Приложение В (справочное). Дополнительное руководящее указание для аудиторов по планированию и проведению аудитов. Сравнительный анализ ГОСТ Р ИСО 19011-2012 "Руководящие указания по аудиту систем менеджмента" и ГОСТ Р ИСО 19011-2021 "Оценка соответствия. Руководящие указания по проведению аудита систем менеджмента" (специально для системы ГАРАНТ, октябрь 2021 г.)

Приложение В	Приложение А
(справочное)	(справочное)
Дополнительное руководящее указание для аудиторов по планированию и проведению аудитов	Дополнительные руководящие указания для аудиторов по планированию и проведению аудита

В.1 Применение методов аудита	А.1 Применение методов аудита
Для выполнения аудита могут применяться различные методы. В настоящем приложении приведены объяснения, относящиеся к широко применяемым в настоящее время методам аудита. Методы, выбираемые для проведения аудита, зависят от установленных целей, области применения и критериев аудита, а также от сроков и мест проведения аудитов. При выборе метода проведения аудита следует также учитывать имеющийся на данный момент уровень аудиторской компетентности и любые неопределенности (погрешности), возникающие вследствие применения этих методов. Применение множества и использование сочетания различных методов может оптимизировать продуктивность и эффективность процесса, связанного с аудитом, и его результаты.	Аудит можно проводить с использованием ряда методов аудита. В данном приложении можно найти объяснение наиболее часто применяемых методов аудита. Методы, выбранные для аудита, зависят от определенных целей, области и критериев аудита, а также его продолжительности и места проведения. Также следует учитывать компетентность аудитора и неопределенность, возникающую в результате применения методов аудита. Применение различных методов аудита и их комбинаций могут оптимизировать эффективность и результативность процесса аудита и его результатов.
При выполнении аудита происходит взаимодействие среди людей с системой менеджмента, проверяемой при аудите, и с технологией, используемой при проведении аудита. В таблице В.1 представлены примеры методов аудита, которые могут быть использованы отдельно или в сочетании с другими методами для того, чтобы достичь поставленных целей аудита. В случае, если при проведении аудита задействована группа по аудиту, включающая в себя многочисленных членов, то могут одновременно применяться методы, предусматривающие проведение мероприятий аудита как непосредственно на местах производственной деятельности, так и на расстоянии с использованием соответствующих средств коммуникации.	Проведение аудита включает взаимодействие лиц с проверяемой системой менеджмента и технологию, используемую для осуществления аудита. В таблице А.1 показаны примеры методов аудита, которые можно использовать, по отдельности или в сочетании, чтобы достичь целей аудита. Если аудит включает использование аудиторской группы, состоящей из нескольких человек, то можно одновременно использовать дистанционные методы и методы, применяемые на месте.
Примечание - Дополнительная информация, касающаяся посещений подразделений проверяемой организации на местах, приведена в В.6.	Примечание - Дополнительную информацию по выездам на место см. в А.15.
Таблица В.1 - Применяемые методы проведения аудита	Таблица А.1 - Методы аудита
Степень вовлеченности между организацией-аудитором и проверяемой организацией Местоположение аудитора на местах производственной деятельности организации на расстоянии Взаимодействие людей Проведение интервью. Заполнение проверочных листов и вопросников с участием персонала проверяемой организации. Проведение анализа документации с участием представителей проверяемой организации. Осуществление представительных выборок Через интерактивные средства коммуникации: -проведение интервью; -заполнение проверочных листов и вопросников; - проведение анализа документации с участием представителей проверяемой организации Без взаимодействия людей Проведение анализа документации (например, анализ записей, данных). Наблюдение за выполнением работы. Посещение производственных подразделений. Заполнение проверочных листов. Осуществление представительных выборок Проведение анализа документации (например, анализ записей, данных). Наблюдение за выполнением работы с помощью технических средств, обеспечивающих надзор за производственной деятельностью, с учетом социальных и юридических требований. Анализ данных Мероприятия аудита на местах выполняются на месте производственной деятельности проверяемой организации. Мероприятия аудита на расстоянии выполняются в любом месте, кроме мест расположения подразделений и производственной деятельности проверяемой организации, независимо от расстояния. Интерактивные мероприятия аудита включают в себя взаимодействие персонала проверяемой организации и группы по аудиту. Неинтерактивные мероприятия аудита не включают в себя взаимодействия с представителями проверяемой организации, но включают в себя взаимодействие с оборудованием, средствами инфраструктуры и документацией.	Степень участия аудитора и проверяемой организации Местонахождение аудитора На месте На расстоянии Взаимодействие с людьми Проведение опросов. Заполнение анкет и вопросников с участием проверяемой организации. Проведение анализа документов с участием проверяемой организации. Выборка Через интерактивные средства связи: - проведение опросов; -дистанционное наблюдение за выполняемой работой; - заполнение анкет и вопросников; - проведение анализа документов с участием проверяемой организации Без взаимодействия с людьми Проведение анализа документов (например, анализ записей данных). Наблюдение за выполнением работы. Выезд на место. Заполнение анкет. Выборка (например, продукции) Проведение анализа документов (например, анализ записей, данных). Наблюдение за выполняемой работой с помощью средств наблюдения, с учетом социальных, законодательных и нормативных правовых требований. Анализ данных Аудиторская деятельность на месте выполняется на территории проверяемой организации. Дистанционный аудит осуществляется из любого другого места, кроме местоположения проверяемой организации, независимо от расстояния. Интерактивная деятельность по аудиту включает взаимодействие между персоналом проверяемой организации и аудиторской группой. Неинтерактивный аудит не включает взаимодействия аудиторов с представителями проверяемой организации, но включает взаимодействие с оборудованием, производственными средствами и документацией.
Ответственность за эффективное применение методов аудита для любого аудита на стадии планирования остается либо за лицом, ответственным за управление программой аудита, или за руководителем группы по аудиту. Руководитель группы по аудиту несет ответственность за проведение мероприятий аудита.	Ответственность за эффективное применение методов аудита в отношении любого аудита на стадии планирования ложится либо на лицо(лиц), осуществляющее(их) управление программой аудита, либо на руководителя аудиторской группы. Руководитель группы несет ответственность за проведение собственно аудита.
Возможность проведения мероприятий аудита на расстоянии зависит от степени доверия между аудитором и персоналом проверяемой организации.	Осуществимость удаленного аудита может зависеть от нескольких факторов (например, от уровня риска в достижении целей аудита, от уровня доверия между аудитором и персоналом проверяемой организации и от нормативных правовых требований).
На уровне программы аудита следует обеспечить, что использование методов аудита на расстоянии и на местах является приемлемым для того, чтобы обеспечить достижение целей программы аудита.	На уровне программы аудита следует обеспечить применимость и сбалансированность методов дистанционного аудита и методов аудита на месте, чтобы гарантировать удовлетворительное достижение целей программы аудита.
	А.2 Процессный подход к проведению аудита
	Применение "процессного подхода" является требованием для всех стандартов ИСО на системы менеджмента в соответствии с Директивами ИСО/МЭК Директивы, часть 1, приложение SL. Аудиторам следует понимать, что проведение аудита системы менеджмента является проведением аудита процессов организации и их взаимодействия по одному или более стандартам на системы менеджмента. Согласованные и предсказуемые результаты достигаются более эффективно и результативно, когда деятельность понятна и управляется как взаимосвязанные процессы, функционирующие как связанная система.
	А.3 Профессиональное суждение
	В ходе процесса аудита аудиторам следует использовать профессиональное суждение (умение правильно разбираться) и избегать концентрации на конкретных требованиях каждого раздела стандарта в достижении предполагаемого результата системы менеджмента. Некоторые разделы стандарта ISO на системы менеджмента нелегко применить к аудиту способом сравнения набора критериев с содержанием процедуры или рабочей инструкции. В таких ситуациях аудиторам следует использовать свое профессиональное суждение для определения, удовлетворены ли требования такого раздела в целом.
	А.4 Достижение результатов
	Аудиторам следует сфокусироваться на предполагаемом результате системы менеджмента на всем протяжении процесса аудита. Несмотря на то, что сами процессы и то, что они достигнуты важны результаты системы менеджмента и ее выполнение являются тем, что имеет значение. Также важно учесть уровень интеграции различных систем менеджмента и их предполагаемые результаты.
	Отсутствие процесса или документации может иметь значение для организаций с высоким риском или сложной организации, но не имеет значение в других организациях.

В.2 Проведение анализа документов	А.5 Верификация информации
Аудиторы должны рассмотреть, является ли информация, представленная в документах:	По мере целесообразности, аудиторам следует рассмотреть, дает ли информация достаточно объективное свидетельство, чтобы продемонстрировать соблюдение требований, и является ли:
- полной (все ожидаемые сведения содержатся в представленном документе);	a) полной (все ожидаемое содержание включено в документированную информацию);
- правильной (содержимое документа соответствует другим надежным источникам, таким как стандарты и правила);	b) правильной (содержание соответствует другим заслуживающим внимание источникам, таких как стандарты и регламенты);
- совместимой (положения документа согласуются между собой и связанными с ним документами);	c) последовательной (документированная информация последовательна сама по себе и согласована с другими документами в данной области);
- актуальной (положения, содержащиеся в документе, имеют силу на момент проверки);	d) современной (содержание актуально);
- охватывают ли анализируемые документы область применения аудита и предоставляют ли они достаточную информацию для поддержания целей аудита;
- способствует ли использование информации и коммуникационных технологий согласно применяемым методам аудита эффективному проведению данного аудита: при этом необходимо уделить особое внимание информационной безопасности, обусловленной применяемыми правилами по обеспечению защиты данных (особенно для информации, которая выходит за рамки области применения аудита, но которая содержится в представленной документации).	Также следует рассмотреть, обеспечивает ли проверяемая информация эффективное объективное свидетельство, позволяющее продемонстрировать соответствие требованиям.
	Если информация представлена в виде, отличном от ожидаемого (например, другими сотрудниками, на других носителях), следует оценить надежность свидетельства.
Примечание - Анализ документации может указать на эффективность управления документами в рамках системы менеджмента проверяемой организации.	Особое внимание необходимо уделить защите информации в соответствии с применяемыми регламентами о защите данных (в частности, для информации, которая находится вне области аудита, но также содержится в документе).

В.3 Осуществление представительной выборки

А.6 Выборка

В.3.1 Общие положения	А.6.1 Общие положения
Представительную выборку для аудита производят в случае, когда представляется нецелесообразным или дорогостоящим изучать всю имеющуюся информацию во время проведения аудита, например, когда записей слишком много или они слишком разбросаны географически, чтобы могло быть оправдано изучение каждой позиции в имеющейся совокупности. Такая выборка из большой совокупности является процессом отбора менее чем 100% единиц (позиций) из имеющегося в полном объеме набора данных (генеральной совокупности) для получения и оценивания свидетельств в отношении отдельной характеристики такой совокупности, с тем чтобы сформировать заключение, касающееся данной совокупности.	Аудиторская выборка происходит в том случае, когда непрактично или экономически нецелесообразно изучать всю имеющуюся информацию во время аудита, например записи слишком многочисленны или слишком разбросаны географически, чтобы оправдать проверку каждой единицы из всей совокупности. Аудиторская выборка большой совокупности является процессом выбора менее чем 100 % единиц из общего имеющегося набора данных (совокупности), чтобы получить и оценить свидетельство о какой-либо характеристике этой совокупности с целью сформулировать заключение в отношении всей совокупности.
Цель осуществления представительной выборки для аудита - это предоставить информацию для аудитора, с тем чтобы иметь уверенность в том, что цели аудита могут быть или будут достигнуты.	Цель аудиторской выборки заключается в предоставлении аудитору информации, которой будет достаточно, чтобы убедить его в возможности достижения целей аудита.
Риск, связанный с использованием выборки, состоит в том, что отобранные выборки могут быть непоказательными в отношении той генеральной совокупности, из которой они отобраны, и, следовательно, это может повлиять на заключение аудитора таким образом, что оно будет отличаться от заключения, которое было бы достигнуто, если бы проводилось изучение всей имеющейся совокупности данных. Могут иметься и другие риски в зависимости от изменчивости или непостоянства в рамках той генеральной совокупности, из которой проводится выборка, или в зависимости от выбранного метода.	Риск, связанный с аудиторской выборкой, заключается в том, что выборки могут быть не представленными для совокупности, из которой они выбраны и, таким образом, заключение аудитора может быть тенденциозным и отличным от заключения, которое он мог бы сделать после изучения всей совокупности. Могут возникать другие риски в зависимости от изменчивости в пределах совокупности, из которой делают выборку, и выбранного метода.
Осуществление выборки для аудита, как правило, включает в себя следующие шаги:	Аудиторская выборка обычно включает следующие шаги:
- постановку целей плана осуществления выборки;	а) постановку целей для выборки;
- выбор объема и композиции той генеральной совокупности, из которой будет производиться выборка;	b) выбор объема и состава совокупности, из которой делают выборку;
- выбор метода проведения выборки;	c) выбор метода выборки;
- определение объема производимой выборки;	d) определение объема выборки;
- проведение выборки;	e) осуществление аудиторской выборки;
- сбор материала, проведение оценки, регистрации и документирования результатов.	f) сбор, оценка, составление отчетов и документирование результатов.
В ходе проведения выборки, следует уделить внимание качеству имеющихся данных, поскольку недостаточные или неточные выборочные данные не обеспечат получение требуемого результата. Отбор подходящих выборок должен основываться как на методе производства выборки, так и на типе требуемых данных, например для того, чтобы делать заключения по отдельному образцу или выводы по всей совокупности.	В ходе выборки следует уделять внимание качеству имеющихся данных, поскольку выборка недостаточных и неточных данных не дает обеспечить полезный результат. Отбор соответствующей выборки следует проводить на основе методов выборки и типа требуемых данных, например, чтобы сделать вывод о конкретной модели поведения или вывести заключение по совокупности.
Составление отчетов по сделанной выборке может учитывать размер выборки, применяемый метод отбора и оценки, сделанные на основе выборки, и уровень достоверности.	В отчете о сделанной выборке можно учесть объем выборки, метод отбора и оценки, сделанные на основе выборки, а также уровень доверия к выборке.
При проведении аудитов могут использоваться выборки по усмотрению, т.е. сделанные на основе решения аудитора (см. В.3.2), или статистические выборки (см. В.3.3).	Для аудита можно использовать либо выборку, основанную на умении правильно разбираться (см. А.6.2) либо статистическую выборку (см. А.6.3).

В.3.2 Выборки, сделанные по усмотрению	А.6.2 Выборка на основе суждений
Выборки, сделанные по усмотрению, полагаются на знания, навыки и опыт группы по аудиту (см. раздел 7).	Выборка на основе суждений (профессионального мнения) опирается на компетентность и опыт аудиторской группы (см. раздел 7).
Для осуществления таких выборок может учитываться следующее:	Для выборки на этой основе можно рассмотреть следующее:
- предыдущий опыт проведения аудитов в данной области применения аудита;	a) опыт предшествующего аудита в рамках области аудита;
- сложность требований (включая законодательные требования) для достижения целей данного аудита;	b) сложность требований (включая законодательные и нормативные правовые требования) для достижения целей аудита;
- сложность и взаимодействие процессов и элементов системы менеджмента организации;	c) сложность и взаимодействие процессов организации и элементов системы менеджмента;
- степень изменения в технологии, системе менеджмента или человеческом факторе;	d) степень изменения технологии, человеческого фактора или системы менеджмента;
- идентифицированные до этого времени зоны ключевых рисков и области улучшения;	e) предварительно идентифицированные основные области рисков и возможностей для улучшения;
- результаты мониторинга систем менеджмента.	f) результат мониторинга систем менеджмента.
Недостатком выборок, сделанных по усмотрению на основе решения проверяющей стороны, является то, что может не быть статистической оценки влияния неопределенности (погрешности), присутствующей в выводах аудита и полученных заключениях.	Недостатком выборки на основе суждения правильно разбираться является невозможность выполнить статистическую оценку эффекта неопределенности в обнаружениях аудита и сделанных заключений.

В.3.3 Статистическая выборка	А.6.3 Статистическая выборка
В случае, если принято решение использовать статистическую выборку, то план проведения такой выборки должен основываться на целях аудита и на той информации, которая известна о характеристиках всей генеральной совокупности, из которой будут проводиться данные выборки.	Если принято решение об использовании статистической выборки, то план выборки следует основывать на целях аудита и того, что известно о характеристиках всей совокупности, из которой берется выборка.
Расчет статистической выборки использует процесс отбора выборок, основанный на теории вероятности. Выборка на основе характерного признака используется в случаях, когда имеются только два возможных исхода для каждой выборки (например, верный/неверный или годен/негоден). Выборка на основе переменного параметра используется в случаях, когда результаты выборки наблюдаются в сплошном диапазоне.	Для составления плана статистической выборки используется процесс проведения выборки на основе теории вероятности. Выборка на основе характерного признака используется в том случае, когда существует только два возможных результата для каждой выборки (например, верно/неверно или принимается/не принимается). Выборка на основе переменной используется в том случае, когда выборка производится в непрерывном диапазоне значений.
План проведения выборки должен учитывать, будут ли исследуемые результаты выборки подходить под анализ на основе характерного признака или на основе переменного параметра. Например, в случае, если оценивается соответствие законченных форм (разновидностей) требованиям, установленным в процедуре, то мог бы использоваться подход на основе характерного признака. В случае, если исследуется возникновение инцидентов, связанных с безопасностью пищевой продукции, или количество нарушений при обеспечении безопасности, то подход на основе переменной величины скорее всего был бы более подходящим.	В плане выборки следует учитывать, будут ли полученные выборки изучаться на основе признака или на основе переменной. Например, при оценке соответствия готовых форм требованиям, установленным процедурой, можно использовать метод на основе признака. При изучении встречающихся случаев, касающихся безопасности пищевых продуктов или ряда нарушений безопасности, более подходящим будет метод на основе переменной.
Ключевыми элементами, которые могут повлиять на план проведения выборки для аудита, являются:	Элементы, которые могут влиять на план выборки аудита, следующие:
- размер организации;	a) среда, размер характер и сложность организации;
- количество компетентных аудиторов;	b) число компетентных аудиторов;
- периодичность аудитов в течение года;	c) частота проведения аудитов;
- сроки конкретного аудита;	d) продолжительность отдельного аудита;
- любой требуемый внешними источниками уровень достоверности результатов аудита.	e) любой требуемый извне доверительный уровень;
	f) возникновение нежелательных и/или неожиданных событий.
Когда разработан план проведения статистической выборки, то важным соображением будет уровень риска, связанный с использованием выборки, на который организация-аудитор готова согласиться. Это часто называется "допустимым уровнем достоверности". Например, 5%-ный риск, связанный с использованием выборки, соответствует допустимому уровню достоверности, равному 95%. Связанный с использованием выборки 5%-ный риск означает, что организация-аудитор согласна принять риск, что 5 из 100 (или 1 из 20) исследуемых выборок не будут отражать реальные значения, которые были бы показаны в случае, если бы проводилось исследование всей генеральной совокупности в ее полном объеме.	При разработке плана статистической выборки уровень риска при выборке, который аудитор хотел бы принять, является важным вопросом. Этот уровень часто называют приемлемым доверительным уровнем. Например, риск выборки, равный 5 %, соответствует приемлемому доверительному уровню 95 %. Риск выборки, равный 5 %, означает, что аудитор желает принять риск того, что 5 из 100 (или 1 из 20) проверяемых элементов не будут отражать реальных значений, которые были бы найдены при проверке всей совокупности в целом.
Когда используется статистическая выборка, аудиторы должны надлежащим образом документировать выполненную работу. Это должно включать в себя описание генеральной совокупности прецедентов, для которой было намечено осуществление выборки, критерии выборки, используемые для проведения оценки (например, что представляет собой приемлемая выборка), статистические параметры и методы, которые были использованы, число выборок, подвергнутых оценке, и полученные результаты.	Если используется статистическая выборка, аудиторам следует соответствующим образом документировать проделанную работу. Сюда может входить описание совокупности, из которой предполагается сделать выборку, критерии выборки, используемые для оценки (например, того, что является приемлемой выборкой), статистические параметры и методы, которые были использованы, количество оцененных элементов выборки и полученные результаты.
	А.7 Аудит соблюдения требований в рамках системы менеджмента
	Аудиторская группа должна рассмотреть, насколько эффективны в проверяемой организации процессы:
	а) идентификации законодательных и нормативных правовых требований, и других требований, которые необходимо выполнять;
	b) управление деятельностью, продукцией и услугами для достижения выполнения этих требований;
	c) оценивание своего статуса выполнения этих требований.
	В дополнение к общим руководящим указаниям, приведенным в данном стандарте, при оценивании процессов, выполняемых проверяемой организацией для обеспечения соответствия установленным требованиям, аудиторской группе следует учесть в отношении проверяемой организации:
	1) наличие у нее эффективного процесса идентификации изменений в соблюдении требований и рассмотрения их как части управления изменениями;
	2) наличие у нее компетентных сотрудников для управления процессами соответствия;
	3) ведение и предоставление организацией соответствующей документированной информации о статусе соответствия, согласно требованиям регулирующих органов или иных заинтересованных сторон;
	4) включение требований к соответствию в свою программу внутреннего аудита;
	5) принятие мер в отношении ряда примеров несоответствия;
	6) рассмотрение результатов деятельности по соблюдению требований в анализе со стороны руководства.
	А.8 Аудит среды организации
	Многие стандарты на системы менеджмента требуют, чтобы организация определила свою среду, включая потребности и ожидания соответствующих заинтересованных сторон и внешние и внутренние факторы. Для этого организация может использовать различные способы стратегического анализа и планирования.
	Аудиторам следует подтвердить, что подходящие процессы разработаны и они для этого используются эффективно, так чтобы их результаты обеспечили надежную основу для определения области применения и разработки системы менеджмента. Для этого аудиторам следует рассмотреть объективное свидетельство, касающееся следующего:
	a) используемого процесса(ов) или метода(ов);
	b) пригодности и компетентности сотрудников, занятых в процессе (процессах);
	c) результатов процесса(ов);
	d) применения результатов к определению области и развитию системы менеджмента;
	e) периодического анализа среды организации, если уместно.
	Аудиторы должны обладать конкретными знаниями в определенной области и пониманием инструментов управления, которые могут использоваться организацией, чтобы оценить результативность процессов, используемых для определения среды организации.
	А.9 Аудит руководства и выполнение обязательств
	Многие стандарты на системы менеджмента расширили требования к высшему руководству.
	Эти требования включают демонстрацию руководством обязательств и руководящей роли в связи с взятием на себя ответственности за эффективность системы менеджмента и за выполнение ряда обязательств. Сюда входят задачи, которые высшее руководство должно решать само или передать для решения другим сотрудникам то, что может быть передано.
	Аудиторам следует получить объективное свидетельство о той степени, в какой вовлекается высшее руководство в принятие решений относительно системы менеджмента и о том, как оно демонстрирует выполнение обязательства по обеспечению результативности системы менеджмента. Это может быть достигнуто анализом результатов от соответствующих процессов (например, политики, целей, имеющихся ресурсов, обмена информацией, связями с высшим руководством), посредством опроса штатных сотрудников, чтобы определить степень вовлечения высшего руководства.
	Аудиторам следует также стремиться опросить высшее руководство, чтобы подтвердить его адекватное понимание вопросов, связанных с определенной дисциплиной, относящейся к системе менеджмента, вместе со средой, их организации, так чтобы они смогли получить предполагаемые результаты от системы менеджмента организации.
	Аудиторам следует не только сосредоточиться на руководстве на уровне высшего руководства, но также проверить руководство и выполнение им обязательств на других уровнях, насколько это уместно.
	А.10 Аудит рисков и возможностей
	Определение и управление рисками и возможностями организации может быть включено, как часть задания конкретного аудита. Основные цели для такого задания аудита заключаются:
	- в гарантировании достоверности процесса (процессов) идентификации рисков и возможностей;
	- обеспечении правильного определения и управления рисками и возможностями;
	- анализе работы организации с определенными рисками и возможностями.
	Аудит подхода организации к определению рисков и возможностей не следует проводить как самостоятельное направление. Следует осуществлять такую деятельность во время аудита системы менеджмента, включая момент опроса высшего руководства. Аудитору следует действовать в соответствии со следующими этапами и собирать объективное свидетельство следующим образом:
	а) входы, используемые организацией, для определения своих рисков и возможностей, включая:
	- анализ внешних и внутренних факторов;
	- стратегическое направление организации;
	- заинтересованные стороны, связанные с системой менеджмента по конкретной дисциплине, и их требования;
	- потенциальные источники риска, например, экологические аспекты и угрозы безопасности и т.д.
	b) метод оценивания рисков и возможностей, которые могут различаться по дисциплинам и секторам.
	Подход организации к своим рискам и возможностям, включая уровень риска, который она желает принять, и способы контроля рисков, потребует применения профессиональной оценки аудитора.
	А.11 Жизненный цикл
	Некоторые конкретные системы менеджмента требуют применения жизненного цикла, перспективного для продукции и услуг организации. Аудитору следует рассмотреть это как требование принять подход на основе жизненного цикла. Перспектива жизненного цикла включает рассмотрение контроля и влияния, оказываемого организацией на разных этапах жизненного цикла их продукции и услуг. Этапы жизненного цикла включают приобретение сырья, проектирование, производство, транспортирование/поставку, использование, окончание срока эксплуатации и утилизация отходов. Такой подход способствует определению организацией тех областей, где при рассмотрении области применения, она может минимизировать свое воздействие на окружающую среду, обеспечивая одновременно дополнительную привлекательность организации. Аудитору следует использовать свою профессиональную оценку в отношении способа применения организацией перспективы жизненного цикла с точки зрения ее стратегии и следующего:
	a) срок службы продукции или услуги;
	b) влияние организации на цепь снабжения;
	c) длина цепи снабжения;
	d) технологическая сложность продукции.
	Если в организации объединено несколько систем менеджмента в одну систему для удовлетворения потребностей организации, аудитору следует внимательно следить за всеми перекрытиями, касающимися жизненного цикла.
	А.12 Аудит цепи снабжения
	Может потребоваться аудит цепи снабжения на соответствие определенным требованиям. Следует разработать программу аудита поставщиков с соответствующими критериями аудита для данного типа поставщика и внешних провайдеров. Область аудита цепи снабжения может отличаться, например для полного аудита системы менеджмента, аудита отдельного процесса, аудита продукции, аудита конфигурации.

В.4 Подготовка рабочих документов	А.13 Подготовка рабочих документов аудита
При подготовке рабочих документов группа по аудиту применительно к каждому документу должна рассматривать приведенные ниже вопросы.	При подготовке рабочих документов аудита аудиторской группе следует рассмотреть указанные ниже вопросы для каждого документа:
a) Какие записи по аудиту будут создаваться с помощью этого рабочего документа?	a) какая запись по аудиту будет создана с использованием данного рабочего документа;
b) Какая деятельность по аудиту связана с этим конкретным рабочим документом?	b) какие действия по аудиту связаны с данным конкретным рабочим документом;
c) Кто будет пользователем этого рабочего документа?	c) кто является пользователем данного рабочего документа;
d) Какая информация требуется, чтобы подготовить этот рабочий документ?	d) какая информация необходима для подготовки данного рабочего документа.
Для комплексных аудитов рабочие документы должны разрабатываться, чтобы избежать дублирования действий при проведении аудита. Это достигается путем:	Для комплексных аудитов рабочие документы следует разрабатывать, чтобы избежать дублирования действий по аудиту посредством:
- сведения в одну группу аналогичных требований, относящихся к различным критериям;	- группирования аналогичных требований из различных критериев;
- согласования позиций, содержащихся в соответствующих контрольных листах и вопросниках.	- координации содержания соответствующих контрольных листов и анкет.
Рабочие документы должны быть адекватными, для того чтобы в достаточной мере охватывать элементы всей системы менеджмента в рамках области применения аудита, и они могут быть представлены на любом носителе.	Рабочие документы по аудиту следует составлять так, чтобы учесть все элементы системы менеджмента в рамках области аудита, и чтобы их можно было представлять на любом носителе.

В.5 Выбор источников информации	А.14 Выбор источников информации
Выбранные источники информации могут различаться в зависимости от области применения и сложности аудита и могут включать в себя следующее:	Выбранные источники информации могут быть разными в зависимости от области и сложности аудита и могут включать следующее:
- интервью с работниками и другими лицами;	a) опросы сотрудников и других лиц;
- наблюдения за осуществляемыми действиями и окружающей производственной средой и условиями;	b) наблюдения за деятельностью, окружающей производственной средой и рабочими условиями;
- документы, такие как политики, цели, планы, процедуры, стандарты, инструкции, лицензии и разрешения, спецификации, чертежи, контракты и заказы;	c) документированную информацию, такую как политики цели, планы, процедуры, стандарты, инструкции, лицензии и разрешения, технические требования, чертежи, контракты и заказы;
- записи, такие как записи инспекционного контроля, протоколы совещаний, отчеты по проведению аудитов, записи, относящиеся к программе мониторинга, и результаты измерений;	d) записи, такие как записи о проведенных инспекциях, протоколы заседаний, отчеты по аудитам, записи программы мониторинга и результаты измерений;
- сводки данных, анализы и показатели деятельности;	e) сводки данных, анализы данных и показатели результатов деятельности;
- информацию о планах проведения выборок проверяемой организации и процедурах для управления процессами, связанными с проведением выборок и измерений;	f) информацию о планах выборки проверяемой организации и о любых процедурах для осуществления управления процессами выборки и измерений;
- отчеты из других источников, например, обратная связь с потребителем, внешние обзоры и измерения, другая подходящая информация от внешних сторон и оценки поставщиков;	g) отчеты из других источников, например, информация от потребителей, обзоры, поступающие от внешних организаций и результаты измерений, полученные внешними организациями, другая соответствующая информация от внешних сторон и рейтинги внешних поставщиков;
- базы данных и интернет-сайты;	h) базы данных и сайты;
- моделирование.	i) имитацию и моделирование.

В.6 Руководство по посещению проверяемой организации	А.15 Посещение проверяемой организации
Для того чтобы мероприятия, осуществляемые в ходе аудита, не мешали осуществлению рабочих процессов проверяемой организации, а также для обеспечения гарантий здоровья и безопасности группы по аудиту во время аудита следует рассматривать следующее:	Чтобы свести к минимуму взаимовлияние деятельности по аудиту и рабочих процессов проверяемой организации и обеспечить охрану здоровья и безопасность аудиторской группы во время посещения, следует рассмотреть следующее:
a) планирование посещения:	a) планирование посещения:
- получение разрешения и допуска к тем объектам проверяемой организации, которые следует посетить в соответствии с областью применения аудита,	- обеспечить разрешение и доступ к тем частям проверяемой организации, которые необходимо посетить в соответствии с областью аудита;
- предоставление аудиторам всей необходимой информации (например, инструктаж), касающейся безопасности, санитарной обстановки (например, карантин), вопросов, связанных с профессиональной безопасностью и охраной здоровья, культурных норм поведения для посещения объектов, включая требуемые или рекомендуемые вакцинации и уровни допуска, если это применимо,	- представить соответствующую информацию для аудиторов по технике безопасности, охране здоровья (например, карантин), профессиональной гигиене и производственной безопасности, культурным нормам и рабочим часам для посещения, включая требуемую и рекомендуемую вакцинацию и допуски, если используются;
- договор с проверяемой организацией, что все требуемые средства индивидуальной защиты будут иметься для группы по аудиту, если это применимо,	- подтвердить у проверяемой организации наличие необходимых средств индивидуальной защиты (РРЕ) для аудиторской группы, если они необходимы;
	- подтвердить договоренности с проверяемой организацией в отношении использования мобильных средств связи, камер, включая запись информации, например фотографий площадок и оборудования, скриншоты или фотокопии документов, видеозаписи деятельности или интервью с учетом безопасности и конфиденциальности;
- за исключением внеплановых аудитов для специальной цели, обеспечение того, что персонал посещаемого объекта будет проинформирован о целях и области применения аудита;	- за исключением специальных незапланированных аудитов, обеспечить информирование посещаемых работников о целях и области аудита;
b) действия на посещаемых объектах:	b) деятельность на месте:
- избежать привнесения любых ненужных помех в осуществление рабочих процессов,	- избегать ненужного вмешательства в рабочие процессы;
- обеспечить надлежащее использование средств индивидуальной защиты членами группы по аудиту,	- обеспечить надлежащее использование аудиторской группой средств индивидуальной защиты (РРЕ);
- обеспечить доведение информации по процедурам, устанавливающим порядок действий в чрезвычайных и аварийных ситуациях (например, аварийные выходы, места сбора),	- сообщить членам группы о действиях в чрезвычайных ситуациях (например, об аварийных выходах, пунктах сбора);
- обсудить график мероприятий аудита с целью минимизации возможных помех для распорядка производственной деятельности проверяемой организации,	- спрограммировать обмен информацией во избежание дезорганизации;
- обеспечить соразмерность численности группы по аудиту и числа сопровождающих лиц и наблюдателей в соответствии с областью применения аудита, для того чтобы избежать, насколько это возможно, вмешательства в рабочие процессы,	- подобрать размер аудиторской группы и количество сопровождающих лиц и наблюдателей согласно области аудита, чтобы избежать вмешательства в рабочие процессы, по мере возможности;
- не прикасаться или каким-либо образом не обращаться с любым оборудованием, если на это не имеется специального разрешения, даже когда аудиторы имеют достаточный уровень компетентности или соответствующую лицензию,	- не трогать и не включать никакое оборудование без специального разрешения, несмотря на компетентность и лицензию;
- если во время посещения проверяемой организации произошло какое-либо происшествие или инцидент, то руководитель группы по аудиту должен проанализировать сложившуюся ситуацию с представителями проверяемой организации и, в случае необходимости, с заказчиком аудита и прийти к соглашению относительно того, следует ли прерывать или продолжать аудит или о том, что следует внести изменения в график проведения мероприятий аудита,	- в случае инцидентов во время посещения руководителю аудиторской группы следует проанализировать ситуацию с проверяемой организацией и, в случае необходимости, с заказчиком аудита, и достичь соглашения в отношении прерывания, пересмотра графика или продолжения аудита;
- в случае проведения фото- или видеосъемки проверяющей стороной следует заранее запросить соответствующее разрешение у руководства проверяемой организации и рассмотреть вопросы, связанные с обеспечением надлежащей защиты и конфиденциальности, и следует избегать фотографирования частных лиц без их разрешения,
- при снятии копий или взятии экземпляров документов любого вида следует заранее запросить соответствующее разрешение у руководства проверяемой организации и рассмотреть вопросы, связанные с обеспечением надлежащей защиты и конфиденциальности,	- при копировании документов любого типа на любом носителе спрашивать разрешение, заранее и учитывать проблемы безопасности и конфиденциальности;
- при сборе данных и записей следует избегать сбора персональной информации, касающейся сотрудников, если это не требуется целями или критериями аудита.	- делая записи, избегать сбора личной информации, если этого не требуют цели или критерии аудита;
	c) деятельность по виртуальному аудиту:
	- обеспечить использование аудиторской группой согласованного удаленного доступа к протоколам, включая требуемые устройства, программное обеспечение и т.д.;
	- при снятии копий скриншотов с документов любого типа спрашивать разрешение заранее и учитывать проблемы безопасности и конфиденциальности и избегать записи персональных данных лиц без их разрешения;
	- в случае инцидентов при удаленном доступе руководителю аудиторской группы следует проанализировать ситуацию с проверяемой организацией и, в случае необходимости, с заказчиком аудита, и достичь соглашения в отношении прерывания, пересмотра графика или продолжения аудита;
	- использовать поэтажные планы удаленного места в качестве ссылочных документов;
	- во время перерывов в аудите сохранять конфиденциальность данных.
	Требуется рассмотреть вопрос о хранении информации и свидетельства аудита независимо от типа носителя, позже, как только отпадет необходимость в их использовании.
	А.16 Аудит виртуальной деятельности и местоположений
	Аудиты виртуальной деятельности проводят, когда организация выполняет работы или предоставляет услуги, используя онлайн-среду, позволяющую лицам, независимо от физического местонахождения, вести процессы (например, компания интернет, "компьютерное облако"). Аудит виртуального местонахождения иногда называют виртуальным аудитом. Дистанционный аудит использует технологию сбора данных, интервью проверяемой организации и т.д., когда методы опроса при личной встрече ("лицом к лицу") невозможны или нежелательны.
	Виртуальный аудит применяет правила стандартного процесса аудита, используя технологию поверки объективного свидетельства. Проверяемой организации и аудиторской группе следует обеспечить требования к подходящей технологии виртуального аудита, которая может включать:
	- гарантию использования аудиторской группой согласованных протоколов дистанционного доступа, включая требуемое оборудование, программное обеспечение и т.д.;
	- проведение технических проверок перед аудитом для решения технических вопросов;
	- обеспечение составления плана и его передачу в случае непредвиденных обстоятельств (например, прерывание доступа, использование альтернативной технологии), включая положение о дополнительном времени аудита в случае возникновения необходимости.
	В компетентного аудитора следует включить:
	- технические навыки использования соответствующего электронного оборудования и другой технологии в ходе аудита;
	- опыт проведения виртуальных заседаний для проведения дистанционного аудита.
	При проведении и открытии заседания или проведении виртуального аудита аудитору следует рассмотреть следующие вопросы:
	- риски, связанные с виртуальным и дистанционным аудитом;
	- использование поэтажных планов и схем удаленных мест, в качестве ссылки или отображения электронных данных;
	- содействие в предотвращении прерываний и приостановок за счет помех;
	- заблаговременный запрос разрешения на скриншоты документов или любых видов записей с учетом конфиденциальности и защиты информации;
	- обеспечение конфиденциальности и защиты информации в перерывах в процессе аудита, например при отключении микрофонов, постановке камер на паузу.

В.7 Проведение опросов и интервьюирование сотрудников	А.17 Проведение опросов
Интервьюирование является одним из важнейших средств по сбору информации, и его следует проводить с учетом конкретной ситуации или опрашиваемых лиц, будь это беседа при непосредственной встрече или посредством использования соответствующих средств коммуникации. При этом аудитору нужно учитывать следующее:	Опросы являются одним из важнейших средств сбора информации и их следует осуществлять так, чтобы это было привязано к ситуации и конкретному опрашиваемому работнику, либо при личном общении, либо с помощью средств связи. В то же время, аудитор должен учитывать приведенное ниже:
- интервью должны проводиться с лицами соответствующих уровней или функциональных подразделений, выполняющих действия или задачи в рамках области применения аудита;	a) опросы следует проводить среди персонала соответствующего уровня и соответствующих должностей, выполняющих работу или задачи в рамках области аудита;
- интервью, как правило, должны проводиться в рабочее время и там, где это целесообразно, на рабочем месте опрашиваемого сотрудника;	b) опросы обычно следует проводить в обычное рабочее время и, если целесообразно, на обычном рабочем месте опрашиваемого работника;
- нужно постараться создать непринужденную атмосферу до начала и во время проведения интервью;	c) следует создать непринужденную обстановку для опрашиваемого лица до и во время опроса;
- следует объяснить причины для проведения интервью и любые производимые записи;	d) опрашиваемым следует объяснить причины для проведения опроса и составления заметок;
- интервью можно начать с просьбы к опрашиваемым лицам описать выполняемую ими работу;	e) опросы можно начать с просьбы опрашиваемого лица описать свою работу;
- следует тщательно выбирать тип задаваемых вопросов (например, прямые, наводящие вопросы, вопросы, предусматривающие единственный ответ);	f) следует тщательно подбирать тип вопросов (например, открытый опрос, закрытый опрос, наводящие вопросы, метод позитивной оценки ситуации);
	g) осознание ограниченности невербального общения в виртуальной среде; следует сосредоточиться на типе вопросов, чтобы использовать при поиске объективного свидетельства;
- результаты, полученные в ходе интервью, должны быть суммированы и проанализированы с опрашиваемым сотрудником;	h) результаты опросов следует суммировать и анализировать вместе с опрашиваемым лицом;
- следует поблагодарить опрошенных сотрудников за их участие и содействие.	i) следует поблагодарить опрашиваемый персонал за участие и сотрудничество.

В.8 Выводы аудита

А.18 Обнаружения аудита

В.8.1 Определение выводов аудита	А.18.1 Определение обнаружений аудита
При определении выводов аудита следует рассматривать следующее:	При определении обнаружений аудита необходимо учитывать:
- меры, предпринятые по результатам предыдущих записей и заключений аудита;	a) работу по итогам записей и заключений предшествующих аудитов;
- требования заказчика аудита;	b) требования заказчика аудита;
- выводы (наблюдения), превосходящие границы обычной практики, или возможности для улучшения;	c) точность, существенность и правомерность объективного свидетельства для подтверждения обнаружений аудита;
	d) степень, в которой запланированная аудиторская деятельность реализуется и достигаются запланированные результаты;
	е) обнаружения, выходящие за пределами обычной практики, или возможности для улучшения;
- размер представительной выборки;	f) объем выборки;
- распределение выводов аудита по категориям (если они имеются).	g) распределение обнаружений аудита по категориям (если имеются).

В.8.2 Регистрация соответствий	А.18.2 Записи о соответствии
Для записей о соответствии следует рассмотреть следующее:	Для записей о соответствии необходимо учесть следующее:
- идентификацию критериев аудита, по которым выявляется соответствие;	a) описание критериев аудита, по которым показано соответствие, или ссылку на них;
- свидетельство аудита для подтверждения соответствия;	b) свидетельство аудита в подтверждение соответствия и результативности, если уместно;
- декларацию о соответствии, если это применимо.	c) декларацию о соответствии, если применяется.

В.8.3 Регистрация и протоколирование несоответствий	А.18.3 Записи о несоответствии
Для записей о несоответствии следует рассмотреть следующее:	Для записей о несоответствии необходимо учесть следующее:
- описание или ссылку на критерии аудита;	a) описание критериев аудита или ссылку на них;
- декларацию о несоответствии;
- свидетельство аудита;	b) свидетельство аудита;
	c) декларацию о несоответствии;
- соответствующие выводы аудита, если это применимо.	d) соответствующие обнаружения аудита, если применимо.

В.8.4 Обращение с выводами, относящимися к сложносоставным критериям	А.18.4 Работа с обнаружениями аудита, связанными с набором критериев
Во время проведения аудита представляется возможным идентифицировать наблюдения (выводы), относящиеся к критериям со сложной структурой. В случае, когда при проведении комплексного аудита аудитор идентифицирует вывод (наблюдение), связанный с одним критерием или характерным признаком, аудитор должен рассмотреть возможное воздействие на согласованность с данным критерием или на аналогичные критерии других систем менеджмента.	В процессе аудита возможно сделать обнаружения, связанные с набором критериев. Там, где аудитор делает обнаружение по одному критерию в комплексном аудите, ему следует учитывать возможное воздействие на соответственные или аналогичные критерии других систем менеджмента.
В зависимости от предварительных договоренностей с заказчиком аудита проверяющая сторона может собирать и фиксировать либо:	В зависимости от договоренностей с заказчиком аудита аудитор может сделать:
- отдельные выводы для каждого критерия-признака;	a) либо отдельные обнаружения по каждому критерию; либо
- единственный вывод, объединяющий ссылки для сложносоставного критерия.	b) одно обнаружение, объединяющее ссылки на множественные критерии.
В зависимости от предварительных соглашений с заказчиком аудита проверяющая сторона может указать проверяемой организации на то, каким образом ей следует реагировать и какие действия необходимо предпринять по результатам этих выводов, и проконтролировать разработку соответствующих мероприятий.	В зависимости от договоренностей с заказчиком аудита, аудитор может указать проверяемой организации, как реагировать на обнаружения аудита.