Новая версия Международного стандарта ИСО 19011 на аудит систем менеджмента

ЛЕКЦИЯ Новая версия Международного стандарта ИСО 19011 на аудит систем менеджмента Профессор Дорониной О.Д. Международный стандарт ИСО 19011 на аудит систем менеджмента обновился 04.07.2018 Ввиду того что системы менеджмента помогают организациям по всему миру в достижении своих целей, аудит таких систем является крайне важным мероприятием с точки зрения успешного развития бизнеса. Полезным инструментом для реализации такого мероприятия выступает релевантный международный стандарт, который недавно был обновлен специалистами Международной организации по стандартизации (International Organization for Standardization; ISO; ИСО). Теперь этот документ предлагает больше ценных указаний, чем когда-либо прежде. Стандарты на системы менеджмента становятся все более популярными, поскольку самые разные организации обретают осознание того, как такие документы можно применять для управления взаимосвязанными процессами ради достижения своих целей. От менеджмента качества или менеджмента энергопотреблением до менеджмента безопасности пищевых продуктов или управления дорожным движением – список стандартов, направленных на оказание помощи организациям в создании эффективных систем менеджмента, постоянно расширяется. Одна лишь только организация ИСО предлагает всем заинтересованным сторонам более 7 десятков добровольных стандартов на основе консенсуса на системы менеджмента, основываясь при подготовке таких документов на международном опыте и передовой практике. ИСО создает эти документы, чтобы помочь самым разным организациям работать лучше, экономить деньги и развивать конкурентные преимущества. Чтобы получить максимальную отдачу от той или иной системы менеджмента и обеспечить постоянное совершенствование, необходимо регулярно проводить аудит такой системы. Это нелегкая задача. Особенно для организаций, которые используют сразу по несколько систем менеджмента. И, как отмечают в ИСО, таких организаций сейчас большинство. К счастью обновленный недавно стандарт ИСО 19011:2018 "Рекомендации по аудиту систем менеджмента" предлагает единый и согласованный подход к реализации данного мероприятия, позволяющий одновременно проводить эффективный аудит сразу нескольких систем менеджмента. Документ был подготовлен специалистами проектного комитета ИСО / ПК 302, секретариат которого сформирован из числа специалистов Американского национального института стандартизации (American National Standards Institute; ANSI). Авторы документа отмечают, что пересмотр и обновление стандарта были необходимы для того, чтобы он продолжил оставаться эффективным инструментом и отражал изменения на рынке и развитие технологий, а также сохранял актуальность при аудите современных систем менеджмента, основанных на недавно опубликованных новых стандартах или пересмотренных документах подобного плана. В частности, перечень ключевых изменений в версии 2018 года включает добавление в текст документа описания основанного на принципах оценки риска подхода к проведению аудита с целью отражения повышенного внимания к риску в стандартах на системы менеджмента. В новый стандарт были добавлены важные рекомендации по аудиту не только рисков, но и возможностей. Кроме того, в стандарте появилась дополнительная информация по уже охваченным ранее темам и областям, таким как, менеджмент программой аудита и процесс проведения аудита. Предыдущая версия данного стандарта, содержащего конкретные рекомендации по внутреннему и внешнему аудиту систем менеджмента, была опубликована в 2011 году. ………………………………………………………………….. Информация с сайта ИСО Обновлен стандарт по аудиту систем менеджмента Системы менеджмента помогают организациям достигать своих целей, и проведение аудита в данном случае обосновано с точки зрения коммерческой деятельности. Международный стандарт по аудиту систем менеджмента был только что обновлен. Теперь он содержит более подробные руководства, чем в предыдущей серии. Стандарты систем менеджмента становятся все более популярными, поскольку организации видят, каким образом их можно внедрять для управления взаимосвязанными процессами для достижения поставленных целей. От качества систем менеджмента энергопотреблением до безопасности пищевых продуктов или дорожного движения – перечень стандартов, цель которых заключается в оказании помощи организациям по внедрению эффективных систем менеджмента, становится все длиннее. ИСО разработала более семидесяти стандартов на системы менеджмента, основанных на международном опыте и лучших практиках, в целях улучшения показателей экономии денежных средств и повышения конкурентных преимуществ. Чтобы получать максимальную отдачу от систем менеджмента и гарантировать постоянное совершенствование, необходимо регулярно проводить аудит. Наличие нескольких систем менеджмента является сложной задачей. ISO 19011, Руководящие указания по аудиту систем менеджмента, содержит единый, согласованный подход, позволяющий одновременно осуществлять эффективный аудит в нескольких системах. Стандарт ISO 19011:2018 был разработан проектным комитетом ИСО/ПК 302, Руководство по аудиту систем менеджмента, секретариат которого находится в ведении ANSI, члена ИСО от США. Дэнис Робитайл (Denise Robitaille), председатель проектного комитета 1) ИСО, занимающегося пересмотром стандарта, сказала, что стандарт был обновлен и содержит эффективные руководства, соответствующие изменениям на рынке, развивающимся технологиям и многим новым стандартам на системы менеджмента, недавно опубликованным или пересмотренным. «Другие ключевые изменения по версии 2018 года включают добавление риск-ориентированного мышление к принципам аудита, основной акцент в которых сделан на рисках в стандартах менеджмента, как и на рынке», ­ говорит она. «Существуют рекомендации по аудиту рисков и возможностей, а также информация о применении подхода, основанного на оценке риска к процессу аудита. Кроме того, руководство было расширено в ряде областей, таких как менеджмент аудиторской программой и проведение аудита». ……………………………………………………………………………. История создания стандарта ИСО 19011 по аудиту СМ После утверждения стандартов ИСО 14001 и ИСО 14004 по системам менеджмента охраны окружающей среды (СМООС) и до начала пересмотра стандартов ИСО 9000 по системам менеджмента качества (СМК) со стороны ИСО был проявлен большой интерес к совместимости этих стандартов. С самого начала обсуждения стало ясно, что сходные элементы в отношении аудита в существующих стандартах станут главными кандидатами на интеграцию в единый стандарт. Для разработки такого стандарта была создана объединенная рабочая группа (ОРГ) из представителей технических комитетов ИСО по менеджменту качества (ТК 176) и по менеджменту окружающей среды (ТК 207). Несмотря на значительное сходство, имели место некоторые определенные различия между основными принципами аудита качества и аудита окружающей среды. Проблемы, обратившие на себя раннее внимание, включали компетентность аудитора, применимость к малым и средним предприятиям (МСП) и развивающимся странам, а также структуру самого стандарта. ОРГ была поделена на две рабочих группы, одна - для рассмотрения замечаний относительно структуры и процессных аспектов стандарта, и другая - для рассмотрения замечаний относительно компетентности аудиторов. Начиная с Берлина, США стали выражать беспокойство, что стандарт, в частности, не адресован к полной области действия аудита (имеются в виду внутренние аудиты, внешние аудиты второй стороной и аудиты с привлечением третьей стороны). Кроме того, США продолжали настаивать на своих возражениях в части рекомендаций стандарта по уровням компетентности аудиторов третьей стороны; эти рекомендации, как полагали США, было бы более уместно оставить национальным органам аккредитации, а не ИСО. Обширные международные замечания относительно проекта ПРКЗ рассматривались в марте 2001 г. в Сиднее, Австралия, где было достигнуто общее согласие относительно выпуска проекта международного стандарта (DIS) ИСО 19011 и представления его для голосования на пять месяцев странам-членам ИСО. Хотя стадия проекта международного стандарта, как правило, означает, что большинство проблем решено, некоторое беспокойство относительно частей проекта международного стандарта ИСО 19011 все еще оставалось, что снова привело к обширным международным комментариям. К США присоединились Япония и Сингапур в голосовании против проекта международного стандарта. В то время как голоса стран выражали общее согласие, большое число существенных критических замечаний не свидетельствовали о единодушие В январе 2002 г ОРГ собралась в Ванкувере, Канада, чтобы рассмотреть приблизительно 850 полученных замечаний, разрешить проблемы с отрицательным голосованием по DIS и подготовить проект для голосования как заключительный проект международного стандарта (FD1S). Обе американские технические консультативные группы (ТКГ) согласились, что проект DIS содержал ряд проблем. Конкретные замечания американской стороны включали следующее: • DJS был слишком сырым, о чем свидетельствовали более 850 критических замечаний, полученных по DIS; • текст стандарта не обеспечивал достаточного руководства для МСП; • вопрос компетентности аудиторов все еще был смещен в сторону аудитов третьей стороной и содержал рекомендованные уровни опыта и образования для сертификационных аудитов. Значительный прогресс в части улучшения документа был достигнут в Ванкувере, но американская делегация оставалась обеспокоенной тем, что не было соответствующего рассмотрения проблем, касающихся МСП. а также ситуаций внутренних аудитов и аудитов второй стороной. Поскольку в Ванкувере не было возможности рассмотреть пересмотренную копию чистого текста, американская делегация решила пока воздержаться от решения относительно повышения статуса стандарта до FDIS и обсудить вопрос с руководством американских ТКГ. После обсуждений в феврале с руководством обеих ТКГ появилось общее согласие в том, США могли бы поддержать стандарт в целом, но необходимо дополнительное руководство, конкретно для помощи в применении стандарта МСП и внутренними (аудиты первой стороной) аудиторами. Этот вопрос обсуждался на совещании американской группы в марте 2002 г. в Индианаполисе, и обе американские ТКГ согласились разработать дополнительное руководство в помощь американским пользователям стандарта. . Одобрение FDIS ИСО 19011 на международном уровне завершается выпуском ИСО окончательного стандарта (стандарт утвержден 1 октября 2002 . Структура стандарта ИСО 19011 Стандарт ИСО 19011 имеет следующую структуру: 0. Введение 1. Область действия 2. Нормативные ссылки 3. Термины и определения 4. Принципы проведения аудита 5. Управление программой аудита 6. Порядок проведения аудита 7. Компетентность и аттестация аудиторов Стандарт включает несколько диаграмм и боксов практической помощи (под боксами в данном случае подразумеваются текстовые абзацы, очерченные рамкой), чтобы помочь пользователям в понимании и применении руководства. Большая часть текста, обеспечивающего руководство для МСП и внутренних аудиторов, обычно размещается в этих боксах практической помощи. ИСО 19011 является основополагающим стандартом. Это означает, что его использование не обязательно, если он не применяется как часть многостороннего соглашения, типа контракта или другого юридического соглашения. В качестве такового, его выполнение, как правило, не контролируется, потому что элементы этого стандарта не являются требованиями и потому что могут быть другие способы достижения тех же самых задач. Стандарт ИСО 19011 в целом организован следующим образом: • раздел 0 «Введение» помогает читателю понять причины появления стандарта и то, кто бы мог его использовать; • раздел 1 «Область действия» определяет область действия и применимость стандарта, который простирается за пределы аудита СМК и СМООС; • раздел 2 «Нормативные ссылки» дает отсылки на два справочных стандарта по терминологии СМК и СМООС, которые будучи упомянутыми в стандарте ИСО 19011, становятся его частью; • раздел 3 «Термины и определения» обеспечивает дополнительные уникальные термины (не охваченные нормативными ссылками), которые необходимы для стандарта ИСО 19011 и его применения; • в разделе 4 «Принципы проведения аудита» устанавливаются некоторые общие принципы аудита, которые должны помочь применяющим этот стандарт впервые пользователям; • раздел 5 «Управление программой аудита» обеспечивает руководство по установлению, управлению и оценке различных типов программ аудита, в которых организация может нуждаться; • раздел 6 «Порядок проведения аудита» обращается к процессу планирования, проведения и оценки индивидуальных аудитов в рамках конкретной программы аудита; • раздел 7 «Компетентность и аттестация аудиторов» обращается к личным качествам, знаниям и навыкам, необходимым для гарантии компетентности аудитора, включая начальный отбор и текущую оценку аудиторов. Процесс аудита Раздел 4 «Принципы проведения аудита» В разделе 4 дается краткое описание принципов проведение аудита. Эти принципы должны использоваться, чтобы стимулировать введение и выполнение процесса аудита в организации. Ключевые принципы поведения аудитора состоят в следующем: • соблюдение этики - основа профессионализма, • справедливое представление - обязательство отчитываться правдиво и точно, • должная профессиональная тщательность - внимательное отношение и здравый смысл при проведении аудита. Два других принципа проведения аудита касаются прежде всего процесса аудита. Они таковы; • независимость - основание для беспристрастности и объективности заключений аудита, • подход на основе свидетельств - рациональный метод достижения надежных и воспроизводимых заключений аудита в процессе систематического аудита. Раздел 5 «Управление программой аудита» Раздел 5 предоставляет руководство тем, кому необходимо установить и поддерживать некоторый текущий набор аудитов для организации. Для определения программы аудита стандарт рекомендует использовать цикл «планируй - делай - проверяй - действуй». Некоторые из рассматриваемых стандартом ключевых работ таковы: ◦ установление полномочий для программы аудита; ◦ учреждение самой программы аудита, включая цели и область действия, обязанности, ресурсы и процедуры; ◦ обеспечение выполнения программы аудита; ◦ мониторинг и анализ программы аудита в целях улучшения ее эффективности и результативности; ◦ улучшение программы аудита. Поскольку стандарт может применяться и к внутреннему и к внешнему аудиту, постановка целей и указание области действия программы аудита - критический ранний шаг в определении программы аудита для конкретной организации или конкретного применения. Любую программу аудита должны возглавлять люди, наделенные соответствующими полномочиями и располагающие ресурсами для осуществления программы. Программа аудита может также адресоваться к возможности «совмещенных аудитов» (combined audits) и «объединенных аудитов» (joint audits). Совмещенный аудит имеет место, когда СМК и СМООС проверяются в одно и то же время одной и той же аудиторской командой. Объединенный аудит имеет место, когда две команды аудиторов сотрудничают с целью проверки организации в течение одного и того же периода времени. При этом одна команда проверяет СМК, а другая команда проверяет СМООС. В стандарте подчеркнуто, что любая программа аудита должна подвергаться мониторингу и анализу с тем, чтобы гарантировать ее постоянную эффективность в удовлетворении потребностей организации. В программе аудита должны быть сделаны соответствующие корректировки в случае необходимости содействия улучшениям. Раздел 6 «Порядок проведения аудита» В разделе 6 описываются шесть основных стадий в планировании и проведении аудита. Эти стадии включают: • инициацию аудита; • проведение анализа документации; • подготовку к аудиторским работам на месте; • проведение аудита на месте; • подготовку, утверждение и распространение отчета по аудиту; • завершение аудита (включая любую последующую работу, которая окажется необходимой). Инициация аудита требует рассмотрения нескольких факторов и действий, включая: • назначение подходящего руководителя бригады; • установление целей (задач); области действия и критериев аудита; • определение выполнимости аудита; • подбор хорошей аудиторской бригады; • установление начального контакта с проверяемыми подразделениями. Будучи сформированной, аудиторская бригада должна рассмотреть любые доступные документы, имеющие отношение к аудиту, и подготовиться к стадии аудита на месте, предусмотрев необходимое материально-техническое обеспечение и другие мероприятия, такие, как командировки. Подготовка к работам на месте включает также: • создание плана аудита, в котором документируется порядок проведения аудита; • распределение конкретной работы или обязанностей между членами аудиторской бригады; • разработку рабочих документов, таких, как контрольные листы и планы выборки. Независимо от того, касается ли аудит СМК или СМООС, работы на месте аналогичны и включают: • проведение открытого совещания с проверяемым подразделением; • установление каналов связи с проверяемыми и другими в ходе аудита; • определение ролей и обязанностей гидов (по необходимости); • сбор и подтверждение информации; • выработка (создание - generation) наблюдений аудита (audit findings); • подготовка заключений аудита (audit conslusions); • проведение заключительного совещания. Отчет по результатам аудита (audit results) - критическая стадия, на которой следует точно отразить то, что выявилось в процессе аудита. Ключевая позиция - рассмотрение степени соответствия критериям аудита, эффективности внедрения системы менеджмента и возможности процесса анализа со стороны руководства обеспечить непрерывную пригодность и эффективность системы менеджмента. Это существенное отличие от критериев аудита СМК в прошлом, когда аудиторы часто сами комментировали пригодность и эффективность системы менеджмента. Это было неподходящим по двум причинам: (1) за оценку полезности (т. е. «пригодности и эффективности») системы менеджмента отвечает руководство и (2) аудиторы могут испытывать нехватку существенных знаний о работе организации, чтобы правильно оценить полезность системы менеджмента. Стандартом предусматриваются последующие после аудита действия, если необходимо подтвердить, что всем несоответствиям уделено внимание. В большинстве случаев аудит должен завершиться, когда выполнены все работы, описанные в плане аудита. Однако могут быть случаи, когда той же самой бригаде придется предпринять последующие действия, например, при внутреннем аудите.  Компетентность и аттестация аудиторов Аудиторы должны быть компетентны для выполнения предписанных задач, и должен вестись последовательный процесс для первоначального отбора и непрерывного оценивания компетентности аудиторов. Процесс установления требований к компетентности аудитора и процесс оценивания описаны в разделе 7 стандарта. В нем дается руководство относительно общих знаний, навыков и личных качеств, необходимых аудитору и руководителю аудиторской бригады. 1. Аудитор нуждается в знаниях и навыках в отношении принципов, процедур и методов аудита, чтобы быть способным осуществить аудит. 2. Точно так же аудитор должен понимать область действия аудита и концепции систем менеджмента, чтобы эффективно применять принципы аудита. 3. Руководитель аудиторской бригады должен иметь те же самые знания и навыки, но к тому же обладать соответствующими организационными и руководящими навыками, чтобы быть способным осуществить аудит, совместимый с целями программы аудита. 4. Кроме того, аудитор и руководитель аудиторской бригады будут нуждаться в знаниях и навыках, относящихся к СМК или СМООС и их применениям, если необходимо. 5. В случае совмещенных аудитов необходимы знания и навыки в обеих областях. Необходимо также, чтобы аудиторы имели соответствующее образование, опыт работы, аудиторскую подготовку и опыт проведения аудитов, согласующийся с потребностями программы аудита. Как правило, уровни образования, подготовки и опыта будут меняться в зависимости от конкретных целей и задач программы аудита. Например, уровни образования, подготовки и опыта, необходимые для внутренних аудиторов, весьма вероятно, будут значительно отличаться от тех же уровней аудиторов, выполняющих сертификационные проверки третьей стороной- На практике эти уровни должны задаваться «владельцем» программы аудита или соответствующим органом аккредитации. По этому поводу были долгие дебаты по стандарту ИСО 19011, в частности о том, какими эти уровни должны быть и кто должен их устанавливать. Первоначально проект международного стандарта включал минимальные уровни образования, подготовки и опыта для сертификационных аудиторов третьей стороны и рекомендовал их использование. По твердому убеждению некоторых стран было необходимо «поднять планку совершенства» для профессиональных аудиторов, но представители некоторых развивающихся стран выразили беспокойство, что эти требования будут слишком обременительны для них. США разделили это беспокойство. Раздел 7 проекта стандарта DIS содержал таблицу «примеров показателей образования, опыта работы, подготовки аудитора и опыта проведения аудитов». Поскольку стандарт ИСО 19011 служит официальным руководством, включение этой таблицы в стандарт могло интерпретироваться как задание значений минимальных уровней, и фактически DIS давал такую рекомендацию для сертификационных аудитов в п. 7.6.4. США полагали, что эта таблица не подходит данному стандарту и посягает на полномочия международных и национальных органов сертификации, а также противоречит национальным программам аккредитации ANSI (Американский институт национальных стандартов) для регистраторов согласно стандартам ИСО 9001 и ИСО 14001. Кроме того, США опасались, что под влиянием этой таблицы некоторые пользователи могли бы применить ее данные к другим ситуациям аудита, включая внутренние аудиты и аудиты поставщика (аудиты второй стороной). Усилия, предпринятые американской делегацией в Ванкувере, направленные на то, чтобы удалить или изменить эту таблицу, были безуспешны. Однако затем это было воспринято, и в раздел 7 стандарта были внесены достаточные изменения, позволяющие пользователю понять ограничения этой таблицы и ее использование. Стандарт включает описание процесса, управляющего начальным отбором аудиторов, соответствующих потребностям программы аудита, и предусматривающего непрерывную оценку их компетентности. Поскольку некоторые программы аудита могут быть по своей природе долгосрочными и аудиторы могут работать в течение продолжительного периода времени, в стандарте также описывается процесс текущей оценки компетентности аудитора. Это показано в таблице по оцениванию внутренних аудиторов, которая обеспечивает также дополнительное руководство для таких применений. Наконец, раздел 7 обеспечивает руководство по поддержанию компетентности аудитора. Это обычно достигается путем продолжающегося профессионального развития, такого, как дополнительное обучение, участие в конференциях и семинарах и дополнительный опыт работы вне рамок программы аудита. Выводы Международный стандарт ИСО 19011 решает несколько важных задач в разработке согласованного стандарта: • содержание стандартов ИСО 10011-1, 2 и 3 практически полностью включено в стандарт ИСО 19011; • содержание стандартов ИСО 14010,14011 и 14012 практически полностью включено в стандарт ИСО 19011; • интересы сообществ по экологии и качеству успешно объединены в один документ по проведению аудита; • достигнута согласованность с требованиями и терминологией, содержащимися в стандартах ИСО 9001 и ИСО 14001; • новый стандарт более легок для использования благодаря логичной структуре и ряду схем и примеров. \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\