Исо 9011 что это такое для чайников
ISO 9011: не путайте этот документ с ISO 9001 и ISO 19011
Опубликовано: 21.09.2017 Рубрика: Статьи Автор: Единый Стандарт
Источник: автором статьи является Марк Хаммар, сертифицированный в ASQ (Американское общество качества – American Society for Quality, – ред.) менеджер по качеству и деловому совершенству. В сфере качества Марк работает с 1994 года. Автор статьи имеет практический опыт в области аудита, улучшения процессов, подготовки процедур для систем качества (СМК, – ред.) и систем экологического менеджмента (СЭМ, – ред.). Также Марк Хаммар – сертифицированный ведущий аудитор по стандартам ISO 9001, AS 9100 и ISO 14001.
Стандарт ISO 9011 вечно путают с ISO 9001 из-за схожести индексов, которыми называются два стандарта. На самом деле, ISO 9011 вообще никак не связан с системами менеджмента (базис для системы менеджмента качества (СМК, – ред.) дает ISO 9001). Но зато это также набор требований Международная организация по стандартизации (ISO – International Organization for Standardization, – ред.). ISO 9011 – один из нормативов с требованиями к качеству произведенной продукции (Полное название ISO 9011 – ISO 9011 «Передачи ременные синхронные. Автомобильные шкивы», – ред.). Если вы хотите узнать, какие требования автомобильная промышленность предъявляет к ременным передачам, то вам следует ознакомиться с ISO 9011.
ISO 9001 включает требования по разработке и внедрению систем менеджмента качества, которые направлены на повышение удовлетворенности потребителей. Для информации о стандарте по СМК ISO 9001 читайте нашу статью «Что такое ISO 9001?».
ISO 19011 представляет собой тоже стандарт ISO. И также иногда его путают с ISO 9011. В ISO 19011 вы найдете требования к аудитам системы менеджмента. Данный документ обычно используют для подготовки специалистов, сертифицирующих компании на соответствие ISO 9001, ISO 14001 и другим подобным стандартам. Для более близкого знакомства с этим вопросом смотрите нашу статью «Сертификация ISO 9001».
Перевод: сотрудник «Единый Стандарт» Валентин Рахманов.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
Исо 9011 что это такое для чайников
ГОСТ Р ИСО 19011-2012
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
РУКОВОДЯЩИЕ УКАЗАНИЯ ПО АУДИТУ СИСТЕМ МЕНЕДЖМЕНТА
Guidelines for auditing management systems
Дата введения 2013-02-01
Предисловие
1 ПОДГОТОВЛЕН Открытым акционерным обществом «Всероссийский научно-исследовательский институт сертификации» (ОАО «ВНИИС») на основе собственного перевода на русский язык англоязычной версии международного стандарта, указанного в пункте 4
2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии
4 Настоящий стандарт идентичен международному стандарту ИСО 19011:2011* «Руководящие указания по аудиту систем менеджмента» (ISO 19011:2011 «Guidelines for auditing management systems», IDT)
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соотвентствие с ГОСТ Р 1.5 (пункт 3.5)
6 ПЕРЕИЗДАНИЕ. Июль 2018 г.
Введение
После публикации в 2002 году первого издания настоящего стандарта появилось множество публикаций новых стандартов по системам менеджмента. В результате возникла необходимость в рассмотрении более широкой области применения для аудитов систем менеджмента, так же, как и в предоставлении соответствующих руководящих указаний, которые стали более универсальными, с тем, чтобы их было можно применять для различных областей (дисциплин) менеджмента.
В 2006 году комитет ИСО по оценке соответствия (КАСКО) разработал ИСО/МЭК 17021, устанавливающий требования для сертификации систем менеджмента третьей стороной, в котором нашли отражение руководящие указания, содержащиеся в первом издании настоящего стандарта.
Второе издание ИСО/МЭК 17021, опубликованное в 2011 году, было расширено, с тем чтобы трансформировать руководящие указания, предложенные в настоящем стандарте, в требования к сертификационным аудитам для систем менеджмента. В связи с этим второе издание настоящего стандарта предоставляет руководящие указания для всех пользователей, включая организации малого и среднего бизнеса, и делает основной акцент на том, что общепринято называть «внутренними аудитами» (аудиты первой стороны) и «аудитами со стороны потребителей своих поставщиков» (аудиты второй стороны). В то время как стороны, принимающие участие в проведении сертификационных аудитов систем менеджмента, руководствуются требованиями ИСО/МЭК 17021:2011, для них могут также оказаться полезными руководящие указания, приведенные в настоящем стандарте.
Взаимосвязь между вторым изданием настоящего стандарта и ИСО/МЭК 17021:2011 приведена в таблице 1.
Аудит третьей стороны
Иногда называемый «аудитом первой стороны»
Иногда называемый «аудитом второй стороны»
В целях проверки соблюдения законодательства и аналогичных целей
Для проведения сертификации (см. также требования ИСО/МЭК 17021:2011)
Настоящий стандарт не устанавливает требований, а содержит руководящие указания по управлению программой аудита, планированию и проведению аудита системы менеджмента, а также по вопросам компетентности и оценивания аудитора и группы по аудиту.
Организации в рамках своей деятельности могут использовать несколько документированных систем менеджмента. Для того, чтобы не усложнять текст настоящего стандарта, предпочтительно употребление «система менеджмента» в единственном числе, но каждый конкретный читатель может адаптировать внедрение положений настоящего стандарта применительно к своей собственной конкретной ситуации. Это также применимо к использованию терминов «лицо» и «лица», «аудитор» и «аудиторы».
Настоящий стандарт предназначен для широкого круга потенциальных пользователей, включающих в себя аудиторов, организации, внедряющие системы менеджмента, и организации, нуждающиеся в проведении аудитов систем менеджмента согласно контрактным или другим обязательствам. При этом пользователи настоящего стандарта могут применять настоящие руководящие указания при разработке своих собственных требований, относящихся к аудиту.
Руководящие указания, содержащиеся в настоящем стандарте, могут использоваться для целей, связанных с декларированием соответствия, а также могут быть полезными для организаций, участвующих в деятельности по подготовке аудиторов или сертификации персонала.
Руководящие указания, содержащиеся в настоящем стандарте, не устанавливают жестких рамок и допускают гибкость в своем применении. Как указано в пунктах по тексту настоящего стандарта, применение настоящих руководящих указаний может различаться в зависимости от размера, уровня развития и совершенства системы менеджмента организации, от характера деятельности и сложности проверяемой организации, а также от целей и области применения проводимых аудитов.
Настоящий стандарт вводит понятие риска применительно к аудиту систем менеджмента. Применяемый здесь подход относится как к рискам, связанным с недостижением процессом аудита поставленных целей, так и к рискам, связанным с возможностью помешать осуществлению деятельности и процессов проверяемой организации из-за проведения мероприятий по аудиту. При этом не дается отдельного руководства по процессу управления рисками для организации, но признается то, что при проведении аудита организации могут сосредоточить свои усилия на наиболее важных вопросах для системы менеджмента.
Настоящим стандартом принимается подход, называемый «комплексным аудитом», при котором две или несколько систем менеджмента, охватывающие различные аспекты менеджмента, проверяются совместно. В случаях, когда эти системы интегрированы в одну систему менеджмента, принципы и процессы проведения аудита будут такими же, как и для комплексного аудита.
Раздел 3 устанавливает ключевые термины и определения, используемые в настоящем стандарте. Были предприняты все усилия для того, чтобы эти определения не вступали в противоречия с определениями, используемыми в других стандартах.
Раздел 4 описывает принципы, на которых базируется процесс аудита. Эти принципы помогают пользователю понять суть процесса аудита и важны для понимания указаний, представленных в разделах 5-7.
Раздел 5 содержит руководящие указания по разработке и управлению программами аудита, по постановке целей программ аудита и координации мероприятий, выполняемых при проведении аудита.
Раздел 6 содержит руководящие указания по планированию и проведению аудита системы менеджмента.
Раздел 7 содержит руководящие указания, относящиеся к компетентности и оценке аудиторов систем менеджмента и групп по аудиту.
Приложение А поясняет применение содержащихся в разделе 7 руководящих указаний для различных аспектов менеджмента.
Приложение В содержит дополнительное руководство для аудиторов по планированию и проведению аудитов.
1 Область применения
Настоящий стандарт содержит руководящие указания по аудиту систем менеджмента, включая принципы аудита, управление программами аудита и проведение аудитов системы менеджмента, а также указания по оценке компетентности лиц, участвующих в процессе аудита, включая аудиторов, группы по аудиту и лиц, отвечающих за управление программой аудита.
Настоящий стандарт предназначен для всех организаций, которым необходимо проводить внутренние или внешние аудиты систем менеджмента или управлять программой аудита.
Положения настоящего стандарта могут применяться и для других типов аудита при условии, что будет уделено особое внимание вопросам, связанным с требуемым для этих целей уровнем специальной компетентности.
2 Нормативные ссылки
В данном разделе не приведены нормативные ссылки. Он включен для сохранения идентичности нумерации разделов настоящего стандарта с другими стандартами ИСО на системы менеджмента.
3 Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1 аудит (audit): Систематический, независимый и документируемый процесс получения свидетельств аудита (3.3) и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита (3.2).
1 Внутренние аудиты, иногда называемые «аудитами первой стороны», проводятся самой организацией или от ее имени для анализа со стороны руководства или других внутренних целей (например, для подтверждения намеченных показателей результативности системы менеджмента или для получения информации по улучшению системы менеджмента) и могут служить основанием для декларации о соответствии. Во многих случаях, особенно в малых организациях, независимость при аудите может быть продемонстрирована отсутствием ответственности за деятельность, которая подвергается аудиту, или беспристрастностью и отсутствием конфликта интересов.
2 Внешние аудиты включают в себя аудиты, называемые «аудитами второй стороны» и «аудитами третьей стороны». Аудиты второй стороны проводят стороны, заинтересованные в деятельности организации, например, потребители или другие лица от их имени. Аудиты третьей стороны проводят внешние независимые организации, такие как регулирующие или надзорные органы или организации, проводящие регистрацию или сертификацию.
3 Аудит двух или нескольких систем менеджмента для различных аспектов (например, качество, охрана окружающей среды, охрана труда), проводимый одновременно, называют «комплексным аудитом».
4 Если две или несколько проверяющих организаций объединяют свои усилия для проведения аудита одной проверяемой организации (3.7), такой аудит называют совместным.
5 Адаптировано из ИСО 9000:2005, статья 3.9.1.
3.2 критерии аудита (audit criteria): Совокупность политик, процедур или требований, используемых в качестве эталона, в соотношении с которым сопоставляют свидетельства аудита (3.3), полученные при проведении аудита.
1 Адаптировано из ИСО 9000:2005, статья 3.9.3.
2 В случае, если критериями аудита являются правовые требования (включая законодательные или другие обязательные требования), то в выводах (наблюдениях) аудита (3.4) часто используются термины «соответствующий» или «несоответствующий».
3.3 свидетельство аудита (audit evidence): Записи, изложение фактов или другая информация, которые связаны с критериями аудита (3.2) и могут быть проверены.
[ИСО 9000:2005, статья 3.9.4]
3.4 выводы (наблюдения) аудита (audit findings): Результаты оценки собранных свидетельств аудита (3.3) на соответствие критериям аудита (3.2).
1 Выводы аудита указывают на соответствие или несоответствие.
2 Выводы аудита могут вести к идентификации возможностей для улучшения или отражению наилучших практик.
3 Если критерии аудита выбираются, исходя из правовых или других обязательных требований, то наблюдением (выводом) аудита определяется соответствие или несоответствие данным требованиям.
4 Адаптировано из ИСО 9000:2005, статья 3.9.5.
3.5 заключение по результатам аудита (audit conclusion): Выходные данные аудита (3.1) после рассмотрения целей аудита и всех выводов аудита (3.4).
3.6 заказчик аудита (audit client): Организация или лицо, заказавшие аудит.
1 В случае внутреннего аудита, заказчиком аудита может быть проверяемая организация (3.7) или лицо, ответственное за управление программой аудита. Запросы, касающиеся проведения внешнего аудита, могут поступать из таких источников, как контролирующие органы, стороны, с которыми организация имеет контрактные отношения, или потенциальные заказчики.
2 Адаптировано из ИСО 9000:2005, статья 3.9.7.
3.7 проверяемая организация (auditee): Организация, подвергающаяся аудиту.
7 принципов проведения аудитов систем менеджмента согласно ISO 19011
Чем должен руководствоваться аудитор при проверке системы менеджмента организации? Международный стандарт ISO 19011:2018 дает список из 7 принципов. Разбираемся, что подразумевается под каждым принципом и как их применять на практике.
О стандарте ISO 19011
Стандарт ISO 19011 разработан проектным комитетом ISO/PC 302 и не является обязательным для применения. Тем не менее, он упоминается во многих документах, связанных с системами менеджмента, например, в ISO 9001:2015 (см. пункт 9.2 «Внутренний аудит»).
Стандарт ISO 19011 полезен при проведении внутренних и внешних аудитов не только системы менеджмента качества (СМК), но и систем экологического менеджмента, управления охраной труда, управления пищевой безопасностью, энергоменеджмента и т.п.
Кроме того, стандарт ISO 19011 поможет в проведении оценки поставщиков, а также оценки соответствия тех или иных процессов нормативным либо корпоративным требованиям.
ISO 19011:2018 базируется на семи принципах:
Следование этим принципам помогает проводить аудит так, чтобы он достиг поставленных целей.
Наталья Алиева, ведущий аудитор SGS, приводит ниже подробные разъяснения, что именно подразумевается под каждым принципом.
1. Безупречность (Integrity)
Аудит должен проводиться этично, честно, ответственно. Аудитор должен быть непредвзятым и не поддаваться влиянию, если таковое оказывается, на его суждения в ходе проведения аудита.
Принцип «безупречности» подразумевает, что аудитор должен быть компетентен в том, что он делает. Важно понимать то, что ты проверяешь. Если у аудитора недостаточно компетентности в каком-то вопросе, например, не хватает отраслевых знаний, он должен воспользоваться услугами «технического эксперта».
При проведении внутренних аудитов можно воспользоваться экспертизой коллег, разбирающихся в вопросе. Каждому аудитору, работающему в органе по сертификации, присваиваются определенные технические коды по отраслям, что позволяет направлять на аудит специалиста с соответствующими квалификацией и опытом.
2. Правдивое представление (Fair presentation)
Собранные аудитором свидетельства, составленный отчет, сделанные выводы должны правдиво и точно отражать действительность.
Большая ошибка аудитора, когда он начинает по-своему трактовать требования, на основании своего прошлого опыта, и настаивает, что надо сделать так, как он привык, а не так, как удобно организации. Аудитор должен проводить оценку с позиции соответствия стандарту, а не с позиции исключительно своего бэкграунда.
Кроме того, аудитор должен изъясняться во время аудита без лукавства, точно, понятно, исчерпывающе.
3. Надлежащее профессиональное усердие (Due professional care)
Аудитор должен проявлять должное усердие во всех задачах, выполняемых в ходе аудита. Любое суждение аудитора должно быть обоснованным.
В одной российской компании согласно программе внутренних аудитов главный механик должен был проверять службу главного энергетика и наоборот. Первые аудиты они провели и остались обоюдно довольны. Через некоторое время служба главного энергетика попадает в план внешнего надзорного аудита, в панике он прибегает в отдел СМК и просит независимым взглядом проверить, все ли в его службе в порядке. На вопрос «Тебя же проверял главный механик?» последовал честный ответ «Не проверял, мы с ним договорились и просто подписали друг другу отчеты».
Это наглядный пример «ненадлежащего профессионального усердия», когда аудиторы не поняли важность вверенных им задач и обманули доверие тех, кто поручил им это, т.е. руководства компании.
Аудитор должен понимать, для чего нужны результаты аудита, с какой целью он проводит аудит, и стремиться эту цель достичь.
Должна быть проведена серьезная работа для поиска соответствий. Если найдено одно несоответствие, значит ли это, что можно на этом успокоиться? Нет, важно проверить все пункты стандарта/чек-листа. Одно дело, если среди множества несоответствий есть единичные соответствия. Другое дело, если среди множества соответствий есть единичное несоответствие.
4. Конфиденциальность (Confidentiality)
Аудитор должен проявлять осмотрительность, необходимую для надлежащей защиты информации, полученной в ходе аудита. Речь идет о любой информации: как позитивного, так и негативного характера. Важно, чтобы эта информация не послужила способом получения личной выгоды аудитором либо заказчиком аудита, а также способом нанесения ущерба проверяемой организации.
Например, недопустимо, чтобы аудитор, выявив какое-либо несоответствие, советовал обратиться в конкретную фирму, которая поможет с этим справиться. Или разглашал коммерческую тайну конкурентам.
Почему это касается всех, не только аудиторов? Потому что со свидетельствами, отчетами по результатам аудитов соприкасаются не только аудиторы, но и офисные сотрудники, которые осуществляют поддержку операционного процесса. И конечно, помимо осведомленности и ответственного отношения сотрудников, здесь большую роль играет система информационной безопасности, предотвращающая утечку информации с любых носителей.
5. Независимость (Independence)
Именно независимость аудитора от проверяемых процессов позволяет обеспечить объективность и непредвзятость выводов по итогам аудита. Важно исключить конфликт интересов.
При аудитах третьей и второй стороны независимость находится под угрозой, если аудитор хорошо знает проверяемую компанию. Например, потому что часто бывает там на аудитах. Чтобы один и тот же человек не проверял предприятие на постоянной основе, важно ротировать аудиторов. Ведь аудитор – человек, у него могут складываться человеческие, порой товарищеские отношения с сотрудниками проверяемой организации, и это может мешать объективности и непредвзятости.
Та же ситуация, если внешний аудитор раньше работал в проверяемой компании или имел какие-то профессиональные отношения с ее сотрудниками. В SGS перед каждым аудитом аудитор подписывает заявление о том, что в течение последних 2-х лет он не оказывал консультационных услуг данной компании и не планирует оказывать в течение 2-х последующих. Не должно быть никаких коммерческих интересов, связывающих аудитора с проверяемой компанией.
Во время внутренних аудитов в небольших организациях выполнение принципа независимости может быть проблематично, однако важно приложить все усилия, чтобы устранить предвзятость и вовлеченность в проверяемую деятельность.
Пример из практики: на предприятии выделены процесс производства и процесс планирования производства. Оба процесса нужно проверить в ходе внутреннего аудита. Аудитором процесса планирование назначили начальника производства. У него накопилась масса претензий к планировщикам, план часто меняется и т.д. В итоге он предвзято проводит аудит, и дело заканчивается… дракой.
6. Подход, основанный на свидетельствах (Evidence-based approach)
Под свидетельствами аудита понимается тот набор фактов, которые собрал аудитор и которые можно впоследствии проверить с помощью записей. Именно эти свидетельства подтверждают выполнение либо невыполнение проверяемых требований.
Если выполнение требования нельзя подтвердить с помощью свидетельств, то требование считается невыполненным.
Но это отнюдь не означает, что все свидетельства должны быть письменными. Ведь есть три способа собирать свидетельства:
Процедура может отсутствовать на бумаге, она может быть устной. Тогда, чтобы убедиться в ее существовании и в том, что ею действительно руководствуются, аудитору следует опросить нескольких сотрудников и/или провести наблюдение. Желательно, чтобы при беседах с персоналом и при наблюдении присутствовал кто-то еще от проверяемой организации, чтобы процесс был прозрачен для всех сторон.
Аудитор должен максимально точно описать свидетельство, полученное устно (со слов такого-то оператора, на такой-то линии, при выполнении такого-то процесса). То же самое относится к описанию наблюдений (какой именно процесс наблюдали, где, когда) и описанию документов (название, дата публикации, дата внесения изменений). Это нужно для того, чтобы свидетельство можно было перепроверить, тем самым устраняя возможные конфликты.
Поскольку аудит ограничен во времени и в ресурсах, 100%-объем информации собрать во время аудита, как правило, не возможно. Поэтому должна применяться репрезентативная выборка, позволяющая, с одной стороны, не закопаться в мелочах, а с другой, оценить целостность системы, взаимосвязи между процессами, подразделениями.
Наталья Алиева рекомендует применять принцип разумной достаточности. Собранных свидетельств должно быть достаточно для того, чтобы сделать выводы по итогам аудита, например, соответствует ли система менеджмента требованиям стандарта или нет. Т.е. нельзя говорить о несоответствии системы, основываясь на одиночных фактах.
7. Риск-ориентированный подход (Risk-based approach)
Данный принцип появился в стандарте ISO 19011 только в последней версии 2018 года. Таким образом, документ привели в соответствие с теми изменениями, которые произошли в результате выхода в свет Приложения L (до 2019 года известного как Приложение SL), повлиявшего на структуру и содержание всех стандартов на системы менеджмента. В частности, на роль риск-ориентированного мышления в системном менеджменте.
Суть принципа в том, что планирование, проведение и отчетность аудита должны базироваться на результатах оценки рисков и возможностей. При этом аудиты должны быть заточены на области, представляющие значимость для заказчика аудита и ведущие к достижению целей аудита.
Вот лишь некоторые вопросы, которые могут возникнуть при оценке рисков и возможностей, связанных с аудитом:
Принципы для небожителей или аудиторов?
На самом деле, их применение действительно дает результат, т.е. аудит, проводимый согласно этим принципам, приносит ощутимую пользу. В связи с этим вот наши рекомендации:
ПОНРАВИЛАСЬ ЭТА СТАТЬЯ? ИНТЕРЕСУЮТ СТАНДАРТЫ ISO И СИСТЕМЫ МЕНЕДЖМЕНТА? ПОДПИШИТЕСЬ НА НАШУ РАССЫЛКУ И РЕГУЛЯРНО ПОЛУЧАЙТЕ ПОЛЕЗНУЮ ИНФОРМАЦИЮ ОБ ИЗМЕНЕНИЯХ В СТАНДАРТАХ, РАЗЪЯСНЕНИЯ ОТ АУДИТОРОВ SGS И ПРИМЕРЫ ЛУЧШИХ ПРАКТИК.
О КОМПАНИИ SGS
Группа SGS является мировым лидером в области независимой экспертизы, контроля, испытаний и сертификации. Основанная в 1878 году, сегодня SGS признана эталоном качества и деловой этики. В состав SGS входят свыше 2 600 офисов и лабораторий по всему миру, в которых работает 89 000 сотрудников.