или аудит систем менеджмента.
Настоящий стандарт применим как к проведению анализа состояния производства, так и ко внешним и внутренним аудитам систем менеджмента.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ Р 54293 Анализ состояния производства при подтверждении соответствия
ГОСТ Р ИСО 9000 Системы менеджмента качества. Основные положения и словарь
ГОСТ Р ИСО 19011 Руководящие указания по аудиту систем менеджмента
Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.
3 Термины и определения
В настоящем стандарте применены термины по ГОСТ Р ИСО 9000 и ГОСТ Р 54293, а также следующие термины с соответствующими определениями:
3.1 виртуальный аудит: Систематический, независимый и документированный процесс получения свидетельств аудита в виртуальной среде (совокупности программных и аппаратных средств, содержащей объективные свидетельства, например программное обеспечение по управлению процессами, автоматизированные базы данных, облачные технологии и т.д.) и объективного их оценивания с целью установления степени выполнения критериев аудита.
3.2 дистанционный аудит: Систематический, независимый и документированный процесс получения свидетельств аудита для их объективной оценки и определения степени выполнения согласованных критериев аудита без посещения объекта аудита (проверяемой организации, ее площадки) с использованием информационно-коммуникационных технологий для обеспечения проведения аудита.
Примечание - Дистанционные аудиты могут включать в себя виртуальные аудиты.
3.3 информационно-коммуникационные технологии: Совокупность технических средств (серверы, рабочие станции, ноутбуки, планшеты, мобильные телефоны, стационарные, мобильные и носимые видеокамеры и микрофоны, инфраструктура передачи цифровых данных, роботы, дроны и т.д.) и программных средств (операционные системы, программное обеспечение разного уровня для управления аппаратными средствами, облачные технологии, электронная почта, различные платформы для обмена и обработки текстовой информации, фото-, видео-, аудиоинформации и другой цифровой информации).
3.4 комбинированный аудит: Аудит, проводимый как посредством посещения проверяемой площадки, также называемый аудитом на месте, так и дистанционными методами с использованием информационно-коммуникационных технологий.
3.5 площадка: Здания, помещения, участки земли и т.д., где осуществляются процессы и находится персонал проверяемой организации, относящиеся к области применения ее системы менеджмента.
Примечание - Помимо персонала и процессов, находящихся на площадке организации, обычно выделяют персонал, находящийся вне этой площадки, например, персонал и процессы, находящиеся на временных площадках (в частности, мобильные или временные установки), мобильный персонал (в частности, курьеры) и т.д.
3.6 технический посредник: Технический эксперт, действующий, по согласованию с соответствующими заинтересованными сторонами, на месте аудита (на площадке проверяемой организации) под дистанционным (с использованием информационно-коммуникационных технологий) управлением аудитора или руководителя группы аудиторов.
4 Принципы проведения дистанционного анализа состояния производства и аудита систем менеджмента
В связи с общностью подходов как при проведении анализа состояния производства, так и при проведении аудитов систем менеджмента далее в настоящем стандарте оба эти понятия включены в понятие дистанционный аудит.
Дистанционные аудиты проводят в соответствии с принципами аудита, изложенными в ГОСТ Р ИСО 19011, а также следующими принципами:
а) риск-ориентированный подход при проведении дистанционных аудитов: понимание всеми сторонами, участвующими в процессе аудита, рисков и ограничений, возникающих при проведении дистанционных аудитов и использовании информационных технологий;
б) обеспечение компетентности при проведении дистанционных аудитов: определение и обеспечение необходимых знаний и навыков (в области планирования, обеспечения коммуникаций, применения информационно-коммуникационных технологий, требований и ограничений в области обеспечения конфиденциальности и безопасности данных);
в) обеспечение конфиденциальности и безопасности данных при проведении дистанционных аудитов: определение и соблюдение всех применимых международных, национальных, региональных, отраслевых требований, соблюдение этических норм и правил, в том числе в вопросах применения информационно-коммуникационных технологий, сбора, передачи, обработки и хранения данных;
г) обеспечение непрерывности и целостности проведения дистанционных аудитов: определение и применение адекватных информационно-коммуникационных технологий, в том числе соответствующего аппаратного и программного обеспечения, резервирования и защиты каналов передачи информации и т.д., представленных в таблице 1.
Таблица 1 - Основные методы и действия при проведении дистанционного аудита и соответствующие информационно-коммуникационные технологии
Методы и действия при проведении дистанционного аудита |
Информационно-коммуникационные технологии |
Управление программой аудита |
Телефонная связь, видеосвязь, технические средства (сбора, накопления, передачи, обработки, хранения и защиты аудиовизуальной и другой цифровой информации), облачные технологии, электронная почта, различные платформы для обмена и обработки текстовой информации, фото-, видео-, аудиоинформации и другой цифровой информации, антивирусное и шифровальное программное обеспечение и т.д. |
Установление контакта с проверяемой организацией |
Телефонная связь, видеосвязь, электронная почта и т.д. |
Определение возможности проведения аудита |
Телефонная связь, видеосвязь, электронная почта и т.д. |
Выполнение анализа документированной информации |
Телефонная связь, технические средства (сбора, накопления, передачи, обработки, хранения и защиты аудиовизуальной и другой цифровой информации), облачные технологии, электронная почта, различные платформы для обмена и обработки текстовой информации, фото-, видео-, аудиоинформации и другой цифровой информации, антивирусное и шифровальное программное обеспечение и т.д. |
Планирование аудита |
Телефонная связь, видеосвязь, электронная почта, различные платформы для обмена и обработки текстовой информации, фото-, видео-, аудиоинформации и другой цифровой информации и т.д. |
Проведение вступительного совещания |
Видеосвязь, телефонная связь, различные платформы для обмена и обработки текстовой информации, фото-, видео-, аудиоинформации и другой цифровой информации и т.д. |
Интервью с персоналом проверяемой организации |
Телефонная связь, видеосвязь, электронная почта, различные платформы для обмена и обработки текстовой информации, фото-, видео-, аудиоинформации и другой цифровой информации, антивирусное и шифровальное программное обеспечение и т.д. |
Наблюдение за процессами |
Видеосвязь, технические средства (сбора, накопления, передачи, обработки, хранения и защиты аудиовизуальной и другой цифровой информации), удаленный доступ к электронным базам данных, телеметрия, электронная почта, различные платформы для обмена и обработки текстовой информации, фото-, видео-, аудиоинформации и другой цифровой информации, антивирусное и шифровальное программное обеспечение и т.д. |
Анализ документированной информации в ходе проведения аудита |
Видеосвязь, технические средства (сбора, накопления, передачи, обработки, хранения и защиты аудиовизуальной и другой цифровой информации), удаленный доступ к электронным базам данных, телеметрия, облачные технологии, электронная почта, различные платформы для обмена и обработки текстовой информации, фото-, видео-, аудиоинформации и другой цифровой информации, антивирусное и шифровальное программное обеспечение и т.д. |
Обмен и обработка информации в ходе аудита |
Телефонная связь, видеосвязь, технические средства (сбора, накопления, передачи, обработки, хранения и защиты аудиовизуальной и другой цифровой информации), облачные технологии, электронная почта, различные платформы для обмена и обработки текстовой информации, фото-, видео-, аудиоинформации и другой цифровой информации, антивирусное и шифровальное программное обеспечение и т.д. |
Формирование выводов по аудиту |
Технические средства (сбора, накопления, передачи, обработки, хранения и защиты аудиовизуальной и другой цифровой информации), облачные технологии, электронная почта, различные платформы для обмена и обработки текстовой информации, фото-, видео-, аудиоинформации и другой цифровой информации и т.д. |
Подготовка заключений по аудиту |
Технические средства (сбора, накопления, передачи, обработки, хранения и защиты аудиовизуальной и другой цифровой информации), облачные технологии, электронная почта, различные платформы для обмена и обработки текстовой информации, фото-, видео-, аудиоинформации и другой цифровой информации, антивирусное и шифровальное программное обеспечение и т.д. |
Проведение заключительного совещания |
Телефонная связь, видеосвязь, различные платформы для обмена и обработки текстовой информации, фото-, видео-, аудиоинформации и другой цифровой информации и т.д. |
Подготовка отчета по аудиту |
Технические средства (сбора, накопления, передачи, обработки, хранения и защиты аудиовизуальной и другой цифровой информации), облачные технологии, электронная почта, различные платформы для обмена и обработки текстовой информации, фото-, видео-, аудиоинформации и другой цифровой информации, антивирусное и шифровальное программное обеспечение и т.д. |
Рассылка отчета по аудиту |
Электронная почта, облачные технологии, различные платформы для обмена и обработки текстовой информации, фото-, видео-, аудиоинформации и другой цифровой информации и т.д. |
Завершение аудита |
Технические средства (сбора, накопления, передачи, обработки, хранения и защиты аудиовизуальной и другой цифровой информации), удаленный доступ к электронным базам данных, облачные технологии, электронная почта, различные платформы для обмена и обработки текстовой информации, фото-, видео-, аудиоинформации и другой цифровой информации и т.д. |
Выполнение последующих действий по результатам аудита |
Технические средства (сбора, накопления, передачи, обработки, хранения и защиты аудиовизуальной и другой цифровой информации), удаленный доступ к электронным базам данных, телеметрия, облачные технологии, электронная почта, различные платформы для обмена и обработки текстовой информации, фото-, видео-, аудиоинформации и другой цифровой информации и т.д. |
Объектами проверки при проведении анализа состояния производства являются:
- техническая документация (проектная, и/или конструкторская, и/или технологическая, и/или эксплуатационная) на продукцию, документированные процедуры, записи;
- компетентность персонала, выполняющего работу, влияющую на соответствие выпускаемой продукции установленным требованиям;
- инфраструктура производства [совокупность объектов, находящихся на территории изготовителя и необходимых для организации производства (производственные помещения, транспорт и т.п.)];
- оборудование (средства технологического оснащения), а также его техническое обслуживание и ремонт;
- управление контрольным, измерительным и испытательным оборудованием;
- средства измерений, необходимые для обеспечения соответствия продукции установленным требованиям;
- входной контроль закупленной продукции, влияющей на показатели безопасности продукции (сырья, материалов, комплектующих изделий);
- технологические процессы, в том числе специальные (при наличии соответствующих требований в технических регламентах или нормативных документах);
- приемочный контроль и периодические испытания готовой продукции, связанные с контролем характеристик, требования к которым установлены техническим регламентом или нормативными документами;
- идентификация продукции и ее прослеживаемость;
- маркировка готовой продукции, условия ее хранения, упаковки и консервации;
- взаимодействие с потребителем (в том числе рассмотрение жалоб и рекламаций по продукции данного изготовителя);
- управление несоответствующей продукцией, корректирующие и предупреждающие мероприятия.
Основные методы проведения аудита при анализе состояния производства приведены в приложении А, таблицы А.1 и А.2.
5 Управление программой аудита
5.1 Общие положения
Следует разработать программу аудита, содержащую идентификацию тех аудитов или их частей, которые будут проводиться дистанционно.
Проведение дистанционных аудитов и использование информационно-коммуникационных технологий следует учитывать при определении объема программы аудитов.
При формировании программы аудитов необходимо учесть следующие сценарии проведения аудитов или их любые совокупности:
а) группа по аудиту осуществляет дистанционный аудит организации;
б) группа по аудиту осуществляет аудит на месте части площадок организации (например, головной офис), другую часть площадок организации (например, ее филиалы) проверяют дистанционно;
в) группа по аудиту осуществляет аудит организации на площадке (на месте), при этом дистанционно проверяют персонал и/или процессы организации, находящиеся за пределами этой площадки;
г) часть группы аудиторов осуществляет аудит на месте (например, руководитель группы и аудиторы), другая часть группы аудиторов (например, технический эксперт по конкретной предметной области) участвует в аудите дистанционно.
Примечания
1 Аудит, приведенный в перечислениях б), в) и г), называют комбинированным аудитом.
2 В состав аудиторской группы может быть включен технический посредник, дополнительное руководство по управлению которым приведено в приложении Б.
Изложенные выше сценарии могут быть определены как в программе аудита, так и в планах соответствующих аудитов.
Приведенные в настоящем стандарте руководящие указания для дистанционного аудита применимы как для полностью дистанционных аудитов, так и для дистанционной части комбинированных аудитов.
Для управления программой аудита должны быть допущены работники с учетом требований ГОСТ Р ИСО 19011, а также компетентные в вопросах организации и проведения дистанционных аудитов и применения соответствующих информационно-коммуникационных технологий.
При определении применения методов дистанционного аудита в программе аудита следует оценивать их применимость исходя из следующего:
а) цели организации;
б) законодательные и нормативные правовые требования, относящиеся к объекту проверки (в частности, возможность применения дистанционных методов аудита);
в) законодательные и нормативные правовые требования, относящиеся к процессу оценки соответствия (в частности, возможность применения дистанционных методов аудита);
г) законодательные и нормативные правовые требования, относящиеся к объекту проверки, относящиеся к конфиденциальности и безопасности данных;
д) требования соответствующих заинтересованных сторон (например, в случае, если проведение внутренних аудитов является требованием потребителей проверяемого объекта, получение от потребителя согласия на проведение таких аудитов дистанционно с применением информационно-коммуникационных технологий);
е) применимость методов дистанционного аудита для получения точных выводов, заключений и отчетов по аудиту исходя из специфики объекта аудита;
ж) информационно-коммуникационная инфраструктура группы аудиторов и проверяемого объекта;
Нумерация подпунктов приводится в соответствии с источником
и) компетентность группы аудиторов и персонала проверяемого объекта по вопросам применения методов дистанционного аудита и соответствующих информационно-коммуникационных технологий;
к) влияние применения методов дистанционного аудита и соответствующих информационно-коммуникационных технологий на целостность аудита;
л) риски и возможности, связанные с применением методов дистанционного аудита и соответствующих информационно-коммуникационных технологий и т.д.
Перечисленное выше, при признании применимым, следует включать в информацию, содержащуюся в программе аудита. Следует учитывать, что некоторое из перечисленного выше может быть учтено не в полной мере до выполнения более подробного планирования конкретного аудита как элемента программы аудита.
Выполнение программы аудита необходимо постоянно оценивать и анализировать с тем, чтобы обеспечить результативность применяемых методов дистанционного аудита и информационно-коммуникационных технологий для достижения целей программы аудита, внося для этого соответствующие изменения.
5.2 Постановка целей программы аудита
Следует оценивать влияние применения методов дистанционного аудита и соответствующих информационно-коммуникационных технологий на цели программы аудита.
5.3 Определение и оценка рисков и возможностей для программы аудита
Руководителю программы аудита следует определить и представить заказчику аудита риски и возможности применения дистанционных методов проведения аудита и соответствующих информационно-коммуникационных технологий.
5.3.1 Могут существовать риски, связанные:
а) с неадекватностью методов дистанционного аудита целям организации;
б) невыполнением законодательных и нормативных правовых требований, относящихся к объекту проверки, процессу оценки соответствия, конфиденциальности и безопасности данных;
в) нарушениями общепринятых этических норм, связанных с вопросами конфиденциальности и безопасности данных, помимо указанных в перечислении б), например несогласованное копирование экрана (так называемый "скриншот"), содержащего изображения лиц членов группы аудита или представителей проверяемого объекта;
г) потерю или нежелательное разглашение информации, передаваемой в ходе дистанционного аудита с использованием информационно-коммуникационных технологий в результате несанкционированного намеренного или случайного доступа к этой информации не уполномоченных на это сторон или ошибочных действий членов группы аудиторов или представителей проверяемого объекта;
д) невыполнением требований соответствующих заинтересованных сторон;
е) неадекватностью методов дистанционного аудита специфике объекта аудита (например, в некоторых секторах пищевой промышленности применение даже самых современных и мощных информационно-коммуникационных технологий не позволяет аудитору собрать все необходимые объективные свидетельства о состоянии производственного процесса);
ж) неполучением достоверной и объективной информации о состоянии объекта аудита (например, вследствие излишнего влияния персонала проверяемого объекта на выборку при сборе объективных свидетельств при использовании информационно-коммуникационных технологий);
Нумерация подпунктов приводится в соответствии с источником
и) несовершенством информационно-коммуникационной инфраструктуры группы аудиторов или проверяемого объекта;
к) недостатком компетентности в области методов дистанционного аудита и соответствующих информационно-коммуникационных технологий группы аудиторов и представителей проверяемого объекта;
л) неадекватностью объема программы аудита объемам необходимых работ и времени, возникающих вследствие применения методов дистанционного аудита и соответствующих информационно-коммуникационных технологий и т.д.
5.3.2 Возможности для улучшения программы аудита посредством применения методов дистанционного аудита могут включать в себя следующее:
а) минимизацию времени и затрат на доставку группы аудиторов на площадку проверяемого объекта;
б) снижение рисков в области охраны труда как членов группы аудиторов, так и представителей проверяемого объекта;
в) снижение воздействия на окружающую среду как результат уменьшения использования группой аудиторов транспорта;
г) расширение выборки за счет облегчения доступа к географически удаленным площадкам проверяемого объекта;
д) облегчение привлечения географически удаленных технических экспертов в специализированных предметных областях и т.д.
5.4 Разработка программы аудита
5.4.1 Роль и обязанности руководителя программы аудита
Руководителю программы аудита следует провести оценку применимости и включить соответствующие методы дистанционного аудита и информационно-коммуникационные технологии в программу аудита при ее разработке.
Руководителю программы аудита следует обратить особое внимание заказчика на наличие в программе аудита методов дистанционного аудита при ее утверждении.
5.4.2 Компетентность руководителя(ей) программы аудита
Руководителю программы аудита следует обладать необходимой компетентностью в вопросах организации и проведения дистанционных аудитов и применения соответствующих информационно-коммуникационных технологий, включая знания в следующих областях:
а) принципы проведения дистанционного аудита (см. раздел 4);
б) информационно-коммуникационные технологии, их многообразие, структуру, взаимодействие, технические характеристики, области и особенности применения и т.п.;
в) применяемые законодательные нормативные и правовые требования, требования заинтересованных сторон и другие требования, касающиеся применения методов дистанционного аудита (см. 5.1);
г) риски и возможности, возникающие при применении методов дистанционного аудита (см. 5.3);
д) методы организации процесса аудита при применении методов дистанционного аудита и информационно-коммуникационных технологий.
Руководителю программы аудита следует постоянно совершенствовать свои знания в области методов дистанционного аудита и информационно-коммуникационных технологий.
5.4.3 Определение объема программы аудита
При определении программы аудита руководителю этой программы следует учесть влияние применения методов дистанционного аудита на объем аудита.
Фактором, увеличивающим объем программы аудита, является дополнительное время:
а) на согласование между группой аудиторов и проверяемым объектом конкретных методов дистанционного аудита и информационно-коммуникационных технологий;
б) организацию и управление видеоконференциями и т.п.;
в) преодоление ограничений, накладываемых информационно-коммуникационными технологиями при сборе объективных свидетельств и т.д.
Фактором, уменьшающим объем программы аудита, является сокращение времени:
а) на перемещения членов группы аудита;
б) регистрацию информации, поскольку изначальное ее представление со стороны представителей проверяемого объекта в цифровом виде исключает функцию переноса информации с аналоговых источников на цифровые и т.д.
5.4.4 Определение ресурсов для программы аудита
При определении ресурсов для применения дистанционных методов в рамках программы аудита следует рассмотреть:
а) финансы и время, необходимые для разработки, приобретения, адаптации, внедрения и улучшения методов дистанционного аудита и информационно-коммуникационных технологий. Важным фактором является наличие подходящего оборудования, надежных и дублируемых каналов связи в местоположениях членов аудиторской группы и представителей проверяемой организации;
б) наличие компетентных членов аудиторской группы и представителей проверяемого объекта и/или их обучение методам дистанционного аудита и информационно-коммуникационным технологиям;
в) влияние разницы во времени, поскольку нахождение и проживание членов аудиторской группы и представителей проверяемой организации в разных часовых поясах создает дополнительные трудозатраты и риски при управлении процессом аудита и т.д.
5.5 Выполнение программы аудита
5.5.1 Общие положения
После разработки программы аудита (см. 5.4) необходимо осуществить оперативное планирование применения методов дистанционного аудита всей деятельности в рамках программы аудита.
Руководителю программы следует:
а) выбрать и согласовать со всеми заинтересованными сторонами применяемые методы дистанционного аудита, конкретные информационно-коммуникационные технологии, требования к компетентности соответствующего персонала и т.д. для каждого отдельного аудита;
б) предоставить необходимые ресурсы, в том числе технологические, аудиторской группе;
в) обеспечить применение методов дистанционного аудита и информационно-коммуникационных технологий в соответствии с программой аудита, управлять рисками, возможностями и проблемами;
г) обеспечить соблюдение соответствующих законодательных и нормативных правовых требований, в том числе в области конфиденциальности и безопасности данных;
д) обеспечить выполнение требований соответствующих заинтересованных сторон;
е) обеспечить управление, сохранность и, где применимо, уничтожение соответствующей документированной информации, дополнительно возникающей вследствие применения методов дистанционного аудита и т.д.
5.5.2 Определение целей, области и критериев конкретного аудита
При определении целей, области и критериев конкретного аудита следует оценивать влияние на них применения методов дистанционного аудита и информационно-коммуникационных технологий.
5.5.3 Выбор и определение методов аудита
Руководителю программы аудита следует выбрать эффективные и результативные методы дистанционного аудита и информационно-коммуникационные технологии, при необходимости сочетая их с аудитом на месте исходя из определенных целей, области и критериев аудита.
5.5.4 Отбор членов аудиторской группы
Руководителю программы аудита следует назначать членов аудиторской группы, включая руководителя группы и технических экспертов с учетом их компетентности по вопросам применения конкретных методов дистанционного аудита и информационно-коммуникационных технологий, предусмотренных для использования на соответствующих этапах конкретного аудита.
В группу аудиторов могут быть включены технические эксперты, компетентные в вопросах применения методов дистанционного аудита и информационно-коммуникационных технологий, чьей задачей будет помощь остальным членам группы аудита в использовании необходимых методов и технологий.
5.5.5 Назначение руководителя аудиторской группы по проведению конкретного аудита
Руководителю программы аудита следует назначить руководителя группы по проведению конкретного аудита с учетом ГОСТ Р ИСО 19011, а также обладающего компетентностью в области организации и управления дистанционными аудитами.
Чтобы обеспечить эффективное проведение конкретного аудита, руководителю группы следует предоставить следующую информацию в отношении:
а) этапов аудита, в ходе которых предусмотрено применение методов дистанционного аудита и информационно-коммуникационных технологий;
б) идентификацию конкретных методов дистанционного аудита и информационно-коммуникационных технологий, предусмотренных для применения в ходе этого конкретного аудита;
в) форматов данных, применяемых в ходе дистанционного аудита;
г) детали контактов проверяемой организации в формате, необходимом для применения определенных информационно-коммуникационных технологий (адреса электронной почты, идентификационные имена в различных коммуникационных сервисах и т.п.);
д) соответствующие законодательные и нормативные правовые требования, в том числе в области конфиденциальности и безопасности данных;
е) требования соответствующих заинтересованных сторон;
ж) данные об информационно-коммуникационной инфраструктуре, предоставляемой группе аудиторов и имеющейся у представителей проверяемого объекта, включая каналы связи, их дублирование, согласованные форматы данных, прав доступа к базам данных и т.п.;
Нумерация подпунктов приводится в соответствии с источником
и) выявленные риски применения методов дистанционного аудита и информационно-коммуникационных технологий и т.д.
5.5.6 Управление результатами выполнения программы аудита
Руководителю программы аудита следует обеспечить выполнение следующих мероприятий:
а) оценка результативности и эффективности применения конкретных методов дистанционного аудита и информационно-коммуникационных технологий на соответствующих этапах аудита;
б) расследование всех проблем (сбоев), выявленных при применении методов дистанционного аудита и информационно-коммуникационных технологий и т.п. с целью дальнейшего предотвращения их повторного появления;
в) идентификацию и последующее распространение положительных практик применения методов дистанционного аудита и информационно-коммуникационных технологий.
5.5.7 Управление записями по программе аудита и их сохранение
Применение методов дистанционного аудита, как правило, связано с передачей и временным хранением большого количества дополнительных данных. Это электронные копии документов, фото- и видеоматериалы, данные телеметрии, другая цифровая информация.
Руководителю программы аудита следует обеспечить управление этими данными в порядке, согласованном со всеми заинтересованными сторонами, с целью обеспечить их передачу, обработку, накопление, хранение и последующее уничтожение. Должна быть обеспечена надежная защита этих данных на всех этапах с целью предотвращения несанкционированного доступа.
5.6 Мониторинг программы аудита
Руководителю программы аудита следует обеспечить проведение оценки влияния применяемых методов дистанционного аудита и информационно-коммуникационных технологий:
а) на выполнение графиков проверок и достижение целей программы аудита;
б) деятельность членов аудиторской группы, включая ее руководителя и технических экспертов;
в) способность аудиторских групп выполнить планы аудита;
г) обратную связь с заказчиками аудита, проверяемыми организациями, аудиторами, техническими экспертами и другими заинтересованными сторонами;
д) достаточность и адекватность документированной информации по всему процессу аудита и т.д.
По результатам описанной выше оценки руководитель программы аудитов может вносить изменения в программу аудита.
6 Проведение аудита
6.1 Общие положения
В данном разделе содержится руководство по применению дистанционных методов проведения аудита и информационно-коммуникационных технологий при подготовке и проведению конкретного аудита как части программы аудита.
На всех этапах проведения аудита зачастую возникает необходимость согласовывать и утверждать различные документы аудита. В условиях дистанционного аудита, в соответствии с применимыми законодательными и нормативными правовыми требованиями и договоренностями между соответствующими заинтересованными сторонами возможны следующие подходы к этой функции:
а) использование электронно-цифровой подписи;
б) пересылка согласованных и/или утвержденных документов почтой;
в) пересылка копий согласованных и/или утвержденных документов электронной почтой;
г) согласование и/или утверждение документов посредством заявления, изложенного в письме по электронной почте;
д) использование методов согласования и/или утверждения документов, предусмотренных различными системами электронного управления документооборотом, и т.д.
Для всего вышеизложенного следует использовать заранее согласованные почтовые адреса, адреса электронной почты, регистрационные записи в системах электронного документооборота и т.д.
На всех этапах проведения аудита не следует осуществлять не согласованное заранее со всеми заинтересованными сторонами копирование экрана (так называемый "скриншот", видеозапись мероприятий аудита и т.п.).
6.2 Начало аудита
6.2.1 Общие положения
Ответственность за проведение дистанционного аудита следует оставить за назначенным руководителем аудиторской группы (см. 5.5.5) до завершения аудита (см. 6.6).
6.2.2 Установление контакта с проверяемой организацией
Руководителю аудиторской группы следует обеспечить установление контакта с проверяемой организацией, чтобы:
а) подтвердить факт применения методов дистанционного аудита;
б) согласовать применение конкретных методов дистанционного аудита и информационно-коммуникационных технологий;
в) определить применяемые законодательные и нормативные правовые требования, относящиеся к использованию методов дистанционного аудита и информационно-коммуникационных технологий;
г) согласовать форматы данных, применяемых в ходе дистанционного аудита;
д) обменяться с проверяемой организацией регистрационными данными, необходимыми для применения определенных информационно-коммуникационных технологий (адреса электронной почты, идентификационные имена в различных коммуникационных сервисах и т.п.);
е) согласовать с проверяемой организацией вопросы конфиденциальности и безопасности данных;
ж) согласовать с проверяемой организацией порядок сбора, накопления, обработки, хранения и последующего уничтожения данных, дополнительно возникающих вследствие применения методов дистанционного аудита и информационно-коммуникационных технологий.
6.2.3 Определение возможности проведения аудита
Осуществимость проведения дистанционного аудита и применения соответствующих информационно-коммуникационных технологий следует определить для того, чтобы получить обоснованную уверенность, что цели аудита могут быть достигнуты.
Для определения осуществимости следует рассмотреть такие факторы, как наличие:
а) возможности проведения аудита, исходя из требований соответствующих законодательных и нормативных правовых требований, относящихся к объекту проверки, процессу оценки соответствия, а также к конфиденциальности и безопасности данных;
б) возможности проведения аудита, исходя из требований соответствующих заинтересованных сторон. Важным элементом такого рассмотрения является получение разрешения на использование конкретных информационных технологий со стороны проверяемой организации на определенных этапах для определенных мероприятий аудита, поскольку встречаются ситуации, когда внутренние требования, действующие на проверяемом объекте, ограничивают или запрещают применение конкретных информационно-коммуникационных технологий;
в) достаточности информационно-коммуникационной инфраструктуры, включая доступность дублирующих каналов связи у группы аудиторов и проверяемого объекта;
г) компетентности группы аудиторов и персонала проверяемого объекта по вопросам применения методов дистанционного аудита и соответствующих информационно-коммуникационных технологий и т.д.
Для определения возможности проведения аудита следует до его начала осуществить тестирование применяемых методов дистанционного аудита и информационно-коммуникационных технологий в виде пробных совещаний и/или интервью и т.п.
Там, где дистанционный аудит неосуществим, руководителю программы аудита следует предложить заказчику аудита альтернативный вариант проведения аудита, согласованный с проверяемой организацией.
6.3 Подготовка к проведению аудита
6.3.1 Выполнение анализа документированной информации
Следует, применяя согласованные с проверяемой организацией методы дистанционного аудита и информационно-коммуникационные технологии, проанализировать соответствующую документированную информацию на систему менеджмента проверяемой организации.
6.3.2 Планирование аудита
6.3.2.1 Риск - ориентированный подход к планированию
Руководителю аудиторской группы следует принять риск - ориентированный подход для планирования применения дистанционных методов аудита и информационно-коммуникационных технологий на основе информации, содержащейся в программе аудита и в документированной информации, представленной проверяемой организацией.
При планировании аудита следует учесть, кроме рисков, изложенных в 5.3, следующее:
а) потерю связи вследствие сбоев в интернет-соединении, электроснабжении и т.п.;
б) подключение к процессу обмена информацией в ходе аудита лиц, на это не уполномоченных, вследствие невозможности или затруднения в идентификации участников аудита, отсутствия изображения и т.п.;
в) невозможность получения доступа к источникам объективных свидетельств (персоналу, процессам, документированной информации, оборудованию и т.д.);
г) невозможность или затруднение со стороны аудитора управлять средствами сбора объективных свидетельств (камерой, микрофоном и т.д.);
д) риски в области охраны труда, связанные с применением автоматизированных средств сбора объективных свидетельств (падение беспилотных летательных аппаратов и т.п.);
е) риски в области охраны труда, связанные с непрерывным длительным использованием компьютерной техники (воздействие на зрение и т.д.).
6.3.2.2 Подробности планирования аудита
План аудита, дополнительно к требованиям ГОСТ Р ИСО 19011, должен отражать следующее:
а) идентификацию конкретных методов дистанционного аудита и информационно-коммуникационных технологий с привязкой к конкретным мероприятиям аудита;
б) распределение ответственности членов группы аудита и представителей проверяемой организации за применение конкретных методов дистанционного аудита и информационно-коммуникационных технологий;
в) регистрационные данные, необходимые для применения согласованных информационно-коммуникационных технологий (адреса электронной почты, идентификационные имена в различных коммуникационных сервисах и т.п.). Поскольку эта информация связана с высокими рисками в области конфиденциальности и безопасности данных, рекомендуется приводить их в отдельном документе, установив дополнительные требования к его защите и ограничению его распространения. Ссылку на этот документ следует привести в плане аудита. Не рекомендуется использовать личные регистрационные данные членов группы аудиторов и представителей проверяемого объекта (личные номера телефонов, адреса электронной почты и т.п.). Там, где это целесообразно, для целей дистанционного аудита следует создавать отдельные специальные регистрационные данные (применяемые только в целях дистанционного аудита номера телефонов, адреса электронной почты, идентификационные имена в различных коммуникационных сервисах и т.д.);
г) применение синхронного или асинхронного подхода к проведению собеседований членов группы аудиторов с представителями проверяемого объекта. Синхронный подход к дистанционному аудиту подразумевает постоянное общение аудитора с представителем(ями) проверяемого объекта в ходе всего мероприятия аудита (посредством, например, видеосвязи). Асинхронный подход к дистанционному аудиту подразумевает вводное интервью аудитора с представителем(ями) проверяемого объекта (посредством, например, видеосвязи), в ходе которого запрашивается необходимая информация, далее интервью прерывается, чтобы представители проверяемого объекта могли подготовить и переслать аудитору необходимую информацию, аудитор ее анализирует, и далее интервью возобновляется для уточняющих вопросов, запроса дополнительной информации и обобщения результатов конкретного мероприятия аудита. Таких последовательных интервью и перерывов в ходе одного мероприятия аудита может быть несколько;
д) там, где применимо, часовые пояса, в которых находятся члены группы аудиторов и представители проверяемой организации и/или разница во времени между местоположениями членов группы аудиторов и представителями проверяемой организации.
6.3.3 Распределение работы между членами аудиторской группы
Руководителю аудиторской группы, при консультации с членами группы, следует распределить обязанности и назначить лиц, ответственных за применение конкретных методов дистанционного аудита и информационно-коммуникационных технологий.
6.3.4 Подготовка документированной информации для аудита
Членам аудиторской группы следует подобрать и проанализировать информацию, касающуюся их заданий, и подготовить дополнительно к документам, определенным ГОСТ Р ИСО 19011, дополнительные перечни вопросов (чек-листы), которые могут быть переданы представителям проверяемого объекта до начала аудита с целью повышения результативности применения асинхронного подхода к проведению аудита.
Информацию, дополнительно подготовленную и полученную в связи с применением дистанционных методов аудита, следует накапливать, обрабатывать, сохранять и уничтожать в соответствии с указаниями, изложенными выше.
6.4 Проведение аудита
6.4.1 Общие положения
Проведение аудита следует осуществлять в соответствии с требованиями и договоренностями, определенными в 6.1-6.3.
6.4.2 Распределение ролей и обязанностей сопровождающих и наблюдателей
Сопровождающим следует способствовать применению дистанционных методов аудита и информационно-коммуникационных технологий.
Порядок доступа наблюдателей к применяемым методам дистанционного аудита, информационно-коммуникационным технологиям, регистрационным данным членов группы аудита и представителей проверяемого объекта, а также к дополнительной информации, получаемой в результате использования дистанционных методов аудита и информационно-коммуникационных технологий, должен быть согласован с заказчиком аудита и проверяемой организацией.
6.4.3 Проведение вступительного совещания
В ходе вступительного совещания следует дополнительно рассмотреть следующие вопросы:
а) применяемые методы дистанционного аудита и информационно-коммуникационные технологии;
б) форматы данных, применяемые в ходе дистанционного аудита;
в) регистрационные данные, необходимые для применения определенных информационно-коммуникационных технологий (адреса электронной почты, идентификационные имена в различных коммуникационных сервисах и т.п.);
г) вопросы конфиденциальности и безопасности данных;
д) порядок сбора, накопления, обработки, хранения и последующего уничтожения данных, дополнительно возникающих вследствие применения методов дистанционного аудита и информационно-коммуникационных технологий;
е) основные и дублирующие каналы информации;
ж) применение синхронного и асинхронного подхода к аудиту, там, где это применимо.
6.4.4 Обмен информацией в ходе аудита
Аудиторской группе следует осуществлять периодический обмен информацией. Там, где это необходимо, для этого следует применять соответствующие информационно-коммуникационные технологии. В ходе этого обмена членам аудиторской группы следует сообщать руководителю аудиторской группы обо всех проблемах, возникших в связи с применением методов дистанционного аудита и информационно-коммуникационных технологий.
6.4.5 Доступность информации по аудиту
Представители проверяемой организации должны обеспечивать доступность информации по аудиту для применения методов дистанционного аудита и информационно-коммуникационных технологий.
6.4.6 Анализ документированной информации в ходе проведения аудита
Если, вследствие применения методов дистанционного аудита и информационно-коммуникационных технологий, документированная информация не могла быть представлена в сроки, установленные в плане аудита, то руководителю группы следует уведомить об этом руководителя программы аудита и проверяемую организацию. В зависимости от целей и области аудита следует принять решение, продолжать аудит или приостановить процесс до разрешения вопросов, связанных с документированной информацией.
6.4.7 Сбор и проверка информации
При сборе и проверке информации в ходе применения методов дистанционного аудита и информационно-коммуникационных технологий группе аудиторов следует обращать особое внимание на достоверность и надежность получаемой информации.
В ходе сбора и проверки информации следует соблюдать результативный баланс синхронного и асинхронного подходов к аудиту.
Во время проведения мероприятий аудита с использованием информационно-коммуникационных технологий аудитору следует убедиться, что к мероприятию имеют доступ только уполномоченные лица.
При проведении интервью посредством информационно-коммуникационных технологий предпочтение следует отдавать видеосвязи с целью обеспечения надежности объективных свидетельств, получаемых во время интервью.
В ходе проведения интервью посредством аудио- или видеосвязи аудитор должен убедиться в отсутствии шумов, помех и других факторов, влияющих на результативное проведение аудита. Время, затраченное на устранение технических проблем, не может быть учтено в объеме аудита.
В начале проведения интервью посредством видеосвязи аудитору следует оговорить правила (регламент) проведения интервью, с учетом возможного чувства дискомфорта, которое может испытывать интервьюируемый.
Во время перерывов членам группы аудита и представителям проверяемой организации следует отключать аудио- или видеосвязи с целью обеспечения конфиденциальности.
Если в ходе сбора и проверки информации становится очевидным, что применяемые дистанционные методы аудита и информационно-коммуникационные технологии не позволяют получить необходимый объем достоверной и надежной информации для достижения целей аудита, руководитель группы аудиторов должен сообщить об этом факте заказчику аудита и проверяемой организации для принятия решения о дальнейших действиях.
6.4.8 Формирование выводов по аудиту
При формировании выводов по аудиту следует учитывать влияние на их надежность факта применения методов дистанционного аудита и информационно-коммуникационных технологий.
6.4.9 Подготовка заключений по аудиту
6.4.9.1 Подготовка к заключительному совещанию
Аудиторская группа при подготовке к заключительному совещанию, дополнительно к требованиям ГОСТ Р ИСО 19011, должна оценить влияние на надежность заключений по аудиту факта применения методов дистанционного аудита и информационно-коммуникационных технологий.
6.4.9.2 Содержание заключений по аудиту
Заключения по аудиту должны содержать идентификацию примененных методов дистанционного аудита и информационно-коммуникационных технологий и оценку их влияния на надежность заключений по аудиту.
6.4.10 Проведение заключительного совещания
В ходе заключительного совещания следует дополнительно рассмотреть следующие вопросы:
а) примененные методы дистанционного аудита и информационно-коммуникационные технологии;
б) вопросы конфиденциальности и безопасности данных;
в) порядок дальнейшего хранения и последующего уничтожения данных, дополнительно возникающих вследствие применения методов дистанционного аудита и информационно-коммуникационных технологий;
г) результаты оценки влияния применения методов дистанционного аудита и информационно-коммуникационных технологий на надежность выводов и заключений по результатам аудита.
6.5 Подготовка и рассылка отчета по аудиту
6.5.1 Подготовка отчета по аудиту
Отчет по аудиту в дополнение к ГОСТ Р ИСО 19011 должен содержать следующее:
а) идентификацию примененных методов дистанционного аудита и информационно-коммуникационных технологий;
б) обязательства по вопросам конфиденциальности и безопасности данных;
в) результаты оценки влияния применения методов дистанционного аудита и информационно-коммуникационных технологий на надежность выводов и заключений по результатам аудита.
6.5.2 Рассылка отчета по аудиту
Отчет по аудиту может быть разослан соответствующим заинтересованным сторонам с использованием информационно-коммуникационных технологий (например, посредством электронной почты) при условии соблюдения требований по конфиденциальности и безопасности данных.
6.6 Завершение аудита
Документированную информацию, дополнительно возникшую в связи с применением методов дистанционного аудита, следует уничтожить в порядке, согласованном с соответствующими заинтересованными сторонами.
Уроки, извлеченные из применения методов дистанционного аудита и информационно-коммуникационных технологий, необходимо использовать для идентификации рисков и возможностей для программы аудита и проверяемой организации.
6.7 Выполнение последующих действий по результатам аудита
Если по результатам аудита возникла необходимость корректирующих, предупреждающих действий и/или возможностей для улучшения, то для их разработки, внедрения и верификации допускается также применять методы дистанционного аудита и информационно-коммуникационные технологии, при условии соблюдения всех требований к их применению, изложенных выше.
7 Компетентность и оценка аудиторов
В процесс определения, обеспечения и оценки компетентности аудиторов следует включить вопросы, касающиеся:
а) владения соответствующими методами дистанционного аудита;
б) владения соответствующими информационно-коммуникационными технологиями;
в) знания соответствующих законодательных нормативных и правовых требований, требований заинтересованных сторон и других требований, касающихся применения методов дистанционного аудита;
г) знания рисков и возможностей, возникающих при применении методов дистанционного аудита и т.д.
Руководители группы аудита, помимо изложенного выше, должны владеть методами управления отдельными аудитами при применении методов дистанционного аудита и информационно-коммуникационных технологий.
Компетентность, требуемая от руководителя программы аудита, определена в 5.4.2.
Для оценки компетентности руководителя программы аудита и членов аудиторских групп допускается применять информационно-коммуникационные технологии.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Национальный стандарт РФ ГОСТ Р 59424-2021 "Руководящие указания по дистанционному проведению анализа состояния производства и аудита систем менеджмента" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 9 апреля 2021 г. N 194-ст)
Текст ГОСТа приводится по официальному изданию Стандартинформ, Москва, 2021 г.
Дата введения - 1 сентября 2021 г.