Сравнительный анализ ГОСТ Р ИСО 19011-2012 "Руководящие указания по аудиту систем менеджмента" и ГОСТ Р ИСО 19011-2021 "Оценка соответствия. Руководящие указания по проведению аудита систем менеджмента" (специально для системы ГАРАНТ, октябрь 2021 г.)

Приложение А (справочное). Руководящие указания и пояснительные примеры в отношении специальных знаний и навыков аудиторов в области отдельных дисциплин менеджмента
Приложение В (справочное). Дополнительное руководящее указание для аудиторов по планированию и проведению аудитов

Сравнительный анализ ГОСТ Р ИСО 19011-2012 "Руководящие указания по аудиту систем менеджмента" и ГОСТ Р ИСО 19011-2021 "Оценка соответствия. Руководящие указания по проведению аудита систем менеджмента"

Национальный стандарт РФ ГОСТ Р ИСО 19011-2012 "Руководящие указания по аудиту систем менеджмента" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 19 июля 2012 г. N 196-ст) и Национальный стандарт РФ ГОСТ Р ИСО 19011-2021 "Оценка соответствия. Руководящие указания по проведению аудита систем менеджмента" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 21 апреля 2021 г. N 261-ст)

Сравнение представлено в виде таблицы, где:

-в левом столбце таблицы расположен полный текст - Национальный стандарт РФ ГОСТ Р ИСО 19011-2012 "Руководящие указания по аудиту систем менеджмента" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 19 июля 2012 г. N 196-ст)

-в правом столбце таблицы расположен текст - Национальный стандарт РФ ГОСТ Р ИСО 19011-2021 "Оценка соответствия. Руководящие указания по проведению аудита систем менеджмента" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 21 апреля 2021 г. N 261-ст)

Для выявления различий в сравниваемых текстах введена цветовая градация:

-черным цветом отмечены неизмененные фрагменты текста, а также фрагменты текста, в которых не произошло значимых изменений;

-красным цветом отмечены удаленные или измененные(переработанные) фрагменты текста в левом столбце;

-синим цветом - отмечены удаленные или измененные(переработанные) фрагменты текста в правом столбце.

Национальный стандарт РФ ГОСТ Р ИСО 19011-2012	Национальный стандарт РФ ГОСТ Р ИСО 19011-2021
"Руководящие указания по аудиту систем менеджмента"	"Оценка соответствия. Руководящие указания по проведению аудита систем менеджмента"
(утв. приказом Федерального агентства по техническому регулированию и метрологии от 19 июля 2012 г. N 196-ст)	(утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 21 апреля 2021 г. N 261-ст)
Guidelines for auditing management systems	Conformity assessment. Guidelines for auditing management systems
	ОКС 03.120.20
Дата введения - 1 февраля 2013 г.	Дата введения - 1 июля 2021 г.
Взамен ГОСТ P ИСО 19011-2003	Взамен ГОСТ Р ИСО 19011-2012

Предисловие	Предисловие
Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"	1 Подготовлен Федеральным автономным учреждением "Национальный институт аккредитации" (ФАУ НИА) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
	2 Внесен Техническим комитетом по стандартизации ТК 079 "Оценка соответствия"
	3 Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 21 апреля 2021 г. N 261-ст
	4 Настоящий стандарт идентичен международному стандарту ИСО 19011:2018 "Руководящие указания по проведению аудитов систем менеджмента" (ISO 19011:2018 "Guidelines for auditing management systems", IDT).
	Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5)
	5 Взамен ГОСТ Р ИСО 19011-2012

Введение

После публикации в 2002 году первого издания настоящего стандарта появилось множество публикаций новых стандартов по системам менеджмента.

С момента публикации второго издания стандарта в 2011 г. выпущен ряд новых стандартов на системы менеджмента, многие из которых имеют общую структуру, идентичные основные требования и общие термины и определения.

В результате возникла необходимость в рассмотрении более широкой области применения для аудитов систем менеджмента, так же, как и в предоставлении соответствующих руководящих указаний, которые стали более универсальными, с тем чтобы их было можно применять для различных областей (дисциплин) менеджмента.

В результате возникла необходимость рассмотреть расширенный подход к проведению аудита систем менеджмента, а также предоставить организациям руководящие указания более общего характера. Результаты аудита могут обеспечить входные данные для аналитической стороны бизнес-планирования а также могут внести вклад в определение потребностей в улучшении и деятельности.

В 2006 году комитет ИСО по оценке соответствия (КАСКО) разработал ИСО/МЭК 17021, устанавливающий требования для сертификации систем менеджмента третьей стороной, в котором нашли отражение руководящие указания, содержащиеся в первом издании настоящего стандарта.

Аудит можно проводить по целому ряду критериев, взятых в отдельности или в сочетании, включая, но не ограничивая, следующие:

Второе издание ИСО/МЭК 17021, опубликованное в 2011 году, было расширено, с тем чтобы трансформировать руководящие указания, предложенные в настоящем стандарте, в требования к сертификационным аудитам для систем менеджмента. В связи с этим второе издание настоящего стандарта предоставляет руководящие указания для всех пользователей, включая организации малого и среднего бизнеса, и делает основной акцент на том, что общепринято называть "внутренними аудитами" (аудиты первой стороны) и "аудитами со стороны потребителей своих поставщиков" (аудиты второй стороны). В то время как стороны, принимающие участие в проведении сертификационных аудитов систем менеджмента, руководствуются требованиями ИСО/МЭК 17021:2011, для них могут также оказаться полезными руководящие указания, приведенные в настоящем стандарте.

- требования, определенные в одном или нескольких стандартах на системы менеджмента;

Взаимосвязь между вторым изданием настоящего стандарта и ИСО/МЭК 17021:2011 приведена в таблице 1.

- политики и требования, установленные соответствующими заинтересованными сторонами;

- законодательные и нормативные правовые требования;

- один или несколько процессов системы менеджмента, определенные организацией и другими сторонами;

- план(ы) системы менеджмента, касательно обеспечения конкретных результатов системы менеджмента (например, план качества, план проекта).

Настоящий стандарт обеспечивает руководящие указания для организаций всех размеров и типов и для аудита различных областей и масштабов, включая аудиты, выполняемые большими аудиторскими группами, обычно для более крупных организаций, а также аудиты, выполняемые одним аудитором как для мелких, так и для крупных организаций. Эти руководящие указания следует адаптировать по области, сложности и масштабу программы аудита.

Данный стандарт уделяет особое внимание "внутренним аудитам" (аудит первой стороны) и аудитах, проводимых организациями у своих внешних поставщиков и иных внешних заинтересованных сторон (аудиты второй стороны).

Данный стандарт также можно использовать для внешнего аудита, выполняемого с целью, отличной от сертификации систем менеджмента третьей стороной. В стандарте ИСО/МЭК 17021-1 представлены требования к аудиту систем менеджмента для сертификации третьей стороной; данный стандарт может также представить дополнительные полезные руководящие указания (см. таблицу 1).

Таблица 1 - Область применения настоящего стандарта и его взаимосвязь с ИСО/МЭК 17021:2011

Таблица 1 - Различные типы аудита

Внутренний аудит

Внешний аудит

Аудит поставщика

Аудит третьей стороны

Иногда называемый "аудитом первой стороны"

Иногда называемый "аудитом второй стороны"

В целях проверки соблюдения законодательства и аналогичных целей

Для проведения сертификации (см. также требования ИСО/МЭК 17021:2011)

Аудит первой стороны	Аудит второй стороны	Аудит третьей стороны
Внутренний аудит	Аудит внешнего поставщика	Аудит для сертификации и/или аккредитации
-	Аудит другой внешней заинтересованной стороны	Аудит соблюдения законодательства, нормативных правовых требований и аналогичных целей

Настоящий стандарт не устанавливает требований, а содержит руководящие указания по управлению программой аудита, планированию и проведению аудита системы менеджмента, а также по вопросам компетентности и оценивания аудитора и группы по аудиту.

Для упрощения понимания текста данного стандарта предпочтительно употребление "система менеджмента" в единственном числе, при этом пользователь может адаптировать внедрение руководящих указаний к своей собственной ситуации. Это касается также выражений "физическое лицо" и "физические лица", "аудитор" и "аудиторы".

Организации в рамках своей деятельности могут использовать несколько документированных систем менеджмента. Для того, чтобы не усложнять текст настоящего стандарта, предпочтительно употребление "система менеджмента" в единственном числе, но каждый конкретный читатель может адаптировать внедрение положений настоящего стандарта применительно к своей собственной конкретной ситуации. Это также применимо к использованию терминов "лицо" и "лица", "аудитор" и "аудиторы".

Настоящий стандарт предназначен для использования широким кругом потенциальных пользователей, включая аудиторов организации, внедряющие системы менеджмента, и организации, в которых необходимо провести аудиты по системам менеджмента согласно договорным или нормативным правовым требованиям. Пользователи данного стандарта могут, в то же время, применять эти руководящие указания для разработки своих собственных требований, касающихся аудита.

Настоящий стандарт предназначен для широкого круга потенциальных пользователей, включающих в себя аудиторов, организации, внедряющие системы менеджмента, и организации, нуждающиеся в проведении аудитов систем менеджмента согласно контрактным или другим обязательствам. При этом пользователи настоящего стандарта могут применять настоящие руководящие указания при разработке своих собственных требований, относящихся к аудиту.

Руководящие указания, приведенные в данном стандарте, также можно использовать для декларирования о соответствии, они могут быть полезными для организаций, занимающихся обучением аудиторов или сертификации персонала.

Руководящие указания, содержащиеся в настоящем стандарте, могут использоваться для целей, связанных с декларированием соответствия, а также могут быть полезными для организаций, участвующих в деятельности по подготовке аудиторов или сертификации персонала.

Руководящие указания в настоящем стандарте довольно гибкие. Как указано в различных пунктах по тексту, их использование может различаться в зависимости от размера и уровня развития системы менеджмента организации. Также принимается во внимание характер и сложность организации, подвергаемой аудиту, а также цели и область аудита.

Руководящие указания, содержащиеся в настоящем стандарте, не устанавливают жестких рамок и допускают гибкость в своем применении. Как указано в пунктах по тексту настоящего стандарта, применение настоящих руководящих указаний может различаться в зависимости от размера, уровня развития и совершенства системы менеджмента организации, от характера деятельности и сложности проверяемой организации, а также от целей и области применения проводимых аудитов.

Настоящий стандарт распространяется также на подход к комбинированному аудиту, в случае, когда проверяются две или более систем менеджмента в различных областях совместно. Там, где несколько систем менеджмента объединены в одну систему, принципы и процессы аудита будут такие же, как при проведении комбинированного аудита (иногда называемого интегрированным аудитом).

Настоящий стандарт вводит понятие риска применительно к аудиту систем менеджмента. Применяемый здесь подход относится как к рискам, связанным с недостижением процессом аудита поставленных целей, так и к рискам, связанным с возможностью помешать осуществлению деятельности и процессов проверяемой организации из-за проведения мероприятий по аудиту. При этом не дается отдельного руководства по процессу управления рисками для организации, но признается то, что при проведении аудита организации могут сосредоточить свои усилия на наиболее важных вопросах для системы менеджмента.

Данный стандарт обеспечивает руководящие указания по управлению программой аудита, по планированию и проведению аудитов систем менеджмента, а также по компетентности и оценке аудитора и аудиторской группы.

Настоящим стандартом принимается подход, называемый "комплексным аудитом", при котором две или несколько систем менеджмента, охватывающие различные аспекты менеджмента, проверяются совместно. В случаях, когда эти системы интегрированы в одну систему менеджмента, принципы и процессы проведения аудита будут такими же, как и для комплексного аудита.

Раздел 3 устанавливает ключевые термины и определения, используемые в настоящем стандарте. Были предприняты все усилия для того, чтобы эти определения не вступали в противоречия с определениями, используемыми в других стандартах.

Раздел 4 описывает принципы, на которых базируется процесс аудита. Эти принципы помогают пользователю понять суть процесса аудита и важны для понимания указаний, представленных в разделах 5-7.

Раздел 5 содержит руководящие указания по разработке и управлению программами аудита, по постановке целей программ аудита и координаций мероприятий, выполняемых при проведении аудита.

Раздел 6 содержит руководящие указания по планированию и проведению аудита системы менеджмента.

Раздел 7 содержит руководящие указания, относящиеся к компетентности и оценке аудиторов систем менеджмента и групп по аудиту.

Приложение А поясняет применение содержащихся в разделе 7 руководящих указаний для различных аспектов менеджмента.

Приложение В содержит дополнительное руководство для аудиторов по планированию и проведению аудитов.

1 Область применения	1 Область применения
Настоящий стандарт содержит руководящие указания по аудиту систем менеджмента, включая принципы аудита, управление программами аудита и проведение аудитов системы менеджмента, а также указания по оценке компетентности лиц, участвующих в процессе аудита, включая аудиторов, группы по аудиту и лиц, отвечающих за управление программой аудита.	В настоящем стандарте представлены руководящие указания по проведению аудита систем менеджмента, включая принципы проведения аудита, управление программой аудита и проведение аудитов систем менеджмента, а также руководящие указания по оценке компетентности лиц, участвующих в процессе аудита, включая деятельность лица (лиц), осуществляющего управление программой аудита, аудиторов и аудиторских групп.
Настоящий стандарт предназначен для всех организаций, которым необходимо проводить внутренние или внешние аудиты систем менеджмента или управлять программой аудита.	Стандарт применим ко всем организациям, которым необходимо планировать и проводить внутренний или внешний аудит систем менеджмента или управлять программой аудита.
Положения настоящего стандарта могут применяться и для других типов аудита при условии, что будет уделено особое внимание вопросам, связанным с требуемым для этих целей уровнем специальной компетентности.	Положения настоящего стандарта могут применяться и для других типов аудита при условии, что будет уделено особое внимание вопросам, связанным с требуемым для этих целей уровнем специальной компетентности.

2 Нормативные ссылки	2 Нормативные ссылки
В данном разделе не приведены нормативные ссылки.	Нормативные ссылки в данном стандарте отсутствуют.
Он включен для сохранения идентичности нумерации разделов настоящего стандарта с другими стандартами ИСО на системы менеджмента.

3 Термины и определения	3 Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями:	В настоящем стандарте применены следующие термины и определения.
	Организации ИСО и МЭК ведут терминологические базы данных для применения в стандартизации по следующим ссылкам:
	- онлайн-платформа ISO: https://www.iso.org/obp.
	- IEC Electropedia: https://www.electropedia.org/

3.1 аудит (audit): Систематический, независимый и документируемый процесс получения свидетельств аудита (3.3) и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита (3.2).	3.1 аудит (audit): Систематический, независимый и документированный процесс установления объективного свидетельства (3.8) и его объективного оценивания для получения степени соответствия критериям аудита (3.7).
Примечания	Примечания
1 Внутренние аудиты, иногда называемые "аудитами первой стороны", проводятся самой организацией или от ее имени для анализа со стороны руководства или других внутренних целей (например, для подтверждения намеченных показателей результативности системы менеджмента или для получения информации по улучшению системы менеджмента) и могут служить основанием для декларации о соответствии. Во многих случаях, особенно в малых организациях, независимость при аудите может быть продемонстрирована отсутствием ответственности за деятельность, которая подвергается аудиту, или беспристрастностью и отсутствием конфликта интересов.	1 Внутренние аудиты, иногда называемые "аудитами первой стороны", проводятся обычно самой организацией или от ее имени.
2 Внешние аудиты включают в себя аудиты, называемые "аудитами второй стороны" и "аудитами третьей стороны". Аудиты второй стороны проводят стороны, заинтересованные в деятельности организации, например, потребители или другие лица от их имени. Аудиты третьей стороны проводят внешние независимые организации, такие как регулирующие или надзорные органы или организации, проводящие регистрацию или сертификацию.	2 Внешние аудиты включают так называемые "аудиты второй стороны" и "аудиты третьей стороны". Аудиты второй стороной проводятся сторонами, заинтересованными в деятельности организации, например, потребителями или другими лицами от их имени. Аудиты третьей стороны проводятся внешними независимыми аудиторскими организациями, такими, как организации, осуществляющие сертификацию/регистрацию соответствия или государственные органы.
3 Аудит двух или нескольких систем менеджмента для различных аспектов (например, качество, охрана окружающей среды, охрана труда), проводимый одновременно, называют "комплексным аудитом".
4 Если две или несколько проверяющих организаций объединяют свои усилия для проведения аудита одной проверяемой организации (3.7), такой аудит называют совместным.
5 Адаптировано из ИСО 9000:2005, статья 3.9.1.	[ИСО 9000:2015, 3.13.1, измененный - примечания также изменены]
	3.2 комплексный аудит (combined audit): Аудит (3.1), проводимый в одной проверяемой организации (3.13) для двух и более систем менеджмента (3.18) одновременно.
	Примечание - Если две или более систем менеджмента объединены в одну систему менеджмента, эту систему называют интегрированной системой менеджмента.
	[ИСО 9000:2015, 3.13.2, измененный]
	3.3 совместный аудит (joint audit): Аудит (3.1), проводимый в одной проверяемой организации (3.13) двумя и более проверяющими организациями.
	[ИСО 9000:2015, 3.13.3]
	3.4 программа аудита (audit programme): Мероприятия по проведению одного или нескольких аудитов (3.1), запланированные на конкретный период времени и направленные на достижение конкретной цели.
	[ИСО 9000:2015, 3.13.4, измененный - в определение добавлена формулировка]
	ГАРАНТ: (соответствует п.3.13 из левого столбца)
	3.5 область аудита (audit scope): Объем и границы аудита (3.1).
	Примечания
	1 Область аудита обычно включает в себя описание физических и виртуальных мест проведения аудита, функций, структурных единиц, видов деятельности и процессов, а также охваченный период времени.
	2 Виртуальное место проведения аудита - это место, где организация выполняет услуги, используя онлайн среду, разрешая физическим лицам, независимо от физического местоположения, исполнять процессы.
	[ИСО 9000:2015, 3.13.5, измененный - примечание 1 изменено, примечание 2 добавлено]
	ГАРАНТ: (соответствует п.3.14 из левого столбца)
	3.6 план аудита (audit plan): Описание действий и мероприятий по проведению аудита (3.1).
	[ИСО 9000:2015, 3.13.6]
	ГАРАНТ: (соответствует п.3.15 из левого столбца)

3.2 критерии аудита (audit criteria): Совокупность политик, процедур или требований, используемых в качестве эталона, в соотношении с которым сопоставляют свидетельства аудита (3.3), полученные при проведении аудита.	3.7 критерии аудита (audit criteria): Совокупность требований (3.23), используемых как основа для сравнения с ними объективного свидетельства (3.8).
Примечания	Примечания
1 Адаптировано из ИСО 9000:2005, статья 3.9.3.
2 В случае, если критериями аудита являются правовые требования (включая законодательные или другие обязательные требования), то в выводах (наблюдениях) аудита (3.4) часто используются термины "соответствующий" или "несоответствующий".	1 Если критерии аудита являются правовыми (включая законодательные или нормативные правовые) требованиями, слова "соответствие" и "несоответствие" часто используют в обнаружениях аудита (3.10).
	2 Требования могут включать политики, процедуры, рабочие инструкции, правовые требования, обязательства по контрактам и т.д.
	[ИСО 9000:2015, 3.13.7, измененный - изменено определение и добавлены примечания 1 и 2]
	3.8 объективное свидетельство (objective evidence): Данные, подтверждающие наличие или истинность чего-либо.
	Примечания
	1 Объективное свидетельство может быть получено путем наблюдения, измерения, испытания или другим способом.
	2 Объективное свидетельство для цели аудита (3.1) обычно включает записи, изложение фактов или другую информацию, которые имеют отношение к критериям аудита (3.7) и могут быть проверены.
	[ИСО 9000:2015, 3.8.3]

3.3 свидетельство аудита (audit evidence): Записи, изложение фактов или другая информация, которые связаны с критериями аудита (3.2) и могут быть проверены.	3.9 свидетельство аудита (audit evidence): Записи, изложение фактов или другая информация, связанные с критериями аудита (3.2) и перепроверены.
Примечание - Свидетельство аудита может быть качественным или количественным.
[ИСО 9000:2005, статья 3.9.4]	[ИСО 9000:2015, 3.13.8]

3.4 выводы (наблюдения) аудита (audit findings): Результаты оценки собранных свидетельств аудита (3.3) на соответствие критериям аудита (3.2).	3.10 обнаружения аудита (audit findings): Результаты оценивания собранных свидетельств аудита (3.9) по отношению к критериям аудита (3.7).
Примечания	Примечания
1 Выводы аудита указывают на соответствие или несоответствие.	1 Обнаружения аудита могут указывать на соответствие (3.20) или несоответствие (3.21).
2 Выводы аудита могут вести к идентификации возможностей для улучшения или отражению наилучших практик.	2 Обнаружения аудита могут помочь в идентификации рисков, возможностей для улучшения или записи общепризнанной надлежащей практики.
3 Если критерии аудита выбираются, исходя из правовых или других обязательных требований, то наблюдением (выводом) аудита определяется соответствие или несоответствие данным требованиям.	3 Если критерии аудита выбираются из законодательных или нормативных правовых требований, обнаружения аудита сводятся к соответствию или несоответствию.
4 Адаптировано из ИСО 9000:2005, статья 3.9.5.	[ИСО 9000:2015, 3.13.9, измененный - изменены примечания 2 и 3]

3.5 заключение по результатам аудита (audit conclusion): Выходные данные аудита (3.1) после рассмотрения целей аудита и всех выводов аудита (3.4).	3.11 заключение по результатам аудита (audit conclusion): Выход аудита (3.1) после рассмотрения целей аудита и всех обнаружений аудита (3.10).
Примечание - Адаптировано из ИСО 9000:2005, статья 3.9.6.	[ИСО 9000:2015, 3.13.10]

3.6 заказчик аудита (audit client): Организация или лицо, заказавшие аудит.	3.12 заказчик аудита (audit client): Организация или лицо, заказавшее аудит (3.1).
Примечания
1 В случае внутреннего аудита заказчиком аудита может быть проверяемая организация (3.7) или лицо, ответственное за управление программой аудита. Запросы, касающиеся проведения внешнего аудита, могут поступать из таких источников, как контролирующие органы, стороны, с которыми организация имеет контрактные отношения, или потенциальные заказчики.	Примечание - В случае внутреннего аудита заказчиком аудита также может быть проверяемая организация (3.13) или лицо (лица), несущее(ие) ответственность за управление программой аудита. Запросы на внешний аудит могут поступать от таких организаций, как регулирующие органы, стороны контракта, потенциальные или существующие заказчики.
2 Адаптировано из ИСО 9000:2005, статья 3.9.7.	[ИСО 9000:2015, 3.13.11, измененный - добавлено примечание 1]

3.7 проверяемая организация (auditee): Организация, подвергающаяся аудиту.	3.13 проверяемая организация (auditee): Организация, в целом или частями подвергающаяся аудиту.
[ИСО 9000:2005, статья 3.9.8]	[ИСО 9000:2015, 3.13.12, измененный]

3.8 аудитор (auditor): Лицо, которое проводит аудит (3.1).

3.9 группа по аудиту (audit team): Один или несколько аудиторов (3.8), проводящих аудит (3.1), при необходимости поддерживаемые техническими экспертами (3.15).	3.14 аудиторская группа (audit team): Один или несколько лиц, проводящих аудит (3.1), при необходимости, поддерживаемые техническими экспертами (3.16).
Примечания	Примечания
1 Один из аудиторов в группе по аудиту, как правило, назначается руководителем группы.	1 Один аудитор (3.15) из аудиторской группы (3.14) назначается руководителем группы.
2 Группа по аудиту может включать в себя аудиторов-стажеров.	2 Аудиторская группа может включать аудиторов-стажеров.
[ИСО 9000:2005, статья 3.9.10]	[ИСО 9000:2015, определение 3.13.14]
	3.15 аудитор (auditor): Лицо, которое проводит аудит (3.1).
	[ИСО 9000:2015, 3.13.15]

3.10 технический эксперт (technical expert): Лицо, обладающее специальными знаниями или опытом, необходимыми группе по аудиту (3.9).	3.16 технический эксперт (technical expert): Лицо, которое предоставляет специальные знания или опыт аудиторской группе (3.14).
Примечания	Примечания
1 Специальные знания или опыт включают в себя знания или опыт, относящиеся к организации, процессу или деятельности, подвергаемым аудиту, а также знание языка и культуры страны, в которой проводится аудит.	1 Специальные знания или опыт относятся к организации, процессам или деятельности, товарам, услугам, отрасли знаний, подвергаемым аудиту (3.1) или к языку и культуре.
2 Технический эксперт не имеет полномочий аудитора (3.8) в группе по аудиту.	2 Технический эксперт не имеет полномочий аудитора (3.14) в аудиторской группе (3.15).
[ИСО 9000:2005, статья 3.9.11]	[ИСО 9000:2015, 3.13.16, измененный - изменены примечания 1 и 2]

3.11 наблюдатель (observer): Лицо, сопровождающее группу по аудиту (3.9), но не проводящее аудит.	3.17 наблюдатель (observer): Лицо, сопровождающее аудиторскую группу (3.14), но не участвующее в аудите (3.15).
Примечания	[ИСО 9000:2015, 3.13.17, измененный]
1 Наблюдатель не входит в состав группы по аудиту (3.9) и не влияет или не вмешивается в проведение аудита (3.1).
2 Наблюдателем может быть представитель проверяемой организации (3.7), контролирующего органа или другой заинтересованной стороны, который наблюдает за проведением аудита (3.1).
	3.18 система менеджмента (management system): Совокупность взаимосвязанных или взаимодействующих элементов организации для разработки политик, целей, и процессов (3.24) для достижения этих целей.
	Примечания
	1 Система менеджмента может относиться к одному или нескольким аспектам деятельности, например, менеджмент качества, финансовый менеджмент или экологический менеджмент.
	2 Элементы системы менеджмента определяют структуру организации, роли и ответственность, планирование, функционирование, политики, практики, правила, убеждения, цели и процессы для достижения этих целей.
	3 Область применения системы менеджмента может охватывать всю организацию, определенные функции организации, определенные части организации, одну или более функций в группе организаций.
	[ИСО 9000:2015, определение 3.5.3, измененный - удалено примечание 4]
	ГАРАНТ: (соответствует п.3.20 из левого столбца)

3.12 сопровождающий (guide): Лицо, назначаемое проверяемой организацией (3.7) для оказания помощи и содействия группе по аудиту (3.9).

3.13 программа аудита (audit programme): Совокупность мероприятий по проведению одного или нескольких аудитов (3.1), запланированных на конкретный период времени и направленных на достижение конкретной цели.
Примечание - Адаптировано из ИСО 9000:2005, статья 3.9.3.
ГАРАНТ: (соответствует п.3.4 из правого столбца)

3.14 область аудита (audit scope): Содержание и границы аудита (статья 3.1).
Примечание - Область аудита обычно включает в себя местонахождение, организационную структуру, виды деятельности и процессы, а также охватываемый период времени.
[ИСО 9000:2005, статья 3.9.13]
ГАРАНТ: (соответствует п.3.5 из правого столбца)

3.15 план аудита (audit plan): Описание деятельности и мероприятий по проведению аудита (статья 3.1).
[ИСО 9000:2005, статья 3.9.12]
ГАРАНТ: (соответствует п.3.6 из правого столбца)

3.16 риск (risk): Воздействие неопределенности на достижение целей.	3.19 риск (risk): Влияние неопределенности.
	Примечания
	1 Влияние выражается в отклонении от ожидаемого результата - позитивном или негативном.
	2 Неопределенность является состоянием, связанным с недостатком, даже частично, информации, понимания или знания о событии, его последствиях или вероятности.
	3 Риск часто определяют по отношению к потенциальным событиям (как определено в Руководстве ИСО 73:2009, 3.5.1.3) и их последствиям (как определено в Руководстве ИСО 73:2009, 3.6.1.3), или к их комбинации.
	4 Риск часто выражается в терминах комбинации последствий события (включая изменения в обстоятельствах) и связанных с ними вероятностей (как определено в Руководстве ИСО 73:2009, 3.6.1.1) возникновения.
Примечание - Адаптировано из Руководства ИСО 73:2009, определение 1.1.	[ИСО 9000:2015, 3.7.9, измененный - удалены примечания 5 и 6]

3.17 компетентность (competence): Способность применять знания и навыки для достижения намеченных результатов.
Примечание - Под способностью понимается соответствующее применение и проявление личных качеств во время проведения аудита.

3.18 соответствие (conformity): Выполнение требования.	3.20 соответствие (conformity): Выполнение требования (3.23).
[ИСО 9000:2005, статья 3.6.1]	[ИСО 9000:2015, 3.6.11, измененный - удалено примечание 1]

3.19 несоответствие (nonconformity): Невыполнение требования.	3.21 несоответствие (nonconformity): Невыполнение требования (3.23).
[ИСО 9000:2005, статья 3.6.2]	[ИСО 9000:2015, 3.6.9, измененный - удалено примечание 1]
	3.22 компетентность (competence): Способность применять знания и умения для достижения намеченных результатов.
	[ИСО 9000:2015, 3.10.4, измененный - удалено примечание 1]

3.20 система менеджмента (management system): Система для разработки политики и целей и достижения этих целей.
Примечание - Система менеджмента организации может включать в себя различные системы менеджмента, такие как система менеджмента качества, система финансового менеджмента или система экологического менеджмента.
[ИСО 9000:2005, статья 3.2.2]
ГАРАНТ: (соответствует п.3.18 из правого столбца)
	3.23 требование (requirement): Потребность или ожидание, которое установлено, обычно предполагается или является обязательным.
	Примечания
	1 Слова "обычно предполагается" означают, что это общепринятая практика организации и заинтересованных сторон, что рассматриваемые потребности или ожидания предполагаются.
	2 Установленным является такое требование, которое определено, например, в документированной информации.
	[ИСО 9000:2015, 3.6.4, измененный - удалены примечания 3, 4, 5 и 6]
	3.24 процесс (process): Совокупность взаимосвязанных или взаимодействующих видов деятельности, использующая входы для получения намеченного результата.
	[ИСО 9000:2015, 3.4.1, измененный - удалены примечания]
	3.25 результаты деятельности (performance): Измеримый итог.
	Примечания
	1 Результаты деятельности могут относиться к количественным и качественным полученным данным.
	2 Результаты деятельности могут относиться к менеджменту действий, процессам (3.24), продукции, услугам, системам или организациям.
	[ИСО 9000:2015, 3.7.8, измененный - удалено примечание 3]
	3.26 результативность (effectiveness): Степень реализации запланированной деятельности и достижения запланированных результатов.
	[ИСО 9000:2015, 3.7.11, измененный - удалено примечание 1]

4 Принципы проведения аудита	4 Принципы проведения аудита
Процесс проведения аудита основан на соблюдении нескольких принципов. Эти принципы позволяют сделать аудит результативным и надежным инструментом поддержания политики руководства и управления, обеспечивая получение информации, на основе которой организация может улучшать характеристики своей деятельности. Соблюдение этих принципов является необходимым условием для предоставления объективных и достаточных заключений по результатам аудита и позволяет аудиторам, работающим независимо друг от друга, приходить к аналогичным заключениям при одних и тех же обстоятельствах.	Процесс проведения аудита основан на соблюдении нескольких принципов. Эти принципы помогают аудиту быть результативным и надежным инструментом следования политике менеджмента и использования средств контроля, обеспечивая информацией, на основе которой организация может улучшать результаты своей деятельности. Приверженность этим принципам является предпосылкой для получения заключений аудита, соответствующих, и достаточных для того, чтобы аудиторы, работающие независимо друг от друга, делали аналогичные заключения в аналогичных обстоятельствах.
Руководящие указания, приведенные в разделах 5-7, базируются на следующих шести принципах.	Руководящие указания, приведенные в разделах 5-7, основаны на семи следующих принципах.
а) Целостность (integrity) - основа профессионализма.	a) Честность: основа профессионализма
Аудиторам и лицам, управляющим программой аудита, следует:	Аудиторам и руководителю программы аудита следует:
- выполнять свою работу честно, старательно и ответственно;	- выполнять свою работу честно, старательно и ответственно;
- соблюдать и относиться с уважением к любым применяемым законодательным требованиям;
- демонстрировать свою техническую компетентность при выполнении работы;	- проводить аудит только тогда, когда это позволяет их компетентность;
- выполнять свою работу беспристрастно, оставаться честными и непредвзятыми во всех своих действиях;	- выполнять свою работу беспристрастно, т.е. оставаться справедливым и непредубежденным во всех своих действиях;
- быть осмотрительными и не поддаваться каким-либо влияниям, которые могут оказывать на их суждения или выводы другие заинтересованные стороны.	- быть осмотрительным к любым влияниям, которые могут быть оказаны на их мнения при выполнении аудита.
b) Беспристрастность (fair presentation) - обязательство предоставлять правдивые и точные отчеты.	b) Беспристрастное представление: обязательство представлять правдивые и точные отчеты
В выводах (наблюдениях) аудитов, заключениях по результатам аудита и отчетах следует отражать деятельность по аудиту правдиво и точно. Неразрешенные проблемы и разногласия между группой по аудиту и проверяемой организацией следует отражать в отчетах. Обмен информацией должен быть правдивым, точным, объективным, своевременным, понятным и полным.	В обнаружениях аудита, заключениях и отчетах по аудиту следует правдиво и точно отражать действия по аудиту. Существенные препятствия, встреченные в процессе аудита, а также неразрешенные мнения и разногласия между аудиторской группой и проверяемой организацией следует отражать в отчетах. Сообщения должны быть правдивыми, точными, объективными, своевременными, четкими и полными.
c) Профессиональная осмотрительность (due professional care) - прилежание и умение принимать правильные решения при проведении аудита.	c) Должная профессиональная осмотрительность: прилежание и обдуманность решений при проведении аудита
Профессиональная осмотрительность аудиторов соответствует важности выполняемого задания и доверительности со стороны заказчика аудита и других заинтересованных сторон. Важным фактором при выполнении аудиторами своей работы с профессиональной осмотрительностью является способность принимать обоснованные решения в любых ситуациях в ходе выполнения аудита.	Аудиторам следует проявлять должную тщательность в соответствии с важностью задачи, которую они выполняют, и доверием, которое им оказывает заказчик аудита и другие заинтересованные стороны. Важным фактором в выполнении их работы с должной профессиональной тщательностью является способность принимать обдуманные решения в любых ситуациях в процессе аудита.
d) Конфиденциальность (confidentiality) - сохранность информации.	d) Конфиденциальность: защита информации
Аудиторы должны проявлять осмотрительность при использовании и обеспечении защиты и сохранности информации, полученной ими при проведении аудита. Информация, полученная при проведении аудита, не должна использоваться ненадлежащим образом для получения личной выгоды аудитором или заказчиком аудита или способом, наносящим ущерб законным интересам проверяемой организации. Соблюдение этого принципа включает в себя надлежащее обращение с конфиденциальной или классифицированной информацией.	Аудиторам следует проявлять осторожность при использовании и защите информации, полученной в ходе выполнения своих обязанностей. Информацию, полученную при аудите, не следует использовать в корыстных целях аудитора или заказчика аудита, либо таким способом, который нанесет ущерб законным интересам проверяемой организации. Эта концепция включает надлежащее обращение с конфиденциальной и требующей особого отношения информацией.
e) Независимость (independence) - основа беспристрастности и объективности заключений по результатам аудита.	e) Независимость: основа беспристрастности аудита и объективности заключений аудита
Аудиторы должны быть независимыми от проверяемой деятельности во всех случаях, когда это осуществимо, и всегда выполнять свою работу таким образом, чтобы быть свободными от предубеждений и конфликта интересов. При проведении внутренних аудитов аудиторы должны быть независимыми от руководителей подразделений и направлений деятельности, которые они проверяют. Аудиторы должны сохранять объективное мнение в течение всего процесса аудита для обеспечения того, чтобы выводы и заключения аудита основывались только на свидетельствах аудита.	Аудиторам следует быть независимыми от деятельности, подлежащей аудиту всегда, где это осуществимо, и во всех случаях действовать независимо от пристрастий и конфликта интересов. При проведении внутренних аудитов аудиторам следует быть независимыми от проверяемых функций, если это осуществимо. Аудиторам следует сохранять объективность в процессе аудита, чтобы обеспечить уверенность, что обнаружения и заключения аудита основаны только на свидетельствах аудита.
Для малых организаций может оказаться невозможным обеспечение независимости внутренних аудиторов от проверяемой ими деятельности, однако следует предпринять все возможные усилия для исключения какой бы то ни было заинтересованности и обеспечения объективного рассмотрения проверяемой деятельности.	Для небольших организаций невозможно обеспечить, чтобы внутренние аудиторы были полностью независимыми от деятельности, подвергаемой аудиту, однако следует приложить все силы, чтобы избежать предвзятости и соблюсти объективность.
f) Подход, основанный на свидетельстве (evidence-based approach), - разумная основа для достижения надежных и воспроизводимых заключений аудита в процессе систематического аудита.	f) Подход, основанный на свидетельстве: рациональный метод достижения надежных и воспроизводимых заключений аудита в систематическом процессе аудита
Свидетельство аудита должно быть проверяемым. Оно основано на выборках имеющейся информации, поскольку аудит осуществляется в ограниченный период времени и с ограниченными ресурсами. Соответствующее использование выборок тесно связано с доверием, с которым относятся к заключениям по результатам аудита.	Свидетельство аудита должно быть проверяемым. Оно, в общем, должно быть основано на выборках имеющейся информации, поскольку аудит проводится в ограниченный период времени и с ограниченными ресурсами. Следует применять соответствующие выборки, так как это связано с уровнем доверия к заключению по аудиту.
	g) Риск-ориентированный подход: подход, учитывающий риски и возможности
	Риск-ориентированный подход должен оказывать существенное влияние на планирование, проведение и отчетность по аудитам, чтобы обеспечить уверенность, что аудит сфокусирован на вопросах, имеющих значение для заказчика аудита и для достижения целей программы аудита.

5 Управление программой аудита

5.1 Общие положения	5.1 Общие положения
Организации, которой требуется проводить аудиты, следует подготовить программу аудита, позволяющую определять результативность системы менеджмента данной организации.
Программа аудита может включать в себя аудиты, охватывающие один или несколько стандартов по системам менеджмента, проводимые по отдельности или в каком-либо сочетании.	Следует разработать программу аудита, которая может включать аудиты, ориентированные на один или несколько стандартов на системы менеджмента или иные требования, проводимые либо отдельно, либо в совокупности (комбинированный аудит).
Высшее руководство должно обеспечить, чтобы цели программы аудита были установлены, и назначить одно или несколько компетентных лиц, ответственных за управление программой аудита.
Объем и содержание программы аудита должны зависеть от размера и характера деятельности проверяемой организации, а также от специфики, сложности и степени зрелости системы менеджмента, подлежащей аудиту.	Объем программы аудита следует устанавливать, исходя из размера и характера проверяемой организации, а также из характера, функциональности, сложности, типа рисков и возможностей, и уровня развития систем(ы) менеджмента, подлежащих(ей) аудиту.
Основное внимание следует уделить адекватному распределению ресурсов программы аудита для проведения аудита наиболее важных элементов системы менеджмента. Они могут включать в себя ключевые характеристики качества продукции, опасности, связанные с охраной здоровья и техникой безопасности, или важные экологические аспекты и управление ими.	Функциональность системы менеджмента может оказаться даже более сложной, когда большинство важных функций отдано сторонним исполнителям и управляются под руководством других организаций. Особое внимание следует обратить на то, где именно принимаются наиболее важные решения и как формируется высшее руководство системы менеджмента.
Примечание - Данный подход широко известен как проведение аудитов на основе рисков. Настоящий стандарт не дает дальнейших руководящих указаний по проведению аудитов на основе рисков.	В том случае, если у организации имеется несколько мест/площадок (например, в разных странах) или в случае, когда большинство важных функций отдано сторонним исполнителям и управляются под руководством других организаций, особое внимание следует обратить на проектирование, планирование и валидацию программы аудита.
	В случае организаций меньшего масштаба или менее сложных организаций программа аудита может быть сокращена соответствующим образом.
	Чтобы понять среду проверяемой организации, программа аудита должна принять во внимание:
	- цели организации;
	- соответствующие внешние и внутренние факторы;
	- потребности и ожидания соответствующих заинтересованных сторон;
	- требования к защите и конфиденциальности информации.
	Планирование программы внутреннего аудита и, в некоторых случаях программы аудита внешних поставщиков, может способствовать достижению иных целей для организации.
	Лицо(а), осуществляющее(ие) управление программой аудита, должно(ы) обеспечить целостность аудита и отсутствие постороннего влияния, оказываемого на аудит.
	Приоритет следует отдать распределению ресурсов и методов к вопросам в системе менеджмента, связанным с более высоким риском и более низким уровнем итогов деятельности.
	Для управления программой аудита должны выбираться компетентные работники.
Программа аудита должна включать в себя информацию и ресурсы, необходимые для организации аудитов и их результативного и эффективного проведения в установленные временные сроки, а также может включать в себя следующее:	Программа аудита должна включать информацию и определять ресурсы, необходимые для организации и эффективного и результативного проведения аудита в рамках установленного времени. Информация должна включать:
- цели для программы аудита и отдельных аудитов;	a) цели программы аудита;
	b) риски и возможности, связанные с программой аудита (см. 5.3), и действия по обращению с ними;
- объем/количество/типы/места проведения и график проведения аудитов;	c) объем (глубина охвата, границы места проведения) каждого аудита в рамках программы аудита;
- процедуры программы аудита;	d) график (число/продолжительность/частота проведения) аудитов;
	e) типы аудитов, например внутренний или внешний;
- критерии аудита;	f) критерии аудита;
- методы аудита;	g) методы аудита, которые должны применяться;
- формирование группы (групп) по аудиту;	h) критерии для выбора членов аудиторской группы;
- необходимые ресурсы, включая расходы на командировки и размещение аудиторов;	i) соответствующая документированная информация.
- процессы, связанные с соблюдением конфиденциальности, обеспечением защиты информации и другие подобные вопросы.
Необходимо осуществлять мониторинг и измерения, связанные с внедрением программы аудита, для обеспечения достижения поставленных целей. Для того чтобы идентифицировать возможные улучшения, программу аудита следует анализировать.	Некоторые из этих сведений могут быть недоступны до тех пор, пока не будет завершено более детальное планирование аудита.
	Для достижения целей программы аудита ее выполнение следует подвергать мониторингу и измерениям (см. 5.6). Программу аудита следует анализировать, чтобы определить необходимость внесения изменений и потенциальные возможные улучшения (см. 5.7).
На рисунке 1 представлена последовательность процессов управления программой аудита.	Рисунок 1 иллюстрирует последовательность операций процесса управления программой аудита.
	Примечания
	1 Этот рисунок иллюстрирует применение цикла Планирование - Исполнение - Проверка - Принятие необходимых мер в данном стандарте.
	2 Нумерация раздела/подраздела относится к соответствующим разделам/подразделам данного стандарта.

Рисунок 1 - Последовательность процессов управления программой аудита	Рисунок 1 - Схема последовательности действий для управления программой аудита
ГАРАНТ: Примечание: Рисунки совершенно разные	ГАРАНТ: Примечание: Рисунки совершенно разные
Примечания
1 Рисунок 1 также показывает применение цикла PDCA (планирование - выполнение - проверка - действие) в настоящем стандарте.
2 Нумерация разделов/подразделов приводится в соответствии с разделами/подразделами настоящего стандарта.

5.2 Разработка целей программы аудита	5.2 Постановка целей программы аудита
Высшему руководству следует обеспечить разработку целей программы аудита, для того чтобы руководить планированием и проведением аудитов, ему также следует обеспечить результативное внедрение программы аудита. Цели программы аудита должны согласовываться и содействовать реализации политики и целей системы менеджмента.	Заказчику аудита следует обеспечить постановку целей, чтобы определить направления планирования и проведения аудита, а также следует обеспечить эффективное исполнение программы. Цели программы аудита должны согласовываться со стратегией развития заказчика аудита и поддерживать политику и цели системы менеджмента заказчика аудита.
Цели могут быть основаны на рассмотрении следующего:	Эти цели могут быть основаны на рассмотрении следующих вопросов:
a) приоритетов руководства;	а) потребности и ожидания соответствующих заинтересованных сторон, как внешних, так и внутренних;
b) коммерческих и/или деловых намерений;
c) характеристик процессов, продуктов и проектов, а также любых изменений к ним;	b) характеристики и требования к процессам, продукции, услугам и проектам, и всем изменениям в этих характеристиках и требованиях;
d) требований системы (систем) менеджмента;	c) требования систем менеджмента;
e) правовых и других требований, которые организация принимает на себя;
f) необходимости в оценке поставщиков;	d) необходимость оценки внешних поставщиков;
g) потребностей и ожиданий заинтересованных сторон (включая потребителей);	е) уровень результатов деятельности проверяемой организации и уровень развития систем(ы) менеджмента, отражаемого соответствующими индикаторами (показателями) результатов деятельности (например, ключевые показатели деятельности, KPI), возникновение несоответствий или случаев отказа, инцидентов или жалоб заинтересованных сторон;
h) показателей и характеристик деятельности проверяемой организации, что отражается в случаях возникновения нарушений, дефектов, инцидентов или жалоб потребителей;	f) идентифицированные риски и возможности проверяемой организации;
i) рисков для проверяемой организации;
j) результатов предыдущих аудитов;	g) результаты предыдущих аудитов.
к) уровня достигнутого развития системы менеджмента.
Примеры целей программы аудита могут включать в себя следующее:	Примеры целей программы аудита включают следующее:
- содействие улучшению системы менеджмента и ее характеристик;	- выяснить возможности улучшения системы менеджмента и ее результатов;
	- оценить способность проверяемой организации установить свою среду;
	- оценить способность проверяемой организации определять риски и возможности, а также вырабатывать, и осуществлять действия по эффективному обращению с ними;
	- соответствовать всем уместным требованиям, например нормативным правовым требованиям, обязательствам о соответствии, требованиям к сертификации соответствия стандарту на систему менеджмента;
- выполнение внешних требований, например сертификации, на соответствие требованиям стандарта системы менеджмента;	- получить и поддерживать уверенность в возможностях внешнего поставщика;
- проверку соответствия контрактным требованиям;	- определить постоянную пригодность, адекватность и результативность системы менеджмента проверяемой организации;
- получение или поддержание уверенности в возможностях поставщика;
- оценку совместимости и согласованности целей системы менеджмента с политикой системы менеджмента и общими бизнес-целями организации.	- оценить совместимость и согласованность целей системы менеджмента со стратегическим направлением развития организации.
	5.3 Определение и оценка рисков и возможностей для программы аудита
	Существуют риски и возможности, связанные со средой проверяемой организации, которые могут быть связаны с программой аудита и влиять на достижение ее целей. Руководителю программы аудита следует определить и представить заказчику аудита риски и возможности, учитываемые при разработке программы аудита и требований к ресурсам, так чтобы на них можно было соответствующим образом отреагировать. Могут существовать риски, связанные:
	a) с планированием, например неудачной постановкой соответствующих целей аудита и определением объема, числа, продолжительности, места проведения и графика аудитов;
	b) ресурсами, например отведением недостаточного периода времени, нехваткой оборудования и/или недостаточной подготовкой к разработке программы аудита или проведению аудита;
	c) выбором аудиторской группы, например недостаточной общей компетентностью для эффективного проведения аудитов;
	d) обменом информацией, например неэффективными процессами/каналами внешней/внутренней связи;
	е) исполнением программы, например неэффективной координацией аудитов в рамках программы аудита, или недоучетом защиты и конфиденциальности информации;
	f) контроль документированной информации, например неэффективное определение необходимой документированной информации, требующейся аудиторам и соответствующим заинтересованным сторонам, ненадежная защита записей аудита для демонстрации результативности программы;
	g) мониторингом, анализом и улучшением программы аудита, например неэффективным мониторингом выходов (результатов) программы аудита;
	h) доступностью и сотрудничеством с проверяемой организацией и доступностью свидетельств, которые должны быть отобраны.
	Возможности для улучшения программы аудита могут включать:
	- возможность проведения комплексного аудита за одно посещение;
	- минимизацию времени и расстояний доставки до места (проведения аудита);
	- обеспечение соответствия уровня компетентности аудиторской группы с уровнем компетентности, необходимым для достижения целей аудита;
	- совмещение дат проведения аудита с наличием на месте основного состава проверяемой организации.

5.3 Разработка программы аудита

5.4 Разработка программы аудита

5.3.1 Роль и ответственность лица, управляющего программой аудита	5.4.1 Роли и ответственности лица (лиц), осуществляющего(их) управление программой аудита
Лицу, управляющему программой аудита, следует:	Лицу(ам), осуществляющему(им) управление программой аудита, следует:
- установить объем программы аудита;	а) установить объем программы аудита в соответствии с поставленными целями (см. 5.2) и известными ограничениями;
- определить и оценить риски, связанные с программой аудита;	b) определить внешние и внутренние проблемы, риски и возможности, которые могут повлиять на программу аудита, и осуществить целенаправленные мероприятия, включив эти мероприятия в соответствующие виды аудиторской деятельности, в зависимости от рассматриваемого случая;
- определить обязанности по аудиту;	с) обеспечить выбор групп аудита, обладающих необходимой компетентностью для проведения аудита, определив их обязанности, ответственность и полномочия, и поддержку лидерства, по мере необходимости;
- определить процедуры программы аудита;	d) разработать все необходимые процессы, включая процессы:
	- для координации и планирования всех аудитов в рамках программы аудита;
	- разработки целей аудита, области применения и критериев, определения методов аудита и подбора аудиторской группы;
	- оценки аудиторов;
	- разработки внешних и внутренних процессов коммуникации, по мере необходимости;
	- разрешения споров и обращения с жалобами;
	- действий после аудита, если необходимо;
	- предоставления отчетов заказчику аудита и соответствующим заинтересованным сторонам, в зависимости от конкретного случая;
- определить необходимые ресурсы;	е) определить и обеспечить снабжение всеми необходимыми ресурсами;
- обеспечить внедрение программы аудита, включающее в себя определение целей аудита, области и критериев отдельных аудитов, определение методов аудита и формирование группы аудиторов;	f) обеспечить подготовку и хранение соответствующей документированной информации, включая записи по программе аудита;
- обеспечить управление и сохранность соответствующих записей по программе аудита;
- осуществлять мониторинг, анализ и улучшение программы аудита.	g) отслеживать, анализировать и улучшать программу аудита;
	h) предоставить программу аудита заказчику и, при необходимости, всем заинтересованным сторонам.
Лицу, на которое возложена ответственность за управление программой аудита, необходимо информировать высшее руководство о содержании и состоянии программы аудита и, при необходимости, получать его одобрение.	Лицу(ам), осуществляющему(им) управление программой аудита, следует запросить ее одобрение у заказчика аудита.

5.3.2 Компетентность лица, ответственного за управление программой аудита	5.4.2 Компетентность лица (лиц), осуществляющего(их) управление программой аудита
Лицо, ответственное за управление программой аудита, должно быть достаточно компетентным для эффективного и результативного управления программой аудита и связанными с ней рисками, а также иметь следующие знания и навыки:	Лицу(ам), осуществляющему(им) управление программой аудита, следует обладать необходимой компетентностью для эффективного и результативного управления программой и связанными с нею рисками и возможностями, а также внешними и внутренними проблемами, включая знания в следующих областях:
- принципов, процедур, методов и технических средств проведения аудита;	a) принципы (см. раздел 4), методы и процессы аудита (см. А.1 и А.2);
- документов системы менеджмента и других необходимых для работы документов;	b) стандарты по системе менеджмента, другие соответствующие стандарты и ссылочные/руководящие документы;
- продукции и процессов организации;	c) сведения, касающиеся проверяемой организации и ее среды (например, внешние и внутренние проблемы, соответствующие заинтересованные стороны и их потребности и ожидания, деловая деятельность, продукция, услуги и процессы проверяемой организации);
- применяемых законодательных и других требований, относящихся к деятельности и/или продукции организации, подлежащей аудиту;	d) применяемые нормативные и правовые требования и другие требования, касающиеся деятельности проверяемой организации.
- потребителей, поставщиков и других заинтересованных сторон проверяемой организации, где это применимо.
	При необходимости могут быть рассмотрены знания управления рисками, управления проектами и процессами, а также информационные и коммуникационные технологии.
Необходимо, чтобы лицо, ответственное за управление программой аудита, участвовало в мероприятиях по постоянному повышению своего профессионального уровня для того, чтобы поддерживать на должном уровне свои знания и навыки, необходимые для управления программой аудита.	Лицу(ам), осуществляющему(им) управление программой аудита, следует участвовать в соответствующей деятельности по постоянному профессиональному совершенствованию, в целях поддержания необходимой компетентности для управления программой аудита.

5.3.3 Определение объема программы аудита	5.4.3 Определение объема программы аудита
Лицу, ответственному за управление программой аудита, следует определить объем программы аудита, который может различаться в зависимости от размера и характера деятельности проверяемой организации, а также от характера, функциональных особенностей, сложности и уровня развития проверяемой системы менеджмента и тех ее элементов, которым придается наиболее важное значение.	Лицу(ам), осуществляющему(им) управление программой аудита, следует определить объем программы аудита. Он может меняться в зависимости от сведений, предоставленных проверяемой организацией в отношении ее среды (см. 5.3).
Примечание - В отдельных случаях в зависимости от структуры и видов деятельности проверяемой организации программа аудита может состоять только из одного аудита (например, деятельность в рамках небольшого проекта).	Примечание - В определенных случаях, в зависимости от структуры проверяемой организации или ее деятельности, программа аудита может включать только отдельный аудит (например, в случае небольшого проекта или организации).
Другие факторы, влияющие на объем программы аудита, включают в себя следующее:	Другие факторы, влияющие на объем программы аудита, могут включать следующее:
- конкретную цель, область применения, продолжительность каждого аудита и общее количество планируемых аудитов, включая там, где это возможно, мероприятия по исполнению решений аудитов;	а) цель, область и продолжительность каждого аудита и количество предполагаемых аудитов, включая способ отчетности и, если необходимо, действия по результатам аудита;
	b) стандарты по системе менеджмента или иные применяемые критерии;
- количество, важность, сложность, степень сходства видов осуществляемой деятельности и местоположение подразделений, осуществляющих деятельность, подлежащую аудиту;	с) количество, значимость, сложность, схожесть и места деятельности, подлежащей аудиту;
- факторы, влияющие на эффективность системы менеджмента;	d) факторы, влияющие на эффективность системы менеджмента;
- применимые критерии аудита, такие как запланированные мероприятия для соответствующих стандартов по системам менеджмента, законодательные, контрактные и другие требования, которые организация обязана выполнять;	е) применимые критерии аудита, такие как мероприятия, запланированные для внедрения стандартов на системы менеджмента, законодательные правовые и договорные требования и другие требования, которые организация обязуется выполнять;
- заключения по результатам предыдущих внутренних или внешних аудитов;	f) результаты предшествующих внутренних и внешних аудитов и анализов со стороны руководства, если требуется;
- результаты предыдущего анализа программы аудита;	g) результаты анализа предыдущей программы аудита;
- вопросы, связанные с языком, культурной и социальной средой;	h) язык, вопросы культуры и социальные вопросы;
- мнения и озабоченность заинтересованных сторон, например, жалобы потребителей или несоответствие законодательным требованиям;	i) проблемы заинтересованных сторон, такие как жалобы потребителей или несоблюдение законодательных и нормативных требований, других требований, которые организация обязуется выполнять, или проблемы в цепи поставок;
- существенные изменения в проверяемой организации или ее деятельности;	j) существенные изменения в среде проверяемой организации или в ее деятельности и соответствующих рисках и возможностях;
- наличие информации и приемов ее передачи для обеспечения мероприятий по проведению аудита, в частности использование методов аудита на расстоянии от проверяемого объекта (см. В.1 приложения В);	k) применяемые информации и технологии по обмену информацией в поддержку аудита, в частности, использование методов дистанционного аудита (см. А.16);
- возникновение событий внутреннего и внешнего характеров, таких как дефекты продукции, утечки секретной информации, инциденты, связанные с охраной здоровья и техникой безопасности, действия преступного характера или инциденты в области экологии.	l) внешние и внутренние события, такие как несоответствие продукции или услуг, утечка информации, происшествия, влияющие на здоровье и безопасность, криминальные действия или экологические происшествия;
	m) риски и возможности предпринимательства, включая действия по обращению с ними.

5.3.4 Идентификация и оценка рисков программы аудита
Существуют различные риски, связанные с разработкой, внедрением, мониторингом и анализом программы аудита, что может оказывать влияние на цели программы аудита. Лицу, ответственному за управление программой аудита, следует рассматривать эти риски при разработке программы аудита. Риски могут быть связаны с:
- планированием, например, ошибкой, связанной с постановкой соответствующих целей аудита и определением объема программы аудита;
- ресурсами, например выделение недостаточного периода времени для разработки программы аудита или проведения аудита;
- формированием группы по аудиту, например недостаточной совокупной компетентностью группы для эффективного проведения аудита;
- внедрением, например, неэффективным доведением и получением информации по программе аудита;
- записями и их управлением, например проблемами с обеспечением необходимой защиты записей аудита, чтобы демонстрировать эффективность программы аудита;
- мониторингом, анализом, улучшением программы аудита, например неэффективным мониторингом результатов программы аудита.

5.3.5 Разработка процедур по программе аудита
Лицу, ответственному за управление программой аудита, следует разработать одну или несколько процедур, включающих в себя, где это применимо, следующее:
- планирование и составление графиков аудитов с учетом рисков, связанных с программой аудита;
- обеспечение защиты и конфиденциальности информации;
- обеспечение компетентности аудиторов и руководителей групп по аудиту;
- подбор соответствующих групп по аудиту и распределение ролей и обязанностей;
- проведение аудитов, включая использование соответствующих методов на основе выборок;
- выполнение действий по результатам аудита, если это требуется;
- составление отчетов для заказчика аудита (например, для высшего руководства) об основных достижениях программы аудита;
- поддержание записей по программе аудита;
- осуществление мониторинга анализа реализации, рисков и эффективности программы аудита.

5.3.6 Идентификация ресурсов для программы аудита	5.4.4 Определение ресурсов для программы аудита
При идентификации ресурсов для программы аудита лицу, ответственному за управление программой аудита, следует учитывать:	При определении ресурсов для программы аудита, лицу (лицам), осуществляющему(им) управление программой аудита, следует рассмотреть:
- финансовые ресурсы, необходимые для развития, внедрения, управления и улучшения деятельности по аудиту;	а) финансы и время, необходимые для разработки, внедрения, управления и улучшения аудиторской деятельности;
- методы/технические приемы и средства проведения аудитов;	b) методы аудита (см. А.1);
- наличие аудиторов и технических экспертов, обладающих компетентностью, требуемой для достижения конкретных целей программы аудита;	с) наличие аудиторов и технических экспертов, обладающих надлежащей компетентностью для целей конкретной программы аудита для формирования группы;
- объем программы аудита и риски по аудиту;	d) объем программы аудита (см. 5.4.3) и риски и возможности программы аудита (см. 5.3);
- время в пути и затраты на транспорт, размещение и другие потребности организационного характера для проведения аудита;	e) затраченное время и стоимость транспорта для доставки аудиторов, расходы на их размещение, проживание и другие нужды;
	f) влияние разницы во времени;
- объем и уровень развития информационных и коммуникационных систем.	g) наличие информационных и коммуникационных технологий (например, технических ресурсов, требуемых для создания дистанционного аудита с использованием технологий, поддерживающих дистанционное взаимодействие);
	h) наличие требуемых инструментов, технологий и оборудования;
	i) наличие необходимой документированной информации, в соответствии с установленным при разработке программы аудита объемом (см. А.5);
	j) требования, относящиеся к благоприятности условий проведения аудита, включая какие-либо проверки персональных данных и оборудования (например, проверка анкетных данных, средства индивидуальной защиты, специальная одежда для соблюдения режима "чистая комната").

5.4 Внедрение программы аудита

5.5 Выполнение программы аудита

5.4.1 Общие положения	5.5.1 Общие положения
	Как только программа аудита разработана (см. 5.4.3) и определены необходимые ресурсы (см. 5.4.4) необходимо выполнить оперативное планирование и координацию всей деятельности в рамках программы.
Лицу, ответственному за управление программой аудита, следует осуществлять внедрение программы аудита посредством:	Лицу(ам), осуществляющему(им) управление программой аудита, следует:
- доведения до соответствующих участвующих сторон тех частей программы аудита, которые непосредственно к ним относятся, и периодическое информирование данных сторон о прогрессе в реализации положений программы;	а) довести до сведения заинтересованных сторон относящиеся к ним части программы аудита, включая связанные с ней риски и возможности и периодически извещать их о ее исполнении с использованием установленных каналов внешней и внутренней коммуникации;
- определения целей, области и критериев для каждого проводимого аудита;	b) определить цели, области и критерии для каждого отдельного аудита;
	c) выбрать методы аудита (см. А.1);
- координации и календарного планирования аудитов и другой деятельности, связанной с программой аудита;	d) координировать и разработать график аудитов и другой деятельности, связанной с программой аудита;
- обеспечения формирования групп по аудиту, обладающих необходимой компетентностью;	е) обеспечить необходимую компетентность аудиторской группы (см. 5.5.4);
- предоставления необходимых ресурсов группам по аудиту;	f) предоставить необходимые индивидуальные и общие ресурсы аудиторской группе (см. 5.4.4);
- обеспечения проведения аудитов в соответствии с программой аудита и в установленные сроки;	g) обеспечить проведение аудитов в соответствии с программой аудита, управлять рисками, возможностями и проблемами (т.е. неожиданными событиями) по мере их возникновения при реализации программы аудита;
- обеспечения ведения записей по мероприятиям аудита и надлежащего управления и сохранности этих записей.	h) обеспечить управление и сохранность соответствующей документированной информацией, касающейся аудиторской деятельности, и ее ведения;
	i) определить и проводить операционный контроль (см. 5.6), необходимый для мониторинга программы аудита;
	j) анализировать программу аудита для того, чтобы, определить возможности для ее улучшения (см. 5.7).

5.4.2 Определение целей, области и критериев для каждого конкретного аудита	5.5.2 Определение целей, области и критериев конкретного аудита
В основу каждого отдельного аудита должны быть заложены документированные цели, область применения и критерии для данного аудита. Они должны определяться лицом, отвечающим за управление программой аудита, и согласовываться с общими целями программы аудита.	Каждый отдельный аудит следует основывать на определенных целях, области и критериях. Они должны быть согласованы с общими целями программы аудита.
Цели аудита включают в себя определение того, что должно быть сделано при проведении конкретного аудита, а также следующее:	Цели аудита определяют, что должно быть достигнуто с помощью отдельного аудита, и могут включать в себя следующее:
- определение степени соответствия проверяемой системы менеджмента или ее составных частей согласно критериям аудита;	а) определение степени соответствия проверяемой системы менеджмента, или ее частей критериям аудита;
- определение степени соответствия видов деятельности, процессов и продукции требованиям и процедурам системы менеджмента;	b) оценка возможности системы менеджмента обеспечить соответствие законодательным, нормативно-правовым требованиям, договорным требованиям, а также другим требованиям, которые организация обязуется выполнять;
- оценку способности системы менеджмента обеспечивать соответствие законодательным и контрактным требованиям, а также другим требованиям, которые организация обязана выполнять;	c) оценка эффективности системы менеджмента при достижении намеченных результатов;
- идентификацию областей потенциального улучшения системы менеджмента;	d) идентификация возможностей для потенциального улучшения системы менеджмента;
- обращение с конфиденциальной информацией, включая степень ее раскрытия.	е) оценка пригодности и соответствия системы менеджмента в отношении среды и стратегического направления проверяемой организации;
	f) оценка способности системы менеджмента установить и достичь целей, эффективно реагировать на риски и возможности в изменяющейся среде, включая выполнение соответствующих действий.
Область каждого аудита должна согласовываться с программой аудита и его целями. Она включает в себя такие факторы, как структурные подразделения, подлежащие аудиту, их месторасположение, проверяемые виды деятельности и процессы, а также продолжительность и сроки аудита.	Область аудита должна соответствовать программе и целям аудита. Она включает такие факторы, как местоположение, функции, деятельность и процессы, подлежащие аудиту, а также сроки проведения аудита.
Критерии аудита используют в виде основы для сравнения, по которой определяют соответствие, и могут включать в себя применяемые политики, цели, процедуры, стандарты, законодательные требования, требования системы менеджмента, контрактные требования или своды правил, регулирующих деятельность в конкретном секторе или других запланированных мероприятий.	Критерии аудита используются в качестве ссылки, относительно которой определяется соответствие. Они могут включать одно или более критериев из следующего: проводимую политику, процессы, процедуры, нормы, соблюдаемые критерии, включая цели законодательные и нормативные требования, требования к системе менеджмента, информацию, включающую среду и риски, и возможности, определенные проверяемой организацией (включая требования соответствующих внешних и внутренних заинтересованных сторон), правила в проверяемой сфере или другие запланированные организационные моменты.
В случае любых изменений, касающихся целей, области применения и критериев для аудита, при необходимости, следует соответствующим образом модифицировать программу аудита.	В случае изменения целей, области или критериев аудита программу аудита следует, при необходимости, скорректировать и сообщить об этом заинтересованным сторонам для утверждения, если требуется.
Когда две или более системы менеджмента, устанавливающие требования для различных дисциплин или областей деятельности, проверяются вместе (комплексный аудит), важно, чтобы цепи, область применения и критерии для данного аудита согласовывались с целями соответствующих программ аудита.	Если аудит проводится одновременно в более чем одной сфере деятельности, то важно, чтобы цели, области и критерии аудита были согласованы с программой аудита для каждой сферы. Некоторые сферы могут иметь область применения, которая отражает деятельность всей организации, а другие могут отражать деятельность только части организации.

5.4.3 Выбор методов аудита	5.5.3 Выбор и определение методов аудита
Лицу, ответственному за управление программой аудита, следует подобрать и определить методы для эффективного проведения аудита в зависимости от установленных целей, области применения и критериев для данного аудита.	Лицу(ам), осуществляющему(им) управление программой аудита, следует выбрать и определить методы эффективного и результативного проведения аудита в зависимости от определенных целей, области и критериев аудита.
Примечание - Руководящие указания по определению методов аудита приведены в приложении В.	Аудит можно проводить непосредственно на месте, удаленно или комбинировано. Применение этих методов следует соответствующим образом сбалансировать, основываясь, в том числе, на рассмотрении сопутствующих рисков и возможностей.
В случае, когда две или несколько проверяющих организаций проводят совместно аудит одной организации, лицам, ответственным за управление различными программами аудита, следует договориться о методе данного аудита и рассмотреть вопросы, касающиеся наличия необходимых ресурсов и планирования мероприятий данного аудита. Если в проверяемой организации функционируют две или несколько систем менеджмента для различных дисциплин, то в программу данного аудита могут быть включены комплексные аудиты.	Там, где две или более проверяющие организации проводят совместный аудит одной проверяемой организации, лицам, осуществляющим управление разными программами аудита, следует согласовать методы аудита и рассмотреть вопросы обеспечения ресурсами и планирования аудита. Если в проверяемой организации действуют две или более систем менеджмента в различных сферах деятельности, то программа аудита может включать комплексные аудиты.

5.4.4 Формирование группы по аудиту	5.5.4 Отбор членов аудиторской группы
Лицу, ответственному за управление программой аудита, следует назначить членов группы по аудиту, включая руководителя группы и любых технических экспертов, требуемых для проведения конкретного аудита.	Лицу(ам), осуществляющему(им) управление программой аудита, следует назначить членов аудиторской группы, включая руководителя группы и технических экспертов, необходимых для конкретного аудита.
Группа по аудиту должна формироваться с учетом компетентности, необходимой для достижения целей конкретного аудита в рамках установленной для этого аудита области применения. Если аудит проводит один аудитор, он должен выполнять все обязанности, возлагаемые на руководителя группы по аудиту.	Аудиторскую группу следует формировать с учетом компетентности, необходимой для достижения целей отдельного аудита в рамках определенной области. Если имеется только один аудитор, ему следует исполнять все применяемые обязанности руководителя группы.
Примечание - Раздел 7 содержит руководящие указания по определению компетентности, требуемой для членов группы по аудиту, и описывает процессы для проведения оценки аудиторов.	Примечание - Раздел 7 содержит руководящие указания по определению компетентности, необходимой для членов аудиторской группы, и описывает процессы оценивания аудиторов.
	Чтобы гарантировать общую компетентность аудиторской группы, необходимо выполнить следующие шаги:
	- определение компетентности, необходимой для достижения целей аудита;
	- отбор членов аудиторской группы осуществлять таким образом, чтобы группа в целом обладала необходимой компетентностью.
При определении численности и состава группы по аудиту для конкретного аудита необходимо учитывать следующие факторы:	При принятии решения в отношении численности и состава группы для конкретного аудита, следует учесть:
a) общую компетентность группы по аудиту, требуемую для достижения целей аудита, области и критериев аудита;	а) общую компетентность аудиторской группы, необходимую для достижения целей аудита, принимая во внимание область и критерии аудита;
b) сложность аудита, если аудит представляет собой комбинированный или совместный аудит;	b) сложность аудита;
	c) является ли аудит комплексным или совместным;
c) выбранные методы аудита;	d) выбранные методы аудита;
d) законодательные и другие требования, такие как требования контрактов, которые организация принимает на себя;
e) необходимость обеспечения независимости группы по аудиту от проверяемых видов деятельности и отсутствия конфликта интересов [см. принцип е) в разделе 4];	е) обеспечение беспристрастности и объективности во избежание конфликта интересов в процессе аудита;
f) возможности членов группы по аудиту эффективно взаимодействовать с представителями проверяемой организации и работать совместно;	f) способность членов аудиторской группы эффективно работать и взаимодействовать с представителями проверяемой организации и соответствующими заинтересованными сторонами;
g) язык аудита и понимание специфических социальных и культурных ценностей проверяемой организации (с учетом собственного опыта аудиторов или при поддержке технического эксперта).	g) внешние и внутренние факторы, такие как язык аудита и социальные и культурные характеристики проверяемой организации. Эти вопросы могут рассматриваться самим аудитором, если он обладает соответствующим умением, или совместно с техническим экспертом, также учитывают необходимость в переводчиках;
Для обеспечения общей компетентности группы по аудиту следует предпринять следующие шаги:	h) тип и сложность процессов, подлежащих аудиту.
- определение знаний и навыков, необходимых для достижения целей аудита;
- выбор членов группы по аудиту таким образом, чтобы группа обладала всеми необходимыми знаниями и опытом.
	Там, где целесообразно, руководителю программы аудита следует обсудить с руководителем аудиторской группы состав этой группы.
Если уровень компетентности аудиторов в группе по аудиту не является достаточным, то для обеспечения необходимой компетентности в эту группу могут быть включены технические эксперты.	Если необходимая компетентность не обеспечивается аудиторами в группе, в нее следует включить дополнительно технических экспертов необходимой квалификации.
Технические эксперты должны работать под руководством аудитора, но не выполнять действия в качестве аудитора.
В группу по аудиту можно включать стажеров, но они должны участвовать в процессе аудита под руководством аудитора и получать необходимую методическую помощь.	В группу можно включить аудиторов-стажеров, которые должны работать под руководством аудитора.
Как заказчик аудита, так и проверяемая организация могут потребовать замены членов группы по аудиту по объективным причинам, основанным на принципах проведения аудита, изложенных в разделе 4 настоящего стандарта. Примеры объективных причин включают в себя ситуации, связанные с конфликтом интересов (например, в случае проведения аудитов второй или третьей стороны член группы по аудиту работал ранее в проверяемой организации или оказывал ей услуги по консалтингу), отсутствием необходимой компетентности или имевшим ранее место фактам неэтичного поведения. Такие причины следует сообщить руководителю группы по аудиту и лицу, ответственному за управление программой аудита, которые должны согласовать с заказчиком аудита и проверяемой организацией эти вопросы, перед тем как принимать любые решения, касающиеся замены членов группы по аудиту.
В ходе проведения аудита может понадобиться внесение изменений в состав группы по аудиту, например, если возникают ситуации, связанные с конфликтом интересов или недостаточной компетентностью группы по аудиту. Если такие ситуации возникают, то эти вопросы подлежат обсуждению с соответствующими сторонами (например, руководителем группы по аудиту, лицом, ответственным за управление программой аудита, заказчиком аудита или проверяемой организацией), перед тем как делать любые изменения или корректировки.	В процессе аудита может потребоваться пересмотр состава группы, например в случае конфликта интересов или возникновения сомнений в компетентности. Такие ситуации следует обсудить с соответствующими сторонами [например, руководителем группы, лицом(ами), осуществляющим(ими) управление программой аудита, заказчиком аудита или проверяемой организацией] до внесения каких-либо изменений.

5.4.5 Поручение ответственности руководителю группы по аудиту за проведение конкретного аудита	5.5.5 Возложение ответственности на руководителя группы аудита за конкретный аудит
Лицу, ответственному за управление программой аудита, следует поручить ответственность за проведение конкретного аудита руководителю группы по аудиту.	Лицу(ам), осуществляющему(им) управление программой аудита, следует назначить руководителя по проведению отдельного аудита.
Это следует сделать заблаговременно, чтобы оставалось достаточно времени до запланированной даты аудита, с тем чтобы обеспечить результативное планирование данного аудита.	Назначение следует сделать заранее, чтобы до начала аудита оставалось достаточно времени для эффективного планирования аудита.
Для обеспечения результативного проведения намеченного аудита необходимо, чтобы руководителю группы по аудиту была предоставлена следующая информация:	Чтобы обеспечить эффективное проведение конкретного аудита, руководителю аудиторской группы следует предоставить следующую информацию в отношении:
a) цели аудита;	a) цели аудита;
b) критерии аудита и любые ссылочные документы;	b) критерии аудита и любую относящуюся к делу документированную информацию;
c) область аудита, включая идентификацию организационных и функциональных подразделений и процессов, подлежащих аудиту;	c) область аудита, включая идентификацию организации и ее функций и процессов, подлежащих аудиту;
d) методы и процедуры аудита;	d) методы и процессы аудита;
e) состав группы по аудиту;	е) состав аудиторской группы;
f) сведения для контактов с проверяемой организацией, места проведения аудита, даты и продолжительность проводимых в рамках аудита мероприятий;	f) сведения для контактов с проверяемой организацией, места проведения аудита, даты и продолжительность проведения аудита;
g) распределение соответствующих ресурсов для проведения аудита;	g) распределение необходимых ресурсов для проведения аудита;
h) данные, необходимые для оценки и принятия мер в отношении выявленных рисков, связанных с достижением целей данного аудита.	h) информацию, необходимую для оценки и рассмотрения выявленных рисков и возможностей для достижения целей аудита;
	i) информацию, которая помогает руководителю группы при взаимодействии с проверяемой организацией для повышения результативности программы аудита.
Предоставляемая информация, при необходимости, должна также включать в себя:	Информация для назначения, при необходимости, также должна включать, следующее:
- рабочий язык при проведении аудита и язык, используемый при оформлении отчетов, в случаях, где язык отличается от родного языка аудитора и/или проверяемой организации;	- рабочий язык и язык для отчетов по аудиту, если он отличается от языка аудитора или языка проверяемой организации;
- содержание отчета по аудиту, требуемое в соответствии с программой аудита;	- требуемое содержание отчета по аудиту и кому он должен быть представлен;
- вопросы, имеющие отношение к конфиденциальности и информационной безопасности, если это требуется программой аудита;	- вопросы, относящиеся к конфиденциальности и защите информации, если требуется программой аудита;
- любые требования по обеспечению безопасности труда и здоровья аудиторов;	- все меры, касающиеся здоровья, безопасности и условий труда аудиторов;
	- требования к доставке или доступу к удаленным объектам;
- любые требования по безопасности и уполномочиванию аудиторов;	- требования к режиму безопасности и предоставлению прав доступа;
- любые действия по результатам аудита, например по результатам предыдущего аудита, если это применяется;	- все действия, которые следуют проверить, например действия по итогам предыдущего аудита;
- координацию с другими видами деятельности по аудиту, в случае совместного проведения аудита несколькими организациями.	- координирование с другой деятельностью по аудиту, например когда разные аудиторские группы проверяют схожие или связанные процессы в разных местах или в случае совместного аудита.
При проведении совместного аудита несколькими проверяющими организациями важно до начала выполнения работ по аудиту достичь соглашения между этими организациями, касающегося конкретных обязанностей каждой стороны, особенно в отношении полномочий руководителя группы по аудиту, назначенного для проведения аудита.	При проведении совместного аудита, важно достичь согласия среди организаций, проводящих аудиты, до его начала, относительно конкретных обязанностей каждой стороны, особенно с учетом полномочий назначенного руководителя аудиторской группы по данному аудиту.

5.4.6 Управление выходными данными программы аудита	5.5.6 Управление результатами выполнения программы аудита
Лицу, ответственному за управление программой аудита, следует обеспечить выполнение следующих действий:	Лицу(ам), осуществляющему(им) управление программой аудита, следует обеспечить выполнение следующих мероприятий:
- анализ и согласование отчетов по результатам аудитов, включая оценку приемлемости и адекватности полученных выводов аудита;	а) оценка достижения целей для каждого отдельного аудита в рамках программы аудита;
- проведение анализа корневых причин и результативности корректирующих и предупреждающих действий;	b) анализ и утверждение отчетов по аудиту касательно полноты охвата области и достижения целей аудита;
- рассылку отчетов и доведение информации по результатам аудитов до высшего руководства и других заинтересованных сторон;	c) анализ результативности действий, предпринятых для решения вопросов по обнаружениям аудита;
- определение необходимости в отношении любых мероприятий по исполнению решений аудита.	d) представление отчетов по аудиту соответствующим заинтересованным сторонам;
	е) определение необходимости дополнительных аудитов.
	Руководителю программы аудита следует рассмотреть, при необходимости:
	- доведение результатов аудита и передовой практики до сведения других подразделений организации;
	- применение указанного выше для других процессов.

5.4.7 Управление и поддержание записей по программе аудита	5.5.7 Управление записями по программе аудита и их сохранение
Лицу, ответственному за управление программой аудита, следует обеспечить создание, управление и поддержание соответствующих записей, с тем чтобы демонстрировать внедрение программы аудита. Следует установить процессы, обеспечивающие соблюдение требуемой конфиденциальности в отношении записей аудита.	Лицу(ам), осуществляющему(им) управление программой аудита, следует обеспечить создание записей по аудиту, управление ими и их поддержание для демонстрации выполнения программы аудита. Следует установить процессы по обеспечению требуемой конфиденциальности и защиты информации, связанных с записями по аудиту.
Записи должны включать в себя:	Записи могут включать следующее:
а) записи, связанные с программой аудита, такие как:	а) записи, касающиеся программы аудита, такие как:
	- график проведения аудитов;
- документированная программа и цели,	- цели и объем программы аудита;
- риски, связанные с программой аудита,	- риски и возможности, связанные с программой аудита, и соответствующие внешние и внутренние факторы;
- анализы результативности программы аудита;	- анализ результативности программы аудита;
б) записи, связанные с отдельным аудитом, такие как:	b) записи, касающиеся каждого аудита, такие как:
- планы аудита и отчеты по аудиту,	- планы и отчеты по аудиту;
	- объективные свидетельства и обнаружения аудита;
- отчеты о несоответствиях,	- отчеты о несоответствии;
- отчеты по корректирующим и предупреждающим действиям,	- отчеты о коррекциях и корректирующих действиях;
- отчеты о действиях по результатам аудита, если это требуется;	- отчеты о последующих действиях;
с) записи о персонале, привлекаемом к аудиту, включающие в себя:	с) записи, касающиеся группы, выполняющей аудит, по таким вопросам, как:
- оценку компетентности членов группы по аудиту и их деятельности,	- результаты оценки компетентности и деятельности членов аудиторской группы;
- выбор группы по аудиту и членов команды,	- критерии выбора аудиторских групп и членов аудиторской группы и формирование групп;
- поддержание и повышение компетентности.	- поддержание и повышение уровня компетентности.
Форма и объем сведений, представленных в записях, должны демонстрировать, что поставленные цели программы аудита были достигнуты.	Форма и степень подробности записей должны демонстрировать, что цели программы аудита достигнуты.

5.5 Мониторинг программы аудита	5.6 Мониторинг программы аудита
Лицу, управляющему программой аудита, следует контролировать ее реализацию с учетом необходимости оценивать:	Лицу(ам), осуществляющему(им) управление программой аудита, следует обеспечить проведение оценки:
a) соответствие программам аудитов, календарным планам и целям аудита;	а) выполнен ли график и достигнуты ли цели программы аудита;
b) деятельность членов группы по аудиту;	b) деятельности членов аудиторской группы, включая ее руководителя и технических экспертов;
c) способность групп по аудиту реализовать план аудита;	с) способности аудиторских групп выполнить план аудита;
d) обратную связь от высшего руководства, проверяемых организаций, аудиторов и других заинтересованных сторон.	d) обратной связи с заказчиками аудита, проверяемыми организациями, аудиторами, техническими экспертами и другими причастными сторонами;
	е) достаточности и адекватности документированной информации во всем процессе аудита.
Некоторые факторы могут выявить потребность внесения изменений в программу аудита по ходу ее реализации, такие как:	Некоторые факторы могут определять необходимость изменения программы аудита. В их число могут быть включены:
- исходные данные, выявленные при аудите;	- обнаружения аудита;
- демонстрируемый уровень результативности системы менеджмента;	- демонстрируемый уровень эффективности и зрелости системы менеджмента проверяемой организации;
- изменения в системе менеджмента заказчика или проверяемой организации;	- результативность программы аудита;
- изменения в стандартах, правовых и контрактных требованиях и других требованиях, которые организация стремится выполнить;	- область аудита или область программы аудита;
- замена поставщика.	- система менеджмента проверяемой организации;
	- стандарты и другие требования, которые организация обязуется выполнять;
	- внешние поставщики;
	- выявленные конфликты интересов;
	- требования заказчиков аудита.

5.6 Анализ и улучшение программы аудита	5.7 Анализ и улучшение программы аудита
Лицу, ответственному за управление программой аудита, следует анализировать программу аудита для оценки степени выполнения ее целей. Выводы, сделанные из анализа программы аудита, следует использовать для процесса постоянного улучшения.	Лицу(ам), осуществляющему(им) управление программой аудита, и заказчику аудита следует проанализировать программу аудита, чтобы определить, достигнуты ли ее цели. Выводы, полученные при анализе программы аудита, следует применять как входные данные для процесса постоянного совершенствования программы.
	Лицу(ам), осуществляющему(им) управление программой аудита, следует рассмотреть следующее:
	- результаты общего исполнения программы аудита;
	- идентификация областей и возможностей для улучшения;
	- внесение изменений в программу аудита, при необходимости;
	- анализ непрерывного повышения квалификации аудиторов в соответствии с 7.6;
	- отчет о результатах программы аудита и обсуждение с заказчиком аудита и соответствующими заинтересованными сторонами, насколько это уместно.
Необходимо, чтобы анализ программы аудита охватывал:	При проведении анализа программы аудита следует рассмотреть следующее:
a) результаты мониторинга и установленные в ходе его выполнения тенденции;	a) результаты и тенденции, определенные в ходе мониторинга программы аудита;
b) соответствие процедурам программы аудита;	b) соответствие процессам программы аудита и соответствующую документированную информацию;
c) выявление потребностей и ожиданий заинтересованных сторон;	c) меняющиеся потребности и ожидания соответствующих заинтересованных сторон;
d) записи по программе аудита;	d) записи по программе аудита;
e) альтернативные или новые методы в области аудита;	e) альтернативные или новые методы аудита;
	f) альтернативные или новые методы оценки аудиторов;
f) результативность мер по управлению рисками, связанными с программой аудита;	g) эффективность мер реагирования на риски, и возможности, а также на внутренние и внешние факторы, связанные с программой аудита;
g) вопросы, связанные с конфиденциальностью и информационной безопасностью, относящиеся к программе аудита.	h) вопросы конфиденциальности и информационной безопасности, связанной с программой аудита.
Лицу, ответственному за управление программой аудита, следует осуществлять анализ общего внедрения программы аудита, идентифицировать области для улучшения, при необходимости вносить поправки в программу аудита, а также:
- анализировать постоянное развитие профессионального уровня аудиторов в соответствии с 7.4 - 7.6;
- предоставлять отчеты по результатам анализа программы аудита высшему руководству.

6 Проведение аудита

6.1 Общие положения	6.1 Общие положения
Настоящий раздел содержит руководящие указания по планированию и проведению деятельности по аудиту в рамках программы аудита. Рисунок 2 дает обзор типовых действий при проведении аудита. Степень применения положений настоящего раздела зависит от целей и области применения конкретного аудита.	В данном разделе содержатся руководящие указания по подготовке и проведению конкретного аудита как части программы аудита. На рисунке 2 представлен обзор типовой схемы проведения аудита. Степень, в которой положения данного раздела применимы, зависит от целей и области конкретного аудита.

Примечание - Нумерация подразделов приводится в соответствии с нумерацией подразделов настоящего стандарта.
Рисунок 2 - Типовые действия при проведении аудита
Примечание: Рисунок 2 изменен

6.2 Организация проведения аудита

6.2 Инициирование аудита

6.2.1 Общие положения	6.2.1 Общие положения
Когда приступают к проведению аудита, ответственность за его проведение остается за назначенным руководителем группы по аудиту (5.4.5) до завершения данного аудита (6.6).	Ответственность за проведение аудита следует оставить за назначенным руководителем аудиторской группы (см. 5.5.5) до завершения аудита (см. 6.6).
Для того чтобы приступить к проведению аудита, нужно рассмотреть шаги, приведенные на рисунке 2; однако их последовательность может отличаться в зависимости от проверяемой организации, процессов и конкретных обстоятельств, относящихся к данному аудиту.	Чтобы инициировать аудит, следует рассмотреть шаги, описанные на рисунке 1, однако их последовательность может отличаться в зависимости от проверяемой организации, процессов и конкретных обстоятельств аудита.

6.2.2 Установление первоначального контакта с проверяемой организацией	6.2.2 Установление контакта с проверяемой организацией
Первоначальный контакт с проверяемой организацией для проведения аудита может иметь официальный или неформальный характер и должен устанавливаться руководителем группы по аудиту. Целями первоначального контакта являются:	Руководителю аудиторской группы следует обеспечить установление контакта с проверяемой организацией, чтобы:
- установление связи и каналов передачи информации с представителями проверяемой организации;	a) подтвердить каналы связи с представителями проверяемой организации;
- подтверждение полномочий для проведения аудита;	b) подтвердить полномочия на проведение аудита;
- предоставление информации, касающейся области аудита, методов аудита и состава группы по аудиту, в том числе технических экспертов;	c) предоставить соответствующую информацию о целях, области, критериях, методах аудита, а также о составе аудиторской группы, включая технических экспертов;
- получение разрешения на доступ к соответствующим документам для планирования целей и задач, включая записи;	d) обратиться с заявкой на получение соответствующей информации для целей планирования, включая информацию о рисках и возможностях, определенных организацией и способы работы с ними;
- определение применяемых к проверяемой организации законодательных и контрактных требований, а также других требований, относящихся к видам осуществляемой деятельности и продукции проверяемой организации;	е) определить применяемые законодательные и нормативные правовые требования, а также требования, соответствующие деятельности, процессам, продукции и услугам проверяемой организации;
- подтверждение соглашения с проверяемой организацией относительно степени раскрытия и обращения с информацией, носящей конфиденциальный характер;	f) подтвердить соглашение с проверяемой организацией в отношении степени раскрытия и обработки конфиденциальной информации;
- определение необходимых подготовительных мероприятий по аудиту, включая даты планов-графиков;	g) разрабатывать мероприятия, необходимые для проведения аудита, включая график;
- определение любых требований, связанных с обеспечением доступа, здоровья и безопасности или других требований;	h) определить положения, связанные с местоположением проверяемой организации, в отношении доступа, здоровья и безопасности, режима секретности, конфиденциальности и т.п.;
- согласование присутствия наблюдателей и потребности в сопровождающих для группы по аудиту;	i) согласовать вопрос о присутствии наблюдателей и необходимости в сопровождающих или переводчиках для аудиторской группы;
- определение любых областей заинтересованности или озабоченности проверяемой организации в связи с конкретным намеченным аудитом.	j) определить области, которые предоставляют интерес, вызывают озабоченность или представляют риски проверяемой организации в связи с конкретным аудитом;
	k) решить проблемы в отношении состава аудиторской группы с проверяемой стороной или заказчиком аудита.

6.2.3 Определение возможности проведения аудита	6.2.3 Определение возможности проведения аудита
Для обеспечения уверенности в том, что поставленные цели аудита могут быть достигнуты, нужно определить возможность проведения аудита.	Осуществимость аудита следует определить для того, чтобы получить обоснованную уверенность, что цели аудита могут быть достигнуты.
При определении возможности проведения аудита нужно учитывать такие факторы, как наличие:	Для определения осуществимости следует рассмотреть такие факторы, как наличие:
- необходимой и достаточной информации для планирования аудита;	а) достаточной и надлежащей информации для планирования и проведения аудита;
- адекватного содействия и сотрудничества со стороны проверяемой организации;	b) соответствующего сотрудничества со стороны проверяемой организации;
- достаточного времени и ресурсов для выполнения аудита.	c) необходимого времени и ресурсов для проведения аудита.
	Примечание - Ресурсы включают адекватную и подходящую информационную и коммуникационную технологию.
В случае невозможности проведения аудита необходимо предложить заказчику альтернативное решение на основе консультаций с проверяемой организацией.	Там, где аудит неосуществим, заказчику аудита следует предложить альтернативу по согласованию с проверяемой организацией.

6.3 Подготовка к проведению аудита на месте

6.3 Подготовка к проведению аудита

6.3.1 Выполнение анализа документов при подготовке к аудиту	6.3.1 Выполнение анализа документированной информации
Необходимо проанализировать документацию соответствующей системы менеджмента проверяемой организации, с тем чтобы:	Следует проанализировать соответствующую документированную информацию на систему менеджмента проверяемой организации, чтобы:
- собрать информацию для подготовки мероприятий аудита и подходящие рабочие документы (6.3.4), например относящиеся к процессам, должностным обязанностям;	- собрать информацию для понимания функций проверяемой организации и подготовки к аудиту и разработке рабочих документов (см. 6.3.4), например на процессы, функции;
- осуществить обзор документации системы для выявления возможных пробелов.	- составить общее представление об объеме документированной информации, чтобы определить возможное соответствие критериям аудита, возможные проблемные области, такие, как недостатки, упущения или конфликты.
Примечание - Руководящие указания по выполнению анализа документации приведены в В.2 приложения В.
Документация должна включать в себя, насколько это применимо, документы и записи системы менеджмента, а также отчеты по предыдущим аудитам. При анализе документации следует учитывать размер, характер деятельности, сложность проверяемой организации и ее системы менеджмента, а также цели и область применения аудита.	В документированную информацию следует включить, но не ограничиваясь этим: документы на систему менеджмента и записи системы менеджмента, а также отчеты о предыдущих аудитах. При анализе документов следует учитывать среду проверяемой организации, включая ее размер, характер и сложность, а также связанные с этим риски и возможности. Также следует использовать область, критерии и цели аудита.
	Примечание - Руководящие указания по проверке информации представлены в А.5.

6.3.2 Подготовка плана аудита	6.3.2 Планирование аудита
	6.3.2.1 Риск - ориентированный подход к планированию

6.3.2.1 Руководителю группы по аудиту следует подготовить план аудита, основанный на информации, содержащейся в программе аудита и документации, предоставленной проверяемой организацией.	Руководителю аудиторской группы следует принять риск-ориентированный подход для планирования аудита на основе информации, содержащейся в программе аудита и в документированной информации, предоставленной проверяемой организацией.
План аудита должен рассматривать последствия аудита с учетом его влияния на процессы проверяемой организации и обеспечивать основу для соглашения между заказчиком аудита, группой по аудиту и проверяемой организацией относительно проведения аудита. Этот план должен способствовать наилучшей координации, последовательности и сроков выполнения работ по аудиту для наиболее эффективного достижения результата.	При планировании аудита следует учесть риски аудиторской деятельности в отношении процессов проверяемой организации и обеспечить основу для соглашения между заказчиком аудита, аудиторской группой и проверяемой организацией в отношении проведения аудита. Планирование должно обеспечить эффективный график и координацию проведений аудита, чтобы достигнуть цель аудита эффективно.
Объем сведений, представленных в плане аудита, должен отражать область применения и сложность аудита, а также влияние факторов неопределенности на достижение целей аудита. При подготовке плана аудита руководитель группы по аудиту должен быть осведомлен:	Подробность плана аудита должна отражать область и сложность аудита, а также риск недостижения целей аудита. При разработке плана аудита руководителю аудиторской группы следует рассмотреть:
- о соответствующих методах выборочного контроля (см. В.3 приложения В);	а) состав аудиторской группы и ее общую компетентность;
- характерных чертах и особенностях состава группы по аудиту и ее коллективном уровне компетентности;	b) подходящие методы выборки (см. А.6);
	c) возможности повышения результативности и эффективности аудиторской деятельности;
	d) риски при достижении целей аудита, связанные с неэффективным планированием аудита;
- рисках для проверяемой организации, возникающих вследствие проведения аудита.	e) риски для проверяемой организации, создаваемые аудитом.
Например, риски для организации могут возникать вследствие присутствия членов группы по аудиту, влияющих на обеспечение требований в области охраны труда, экологии и качества, и их присутствие может представлять определенную угрозу для продукции, услуг, персонала или инфраструктуры проверяемой организации (например, случай привнесения загрязнения в приспособления для очистки помещений).	Риски для проверяемой организации могут возникать вследствие присутствия членов аудиторской группы, влияющих на обеспечение требований в области охраны труда, экологии и качества, и их присутствие может представлять определенную угрозу для продукции, услуг, персонала или инфраструктуры проверяемой организации (например, из-за загрязнений в чистых помещениях).
Для комплексных аудитов следует уделить особое внимание вопросам взаимодействия между операционными процессами и гармонизации целей и приоритетов различных систем менеджмента в случае соперничества между ними.	Для комплексных аудитов особое внимание следует уделять взаимодействиям между рабочими процессами и конкурирующими целями и приоритетами различных систем менеджмента.
	6.3.2.2 Подробности планирования аудита

6.3.2.2 Масштаб и содержание плана аудита могут различаться, например, между первоначальным и последующими аудитами, так же, как и между внутренними и внешними аудитами. План аудита должен допускать достаточную гибкость, чтобы по мере осуществления мероприятий по аудиту в него, в случае необходимости внесения корректировок или изменений, можно было внести требуемые изменения.	Масштаб и содержание плана аудита могут быть различными, например, для первоначального и последующих аудитов, а также для внутреннего и внешнего аудитов. План аудита должен быть достаточно гибким, чтобы можно было вносить в него изменения, которые могут стать необходимыми в процессе проведения аудита.
План аудита должен включать в себя или содержать ссылки на:	В плане аудита следует отразить или дать ссылки на следующее:
- цели аудита;	а) цели аудита;
- область аудита, включая идентификацию организационных и функциональных подразделений и процессов, которые будут проверяться;	b) область аудита, включая идентификацию организации и ее функции, а также процессы, подлежащие аудиту;
- критерии аудита и ссылочные документы;	с) критерии аудита и всю представленную на рассмотрение документированную информацию;
- места проведения аудита, даты, ожидаемое время и продолжительность намеченных мероприятий по аудиту, включая совещания с руководством проверяемой организации, а также другие совещания;	d) места (физические и виртуальные), даты, ожидаемые сроки и продолжительность аудиторской деятельности, включая встречи с руководством проверяемой организации;
- используемые при проведении аудита методы, включая объем или степень выборочного контроля, необходимого для получения достаточных свидетельств аудита, и проект программы выборочного контроля, если она применяется;	e) необходимость для аудиторской группы ознакомиться с оборудованием и процессами проверяемой организации (например, проведя поездку по объектам или путем применения информационной и коммуникационной технологии);
	f) методы аудита, которые предполагается использовать, включая объем выборки при аудиторской проверке, которая необходима для получения достаточного аудиторского свидетельства;
- роли и обязанности членов группы по аудиту, а также сопровождающих лиц и наблюдателей;	g) функции и обязанности членов аудиторской группы, а также сопровождающих лиц и наблюдателей;
- распределение соответствующих ресурсов по "критичным местам" проведения аудита.	h) распределение необходимых ресурсов на основе анализа рисков и возможностей, связанных с проверяемой деятельностью организации.
При необходимости в план аудита следует также включить:	В плане аудита следует учесть, если это приемлемо, следующее:
- определение представителей проверяемой организации для участия в аудите;	- определение представителя проверяемой организации для аудита;
- рабочий язык для проведения аудита и язык для составления отчета в тех случаях, где он отличается от родного языка аудитора и (или) проверяемой организации;	- рабочий язык и язык отчетов по аудиту, если он отличается от языка аудитора и/или от языка проверяемой организации;
- содержание отчета по аудиту;	- вопросы, которые следует отразить в отчете по аудиту;
- материально-техническое обеспечение и коммуникационные средства, включая средства и необходимые подготовительные мероприятия на местах проверяемых подразделений;	- мероприятия, касающиеся логистики и связи, включая конкретные мероприятия в отношении мест, где будет проводиться аудит;
- любые специальные меры, предпринимаемые в отношении рисков и влияния неопределенности на цели аудита;	- все конкретные меры, которые предполагается предпринять, чтобы учесть влияние рисков на достижение целей аудита и возникающие возможности;
- вопросы, относящиеся к конфиденциальности и сохранности информации;	- вопросы, связанные с конфиденциальностью и защитой информации;
- действия по результатам проверок, например, предыдущего аудита;	- все действия по результатам предшествующего аудита или других источников, например полученных уроков, анализа проектов;
	- все действия по результатам запланированного аудита;
- вопросы координации, связанные с проведением других работ по аудиту, в случае совместного аудита.	- координацию с деятельностью других аудиторов в случае совместного аудита.
План аудита может быть проанализирован и одобрен заказчиком аудита, и его следует представить на рассмотрение проверяемой организации. Любые возражения со стороны проверяемой организации, относящиеся к плану аудита, необходимо разрешить между руководителем группы по аудиту, проверяемой организацией и заказчиком аудита.	План аудита следует представить проверяемой организации. Все вопросы в отношении плана аудита следует решить между руководителями аудиторской группы, проверяемой организации и при необходимости, лицом(ам), осуществляющим(ими) управление программой аудита.

6.3.3 Распределение работ между членами группы по аудиту	6.3.3 Распределение работы среди членов аудиторской группы
Руководитель группы по аудиту в ходе консультаций с членами группы по аудиту должен обозначить и распределить ответственность между каждым членом группы за аудит конкретных процессов, работ, функциональных подразделений или участков производственной деятельности. При таком распределении следует учитывать независимость и компетентность аудиторов и результативное использование ресурсов, а также различные роли и обязанности аудиторов, стажеров и технических экспертов.	Руководителю аудиторской группы, при консультации с членами группы, следует распределить обязанности и назначить лиц, ответственных за конкретные процессы, действия, функции или места проведения аудита и, соответственно, полномочия для принятия решений. Такие назначения следует проводить с учетом беспристрастности и объективности аудиторов, их компетентности, эффективности использования ресурсов, а также различных функций и обязанностей аудиторов, стажеров и технических экспертов.
Руководитель группы по аудиту должен проводить рабочие совещания группы по аудиту для того, чтобы распределять рабочие задания и решать вопросы, касающиеся возможных изменений. По ходу проведения аудита могут быть сделаны изменения в рабочие задания или в выполнение работ, для того чтобы обеспечить достижение поставленных целей аудита.	Руководителю аудиторской группы следует, по необходимости, проводить короткие совещания аудиторской группы, чтобы распределить рабочие задания и решить вопрос о возможных изменениях. Изменения в рабочие задания могут быть внесены в процессе аудита, чтобы обеспечить достижение целей аудита.

6.3.4 Подготовка рабочих документов	6.3.4 Подготовка документированной информации для аудита
Члены группы по аудиту должны собирать и анализировать информацию, относящуюся к зоне их ответственности, и осуществлять подготовку рабочих документов надлежащим образом для фиксации и протоколирования свидетельств аудита. Такие рабочие документы могут включать в себя:	Членам аудиторской группы следует подобрать и проанализировать информацию, касающуюся их заданий, и подготовить необходимую документированную информацию для аудита, используя соответствующие носители. Документированная информация для аудита может включать, но не ограничиваясь, следующее:
- контрольные листы;	a) контрольные перечни вопросов (чек-листы) на физических или электронных носителях;
- планы выборок для аудита;	b) планы выборок для аудита;
- формы для регистрации данных, таких как подтверждающие свидетельства, выводы аудита и протоколы совещаний.	c) аудиовизуальную информацию.
Использование контрольных листов и форм не должно ограничивать объем проверок при аудите, которые могут измениться в результате анализа собранных во время аудита данных.	Применением этих носителей не следует ограничивать объем аудиторской деятельности, которая может измениться в результате информации, собранной в процессе аудита.
Примечание - Руководящие указания по подготовке рабочих документов приведены в В.4 приложения В.	Примечание - Руководящие указания по подготовке рабочих документов приведены в А.13.
Рабочие документы, включая записи, являющиеся результатом использования документов, следует хранить, по меньшей мере, до завершения аудита. Хранение документов после завершения аудита представлено в 6.6. Для документов, содержащих конфиденциальную или частную информацию, членам группы по аудиту следует надлежащим образом обеспечить хранение и защиту.	Документированную информацию, подготовленную и полученную в ходе аудита, следует хранить, по крайней мере, до завершения аудита, или столько времени, сколько указано в программе аудита. Сохранение документированной информации после завершения аудита описано в 6.6. Членам аудиторской группы следует всегда должным образом защищать документированную информацию, созданную в процессе аудита и включающую конфиденциальную или частную информацию.

6.4 Проведение аудита на месте

6.4 Проведение аудита

6.4.1 Общие положения	6.4.1 Общие положения
Мероприятия или работы по аудиту обычно проводятся в определенной последовательности согласно тому, как приведено на рисунке 2. Эта последовательность может меняться в соответствии с условиями конкретных аудитов.	Аудиторская деятельность обычно осуществляется в определенной последовательности, как показано на рисунке 1. Эта последовательность может меняться в зависимости от обстоятельств конкретного аудита.
	6.4.2 Распределение ролей и обязанностей, сопровождающих и наблюдателей ГАРАНТ: (соответствует п.6.4.5 из левого столбца)
	Сопровождающие и наблюдатели могут находиться с аудиторской группой с одобрения руководителя группы, заказчика аудита и/или проверяемой организации, если требуется. Они не должны оказывать влияние или вмешиваться в ход аудита. Если это невозможно гарантировать, руководителю аудиторской группы следует дать право отказать наблюдателям присутствовать во время определенных видов аудиторской деятельности.
	Для наблюдателей все вопросы доступа, здоровья и безопасности, охраны окружающей среды, конфиденциальности и защиты информации следует оговаривать с заказчиком аудита и проверяемой организацией.
	Сопровождающие, назначаемые проверяемой организацией, должны помогать аудиторской группе и подчиняться ее руководителю или аудитору, к которому их прикрепляют. В обязанности сопровождающих следует включить:
	а) помощь аудиторам в определении работников для проведения опроса и согласование время и места проведения интервью; ГАРАНТ: (соответствует п.п. a) п.6.4.5 из левого столбца)
	b) организация доступа в конкретные места проверяемой организации; ГАРАНТ: (соответствует п.п. b) п.6.4.5 из левого столбца)
	с) обеспечение того, чтобы правила для специфики конкретного местоположения, касающиеся доступа, здоровья и безопасности, охраны окружающей среды, защиты конфиденциальности и другие были известны и принимались во внимание членами аудиторской группы и наблюдателям и любые риски были учтены; ГАРАНТ: (соответствует п.п. c) п.6.4.5 из левого столбца)
	d) наблюдение за ходом аудита от имени проверяемой организации, когда это целесообразно; ГАРАНТ: (соответствует п.п. (-) п.6.4.5 из левого столбца)
	е) пояснения или содействие в сборе информации, когда это необходимо. ГАРАНТ: (соответствует п.п. (-) п.6.4.5 из левого столбца)

6.4.2 Проведение предварительного совещания	6.4.3 Проведение вступительного заседания
Целью предварительного совещания являются:	Цель такого заседания заключается в следующем:
a) подтверждение согласия всех сторон (например, проверяемой организации, группы по аудиту) относительно плана аудита;	a) подтвердить согласие всех сторон (например, проверяемой организации, аудиторской группы) с планом аудита;
b) представление членов группы по аудиту:	b) представить аудиторскую группу и разъяснить их функции;
c) обеспечение уверенности в том, что все запланированные в рамках аудита мероприятия могут быть выполнены.	c) удостовериться в том, что запланированный аудит может быть выполнен.
Предварительное совещание проводят с руководством проверяемой организации и, когда это возможно, с теми лицами, которые отвечают за проверяемые подразделения или процессы. В ходе этого совещания предоставляется возможность задать вопросы.	Открывающее аудит заседание следует проводить вместе с руководством проверяемой организации и, где необходимо, с лицами, ответственными за функции или процессы, подлежащие аудиту. На заседании следует обеспечить возможность задавать вопросы.
Объем и степень предоставляемых сведений должны соответствовать степени осведомленности проверяемой организации с процессом аудита. Во многих случаях, например, при проведении внутренних аудитов в небольших организациях, предварительное совещание может состоять лишь из объявления о том, что началось проведение аудита, и объяснения сущности или специфики аудита.	Степень детализации должна соответствовать осведомленности проверяемой организацией о процессе аудита. Во многих случаях, например при проведении внутреннего аудита в небольших организациях, вступительное заседание может просто состоять из сообщения о том, что проводится аудит, и из объяснения характера этого аудита.
В других случаях предварительное совещание может иметь официальный характер, при котором проводится регистрация присутствующих на нем лиц. Предварительное совещание должно проходить под руководством руководителя группы по аудиту, в обязанности которого входит:	В других случаях заседание может быть официальным, и списки присутствующих следует сохранять. Заседание следует проводить под председательством руководителя аудиторской группы. На заседании следует, соответственно, обсудить:
- представить участников, включая наблюдателей и сопровождающих лиц, и объяснить их роль в аудите;	- других участников, включая наблюдателей, сопровождающих лиц и переводчиков, с указанием их роли в аудите;
	- методы проведения аудита для управления рисками в организации из-за присутствия членов аудиторской группы.
	Следует рассмотреть подтверждение следующих вопросов, в зависимости от обстоятельств:
- подтвердить цели, область и критерии аудита;	- целей, области, критериев аудита;
- подтвердить с проверяемой организацией план аудита и другие необходимые мероприятия, связанные с аудитом, такие как дата и время заключительного совещания, любые промежуточные совещания группы по аудиту и руководства проверяемой организации и любые дальнейшие изменения;	- плана проведения аудита, и другие относящиеся к делу соглашения с проверяемой организацией, например в отношении даты и времени проведения заключительного заседания, всех промежуточных заседаний аудиторской группы и руководства проверяемой организации и необходимости каких-либо изменений;
- ознакомить с методами, которые будут использоваться при проведении аудита, включая информирование проверяемой организации о том, что свидетельства аудита будут основаны на выборках доступных данных;
- представить методы по управлению рисками, связанными с аудитом, которые могут иметь место для организации вследствие присутствия на местах членов группы по аудиту;
- подтвердить официальные каналы связи между группой по аудиту и проверяемой организацией;	- официальных каналов связи между аудиторской группой и проверяемой организацией;
- подтвердить язык, используемый при аудите;	- языка, используемого при аудите;
- подтвердить, что во время аудита проверяемая организация будет информироваться о ходе его проведения;	- информируемость проверяемой организации и о ходе аудита во время его проведения;
- подтвердить, что необходимые группе по аудиту ресурсы и средства будут доступны;	- наличие ресурсов и средств, необходимых аудиторской группе;
- подтвердить обеспечение конфиденциальности и информационной безопасности;	- вопросы, связанные с конфиденциальностью и защитой информации;
- подтвердить обеспечение безопасности работы и ознакомление с соответствующими процедурами по обеспечению безопасности, а также в случае возникновения чрезвычайной ситуации для группы по аудиту;	- соответствующие мероприятия обеспечения доступа здоровья и безопасности, защиты, безопасности в чрезвычайной ситуации для аудиторской группы и другие меры;
	- работа на объекте, который может повлиять на проведение аудита.
	Следует рассмотреть представление информации по следующим вопросам, в зависимости от обстоятельств:
- ознакомить с методом регистрации и составления отчетов по выявленным при проведении аудита фактам, включая их классификацию и любое ранжирование;	- способы сообщения обнаружений аудита, включая критерии для их классификации, если таковые имеются;
- проинформировать об условиях, при которых аудит может быть прекращен;	- условия, при которых аудит может быть прекращен;
- проинформировать о заключительном совещании;
- проинформировать о том, каким образом следует обращаться с теми фактами, которые могут быть выявлены во время аудита;	- как поступать с обнаружениями аудита в процессе его проведения;
- проинформировать о любой системе обратной связи с проверяемой организацией по рассмотрению выводов или заключений по результатам аудита, включая жалобы или апелляции.	- системе обратной связи от проверяемой организации по поводу обнаружений или заключений аудита, включая жалобы или апелляции.

6.4.3 Выполнение анализа документов во время проведения аудита ГАРАНТ: (соответствует п.6.4.6 из правого столбца)
Необходимо проанализировать документацию проверяемой организации, с тем чтобы;
- определить соответствие системы (насколько это отражено в документации) критериям аудита;
- собрать информацию для содействия реализации намеченных мероприятий в рамках проводимого аудита.
Примечание - Руководящие указания по выполнению анализа документации, приведены в В.2 приложения В.
Данный анализ может осуществляться в сочетании с другими видами деятельности по аудиту и может продолжаться по ходу выполнения мероприятий аудита, если это не сказывается негативным образом на результативности проведения аудита.
Если необходимая документация не может быть предоставлена в сроки, определенные планом аудита, руководителю группы по аудиту следует проинформировать лицо, ответственное за управление программой аудита, и проверяемую организацию. В зависимости от области применения и целей аудита следует принять решение о целесообразности продолжения проведения аудита или о приостановке его проведения до тех пор, пока не будут разрешены все вопросы, связанные с документацией.

6.4.4 Обмен информацией во время проведения аудита	6.4.4 Обмен информацией в ходе аудита
В ходе аудита может возникнуть необходимость в заключении официальных соглашений по обмену информацией между группой по аудиту и проверяемой организацией, заказчиком аудита и, возможно, с внешними органами (например, контролирующими органами), особенно в тех случаях, когда законодательные нормы содержат требования об обязательном уведомлении о несоответствиях.	В ходе аудита может потребоваться разработка официальных процедур по обмену информацией внутри аудиторской группы, а также с проверяемой организацией, заказчиком аудита и, возможно, внешними заинтересованными сторонами (например, регулирующими органами), особенно тогда, когда законодательные и нормативные правовые требования предписывают обязательную отчетность о несоответствиях.
В группе по аудиту периодически проводят обмен информацией, оценивают ход аудита и, при необходимости, перераспределяют обязанности между членами группы по аудиту.	Аудиторской группе следует периодически собираться для обмена информацией, оценки хода аудита и, в случае необходимости, перераспределению заданий между членами аудиторской группы.
Во время аудита руководитель группы по аудиту должен периодически обмениваться информацией о ходе аудита и связанных с этим вопросах с проверяемой организацией и, при необходимости, с заказчиком аудита. Свидетельство, полученное во время аудита, относительно предполагаемого непосредственного и существенного риска для проверяемой организации, должно быть без задержки доведено до сведения проверяемой организации и, если необходимо, заказчику аудита. Информация, выходящая за пределы области аудита, должна также приниматься во внимание и доводиться до руководителя группы по аудиту, чтобы была обеспечена возможность для ее передачи заказчику аудита или проверяемой организации.	Во время аудита руководителю аудиторской группы следует периодически информировать о ходе аудита и обо всех возникающих вопросах и значимых обнаружениях проверяемую организацию и заказчика аудита, по обстоятельствам. Свидетельство, полученное во время аудита, относительно предполагаемого непосредственного и существенного риска, должно быть представлено без задержки проверяемой организации и, если необходимо, заказчику аудита. Все, важное, но выходящее за рамки области аудита, следует фиксировать и сообщать руководителю аудиторской группы для возможной передачи заказчику аудита и проверяемой организации.
Если имеющееся свидетельство аудита указывает на невыполнимость целей аудита, руководителю группы по аудиту следует доложить заказчику аудита или проверяемой организации о причинах для принятия соответствующих мер. Такие меры могут включать в себя внесение изменений и переутверждение плана аудита, изменение целей или области аудита, или прекращение аудита.	В случае, когда имеющееся свидетельство аудита указывает на недостижимость целей аудита, аудиторской группы следует сообщить заказчику аудита и проверяемой организации о причинах этого, с тем чтобы определить соответствующее действие. Такое действие может включать изменение плана аудита, изменение целей или области аудита или его прекращение.
Любую необходимость во внесении изменений в план аудита, которая может выявляться по ходу выполнения мероприятий аудита, следует анализировать и согласовывать с лицом, ответственным за управление программой аудита, и, при необходимости, с проверяемой организацией.	Любую необходимость изменений плана аудита, которая становится очевидной в ходе его выполнения, следует анализировать и утверждать должным образом как лицу(ам), осуществляющему(им) управление программой аудита, так и проверяемой организации.

6.4.5 Роль и обязанности сопровождающих лиц и наблюдателей ГАРАНТ: (соответствует п.6.4.2 из правого столбца)
Сопровождающие лица и наблюдатели (например, представители регулирующего органа или других заинтересованных сторон) могут присутствовать при работе группы по аудиту. Они не должны оказывать влияние или вмешиваться в проведение аудита. В случае, если это не может быть гарантировано, руководитель группы по аудиту имеет право отказать наблюдателям в участии в некоторых мероприятиях аудита.
Для наблюдателей любые обязательства, относящиеся к здоровью, безопасности и конфиденциальности, должны оговариваться и регулироваться между заказчиком аудита и проверяемой организацией.
Сопровождающие лица, назначенные проверяемой организацией, должны оказывать помощь группе по аудиту и действовать по просьбе руководителя группы по аудиту. Сопровождающие лица должны выполнять следующие обязанности:
a) содействовать аудиторам, обеспечивать контакты и назначение времени для бесед (интервью); ГАРАНТ: (соответствует п.п. a) п.6.4.2 из правого столбца)
b) организовывать доступ для посещения определенных объектов или рабочих участков проверяемой организации; ГАРАНТ: (соответствует п.п. b) п.6.4.2 из правого столбца)
c) обеспечивать то, чтобы правила и процедуры по безопасности были известны и соблюдались членами группы по аудиту и наблюдателями. ГАРАНТ: (соответствует п.п. c) п.6.4.2 из правого столбца)
Роль руководства может также включать в себя следующее:
- исполнять роли лиц, свидетельствующих в ходе аудита от имени проверяемой организации; ГАРАНТ: (соответствует п.п. d) п.6.4.2 из правого столбца)
- предоставлять разъяснения или оказывать помощь при сборе информации. ГАРАНТ: (соответствует п.п. е) п.6.4.2 из правого столбца)
	6.4.5 Наличие и доступ к информации по аудиту
	Методы, выбранные для аудита, зависят от определенных целей, области и критериев, а также от продолжительности и месте проведения аудита. Место проведения аудита - это место нахождения требуемой для конкретного аудита информации, доступное для аудиторской группы. Сюда могут быть включены физические и виртуальные местоположения.
	Где, когда и как получить информацию является важным вопросом для аудита. Это не зависит от того, где создана, используется и/или хранится информация. Методы аудита необходимо определять на основе этих вопросов (см. таблицу А.1). При аудите можно использовать несколько методов. Обстоятельства аудита могут диктовать необходимость изменения методов в процессе аудита.
	6.4.6 Анализ документированной информации в ходе проведения аудита ГАРАНТ: (соответствует п.6.4.3 из левого столбца)
	Следует проанализировать относящуюся к аудиту документированную информацию проверяемой организации, чтобы:
	- определить соответствие системы критериям аудита в части документирования;
	- собрать информацию необходимую для проведения аудита.
	Примечание - Руководящие указания по проверке информации приведены в А.5.
	Анализ информации может сочетаться с другой аудиторской деятельностью и продолжаться в процессе аудита, при условии, что это не повредит эффективности аудита.
	Если документированная информация не могла быть представлена в сроки, установленные в программе аудита, то руководителю группы следует уведомить об этом лицо (лиц), осуществляющее(их) управление программой аудита, и проверяемую организацию. В зависимости от целей и области аудита следует принять решение, продолжать аудит или приостановить процесс до разрешения вопросов, связанных с документированной информацией.

6.4.6 Сбор и верификация информации	6.4.7 Сбор и проверка информации
Во время проведения аудита информация, относящаяся к целям аудита, области и критериям аудита, включая информацию, касающуюся взаимодействия между подразделениями, деятельности и процессов, должна быть собрана путем необходимых выборок и верифицирована.	Во время аудита информация, относящаяся к целям, области и критериям аудита, включая информацию, касающуюся взаимосвязей между функциями, деятельностью и процессами, должна быть собрана путем соответствующих выборок и проверена.
В качестве свидетельства аудита следует принимать только ту информацию, которая может быть верифицирована. Свидетельства аудита должны быть зарегистрированы. Если во время сбора свидетельств группе по аудиту станут известны любые новые или измененные риски, их следует рассмотреть и принять соответствующие меры.
	Примечания
	1 Информацию по проверке см. в А.5.
Примечание - Руководящие указания по выборкам, приведены в В.3 приложения В.	2 Руководящие указания по выборкам см. в А.6.
	Только информация, которая может быть проверена в той или иной степени, может быть свидетельством аудита. При низкой степени подтверждения информации аудитору следует использовать профессиональные навыки для определения степени надежности, которая позволит принять информацию в качестве свидетельства аудита. Свидетельства аудита, приводящие к обнаружениям аудита, должны быть записаны. Если при сборе объективного свидетельства аудиторская группа узнает о новых или изменившихся обстоятельствах, или рисках, или возможностях, их следует соответствующим образом учесть.
	На рисунке 2 представлен обзор типового процесса от сбора информации до получения заключений по аудиту.

	Рисунок 2 - Обзор типового процесса сбора и проверки данных ГАРАНТ: (соответствует Рисунку 3 из левого столбца с изменениями)
На рисунке 3 представлена блок-схема процесса, начиная от сбора информации до получения заключений по результатам аудита.
Методы сбора информации включают в себя следующее:	Методы сбора информации включают, но не ограничиваясь, следующее:
- опросы;	- опросы;
- наблюдения за деятельностью;	- наблюдения;
- анализ документов, включая записи.	- анализ документированной информации.
Примечания
1 Руководящие указания, касающиеся источников информации, приведены в В.5 приложения В.	Примечание 3 - Руководящие указания по выбору источников информации и наблюдению приведено в А.14.
2 Руководящие указания, касающиеся посещения объектов и подразделений, приведены в В.6 приложения В.	Примечание 4 - Руководящие указания по посещению мест проверяемой организации приведено в А.15.
3 Руководящие указания, по проведению опросов приведены в В.7 приложения В.	Примечание 5 - Руководящие указания по проведению опросов интервью приведено в А.17.

Рисунок 3 - Блок-схема процесса, начиная от сбора информации до получения заключений по результатам аудита
ГАРАНТ: (соответствует Рисунку 2 из правого столбца с изменениями)

6.4.7 Формирование выводов аудита	6.4.8 Формирование обнаружений аудита
Для получения выводов аудита свидетельства аудита должны быть сопоставлены и оценены относительно критериев аудита. Выводы аудита могут указывать на соответствие или несоответствие критериям аудита. В случае, если это не может быть гарантировано, руководитель группы по аудиту имеет право отказать наблюдателям в участии в некоторых мероприятиях аудита.	Свидетельство аудита следует оценивать по критериям аудита, чтобы получить обнаружения аудита. Обнаружения аудита могут показать соответствие или несоответствие критериям аудита. Если указано в плане аудита, отдельные обнаружения аудита следует включить как соответствующие критериям и как часть надлежащей практики вместе с подтверждающим их свидетельством, возможностями улучшения и рекомендациями для проверяемой организации.
Несоответствия и подтверждающие их свидетельства аудита должны быть записаны.	Несоответствия и подтверждающее их свидетельство аудита необходимо зафиксировать.
Несоответствия могут быть классифицированы (ранжированы).	Несоответствия могут классифицироваться в зависимости от среды организации и ее рисков.
	Эта оценка может быть количественной (например, от 1 до 5) или качественной (например, незначительное, значительное).
Они должны быть проанализированы с проверяемой организацией для подтверждения объективности свидетельств аудита и для подтверждения того, что выявленные несоответствия правильно понимаются. Следует принять все возможные меры по разрешению любых разногласий во мнениях по свидетельствам и/или выводам аудита, а неразрешенные вопросы следует документально оформить.	Их следует проанализировать совместно с проверяемой организацией, чтобы получить подтверждение, что свидетельство аудита является точным и что несоответствия поняты. Следует принять все меры для согласования различающихся мнений в отношении свидетельства аудита или обнаружений аудита, а неразрешенные пункты зарегистрировать в отчете по аудиту.
Группе по аудиту, по мере необходимости, следует собираться для анализа выводов аудита на определенных этапах его проведения.	Аудиторской группе следует провести совещание, необходимое для анализа обнаружений аудита на определенных этапах в ходе аудита.
	Примечания
Примечание - Дополнительные руководящие указания по идентификации и оценке выводов аудита приведены в В.8 приложения В.	1 Дополнительные руководящие указания по идентификации и оценке обнаружений аудита приведены в А.18.
	2 Соответствие или несоответствие критериям аудита, относительно законодательных и договорных требований или иных требований, иногда называют как соблюдение или несоблюдение.

6.4.8 Подготовка заключений по результатам аудита	6.4.9 Подготовка заключений по аудиту
	6.4.9.1 Подготовка к заключительному заседанию
Группе по аудиту до заключительного совещания следует выполнить следующее:	Аудиторская группа до заключительного заседания должна осуществить следующие мероприятия:
a) проанализировать выводы аудита и любую другую соответствующую информацию, собранную во время аудита, на соответствие целям аудита;	a) рассмотреть обнаружения аудита и другую соответствующую информацию, собранную во время аудита, на соответствие целям аудита;
b) согласовать заключения по результатам аудита с учетом неопределенности, присущей процессу аудита;	b) согласовать заключения аудита с учетом неопределенности, присущей процессу аудита;
c) подготовить рекомендации, если это предусмотрено целями аудита;	c) подготовить рекомендации, если это предусмотрено в плане аудита;
d) обсудить действия по результатам аудита, если это требуется.	d) обсудить последующие действия, если потребуется.
	6.4.9.2 Содержание заключений по аудиту
Заключения аудита могут содержать следующую информацию, касающуюся:	Заключения по аудиту могут охватывать следующие вопросы:
- степени соответствия критериям аудита и основательности системы менеджмента, включая эффективность системы менеджмента в достижении заявленных целей;	a) степень соответствия критериям аудита и работоспособность системы менеджмента, включая результативность системы менеджмента в достижении запланированных результатов, идентификации рисков и результативности действий, выполненных проверяемой организацией в отношении рисков;
- эффективности внедрения, поддержания и улучшения системы менеджмента;	b) результативное внедрение, поддержание и улучшение системы менеджмента;
- возможностей процесса анализа со стороны руководства для обеспечения постоянной пригодности системы менеджмента, ее адекватности, эффективности и улучшения;
- достижения целей аудита, степени охвата области аудита и выполнения критериев аудита;	c) достижение целей аудита, охват области аудита и выполнение критериев аудита;
- корневых причин выявленных фактов (наблюдений), если это предусмотрено планом аудита;
- сопоставления и обобщения аналогичных или схожих по своему характеру фактов, выявленных при проведении аудита в различных областях, для определения тенденций (трендов).	d) аналогичные выводы, сделанные в различных областях, которые прошли аудит с целью идентификации тенденций.
Если это определено планом аудита, то заключения по результатам аудита могут вести к рекомендациям по улучшению или будущим видам деятельности по аудиту.	Если внесено в план аудита, по заключениям аудита можно дать рекомендации по улучшению или по будущей аудиторской деятельности.

6.4.9 Проведение заключительного совещания	6.4.10 Проведение заключительного заседания
	Заключительное заседание следует провести, чтобы представить обнаружения и заключения аудита.
Проведение заключительного совещания должно быть организовано руководителем группы по аудиту таким образом, чтобы представленные выводы и заключения аудита были понятны и признаны проверяемой организацией. К участию в заключительном совещании следует привлекать руководителей проверяемой организации и, там, где это целесообразно, сотрудников, отвечающих за функции или процессы, которые были проверены в ходе аудита, а также заказчика аудита и другие стороны.	Заключительное заседание следует проводить под председательством руководителя аудиторской группы в присутствии руководства проверяемой организации и при участии, по необходимости: - ответственных за функции или процессы, которые прошли аудит; - заказчика аудита; - других членов аудиторской группы; - других заинтересованных сторон, определенных заказчиком аудита и/или проверяемой организацией.
Если это необходимо, руководитель группы по аудиту должен сообщать проверяемой организации о сложившихся во время проведения аудита ситуациях, которые могут уменьшить доверие к информации, изложенной в заключениях по результатам аудита. Если это определено в системе менеджмента или соглашением с лицом, отвечающим за управление программой аудита, участникам следует согласовать сроки разработки и внедрения плана мероприятий по результатам аудита, включающего корректирующие и предупреждающие действия.	Если это необходимо, руководителю аудиторской группы следует информировать проверяемую организацию относительно ситуаций, возникших во время аудита, которые могут уменьшить доверие к заключениям аудиту. Если это определено в системе менеджмента или по соглашению с заказчиком аудита, участники должны договориться о временных рамках для представления плана действий по реагированию на обнаружения аудита.
	Уровень детализации должен учитывать эффективность системы менеджмента в достижении целей проверяемой организацией, включая рассмотрение ее среды и рисков и возможностей.
	На заключительном заседании следует принять во внимание осведомленность проверяемой организации в процессе проведения аудита, чтобы обеспечить надлежащий уровень детализации для участников.
Объем и степень предоставляемых сведений должны соответствовать степени осведомленности проверяемой организации о процессе аудита. В других случаях, например, при внутренних аудитах, заключительное совещание является менее формальным и может состоять только из сообщения о выводах и заключениях по результатам аудита.	Для некоторых ситуаций заседание может быть официальным, с ведением протокола, регистрацией присутствующих и с сохранением их списка. В других случаях, например при внутренних аудитах, заключительное заседание менее формально и может включать только сообщение об обнаружениях и заключениях аудита.
При необходимости, на заключительном совещании следует довести до сведения проверяемой организации следующее:	Если уместно, на заключительном заседании можно пояснить проверяемой организации следующее:
- что собранные во время аудита свидетельства основаны на выборке данных и информации, имевшейся на момент проведения аудита;	а) что собранное свидетельство аудита было основано на выборке из имеющейся информации и не обязательно является полностью репрезентативным для общей результативности процессов проверяемой организации;
- метод протоколирования и составления отчетов, включая любую классификацию или ранжирование данных;	b) способ подготовки отчетности;
- процесс обработки и трактовки выводов аудита и возможные последствия, связанные с принятием решений по выявленным фактам;	c) согласованный процесс обработки обнаружений аудита;
	d) возможные последствия неправильной обработки обнаружений аудита;
- выводы аудита таким способом, чтобы они были понятны и признаны проверяемой организацией;	e) представление обнаружений и заключений аудита таким образом, чтобы это было понятно и принято к сведению руководством проверяемой организации;
- любые последующие действия по результатам аудита (например, выполнение корректирующих действий, обработку претензий, процесс апелляций).	f) все виды деятельности после аудита (например, выполнение и анализ корректирующих действий, рассмотрение жалоб, процесс апелляции).
Любые разногласия по выводам и/или заключениям аудита между группой по аудиту и проверяемой организацией должны быть обсуждены и, по возможности, разрешены. В случае, если разногласия не удается разрешить, то все мнения должны быть зарегистрированы.	Все мнения, расходящиеся относительно обнаружений и заключений по аудиту, следует обсудить между собой аудиторской группе вместе с проверяемой организацией и, по возможности, прийти к соглашению. В противном случае следует записать эти мнения.
Если это предусмотрено целями аудита, могут быть предоставлены рекомендации по улучшению. Следует указать, что рекомендации не носят обязательного характера.	Если это входит в цели аудита, могут быть представлены рекомендации по улучшению. Следует подчеркнуть, что рекомендации не являются обязательными.

6.5 Подготовка и рассылка отчета по аудиту

6.5.1 Подготовка отчета по аудиту	6.5.1 Подготовка отчета по аудиту
Руководитель группы по аудиту несет ответственность за подготовку и содержание отчета по аудиту.	Руководителю аудиторской группы следует составить отчет о заключениях по аудиту в соответствии с программой аудита.
Отчет по аудиту должен содержать полные, точные, четко сформулированные и понятные записи по аудиту и, в соответствии с процедурами аудита, должен включать в себя или содержать ссылку на следующее:	Отчет по аудиту должен содержать полные, точные, сжатые и понятные записи по аудиту и включать или иметь ссылки:
a) цели аудита;	а) цели аудита;
b) область аудита, в частности, идентификацию проверенных организационных и функциональных подразделений или процессов и охватываемый период времени;	b) область аудита, в частности, идентификацию организации (аудитируемой) и функциональных подразделений или процессов, подлежащих аудиту;
c) идентификацию заказчика аудита;	c) идентификация заказчика аудита;
d) идентификацию членов группы по аудиту и представителей проверяемой организации, принимавших участие в проведении аудита;	d) идентификация аудиторской группы и участников от проверяемой организации в аудите;
e) даты и места проведения аудита на месте;	e) даты и места проведения аудита;
f) критерии аудита;	f) критерии аудита;
g) выводы аудита;	g) обнаружения аудита и соответствующее свидетельство аудита;
h) заключения по результатам аудита;	h) заключения аудита;
i) заявление о степени соответствия критериям аудита.	i) заявление о степени соответствия критериям аудита;
	j) все неразрешенные спорные вопросы между аудиторской группой и проверенной организацией;
	k) то, что аудиты по характеру связаны с выборками; это имеет риск получения и изучения нерепрезентативного свидетельства аудита.
При необходимости в отчет по аудиту могут также быть включены:	Отчет по аудиту может также включать или давать ссылки на следующее, насколько уместно:
- план аудита, включая график;	- план аудита, включая график проведения;
- итоговое изложение процесса аудита, включая неопределенности и/или любые встретившиеся препятствия при его проведении, которые могут уменьшить достоверность заключений по результатам аудита;	- краткое описание процесса аудита, включая все возникшие препятствия, которые могут снизить достоверность заключений аудита;
- подтверждение достижения целей аудита в пределах области аудита в соответствии с планом аудита;	- подтверждение того, что цели аудита достигнуты в рамках области аудита и в соответствии с планом аудита;
- области, не охваченные аудитом, но находящиеся в области аудита;	- все неохваченные части в области аудита, включая все факторы наличия свидетельства, ресурсов или конфиденциальности с соответствующими обоснованиями;
- итоговая сводка, содержащая заключения по результатам аудита и подтверждающие их выводы (наблюдения) аудита;	- краткое описание заключений аудита и основные обнаружения аудита, подтверждающие эти заключения;
- неразрешенные противоречия между группой по аудиту и проверяемой организацией;
- возможности для улучшения, если это предусмотрено целями аудита;
- выявленные сильные стороны и лучшие практики;	- выявленная положительная практика;
- согласованный план действий по результатам аудита, если такой план имеется;	- согласованный план последующих действий, если таковые имеются;
- заявление о конфиденциальном характере содержимого отчета;	- заявление о конфиденциальном характере содержания отчета;
- любые последствия для программы аудита или последующих аудитов;	- любые последствия для программы аудита или последующих аудитов.
- перечень рассылки отчета по аудиту.
Примечание - Отчет по аудиту может быть разработан до заключительного совещания.

6.5.2 Рассылка отчета по аудиту	6.5.2 Рассылка отчета по аудиту
Отчет по аудиту должен быть подготовлен и представлен в согласованные сроки. В случае задержки, о ее причинах следует сообщить проверяемой организации и лицу, ответственному за управление программой аудита.	Отчет по аудиту следует подготовить в согласованные сроки. В случае задержки о причинах задержки следует сообщить проверяемой организации и лицу(ам), осуществляющему(им) управление программой аудита.
Отчет по аудиту должен иметь дату выпуска, надлежащим образом проанализирован и утвержден в соответствии с процедурами программы аудита.	Отчет по аудиту следует датировать, проанализировать и утвердить в соответствии с программой аудита.
Затем отчет по аудиту должен быть разослан получателям, определенным процедурами аудита.	Отчет по аудиту следует разослать соответствующим заинтересованным сторонам, определенным в программе аудита или планом аудита.
	При рассылке отчета необходимо предусмотреть соответствующие меры по обеспечению конфиденциальности.

6.6 Завершение аудита	6.6 Завершение аудита
Аудит считается завершенным, если все запланированные мероприятия аудита были выполнены или же на основании, согласованном с заказчиком аудита (например, могут быть непредвиденные ситуации, которые препятствуют тому, чтобы аудит был завершен в соответствии с разработанным планом).	Аудит считается завершенным, когда все запланированные мероприятия аудита выполнены или достигнуто иное соглашение с заказчиком аудита (например, в случае непредвиденных обстоятельств, которые мешают завершению аудита в соответствии с планом).
Документы, относящиеся к аудиту, следует хранить или уничтожать на основании соглашения между участвующими сторонами в соответствии с процедурами программы аудита и применяемыми законодательными и другими требованиями.	Документированную информацию, имеющую отношение к аудиту, следует хранить или уничтожить на основании договоренности между участвующими сторонами в соответствии с программой аудита и действующими требованиями.
Если это не предусмотрено законом, группа по аудиту и лицо, ответственное за управление программой аудита, не должны раскрывать содержимого документов и другой информации, полученной во время аудита, или отчета по аудиту любой другой стороне без ясного разрешения заказчика аудита и, где это требуется, разрешения проверяемой организации. Если необходимо раскрыть содержание документов аудита, заказчик аудита и проверяемая организация должны быть незамедлительно об этом проинформированы.	Если это не предусмотрено законом, аудиторская группа и лицо(а), осуществляющее(ие) управление программой аудита, не должны раскрывать информацию, полученную во время аудита, или содержание отчетов по аудиту любой другой стороне без прямого разрешения заказчика аудита и, где это требуется, разрешения проверяемой организации. Если потребовалось раскрыть содержание документов аудита, заказчик аудита и проверяемая организация должны быть уведомлены об этом как можно скорее.
Из наблюдений и выводов, полученных при проведении аудита, проверяемой организации следует извлекать необходимые уроки для включения соответствующих действий в процесс постоянного улучшения своей системы менеджмента.	Уроки аудита необходимо использовать в процессе идентификации рисков и возможностей для программы аудита и проверяемой организации.

6.7 Действия по результатам аудита	6.7 Выполнение последующих действий по результатам аудита
Заключения по результатам аудита могут в зависимости от целей аудита указывать на необходимость выполнения коррекций, корректирующих и предупреждающих действий или действий по улучшению. Такие действия, как правило, разрабатываются и выполняются проверяемой организацией в согласованные временные сроки. При необходимости, проверяемой организации следует информировать лицо, ответственное за управление программой аудита, и группу аудиторов о состоянии выполнения этих действий.	Результаты аудита могут, в зависимости от целей аудита, указывать на необходимость коррекции, корректирующих действий или на возможности улучшения. Такие мероприятия обычно, решаются и предпринимаются проверяемой организацией в согласованные сроки. Как правило, проверяемая организация держит руководителя программы аудита и/или аудиторскую группу в курсе этих действий.
Выполнение и результативность этих действий должны быть верифицированы. Такая верификация может быть частью последующего аудита.	Следует верифицировать завершение и результативность этих действий. Эта верификация может быть частью последующего аудита.
	Результаты можно сообщить руководителю программы аудита, заказчику аудита для анализа менеджмента.

7 Компетентность и оценка аудиторов

7.1 Общие положения	7.1 Общие положения
Доверие к процессу аудита и его способность достигнуть поставленные цели зависит от компетентности лиц, участвующих в планировании и проведении аудитов, включая аудиторов и руководителей групп по аудиту. Компетентность следует оценивать посредством процесса, учитывающего личные качества и способность применять знания и навыки, приобретенные посредством обучения, производственного опыта, подготовки в качестве аудитора и опыта в проведении аудита. Этот процесс должен учитывать потребности программы аудита и ее цели. Некоторые знания и навыки, описанные в 7.2.3, являются общими и универсальными для аудиторов любой дисциплины или области, охватываемой соответствующей системой менеджмента, остальные имеют особый характер, учитывающий конкретную специфику дисциплины или области, охватываемой системой менеджмента. При этом нет необходимости в том, чтобы каждый аудитор в группе по аудиту имел одинаковый уровень компетентности; при этом необходимо, чтобы общая компетентность группы по аудиту была достаточной для выполнения целей аудита.	Доверие к процессу аудита и его способности достигнуть поставленные цели зависят от компетентности тех, кто участвует в планировании и проведении аудитов, включая аудиторов и руководителей аудиторских групп. Компетентность следует оценивать систематически путем учета личных качеств и способности к применению знаний и навыков, полученных при обучении, опыте работы, аудиторской подготовке и опыте работы в качестве аудитора. При этом следует также учитывать требования программы аудита и ее цели. Некоторые знания и навыки, описанные в 7.2.3, являются общими для аудиторов, проверяющих любые системы менеджмента; другие являются специфичными для отдельных дисциплин системы менеджмента. Нет необходимости в том, чтобы каждый аудитор в группе имел одинаковую компетентность; в то же время общая компетентность группы должна быть достаточной для достижения целей аудита.
Оценку компетентности аудиторов необходимо планировать, осуществлять и документально оформлять в соответствии с программой аудита, включая процедуры для получения объективного, надежного и соответствующего имеющимся потребностям результата. Процесс оценки должен включать в себя следующие четыре этапа:	Оценку компетентности аудитора следует планировать, выполнять и документировать, чтобы обеспечить результат, являющийся объективным, последовательным, честным и надежным. Процесс оценивания должен включать четыре основных этапа, а именно:
a) определение компетентности персонала для проведения аудита, требуемой для программы аудита;	а) определить требуемую компетентность для выполнения потребностей программы аудита;
b) определение критериев оценки;	b) установить критерии оценки;
c) выбор соответствующего метода оценки;	c) выбрать подходящий метод оценки;
d) проведение оценки.	d) выполнить оценку.
Результат процесса оценки должен служить основой для:	Результат процесса оценивания следует использовать как основу:
- формирования группы по аудиту (5.4.4);	- для отбора членов аудиторской группы (в соответствии с 5.4.4);
- определения потребности в обучении и подготовке или других потребностей, связанных с увеличением уровня компетентности;	- определения потребности в повышении компетентности (например, дополнительное обучение);
- оценки текущей работы аудиторов.	- постоянной оценки деятельности аудиторов.
Аудиторы должны развивать, поддерживать и улучшать свою компетентность посредством постоянного профессионального развития и регулярного участия в аудитах (7.6).	Аудиторам следует развивать, поддерживать и повышать свою компетентность путем постоянного профессионального развития и регулярного участия в аудитах (см. 7.6).
Процесс оценки аудиторов и руководителей группы по аудиту описан в 7.4 и 7.5.	Процесс оценивания аудиторов и руководителей аудиторской группы описан в 7.3, 7.4 и 7.5.
Оценка руководителей групп по аудиту должна проводиться согласно критериям, установленным в 7.2.2 и 7.2.3.	Аудиторы и руководители аудиторской группы должны проходить оценку по критериям, установленным в 7.2.2 и 7.2.3, а также по критериям, указанным в 7.1.
Компетентность, необходимая лицу, управляющему программой аудита, описана в 5.3.2.	Компетентность, требуемая от руководителя программы аудита, описана в 5.4.2.

7.2 Определение компетентности аудитора для удовлетворения потребностей программы аудита

7.2 Определение компетентности аудиторов

7.2.1 Общие положения	7.2.1 Общие положения
При принятии решений, касающихся необходимого уровня знаний и навыков, следует учитывать следующее:	При принятии решения о необходимой компетентности для выполнения аудита, знаниях и навыках аудитора следует учитывать:
- размер, вид деятельности и структурные особенности проверяемой организации;	a) размер, характер и сложность, продукцию, услуги и процессы организации, подлежащей аудиту;
	b) методы аудита;
- аспекты деятельности (дисциплины) системы менеджмента, подлежащей аудиту;	c) аспекты системы менеджмента, подлежащей аудиту;
	d) сложность и процессы системы менеджмента, подлежащей аудиту;
	е) типы и уровни рисков и возможностей, связанных с системой менеджмента;
- цели и объем программы аудита;	f) цели и объем программы аудита;
	g) неопределенность в достижении целей аудита;
- другие требования, например, устанавливаемые внешними органами, если они применяются;	h) другие требования, такие как предъявляемые заказчиком аудита и другими заинтересованными сторонами, где это уместно;
- роль процесса аудита в системе менеджмента проверяемой организации;
- сложность, объем и структуру системы менеджмента, подлежащей аудиту;
- имеющуюся неопределенность, связанную с достижением целей аудита.
Эту информацию следует соотнести с информацией, приведенной в 7.3.1 - 7.3.3.	Эту информацию следует согласовать с данными, приведенными в 7.2.3.

7.2.2 Личные качества	7.2.2 Личные качества
Аудиторы должны обладать необходимыми личными качествами, позволяющими им действовать в соответствии с принципами проведения аудита, изложенными в разделе 4. Аудиторы должны проявлять профессиональное отношение и личные качества во время проведения аудита, включающие в себя:	Аудиторам следует обладать необходимыми качествами, позволяющими им действовать в соответствии с принципами аудита, как описано в разделе 4. Аудиторам следует демонстрировать профессиональные качества в процессе аудита.
	Желаемые профессиональные качества включают:
- этичность - честность, правдивость, искренность и благоразумие;	а) этичность, т.е. порядочность, правдивость, искренность, честность и рассудительность;
- открытость и непредубежденность - желание и готовность воспринимать альтернативные идеи или точки зрения;	b) открытость ума, т.е. желание прислушиваться к альтернативным идеям или точкам зрения;
- дипломатичность - тактичность при обращении с людьми;	c) дипломатичность, т.е. тактичность при работе с людьми;
- наблюдательность - активное наблюдение за окружающей обстановкой и видами деятельности;	d) наблюдательность, т.е. активное наблюдение физического окружения и деятельности;
- восприимчивость - осведомленность и способность к пониманию ситуаций;	е) проницательность, т.е. знание и способность понимания ситуаций;
- универсальность - возможность быстро адаптироваться к различным ситуациям;	f) гибкость, т.е. способность быстро адаптироваться к различным ситуациям;
- упорство - настойчивость, нацеленность на достижение целей;	g) упорство, т.е. настойчивость и стремление к достижению целей;
- решительность - своевременное принятие решений на основе логических соображений и анализа;	h) решительность, т.е. способность принимать своевременные решения на основе логических умозаключений и анализа;
- самостоятельность - действовать и выполнять свои функции независимо, результативно взаимодействуя с другими;	i) уверенность в себе, т.е. способность действовать и функционировать независимо, в то же время эффективно взаимодействовать с другими;
- принципиальность - готовность действовать ответственно и этично даже в тех случаях, когда эти действия могут не встречать одобрения или приводить к разногласиям или конфронтации;	j) настойчивость, т.е. способность действовать ответственно и не нарушать этики, даже если такое поведение не всегда будет популярным и иногда может привести к разногласиям и конфронтации;
- готовность к самосовершенствованию - обучение в процессе работы, стремление к достижению наилучших результатов при проведении аудитов;	k) готовность к совершенствованию, т.е. желание учиться в разных ситуациях;
- высокая культура поведения - соблюдение и уважительное отношение к культурным ценностям проверяемой организации;	l) восприимчивость к культуре, т.е. внимание и уважение культуре проверяемой организации;
- умение сотрудничать и работать с людьми - результативное взаимодействие с другими, включая членов группы по аудиту и персонал проверяемой организации.	m) контактность, т.е. умение эффективно взаимодействовать с другими, включая членов аудиторской группы и персонал проверяемой организации.

7.2.3 Знания и навыки

7.2.3.1 Общие положения

Аудиторы должны обладать знаниями и навыками, необходимыми для достижения намеченных результатов аудитов, проведение которых им будет поручено. Все аудиторы должны обладать общими знаниями и навыками, и также предполагается, что они будут обладать некоторыми специальными знаниями и навыками в конкретных дисциплинах и отраслях менеджмента.

Аудиторы должны обладать:

а) знаниями и навыками, необходимыми для достижения намеченных результатов аудитов, в которых им придется участвовать;

b) общей компетентностью, а также определенным уровнем знаний и навыков, в конкретных отраслях экономической деятельности и дисциплинах систем менеджмента.

Руководители групп по аудиту должны иметь дополнительные знания и навыки, необходимые для обеспечения надлежащего руководства группой по аудиту.

Руководителям аудиторских групп следует иметь дополнительные знания, необходимые для обеспечения руководства группой.

7.2.3.2 Общие знания и навыки аудиторов систем менеджмента	7.2.3.2 Общие знания и навыки аудиторов по системам менеджмента
Аудиторы должны обладать знаниями и навыками в следующих областях;	Аудиторам следует обладать знаниями и навыками в областях, указанных ниже.
а) Принципы, процедуры и методы аудита - знания и навыки в этой области позволяют аудитору применять подходящие принципы, процедуры и методы для различных аудитов и обеспечивать проведение данных аудитов последовательным и систематическим образом.	а) Принципы проведения аудита, процедуры и методы: знания и навыки в этой области позволяют аудитору гарантировать, что аудиты проводятся последовательно и методично.
Аудитор должен быть способен:	Аудитору следует уметь следующее:
- применять принципы, процедуры, методы и приемы аудита;	- понимать типы рисков и возможностей, связанных с аудитом и принципы подхода на основе оценки рисков для аудита;
- эффективно планировать и организовывать работу;	- эффективно планировать и организовывать работу;
- проводить аудит в течение установленного срока;	- проводить аудит в рамках согласованного графика;
- устанавливать приоритеты и быть сфокусированным на существенных вопросах;	- отдавать приоритет более важным вопросам и сосредоточиваться на них;
	- эффективно, в устной и письменной формах обмениваться информацией (лично или через переводчика);
- собирать информацию посредством эффективного опроса, выслушивания, наблюдений и анализа документов, записей и данных;	- собирать информацию посредством эффективного опроса, слушания, наблюдения и анализа документов, записей и данных;
	- понимать уместность и последствия использования техники выборки для аудита;
- понимать и учитывать мнения экспертов;	- понимать и учитывать мнение технических экспертов;
- понимать пригодность, соответствие и последствия использования тех или иных приемов выборочного исследования для аудита;	- проводить аудит от начала и до конца, включая взаимодействия с другими процессами и различными функциями, в зависимости от обстоятельств;
- верифицировать точность собранной информации;	- проверять соответствие и точность собранной информации;
- подтверждать достаточность и приемлемость свидетельств аудита для обоснования выводов аудита и заключений;	- подтверждать достаточность и приемлемость свидетельства аудита, чтобы подтвердить обнаружения и заключения аудита;
- оценивать факторы, которые могут повлиять на достоверность выводов и заключений по результатам аудита;	- оценивать те факторы, которые могут влиять на достоверность обнаружений и заключений аудита;
- использовать рабочие документы для регистрации деятельности по аудиту;	- документировать деятельность и обнаружения аудита и подготавливать соответствующие отчеты по аудиту;
- готовить отчеты по аудиту;
- сохранять конфиденциальность и безопасность информации, документов и записей;	- сохранять конфиденциальность и защиту информации.
- осуществлять эффективный обмен информацией, используя вербальные и письменные средства коммуникации (включая использование услуг переводчиков);
- понимать типы рисков, связанных с проведением аудитов.
b) Система менеджмента и ссылочные документы - знания и навыки в этой области позволяют аудитору понимать область применения аудита и применять критерии аудита. Данные знания и навыки должны охватывать следующее:	b) Стандарты на системы менеджмента и другие ссылочные документы: знания и навыки в этой области позволяют аудитору разобраться в области аудита и применять его критерии, а также охватить следующее:
- стандарты по системам менеджмента и другие документы, используемые в качестве критериев аудита:	- стандарты на системы менеджмента или другие нормативные документы или руководящие указания, используемые для разработки критериев или методов аудита;
- применение стандартов по системам менеджмента проверяемой организацией и другими организациями, когда это применимо;	- применение стандартов на системы менеджмента проверяемой организацией и другими организациями;
- взаимодействие элементов системы менеджмента;	- взаимосвязь и взаимодействие между процессами системы менеджмента;
- понимание иерархии ссылочных документов (их различий и приоритетов);	- понимание важности и приоритета нескольких стандартов или ссылочных документов;
- применение ссылочных документов к различным ситуациям при аудите.	- применение стандартов или ссылочных документов в различных ситуациях аудита.
c) Специфика организационной деятельности - знания и навыки в этой области позволяют аудитору понимать структуру, бизнес и применяемые организацией методы управления и должны охватывать следующее:	с) Организация и ее среда: знания и навыки в этой области, позволяют аудитору понимать структуру аудитируемой организации, ее цели и практические методы менеджмента, а также охватить следующее:
	- потребности и ожидания соответствующих заинтересованных сторон, оказывающих влияние на систему менеджмента;
- типы, управление, размер, структуру, функции организации и взаимосвязи внутри нее;	- тип организации, методы руководства, размер, структуру, функциональные подразделения, а также взаимоотношения;
- общие бизнес-понятия и концепции менеджмента, бизнес-процессы и соответствующую терминологию, включая планирование, составление финансовых смет и бюджета организации, управление персоналом;	- общие концепции бизнеса и управления, процессы и соответствующую терминологию, включая планирование, бюджет и управление персоналом;
- культурные и социальные аспекты проверяемой организации.	- культурные и социальные аспекты проверяемой организации.
d) Применяемые к проверяемой организации законодательные, контрактные и другие требования - знания и навыки в этой области позволяют аудитору быть осведомленным и работать в рамках законодательных и контрактных требований, относящихся к деятельности организации. Знания и навыки, характерные для конкретной области юрисдикции или видов деятельности и продукции проверяемой организации, должны охватывать следующее:	d) Применяемые законодательные и нормативно-правовые требования, а также другие требования: знания и навыки в этой области позволяют аудитору знать и работать с учетом требований организации. Знания и навыки, касающиеся юрисдикции или деятельности проверяемой организации, ее процессов, продукции и услуг, должны охватывать:
- законы, нормативные правовые акты и правила и их правоприменительную практику;	- законодательные и нормативно-правовые требования и устанавливающие их органы;
- основополагающую юридически-правовую терминологию;	- основную официальную терминологию;
- контракты и другие юридические обязательства.	- заключение договоров и ответственность.
	Примечание - Знание законодательных и нормативных правовых требований не подразумевает юридической экспертизы, а аудит системы менеджмента не следует считать аудитом соблюдения законодательных требований.

7.2.3.3 Специальные знания и навыки аудиторов систем менеджмента по дисциплинам и конкретным отраслям менеджмента	7.2.3.3 Компетентность аудиторов в конкретном секторе или по конкретным дисциплинам
Аудиторы должны иметь специальные знания и навыки по соответствующим дисциплинам и отраслям менеджмента, которые будут достаточными для проведения аудита конкретного типа системы менеджмента и отрасли.	Командам аудита следует обладать совокупной компетентностью в области систем менеджмента и отраслей экономической деятельности, подходящей для проведения аудита конкретных видов систем менеджмента и отраслей экономической деятельности.
При этом нет необходимости в том, чтобы каждый аудитор в группе по аудиту имел одинаковый уровень компетентности; однако необходимо, чтобы общая компетентность группы по аудиту была достаточной для достижения целей аудита.
Специальные знания и навыки аудиторов по конкретным дисциплинам и отраслям менеджмента включают в себя следующее:	Знания и навыки аудиторов по определенным дисциплинам или в определенной отрасли включают следующее:
- требования и принципы системы менеджмента, характерные для конкретной дисциплины, и их применение;	а) требования и принципы системы менеджмента, и их применение;
- законодательные требования, относящиеся к данной дисциплине или отрасли, необходимые для того, чтобы знать требования, относящиеся к конкретной юрисдикции и обязательствам проверяемой организации, ее деятельности и продукции;
- требования заинтересованных сторон, относящиеся к конкретной дисциплине;
- базовые понятия и основные принципы данной дисциплины менеджмента и применение характерных для данной дисциплины методов, технических приемов, процессов и практик в той степени, чтобы быть способным исследовать данную систему менеджмента и делать соответствующие выводы и заключения по результатам аудита;	b) основные принципы дисциплин(ы) и сектора(ов), установленные стандартами на системы менеджмента, применяемыми проверяемой стороной;
- специальные знания в области дисциплины менеджмента, относящиеся к конкретной отрасли, специфике операций или проверяемым местам производственной деятельности, в той степени, чтобы было возможно оценивать виды деятельности проверяемой организации, ее процессы и продукцию (товары и услуги);
- принципы, методы и технические приемы управления рисками, относящиеся к данной дисциплине или отрасли, с тем чтобы возможно было оценивать и контролировать риски, связанные с программой аудита.	c) применение методов, техники, процессов и практики связанных с определенной дисциплиной или сектором, позволяющих аудиторской группе оценить соответствие в рамках определенной области аудита и получить соответствующие обнаружения и заключения аудита;
	d) принципы, методы и техника менеджмента рисков, касающиеся определенных дисциплин и сектора, так чтобы аудитор мог определить и оценить риск и возможности, связанными с целями аудита.
Примечание - Руководящие указания и пояснительные примеры в отношении знаний и навыков аудиторов, характерные для отдельных дисциплин менеджмента, приведены в приложении А.

7.2.3.4 Общие знания и навыки руководителя группы по аудиту	7.2.3.4 Общая компетентность руководителя аудиторской группы
Руководители групп по аудиту должны иметь дополнительные знания и навыки для управления и руководства аудитом для обеспечения результативного и эффективного проведения аудита.	Для того чтобы обеспечить результативность и эффективное проведение аудита, руководителю аудиторской группы следует иметь компетентность:
Руководитель группы по аудиту должен иметь знания и навыки, необходимые для:
a) уравновешивания сильных сторон и недостатков членов конкретной группы по аудиту;	a) в планировании аудита и постановка задач согласно конкретной компетентности отдельных членов аудиторской группы;
	b) обсуждении стратегических вопросов с высшим руководством проверяемой организации, чтобы определить рассматривались ли эти вопросы при оценивании их рисков и возможностей;
b) выработки гармоничных рабочих отношений между членами группы по аудиту;	с) разработке и поддержании контактов между членами аудиторской группы с целью сотрудничества;
c) управления процессом аудита, включающего в себя:	d) управлении процессом аудита, включая:
- планирование аудита и эффективное использование ресурсов во время аудита,	- эффективное использование ресурсов в процессе аудита;
- управление имеющейся неопределенностью, которая связана с достижением целей аудита,	- управление неопределенностью достижения целей аудита;
- обеспечение безопасности, касающейся здоровья членов группы по аудиту во время проведения аудита, включая соблюдение аудиторами соответствующих требований в области охраны труда и корпоративной безопасности,	- охрану здоровья и безопасность членов аудиторской группы в ходе аудита, включая обеспечение соблюдения аудиторами соответствующих требований к охране здоровья, безопасности и защите;
- организацию и направления работы членов группы по аудиту,	- направление деятельности членов аудиторской группы;
- обеспечение руководства и сопровождение работы стажеров,	- указание направлений работы и предоставление руководящих указаний аудиторам-стажерам;
- предупреждение и, в случае необходимости, разрешение конфликтных ситуаций;	- предотвращение и разрешение конфликтов и проблем, которые могут возникнуть в процессе аудита, включая конфликты внутри аудиторской группы, по мере необходимости;
d) представления группы по аудиту при взаимодействии и обеспечении обмена информацией с заказчиком аудита и проверяемой организацией;	e) представлении аудиторской группы при обмене информацией с лицом(ами), осуществляющим(ими) управление программы аудита, заказчиком аудита и проверяемой организацией;
e) руководства группой по аудиту для достижения заключений по результатам аудита; и	f) руководстве группой при подготовке заключений аудита;
f) подготовки и представления итогового отчета по результатам аудита.	g) подготовке и оформлении отчета по аудиту.

7.2.3.5 Знания и навыки для аудита систем менеджмента, включающих в себя различные дисциплины	7.2.3.5 Знания и навыки для проведения аудита нескольких разных систем менеджмента
Аудиторы, которые собираются в качестве членов группы по аудиту участвовать в проведении проверок систем менеджмента, включающих в себя несколько дисциплин, должны обладать компетентностью, необходимой для проведения аудиторской проверки хотя бы одного из этих аспектов систем менеджмента, и понимать аспекты, связанные с взаимодействием и взаимным влиянием друг на друга между различными системами менеджмента.	При проведении аудитов систем менеджмента нескольких дисциплин, члену группы аудита следует обладать пониманием взаимодействий и синергии между разными системами менеджмента.
Руководители групп по аудиту, проводящие аудиты систем менеджмента, включающих в себя различные аспекты, должны понимать требования стандартов, предназначенных для каждой системы менеджмента, и должны четко осознавать границы своих знаний и навыков применительно к каждому из этих аспектов менеджмента.	Руководителям аудиторских групп следует понимать требования каждого из стандартов на систему менеджмента и осознавать границы своих знаний и навыков в каждой из дисциплин.
	Примечание - Аудиты по нескольким дисциплинам систем менеджмента, проводимые одновременно, могут представлять собой комбинированный аудит или аудит интегрированной системы менеджмента, охватывающей несколько дисциплин.

7.2.4 Достижение требуемого уровня компетентности аудиторов	7.2.4 Достижение компетентности аудитора
Знания и навыки аудиторов могут приобретаться посредством использования сочетания следующих элементов:	Компетентность аудитора можно приобрести, используя сочетание следующих способов:
- образование/обучение в соответствии с установленной программой и проверкой знаний и практический опыт, способствующий развитию и повышению уровня знаний и навыков для той дисциплины системы менеджмента и сектора, которые аудитор намеревается проверять в рамках аудитов;
- программы обучения и подготовки персонала, охватывающие общие знания и навыки;	а) освоение обучающих программ, которые охватывают общие знания и навыки аудитора;
- опыт работы на соответствующей технической, управленческой или профессиональной позиции, включающий в себя практический опыт принятия решений, заключений, разрешения проблем и непосредственного общения с руководителями, специалистами, коллегами, потребителями и другими заинтересованными сторонами;	b) приобретение опыта на соответствующей технической, управленческой или профессиональной должности, включая опыт суждения, принятия решений, решения проблем и обмена информацией с руководителями, специалистами, коллегами, заказчиками и другими заинтересованными сторонами;
	c) образование/подготовка и опыт в конкретной дисциплине и секторе системы менеджмента, которые вносят вклад в развитие общей компетентности;
- опыт проведения аудитов, приобретенный при работе под наблюдением аудитора в той же самой области или дисциплине менеджмента, которую аудитор намеревается проверять.	d) приобретение опыта аудита под наблюдением аудитора компетентного по той же дисциплине.
	Примечание - Успешное окончание курса подготовки будет зависеть от типа курса. Для курсов с экзаменами это может означать успешную сдачу экзаменов. Для других курсов - участие и прохождение программы курса.

7.2.5 Руководители группы по аудиту

7.2.5 Компетентность руководителя аудиторских групп

Руководителю группы по аудиту следует приобрести дополнительный опыт по аудиту, чтобы совершенствовать знания и навыки, описанные в 7.3.2. Этот дополнительный опыт должен накапливаться при исполнении обязанностей под руководством и наблюдением руководителя группы по аудиту.

Руководителю аудиторской группы следует приобрести дополнительный опыт для расширения компетентности, приведенной в 7.2.3.4. Этот дополнительный опыт следует приобрести, работая под руководством и на основе руководящих указаний другого руководителя команды аудита.

7.3 Определение критериев оценки аудитора

7.3 Разработка критериев оценивания аудитора

Критерии могут быть качественными (такие как демонстрируемые личные качества, знания или характеристики навыков при обучении или при выполнении обязанностей на рабочем месте) и количественными (такие как опыт работы и обучения в годах, количество проведенных аудитов, количество часов обучения и подготовки по аудиту).

Критерии должны быть качественными (например, такими, которые демонстрируют личные качества, знания или эффективность навыков при обучении или на рабочем месте) и количественными (такими, как стаж работы и образование, количество проведенных аудитов, часов подготовки по аудиту).

7.4 Выбор соответствующего метода оценки аудитора

7.4 Выбор метода оценивания аудитора

Оценку следует проводить, используя два или несколько методов, выбранных из таблицы 1. При использовании таблицы 1 необходимо обратить внимание на следующее:

Оценивание следует проводить, используя два или более методов, выбранных по таблице 2. При использовании таблицы 2, необходимо отметить следующее:

- приведенные методы представляют диапазон возможностей и не могут быть применимы во всех ситуациях;

а) указанные методы представляют спектр вариантов и могут не подходить к любой ситуации;

- различные приведенные методы могут отличаться по своей надежности;

b) различные методы могут отличаться друг от друга надежностью;

- обычно для обеспечения того, чтобы результат был объективным, согласующимся, беспристрастным и достоверным, необходимо выбирать сочетание методов.

c) следует использовать сочетание методов, чтобы обеспечить объективный, последовательный, беспристрастный и надежный результат.

Таблица 1 - Возможные для применения методы оценки

Таблица 2 - Методы оценивания аудиторов

Метод оценки	Цели	Примеры
Анализ записей	Проверка квалификации аудитора	Анализ записей об образовании, обучении, производственном опыте и опыте по аудиту
Обратная связь	Обеспечивает информацией о том, как воспринимается деятельность аудитора	Инспектирование деятельности, опросы, резюме, рекомендации, жалобы, оценка деятельности, отзывы коллег
Собеседование	Оценка личных качеств и коммуникационных навыков, проверка информации и знаний по тестам и получение дополнительной информации	Персональное собеседование
Наблюдение	Оценка личных качеств и способности применения знаний и навыков	Ролевые игры, наблюдения в процессе аудита, деятельность на рабочем месте
Тестирование	Оценка личных качеств, знаний, навыков и их применение	Устные и письменные экзамены, психометрическое тестирование
Анализ деятельности после аудита	Получение информации о работе аудитора во время выполнения действий по аудиту, определение его сильных сторон и недостатков	Анализ отчета по аудиту, опросы и обсуждение с руководителем группы по аудиту, членами группы по аудиту и, при необходимости, использование обратной связи для получения информации от проверяемой организации

Метод оценивания	Цели	Примеры
Анализ записей	Верифицировать личные данные аудитора	Анализ записей об образовании, обучении, работе, профессиональных отзывах и опыте по аудиту
Обратная связь	Предоставить информацию о том, каким образом воспринимается деятельность аудитора	Инспектирования, анкеты, резюме, рекомендации, жалобы, оценка характеристик, отзывы коллег
Собеседование	Оценить личные качества и навыки общения, чтобы проверить сведения и знания, а также получить дополнительную информацию	Личные собеседования
Наблюдение	Оценить требуемые личные качества и способность к применению знаний и навыков	Ролевые игры, наблюдение в процессе аудита, деятельность на рабочем месте
Испытания	Оценить требуемые личные качества, знания и навыки и их применение	Устные или письменные экзамены, психометрические тесты
Анализ после аудита	Обеспечить информацию о характеристиках аудитора во время аудита, определить его сильные и слабые стороны	Анализ отчета по аудиту, собеседование с руководителем группы, и, если уместно, отзывы проверяемой организации

7.5 Проведение оценки аудитора	7.5 Проведение оценивания аудиторов
На этом этапе собранную информацию о сотруднике сравнивают с критериями, установленными в 7.3. В случае, если сотрудник, участие которого предполагается в программе по аудиту, не соответствует критериям, то указывают на необходимость проведения дополнительного обучения, опыта работы и/или участия в аудите, после чего проводят повторную оценку.	Информацию, собранную о данном аудиторе, следует сопоставить с критериями, указанными в 7.2.3. Если оцениваемый аудитор, участие которого предполагается в программе аудита не соответствует этим критериям, то ему следует пройти дополнительную подготовку, обучение, поработать и приобрести дополнительный опыт по аудиту и снова пройти оценивание.
В приложении В приведены некоторые рассматриваемые примеры.

7.6 Поддержание и повышение компетентности аудитора	7.6 Поддержание и повышение компетентности аудитора
Аудиторы и руководители группы по аудиту должны поддерживать свою компетентность в области аудита посредством регулярного участия в аудитах системы менеджмента и постоянного роста профессионализма. Постоянный профессиональный рост включает в себя поддержание и улучшение компетентности. Он может быть достигнут посредством дополнительного практического опыта, обучения, стажировок, самоподготовки, занятий с репетиторами, посещения совещаний, семинаров и конференций или других видов деятельности.	Аудиторам и руководителям групп по аудиту следует постоянно повышать свою компетентность. Аудиторам следует поддерживать свою компетентность в области аудита посредством регулярного участия в аудитах систем менеджмента и непрерывного профессионального развития. Это может быть достигнуто посредством дополнительного опыта работы, обучения, самообразования, наставничества, посещения совещаний, участия в семинарах и конференциях или другой деятельности.
Аудиторы, руководители группы по аудиту и сотрудники, отвечающие за управление программой аудита, должны постоянно улучшать и совершенствовать свою компетентность.	Лицу(ам), осуществляющему(им) управление программой аудита, следует создать необходимый механизм постоянного оценивания результатов деятельности аудиторов и руководителей аудиторских групп.
Организация, имеющая потребность в проведении аудитов, должна внедрить подходящие механизмы для постоянной оценки деятельности аудиторов, руководителей групп по аудиту и лиц, ответственных за управление программой аудита.
Деятельность по постоянному профессиональному росту должна учитывать следующее:	Для постоянного профессионального развития следует учитывать:
- изменения в личных потребностях аудиторов и организаций, отвечающих за проведение аудита;	a) изменения потребностей отдельных лиц и организации, ответственной за проведение аудита;
- практику проведения аудитов;	b) развитие практики аудита, включая применение соответствующих технологий;
- соответствующие стандарты и другие требования.	c) соответствующие стандарты, включая руководящие/подтверждающие документы, и другие требования;
	d) изменения в отрасли или направлениях системы менеджмента.

Библиография

[1] ISO 2859-4 Sampling procedures for inspection by variables - Part 4: Procedures for assessment of declared quality levels

[2] ISO 9000:2005 Quality management systems - Fundamentals and vocabulary

[1] ISO 9000:2015 Quality management systems - Fundamentals and vocabulary

[3] ISO 9001 Quality management systems - Requirements	[2] ISO 9001 Quality management systems - Requirements
	[3] ISO Guide 73:2009 Risk management - Vocabulary ГАРАНТ: (соответствует п.20 из левого столбца)

[4] ISO 14001 Environmental management systems - Requirements with guidance for use

[5] ISO 14050 Environmental management - Vocabulary

[6] ISO/IEC 17021:2011 Conformity assessment - Requirements for bodies providing audit and certification of management systems

[4] ISO/IEC 17021-1 Conformity assessment - Requirements for bodies providing audit and certification of management systems - Part 1: Requirements

[7] ISO/IEC 20000-1 Information technology - Service management - Part 1: Service management system requirements

[8] ISO 22000 Food safety management systems - Requirements for any organization in the food chain

[9] ISO/IEC 27000 Information technology - Security techniques - Information security management systems - Overview and vocabulary

[10] ISO/IEC 27001 Information technology - Security techniques - Information security management systems - Requirements

[11] ISO/IEC 27002 Information technology - Security techniques - Code of practice for information security management

[12] ISO/IEC 27003 Information technology - Security techniques - Information security management system implementation guidance

[13] ISO/IEC 27004 Information technology - Security techniques - Information security management - Measurement

[14] ISO/IEC 27005 Information technology - Security techniques - Information security risk management

[15] ISO 28000 Specification for security management systems for the supply chain

[16] ISO 30301 Information and documentation - Management system for records - Requirements*

[17] ISO 31000 Risk management - Principles and guidelines

[18] ISO 39001 Road traffic safety (RTS) management systems - Requirements with guidance for use**

[19] ISO 50001 Energy management systems - Requirements with guidance for use

[20] ISO Guide 73:2009 Risk management - Vocabulary

ГАРАНТ:

(соответствует п.3 из правого столбца)

[21] OHSAS 18001:2007 Occupational health and safety management systems - Requirements

[22] ISO 9001 Auditing Practices Group papers available at www.iso.org/tc176/IS09001AuditingPracticesGroup

[23] ISO 19011 additional guidelines available at: www.iso.org/19011auditing

------------------------------

* Будет опубликован.

** В стадии подготовки.

Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.

Получить бесплатный доступ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

Приложение В (справочное). Дополнительное руководящее указание для аудиторов по планированию и проведению аудитов

ГАРАНТ:

ГАРАНТ:

ГАРАНТ:

ГАРАНТ:

ГАРАНТ:

ГАРАНТ:

ГАРАНТ:

ГАРАНТ:

ГАРАНТ:

ГАРАНТ:

ГАРАНТ:

ГАРАНТ:

ГАРАНТ:

ГАРАНТ:

ГАРАНТ:

ГАРАНТ:

ГАРАНТ:

ГАРАНТ:

ГАРАНТ:

ГАРАНТ:

ГАРАНТ:

ГАРАНТ:

ГАРАНТ:

ГАРАНТ:

ГАРАНТ:

ГАРАНТ:

ГАРАНТ:

ГАРАНТ: