Аудит систем менеджмента проводится в месте осуществления деятельности заказчика с целью оценки функционирования и результативности его системы менеджмента.
Аудит на месте включает следующие виды работ:
- вступительное совещание;
- обмен информацией в ходе аудита;
- сбор и проверка информации;
- идентификация и регистрация выводов аудита;
- подготовка заключений аудита;
- заключительное совещание.
Для оценки на месте ОС СМ, помимо посещения места осуществления деятельности заказчика, предполагает в своей работе и другие методы, например, дистанционную оценку по IAF MD 12 и использование ИКТ в целях аудита, как установлено в IAF MD 4.
Дистанционный аудит является способом проведения аудита при отсутствии возможностей провести выездную проверку, проведение дистанционных аудитов является временной мерой, связанной с чрезвычайными событиями.
Документы для дистанционного аудита могут быть предоставлены как в отсканированном варианте, так и в виде фотографий. Аудитор оставляет за собой право попросить заверенные копии или оригиналы, а также внешний осмотр организации.
Проведение вступительного совещания
Проведение аудитов на местах начинается со вступительного совещания.
Продолжительность вступительного совещания отражается в плане аудита и составляет от 15 до 30 минут.
Совещание проводится руководителем группы аудиторов с участием руководства заказчика и, если возможно, руководителей проверяемых подразделений.
В общем случае содержание вступительного совещания включает:
a) представление участников, включая описание их роли в аудите,
b) согласование и подтверждение плана аудита, в том числе, информации о цели, сроках, объеме, языке и стандарте на СМ, требующего подтверждения соответствия в ходе проверки;
b) подтверждение области сертификации;
c) подтверждение любых изменений и других соответствующих договоренностей с заказчиком, таких как дата и время проведения заключительного совещания, а также промежуточных совещаний аудиторской группы с руководством заказчика;
d) подтверждение официальных каналов обмена информацией между аудиторской группой и заказчиком;
e) подтверждение наличия условий для работы группы аудиторов (помещение, транспорт, связь и т.п.), в том числе согласование использования ИКТ для целей аудита согласно IAF MD 4;
f) подтверждение мер, касающихся соблюдения конфиденциальности, в том числе конфиденциальности и безопасности электронной или электронно-передаваемой информации при использовании информационных и коммуникационных технологий в целях аудита согласно IAF MD 4;
g) подтверждение мер безопасности, порядка действия в чрезвычайных ситуациях и процедур обеспечения безопасности, связанных с работой группы по аудиту;
h) подтверждение наличия, ролей и идентификационных данных любых сопровождающих, и наблюдателей;
i) краткое изложение методов и процедур, которые будут использованы при проведении проверки и регистрации несоответствий, порядок предоставления отчетов, включая классификацию выводов аудита;
j) информация об условиях, при которых аудит может быть досрочно прекращен;
k) подтверждение, что руководитель и члены аудиторской группы, представляющие орган по сертификации, несут ответственность за аудит и осуществляют контроль за выполнением плана аудита, включая проверочную деятельность и аудиторские заключения;
I) в случае необходимости подтверждение результатов предыдущего анализа или аудита;
m) методы и процедуры, используемые при проведении аудита на основе выборочного контроля, в том числе использование информационных и коммуникационных технологий согласно IAF MD 4 и дистанционную оценку согласно IAF MD 12;
n) подтверждение языка, используемого при проведении аудита;
о) подтверждение того, что в ходе аудита заказчик будет информироваться о выполненной работе и любых проблемах, требующих решения;
р) ответы на вопросы.
Обмен информацией в ходе аудита
Обмен информацией входе аудита осуществляется как это запланировано в плане аудита – в конце или в середине рабочего дня. Обмен информацией осуществляется с целью информирования заказчика о ходе аудита, решения вопросов, требующих незамедлительного решения, а также перераспределения работ между аудиторами и техническими экспертами.
Если в ходе аудита возникает ситуация, при которой возникает вероятность недостижения целей аудита или риск, связанный с безопасностью для группы аудита, руководитель группы сообщает об этом заказчику и в ОС СМ ЦСТУ для того, чтобы согласовать свои действия, например, в отношении внесения изменений в план аудита, изменение целей аудита или прекращение аудита.
Руководитель группы по аудиту информирует заказчика о планируемых изменениях, и, если будет установлена необходимость внесения таких изменений, эта информация доводится до сведения ОС СМ.
Сбор и проверка информации
Аудит систем менеджмента проводится с целью оценки функционирования и результативности системы менеджмента заказчика.
Планирование маршрута проверки, состава и объемов, закрепление конкретных объектов за каждым аудитором производится руководителем группы. При получении в процессе проверки дополнительной информации о СМ организации, маршрут проведения проверки может корректироваться исходя из принципа приоритетности.
Группа аудиторов в ходе аудита собирает свидетельства аудита относительно целей, области и критериев аудита, основанные на подходящих выборках.
Оценка функционирования и результативности системы менеджмента заказчика основана на проверке:
a) информации и свидетельства соответствия всем требованиям применяемого стандарта на системы менеджмента или других нормативных документов;
b) мониторинга, измерения, регистрации и анализа функционирования по ключевым показателям целей и задач (согласующихся с ожиданиями в применяемом стандарте на системы менеджмента или другом нормативном документе);
c) оценки соответствия системы менеджмента и деятельности заказчика, а законодательным, нормативным и контрактным требованиям;
d) оценки управления заказчиком своими процессами;
е) проведение внутренних аудитов и анализа со стороны руководства;
f) ответственность руководства за политику организации-заказчика.
Если на момент проверки заказчик не может продемонстрировать выполнение каких-либо технологических процессов (например, по причине сезонного спроса) в исключительных случаях (с учетом рисков) возможность их реализации оценивается на основании отчетных документов поэтому ранее реализованному процессу. При этом факт отсутствия деятельности должен быть отмечен в отчете по аудиту.
При производстве сезонных продуктов процесс сертификации СМБПП и аудит на территории заявителя проводятся только в сезон, чтобы охватить все процессы при оценке.
К способам сбора информации, в частности, относятся:
a) интервью;
b) наблюдение за процессами и операциями;
c) анализ документации и записей.
Аудитор ведет записи свидетельств, полученных в ходе аудита. Информация, получаемая в результате опроса, проверяется наблюдением и записями. Все наблюдения и выводы, сделанные в ходе проверки аудиторами, должны основываться только на объективных свидетельствах.
Идентификация и регистрация выводов аудита
Результаты аудита в виде записей, включающих (при наличии) протоколы о несоответствиях, идентифицируются в установленных формах по наименованию организации, виду и дате проведения аудита. В случае выявления несоответствия системы менеджмента требованиям нормативно-правовых актов и нормативных документов в области технического регулирования оформляется протокол о несоответствии.
Зарегистрированные несоответствия классифицируются как значительные и незначительные, что позволяет обосновать решение по результатам аудита.
Классификация несоответствий осуществляется руководителем группы.
На руководителя группы по аудиту возлагается ответственность по устранению разногласий между группой по аудиту и заказчиком в отношении свидетельств или выводов аудита, и, если разногласия не устранены, информация об этом включается в отчет по аудиту.
Подготовка заключений аудита
До начала проведения заключительного совещания руководитель группы по аудиту:
a) проводит анализ результатов аудита, а также всей другой информации, полученной в ходе аудита, на предмет соответствия ее целям и критериям аудита и классифицирует несоответствия;
b) согласовывает результаты аудита, с учетом того, что аудит основан на выборке из всей системы менеджмента организации;
c) определяет последующее необходимое взаимодействие с ОС СМ ЦСТУ в зависимости от результатов аудита;
d) подтверждает приемлемость программы аудитов или выявляет все изменения, которые необходимы для будущих аудитов (например, касающиеся области сертификации, продолжительности аудита и дат его проведения, частоты инспекционного контроля, компетентности команды по аудиту).
На заключительное совещании оглашается следующая информация:
a) доведение до сведения заказчика, что собранные свидетельства аудита основаны на выборочной информации, поэтому гарантия 100%-ного соответствия требованиям невозможна;
b) о способе и сроках предоставления отчета, включая классификацию несоответствий;
c) о процессе рассмотрения несоответствий ОС СМ ЦСТУ, включая любые последствия, связанные со статусом сертификации заказчика;
d) о сроках предоставления заказчиком плана корректирующих действий и устранения любых несоответствий, выявленных в ходе аудита;
e) действиях, осуществляемых ОС СМ ЦСТУ после аудита;
f) о процессе рассмотрения жалоб и апелляций согласно ПСМ-10.
На заключительном совещании:
- рассматриваются и устраняются по мере возможности любые разногласия относительно данных и заключений аудита между аудиторской группой и заказчиком;
- заказчику предоставляется возможность задавать вопросы;
- любые неустраненные разногласия фиксируются и доводятся до сведения ОС СМ.
Заказчику сообщаются в целом результаты аудита о том, что проверенная система менеджмента соответствует/не соответствует требованиям конкретного стандарта на СМ и комиссия рекомендует выдать/отказать/подтвердить/приостановить сертификат соответствия.
Отчет по аудиту также содержит:
а) заключение по аудиту систем менеджмента, заявление относительно соответствия и результативности системы менеджмента с кратким изложением свидетельств, относящихся:
- к способности системы менеджмента отвечать применяемым требованиям и достигать запланированных результатов,
- проведению внутренних аудитов и анализа со стороны руководства;
b) заключение о правомерности области сертификации (подтверждена (или не подтверждена) область, определенная в сертификационном документе);
c) заключение относительно достижения целей аудита.
Для ИСМ отчеты по аудиту должны быть интегрированными для обоих подходов - стандартного и расширенного, если не требуется иное, в зависимости от системы менеджмента, подвергаемой аудиту.
В отчете может быть дополнительно отражена другая информация, имеющая значение для сертификации.
Анализ причин несоответствий
В случае выявления несоответствий систем менеджмента требованиям нормативно-правовых актов и нормативных документов в области технического регулирования оформляется протокол несоответствий, который предоставляется заявителю вместе с отчетом по результатам аудита систем менеджмента. Руководитель группы по аудиту информирует заказчика о порядке действий по несоответствиям в ходе вступительного и заключительного совещаний.
Если несоответствия, выявлены на любой отдельной площадке, либо через внутренний аудит организации, либо путем аудита ОС СМ, проводится расследование, чтобы определить, могут ли быть затронуты другие площадки. Поэтому ОС СМ требует от организации рассмотрения несоответствий, чтобы определить, указывают ли они на общий недостаток системы, применимый к другим площадкам. Если обнаруживается, что это так, корректирующие действия должны выполняться и проверяться как на центральной площадке, так и на отдельных затронутых площадках. Если нет, организация должна продемонстрировать ОС СМ обоснование для ограничения своих последующих корректирующих действий (IAF MD 1).
ОС СМ имеет право увеличить частоту выборки и/или размер выборки до тех пор, пока не будет подтверждено, что контроль над несоответствием восстановлен.
ОС СМ анализируют предложенные заказчиком коррекции, выявленные причины несоответствий и корректирующие действия для определения их приемлемости. В случае признания их приемлемости руководитель группы по аудиту подтверждает это своей подписью в протоколе о несоответствии.
Выполнение корректирующего действия проверяется после того, как заказчик официально заявил об устранении выявленного несоответствия. Проверку выполнения корректирующего действия и оценку его результативности рекомендуется закреплять за тем аудитором, который участвовал в проверке. Проверка выполнения корректирующего действия и оценка его результативности может проводиться на месте или основываться на данных, представленных заказчиком.
Процессы, связанных с принятием решения о сертификации, включающих выдачу, отказ в выдаче, подтверждение, возобновление, приостановление действия или отмену сертификата, а также расширение или сужение области сертификации
По результатам аудита систем менеджмента оформляется отчет.
В отчете может быть дополнительно отражена другая информация, имеющая значение для сертификации
По результатам проведенной сертификации ОССМ принимается решение о выдаче либо отказе в выдаче сертификата соответствия.
В случае принятия решения об отказе в выдаче сертификата соответствия ОССМ в день принятия данного решения направляет заявителю мотивированный отказ.
Решение об отказе в выдаче сертификата соответствия может быть принято как при анализе документации систем менеджмента, так и при аудите систем менеджмента.
Основаниями для отказа в выдаче сертификата соответствия являются:
-неустранение выявленных при анализе документации систем менеджмента или аудите систем менеджмента несоответствий, в сроки, установленные в соответствующих отчетах;
-неосуществление оплаты стоимости работ по сертификации;
-системы менеджмента не отвечают иным требованиям, установленным Положением № 2754.
Комплекты документов касательно проведения сертификации, в том числе заявки на сертификацию, отчеты, планы аудитов систем менеджмента, решения руководителей ОССМ и копии сертификатов соответствия, хранятся в ОССМ в течение 4 лет.
В случае несогласия с результатом сертификации заявитель вправе обратиться в Апелляционный совет Узбекского агентства по техническому регулированию либо непосредственно в суд.
Решение Апелляционного совета Узбекского агентства по техническому регулированию может быть обжаловано в суде в порядке, установленном законодательством.
