Documente Academic
Documente Profesional
Documente Cultură
20
SR EN ISO 19011
© ASRO Reproducerea sau utilizarea integrală sau parțială a prezentului standard în orice
publicații și prin orice procedeu (electronic, mecanic, fotocopiere, microfilmare etc.) este
interzisă dacă nu există acordul scris prealabil al ASRO
Preambul național
Acest standard reprezintă versiunea română a standardului european EN ISO 19011:2018.
Standardul a fost tradus de ASRO, are același statut ca și versiunile oficiale și a fost publicat cu
permisiunea CEN.
Acest standard reprezintă versiunea română a textului în limba engleză a standardului european
EN ISO 19011:2018.
Prezentul standard intră în patrimoniul ASRO/CT 56, Sisteme de management și control statistic.
Textul standardului internațional ISO 19011:2018 a fost aprobat de CEN ca EN ISO 19011:2018
fără nicio modificare.
– extinderea anexei A pentru a furniza îndrumări referitoare la auditarea conceptelor (noi) cum
ar fi contextul organizației, leadership și angajament, audituri virtuale, conformitate și lanț de
aprovizionare.
Versiunea română
Guidelines for auditing Lignes directrices pour l'audit Leitfaden zur Auditierung
management systems des systèmes de von Managementsystemen
(ISO 19011:2018) management (ISO 19011:2018)
(ISO 19011:2018)
Acest standard european există în trei versiuni oficiale (engleză, franceză, germană). O versiune în
oricare altă limbă, realizată prin traducere, sub responsabilitatea unui membru CEN, în limba sa
națională și notificată Centrului de Management CEN-CENELEC, are același statut ca și versiunile
oficiale.
Membrii CEN sunt organisme naționale de standardizare din următoarele țâri: Austria, Belgia, Bulgaria,
Croația, Cipru, Danemarca, Elveția, Estonia, Finlanda, Fosta Republică Iugoslavă a Macedoniei,
Franța, Germania, Grecia, Irlanda, Islanda, Italia, Letonia, Lituania, Luxemburg, Malta, Marea Britanie,
Norvegia, Olanda, Polonia, Portugalia, Republica Cehă, România, Serbia, Slovacia, Slovenia, Spania,
Suedia, Turcia și Ungaria.
Preambul european
Acest document (EN ISO 19011:2018) a fost elaborat de comitetul tehnic ISO/PC 302 „Linii directoare
pentru auditarea sistemelor de management" în colaborare cu CCMC.
Acest standard european trebuie să primească statutul de standard național fie prin publicarea unui
text identic, fie prin ratificare, până cel târziu în ianuarie 2019, iar standardele naționale conflictuale
trebuie anulate până cel târziu în ianuarie 2019.
Se atrage atenția asupra faptului că anumite elemente din prezentul document pot face obiectul unor
drepturi de proprietate intelectuală. CEN nu este responsabil pentru identificarea oricăror astfel de
drepturi de proprietate intelectuală.
Acest document a fost elaborat în cadrul unui mandat acordat CEN de Comisia Europeană și
Asociația Europeană a Liberului Schimb.
Declarație de ratificare
Textul standardului ISO 19011:2018 a fost aprobat de CEN ca EN ISO 19011:2018 fără nicio
modificare.
Asociația de Standardizare din România, GARLEANU FLAVIUS, 09/2/2021
2
SR EN ISO 19011:2018
Cuprins
Pagina
Introducere ...............................................................................................................................................5
1 Domeniu de aplicare....................................................................................................................7
2 Referințe normative .....................................................................................................................7
3 Termeni și definiții........................................................................................................................7
4 Principii de auditare ...................................................................................................................11
5 Coordonarea unui program de audit .........................................................................................12
5.1 Generalități .........................................................................................................................12
5.2 Stabilirea obiectivelor programului de audit .......................................................................15
5.3 Determinarea și evaluarea riscurilor și oportunităților programului de audit .....................15
5.4 Stabilirea programului de audit ..........................................................................................16
5.4.1 Roluri și responsabilități ale persoanei (persoanelor) care coordonează programul
de audit ..............................................................................................................................16
5.4.2 Competența persoanei (persoanelor) care coordonează programul de audit.........17
5.4.3 Stabilirea amplorii programului de audit ..................................................................17
5.4.4 Determinarea resurselor programului de audit ........................................................18
5.5 Implementarea programului de audit .................................................................................18
5.5.1 Generalități ..............................................................................................................18
5.5.2 Definirea obiectivelor, domeniului și criteriilor pentru un audit individual ................19
Asociația de Standardizare din România, GARLEANU FLAVIUS, 09/2/2021
3
SR EN ISO 19011:2018
4
SR EN ISO 19011:2018
Introducere
De la a doua ediție a acestui standard internațional, care a fost publicată în 2011, au mai fost
publicate standarde de sisteme de management, multe dintre ele având o structură comună, cerințe
de bază identice, precum și principalii termeni și definiții comune. Ca atare, există acum nevoia de a
lua în considerare un domeniu mai larg de aplicare a auditării sistemelor de management precum și
de a furniza îndrumări mai generale. Rezultatele auditului pot să furnizeze elemente de intrare pentru
aspectul de analizare a planificării afacerii și pot să contribuie la identificarea necesităților și
activităților de îmbunătățire.
Un audit poate fi realizat pe baza unui set de criterii de audit, abordate separat sau în combinație,
inclusiv dar fără a se limita la:
unul sau mai multe procese de sisteme de management definite de organizație sau de alte părți;
plan (planuri) al (ale) sistemului de management referitor la furnizarea de rezultate specifice unui
sistem de management (de exemplu plan al calității, plan al proiectului).
Prezentul document furnizează îndrumări pentru toate tipurile și mărimile de organizații și audituri, în
diferite domenii de activitate și la scări diferite, inclusiv pentru cele efectuate de echipe mari de audit,
caracteristice organizațiilor mai mari, dar și pentru audituri efectuate de un singur auditor, în
organizații mari sau mici. Aceste îndrumări ar trebui adaptate, după caz, domeniului de activitate,
complexității și amplorii programului de audit.
Asociația de Standardizare din România, GARLEANU FLAVIUS, 09/2/2021
Prezentul document se concentrează pe audituri interne (de primă parte) și pe audituri efectuate de
organizații la furnizorii lor externi și la alte părți interesate externe (de secundă parte). Acest document
poate fi util de asemenea pentru audituri externe efectuate pentru alte scopuri decât certificarea de
terță parte a sistemelor de management. Standardul ISO/IEC 17021-1 furnizează cerințe pentru
auditarea sistemelor de management pentru certificarea de terță parte; prezentul document poate să
furnizeze îndrumări suplimentare utile (a se vedea tabelul 1).
Pentru a simplifica citirea acestui document, este preferată forma la singular „sistem de management”
dar cititorul poate adapta implementarea îndrumărilor la propria sa situație. Această alegere se aplică
și la utilizarea cuvintelor „persoană” în loc de „persoane”, „auditor” în loc de „auditori”.
Prezentul document este destinat a fi aplicat unui spectru larg de potențiali utilizatori, inclusiv auditori,
organizații care își implementează sisteme de management și organizații care au nevoie să efectueze
audituri ale sistemelor de management din motive contractuale sau reglementate. Utilizatorii acestui
document pot, totuși, să aplice aceste îndrumări în elaborarea propriilor cerințe referitoare la audit.
Îndrumările din acest document pot fi utilizate de asemenea în scopul declarației pe propria
răspundere și pot fi utile organizațiilor implicate în instruirea auditorilor sau certificarea persoanelor.
S-a urmărit ca îndrumările din acest document să fie flexibile. Așa cum este indicat în diferite puncte
din text, utilizarea acestor îndrumări poate diferi în funcție de mărimea și nivelul de maturitate al
5
SR EN ISO 19011:2018
Prezentul document adoptă abordarea de audit combinat atunci când sunt auditate împreună două
sau mai multe sisteme de management din domenii de managementN1) diferite. Atunci când aceste
sisteme sunt integrate într-un singur sistem de management, principiile și procesele de auditare sunt
aceleași ca la un audit combinat (uneori acest audit se numește audit integrat).
N1) NOTĂ NAȚIONALĂ – Expresia „domeniu de management” reprezintă traducerea termenului din limba engleză
6
SR EN ISO 19011:2018
1 Domeniu de aplicare
Acest document furnizează îndrumări pentru auditarea sistemelor de management, inclusiv pentru
principiile de auditare, coordonarea unui program de audit și efectuarea auditurilor sistemului de
management, precum și îndrumări pentru evaluarea competenței persoanelor implicate în procesul de
audit. Aceste activități includ persoana (persoanele) care coordonează programul de audit, auditorii și
echipele de audit.
Standardul este aplicabil tuturor organizațiilor care au nevoie să planifice și să efectueze audituri
interne sau externe ale sistemelor de management sau să coordoneze un program de audit.
Aplicarea acestui document altor tipuri de audituri este posibilă, cu condiția să se acorde o atenție
specială competenței specifice necesare.
2 Referințe normative
Nu există referințe normative în prezentul document.
3 Termeni și definiții
Pentru scopurile prezentului document, se aplică termenii și definițiile care urmează.
ISO și IEC mențin actualizate bazele de date terminologice pentru utilizare în standardizare la
următoarele adrese:
3.1
audit
proces sistematic, independent și documentat în scopul obținerii de dovezi obiective (3.8.) și
evaluarea lor cu obiectivitate pentru a determina măsura în care sunt îndeplinite criteriile de audit (3.7)
NOTA 1 la termen - Auditurile interne, uneori denumite audituri de primă parte, sunt efectuate de organizație sau
în numele acesteia.
NOTA 2 la termen - Auditurile externe le includ pe cele denumite în general audituri de secundă și de terță parte.
Auditurile de secundă parte sunt efectuate de părți care au un interes față de organizație, cum ar fi clienții, sau de
către alte persoane în numele acestor părți. Auditurile de terță parte sunt efectuate de organizații de auditare
independente, cum ar fi cele care furnizează certificarea/înregistrarea conformității sau agențiile guvernamentale.
[SURSA: ISO 9000:2015, 3.13.1 modificat – Notele la acest termen au fost modificate]
3.2
audit combinat
audit (3.1) efectuat la un singur auditat (3.13) pentru două sau mai multe sisteme de management
(3.18) împreună
NOTĂ la termen – Atunci când două sau mai multe sisteme de management specifice anumitor domenii de
management sunt integrate într-un singur sistem de management, acesta este cunoscut ca sistem de
management integrat.
3.3
audit comun
audit (3.1) efectuat la un singur auditat (3.13) de două sau mai multe organizații de auditare
7
SR EN ISO 19011:2018
3.4
program de audit
acorduri referitoare la unul sau mai multe audituri (3.1) planificate pe un anumit interval de timp și
orientate spre un scop anume
3.5
domeniul auditului
amploarea și limitele unui audit (3.1)
NOTA 1 la termen - În general, domeniul auditului include o descriere a locațiilor fizice și virtuale, a funcțiilor, a
unităților organizaționale, a activităților și proceselor, precum și a perioadei de timp acoperite.
NOTA 2 la termen – O locație virtuală este acolo unde o organizație execută lucrări sau furnizează un serviciu
utilizând un mediu on-line, care permite unor persoane să execute procese, fără a ține cont de locul în care ei se
găsesc fizic.
[SURSA: ISO 9000:2015, 3.13.5 modificat – Nota 1 la termen a fost modificată și nota 2 la termen a fost
adăugată]
3.6
plan de audit
descriere a activităților și a acordurilor pentru un audit (3.1)
3.7
criterii de audit
ansamblu de cerințe (3.23) utilizate ca referință față de care este comparată dovada obiectivă (3.8)
Asociația de Standardizare din România, GARLEANU FLAVIUS, 09/2/2021
NOTA 1 la termen - Atunci când criteriile de audit sunt cerințe legale (inclusiv reglementate), termenii
„conformare” sau „neconformare” sunt adesea utilizați în constatările de audit (3.10).
NOTA 2 la termen – Cerințele pot include politici, proceduri, instrucțiuni de lucru, cerințe legale, obligații
contractuale, etc.
[SURSA: ISO 9000:2015, 3.13.7, modificat – definiția a fost schimbată și au fost adăugate Notele 1 și 2 ]
3.8
dovezi obiective
date care susțin existența sau veridicitatea unui lucru
NOTA 1 - Dovezile obiective pot fi obținute prin observație, măsurare, încercare sau prin alte mijloace.
NOTA 2 - Dovezile obiective pentru audit (3.1) constau în general din înregistrări, declarații despre fapte sau din
alte informații care sunt relevante pentru criteriile de audit (3.7) și verificabile.
3.9
dovadă de audit
înregistrări, declarații ale faptelor sau alte informații care sunt relevante în raport cu criteriile de audit
(3.7) și sunt verificabile
3.10
constatări ale auditului
rezultatele evaluării dovezilor de audit (3.9) colectate în raport cu criteriile de audit (3.7)
NOTA 1 la termen - Constatările auditului indică conformitatea (3.20) sau neconformitatea (3.21).
NOTA 2 la termen - Constatările auditului pot conduce la identificarea riscurilor, oportunităților pentru îmbunătățire
sau la înregistrarea bunelor practici.
8
SR EN ISO 19011:2018
NOTA 3 la termen – În limba engleză, dacă criteriile de audit sunt selectate dintre cerințele legale sau cerințe
reglementate, constatarea auditului este denumită conformare sau neconformare.
3.11
concluzie a auditului
rezultat al unui audit (3.1) după luarea în considerare a obiectivelor de audit și a tuturor constatărilor
auditului (3.10)
3.12
client al auditului
organizație sau persoană care solicită un audit (3.1)
NOTA 1 la termen - În cazul auditului intern, clientul auditului poate fi, de asemenea, auditatul (3.13) sau
persoana (persoanele) care coordonează programul de audit. Solicitări pentru audit extern pot veni din surse cum
ar fi autorități de reglementare, părți contractante, clienți existenți sau potențiali.
3.13
auditat
organizație care este auditată, în întregime sau doar părți din aceasta
3.14
echipă de audit
una sau mai multe persoane care efectuează un audit (3.1) susținuți dacă este nevoie de experți
tehnici (3.16)
Asociația de Standardizare din România, GARLEANU FLAVIUS, 09/2/2021
NOTA 1 la termen - Un auditor (3.15) din echipa de audit (3.14) este desemnat conducător al echipei de audit.
3.15
auditor
persoană care efectuează un audit (3.1)
3.16
expert tehnic
<audit> persoană care furnizează expertiză sau cunoștințe specifice echipei de audit (3.14)
NOTA 1 la termen - Expertiza sau cunoștințele specifice se referă la organizația, activitatea, procesul, produsul,
serviciul, domeniul de management care se auditează, ori la cultură sau limbă.
NOTA 2 la termen - Un expert tehnic nu acționează ca auditor (3.15) în echipa de audit (3.14).
3.17
observator
persoană care însoțește echipa de audit (3.14) dar nu acționează ca auditor (3.15)
9
SR EN ISO 19011:2018
3.18
sistem de management
ansamblu de elemente corelate sau în interacțiune ale unei organizații prin care se stabilesc politicile
și obiectivele, precum și procesele (3.24) prin care se realizează acele obiective
NOTA 1 la termen - Un sistem de management poate să trateze un singur domeniu de management sau mai
multe domenii de management, de exemplu managementul calității, managementul financiar sau managementul
de mediu.
NOTA 3 la termen - Domeniul de aplicare al unui sistem de management poate include întreaga organizație,
funcțiuni specifice și identificate ale organizației, secțiuni specifice și identificate ale organizației sau una sau mai
multe funcțiuni în cadrul unui grup de organizații.
3.19
risc
efect al incertitudinii
NOTA 2 la termen - Incertitudinea este starea, chiar parțială, de insuficiență de informații (3.8.2) legate de
înțelegerea sau cunoașterea unui eveniment, a consecințelor sau plauzibilității acestuia.
NOTA 3 la termen - Riscul este caracterizat adesea prin referire la evenimente potențiale (așa cum sunt definite
în Ghidul ISO 73:2009, 3.5.1.3) și consecințele lor (așa cum sunt definite în Ghidul ISO 73:2009, 3.6.1.3) sau o
combinație a acestora.
Asociația de Standardizare din România, GARLEANU FLAVIUS, 09/2/2021
NOTA 4 - Riscul este adesea definit ca o combinație a consecințelor unui eveniment (inclusiv schimbarea
circumstanțelor) și plauzibilității asociate de apariție (așa cum sunt definite în Ghidul ISO 73:2009, 3.6.1.1).
3.20
conformitate
îndeplinirea unei cerințe (3.23)
3.21
neconformitate
neîndeplinirea unei cerințe (3.23)
3.22
competență
capacitate de a aplica cunoștințe și abilități pentru a obține rezultate intenționate
3.23
cerință
nevoie sau așteptare care este declarată, în general implicită sau obligatorie
NOTA 1 la termen – „În general implicit” înseamnă că reprezintă o practică internă sau o obișnuință pentru
organizație și pentru părțile interesate ca nevoia sau așteptarea luată în considerare să fie implicită.
NOTA 2 la termen – O cerință specificată este aceea care este declarată, de exemplu, în informații documentate.
10
SR EN ISO 19011:2018
3.24
proces
ansamblu de activități corelate sau în interacțiune care utilizează elemente de intrare pentru a livra un
rezultat intenționat
3.25
performanță
rezultat măsurabil
NOTA 1 la termen - Performanța se poate raporta atât la parametri cantitativi, cât și la parametri calitativi.
NOTA 2 la termen - Performanța se poate raporta la managementul activităților, proceselor (3.24), produselor,
serviciilor, sistemelor sau organizațiilor.
3.26
eficacitate
gradul în care activitățile planificate sunt realizate și rezultatele planificate sunt obținute
4 Principii de auditare
Auditarea se caracterizează prin faptul că se bazează pe un număr de principii. Aceste principii ar
trebui să fie de ajutor astfel încât auditul să fie un instrument eficace și de încredere în susținerea
politicilor și a controalelor exercitate de management prin furnizarea informațiilor pe baza cărora o
Asociația de Standardizare din România, GARLEANU FLAVIUS, 09/2/2021
organizație poate acționa pentru a-și îmbunătăți performanța. Aderarea la aceste principii este o
condiție prealabilă pentru a furniza concluzii ale auditului care să fie relevante și suficiente, precum și
pentru a da posibilitatea auditorilor care lucrează independent unul de altul, să ajungă la concluzii
similare, în circumstanțe similare.
să își efectueze activitatea într-un mod imparțial, adică să rămână cinstiți și neinfluențați în
toate acțiunile lor;
să fie atenți la orice influențe care ar putea fi exercitate asupra judecății lor în timpul realizării
auditului.
11
SR EN ISO 19011:2018
Auditorii ar trebui să fie independenți de activitatea pe care o auditează ori de câte ori este posibil
și ar trebui ca în toate cazurile să acționeze astfel încât să nu fie părtinitori și supuși unor conflicte
de interese. În cazul auditurilor interne, auditorii ar trebui să fie independenți de funcția auditată,
dacă este posibil. Auditorii ar trebui să își mențină obiectivitatea pe întreg parcursul procesului de
audit pentru a se asigura că se bazează numai pe dovezi de audit în stabilirea constatărilor și
concluziilor auditului.
În cazul organizațiilor mici, s-ar putea să nu fie posibil ca auditorii interni să fie total independenți
de activitatea auditată, dar ar trebui făcut orice efort pentru a fi nepărtinitori și a încuraja
obiectivitatea.
f) Abordare bazată pe dovezi: metoda rațională prin care într-un proces sistematic de audit se
ajunge la concluzii de încredere și reproductibile
5.1 Generalități
Ar trebui stabilit un program de audit care poate include audituri care se referă la unul sau mai multe
standarde pentru sisteme de management sau la alte cerințe, efectuate fie separat fie în combinație
(audit combinat).
Amploarea unui program de audit ar trebui să se bazeze pe mărimea și natura auditatului, precum și
pe natura, funcționalitatea, complexitatea, tipurile de riscuri și oportunități și nivelul de maturitate ale
sistemului (sistemelor) de management care va (vor) fi auditat (autidate).
Funcționalitatea sistemului de management poate fi chiar mai complexă atunci când cele mai multe
dintre funcțiunile importante sunt externalizate și gestionate sub leadershipul altor organizații. Ar trebui
să se acorde o atenție specială, în cadrul sistemului de management, acolo unde sunt luate cele mai
importante decizii, precum și componenței managementului de la cel mai înalt nivel.
În cazul locațiilor/amplasamentelor multiple (de exemplu în diferite țări) sau atunci când funcțiuni
importante sunt externalizate și gestionate sub leadershipul unei alte organizații, ar trebui acordată o
atenție deosebită proiectării, planificării și validării programului de audit.
În cazul unor organizații mai mici sau mai puțin complexe, programul de audit ar trebui dimensionat în
mod adecvat.
12
SR EN ISO 19011:2018
Pentru a înțelege contextul auditatului, programul de audit ar trebui să țină cont de următoarele
aspecte ale auditatului:
obiectivele organizaționale;
Planificarea programelor de audit intern și, în unele cazuri, a programelor pentru auditarea furnizorilor
externi poate fi făcută astfel încât să contribuie la realizarea altor obiective ale organizației.
Ar trebui să se acorde prioritate alocării resurselor și metodelor pentru aspectele care, într-un sistem
de management, prezintă un risc inerent mai ridicat și un nivel mai scăzut al performanței.
f) criteriile de audit;
Unele dintre aceste informații pot să nu fie disponibile până când nu este finalizată planificarea mai
detaliată a auditului.
13
SR EN ISO 19011:2018
5.2 Stabilirea
obiectivelor
programului de audit
5.4 Stabilirea
programului de
audit
Articolul 6
Asociația de Standardizare din România, GARLEANU FLAVIUS, 09/2/2021
6.2 Inițierea
auditului
6.7 Efectuarea
6.3 Pregătirea 6.4 Efectuarea urmăririi auditului
activităților de activităților de
audit audit
6.5 Pregătirea
și difuzarea 6.6 Încheierea
raportului de auditului
audit
NOTA 1 - Această figură ilustrează aplicarea ciclului Planifică – Efectuează – Verifică – Acționează, PEVA,
(PDCA)N2) în acest document.
N2) NOTĂ NAŢIONALĂ – Acronimul PDCA provine din iniţialele din limba engleză Plan – Do – Check – Act.
14
SR EN ISO 19011:2018
Clientul auditului ar trebui să se asigure că obiectivele programului de audit sunt stabilite pentru a
orienta planificarea și efectuarea auditurilor și ar trebui să se asigure că programul de audit este
implementat în mod eficace. Obiectivele programului de audit ar trebui să fie consecvente cu direcția
strategică a clientului auditului și să susțină politica și obiectivele sistemului de management.
b) caracteristicile și cerințele pentru procese, produse, servicii și proiecte și orice modificări ale
acestora;
Există riscuri și oportunități referitoare la contextul auditatului, care pot fi asociate cu un program de
audit și care pot să influențeze îndeplinirea obiectivelor auditului. Persoana (persoanele) care
coordonează programul de audit ar trebui să identifice și să prezinte clientului auditului riscurile și
oportunitățile luate în considerare atunci când se dezvoltă programul de audit și cerințele de resurse,
astfel încât acestea să fie tratate în mod adecvat.
15
SR EN ISO 19011:2018
audit
evaluarea auditorilor;
raportarea către clientul auditului și către părțile interesate relevante, după cum este
cazul.
16
SR EN ISO 19011:2018
h) să comunice programul de audit clientului auditului și, după cum este cazul, părților interesate
relevante.
Persoana (persoanele) care coordonează programul de audit ar trebui să ceară aprobarea acestui
program de către clientul auditului.
Persoana (persoanele) care coordonează programul de audit ar trebui să aibă competența necesară
pentru a coordona în mod eficace și eficient programul și riscurile și oportunitățile asociate acestuia,
precum și aspectele interne și externe, având inclusiv cunoștințe despre:
a) principii de audit (a se vedea articolul 4), procese și metode (a se vedea A.1 și A.2) de audit;
c) informații referitoare la auditat și contextul său (de exemplu aspecte externe/interne, părți
interesate relevante și necesitățile și așteptările acestora, activități de afaceri, produse, servicii
și procese ale auditatului);
d) cerințe legale și reglementate aplicabile, precum și alte cerințe relevante pentru activitățile de
afaceri ale auditatului.
După caz, pot fi luate în considerare cunoștințe referitoare la managementul riscului, managementul
proiectelor și proceselor, precum și la tehnologia informației și a comunicațiilor (TIC).
Asociația de Standardizare din România, GARLEANU FLAVIUS, 09/2/2021
NOTĂ - În unele cazuri, în funcție de structura auditatului sau de activitățile acestuia, programul de audit poate
consta numai dintr-un singur audit (de exemplu un proiect mic sau o organizație mică).
Alți factori care au impact asupra amplorii unui program de audit pot fi următorii:
17
SR EN ISO 19011:2018
Atunci când se determină resursele programului de audit, persoana (persoanele) care coordonează
programul de audit ar trebui să ia în considerare:
5.5.1 Generalități
Odată ce programul de audit a fost stabilit (a se vedea 5.4.3) și au fost determinate resursele
corespunzătoare (a se vedea 5.4.4) este necesar să se implementeze planificarea operațională și
coordonarea tuturor activităților în cadrul programului.
18
SR EN ISO 19011:2018
Fiecare audit individual ar trebui să se bazeze pe obiective, domeniu și criterii de audit documentate.
Acestea ar trebui să fie consecvente cu obiectivele generale ale programului de audit.
Obiectivele auditului stabilesc ceea ce urmează a fi realizat la auditul individual și pot include
Asociația de Standardizare din România, GARLEANU FLAVIUS, 09/2/2021
următoarele:
Domeniul auditului ar trebui să fie consecvent cu programul de audit și obiectivele auditului. Domeniul
include factori cum sunt locațiile, funcțiile, activitățile și procesele care urmează să fie auditate,
precum și intervalul de timp alocat pentru audit.
Criteriile de audit sunt utilizate ca referință față de care este determinată conformitatea. Acestea pot
include una sau mai multe dintre următoarele: politici, procese, proceduri, criterii de performanță
aplicabile inclusiv obiective, cerințe legale și reglementate, cerințe ale sistemului de management,
informații referitoare la context și la riscurile și oportunitățile așa cum au fost determinate de auditat
(inclusiv cerințele părților interesate interne/externe relevante), coduri de conduită sectoriale sau alte
aranjamente planificate.
În cazul oricăror modificări ale obiectivelor, domeniului sau criteriilor auditului, programul de audit ar
trebui modificat dacă este necesar și comunicat părților interesate, pentru aprobare dacă este cazul.
19
SR EN ISO 19011:2018
Atunci când se auditează în același timp mai mult de un domeniu de management, este important ca
obiectivele, scopul și criteriile auditului să fie consecvente cu programele de audit relevante pentru
fiecare domeniu de management. Unele domenii de management pot avea un domeniu care se referă
la întreaga organizație iar altele pot avea un domeniu care se referă numai la o parte a unei
organizații.
Auditurile pot fi efectuate la fața locului, la distanță sau ca o combinație a acestora. Utilizarea acestor
metode ar trebui să fie echilibrată adecvat, fiind bazată, printre altele, pe luarea în considerare a
riscurilor și oportunităților asociate.
Atunci când două sau mai multe organizații efectuează un audit comun la același auditat, persoanele
care coordonează programele de audit diferite ar trebui să convină asupra metodelor de audit și să ia
în considerare implicațiile acestora în alocarea resurselor și planificarea auditului. Dacă un auditat
utilizează două sau mai multe sisteme de management cu domenii de management diferite, auditurile
combinate pot fi incluse în programul de audit.
Persoana (persoanele) care coordonează programul de audit ar trebui să numească membrii echipei
de audit, inclusiv conducătorul echipei de audit și orice experți tehnici necesari pentru un anume audit.
O echipă de audit ar trebui selecționată ținând cont de competența necesară pentru a realiza
obiectivele unui audit individual în cadrul domeniului definit. Dacă există un singur auditor, auditorul ar
trebui să efectueze toate sarcinile aplicabile unui conducător al echipei de audit.
Asociația de Standardizare din România, GARLEANU FLAVIUS, 09/2/2021
NOTĂ - Articolul 7 conține îndrumări pentru determinarea competenței cerute pentru membrii echipei de audit și
descrie procesele pentru evaluarea auditorilor.
Pentru a se asigura competența globală a echipei de audit, ar trebui parcurse următoarele etape:
selecționarea membrilor echipei de audit astfel încât la nivelul echipei de audit să existe
competența necesară.
La stabilirea mărimii și componenței echipei de audit pentru un audit specific, ar trebui luate în
considerare următoarele:
20
SR EN ISO 19011:2018
Atunci când este cazul, persoana (persoanele) care coordonează programul de audit ar trebui să îl
consulte pe conducătorul echipei de audit despre componența echipei de audit.
Dacă nu este acoperită competența necesară de către auditorii echipei de audit, ar trebui să fie
disponibili experți tehnici cu competențe suplimentare, pentru sprijinirea echipei de audit.
Auditorii în formare pot fi incluși în echipa de audit, dar ar trebui să participe sub conducerea și
îndrumarea unui auditor.
Pe parcursul auditului pot fi necesare modificări ale componenței echipei de audit, de exemplu atunci
când apar conflicte de interese sau aspecte referitoare la competență. Dacă astfel de situații apar, ele
ar trebui soluționate împreună cu părțile adecvate [de exemplu conducătorul echipei de audit,
persoana (persoanele) care coordonează programul de audit, clientul auditului sau auditatul] înainte
să fie făcute orice modificări.
5.5.5 Alocarea responsabilității pentru un audit individual către conducătorul echipei de audit
Alocarea ar trebui realizată cu suficient timp înainte de data planificată a auditului, pentru a se asigura
planificarea eficace a auditului.
a) obiectivele auditului;
f) detaliile de contact ale auditatului, locațiile, intervalul de timp și durata activităților de audit
care vor fi efectuate;
limba de comunicare și de raportare a auditului, atunci când aceasta este diferită de limba
auditorului sau a auditatului sau a ambilor;
raportarea rezultatelor auditului așa cum este cerut și către cine urmează să fie distribuite;
21
SR EN ISO 19011:2018
coordonarea cu alte activități de audit, de exemplu atunci când echipe diferite auditează
procese similare sau conexe la diferite locații sau în cazul unui audit comun.
Atunci când este efectuat un audit comun, este important să se ajungă la un acord între organizațiile
care efectuează auditul, înainte ca auditul să înceapă, referitor la responsabilitățile fiecărei părți, în
special referitor la autoritatea conducătorului echipei de audit numit pentru audit.
Persoana (persoanele) care coordonează programul de audit ar trebui să se asigure că sunt realizate
următoarele activități:
a) evaluarea realizării obiectivelor pentru fiecare audit din cadrul programului de audit;
Persoana care coordonează programul de audit ar trebui să ia în considerare, atunci când este cazul:
comunicarea rezultatelor auditului și a celor mai bune practici către alte zone ale organizației,
și
Asociația de Standardizare din România, GARLEANU FLAVIUS, 09/2/2021
rapoarte de neconformitate;
22
SR EN ISO 19011:2018
d) feedback-ului de la clienții auditului, auditați, auditori, experți tehnici și alte părți relevante;
Unii factori pot indica necesitatea de a modifica programul de audit. Aceștia pot include modificări ale:
constatărilor auditului;
furnizorilor externi;
23
SR EN ISO 19011:2018
g) eficacitatea acțiunilor care tratează riscuri și oportunități, precum și aspecte interne și externe
asociate cu programul de audit;
6.1 Generalități
Acest articol conține îndrumări referitoare la pregătirea și efectuarea unui audit specific ca parte a unui
program de audit. Figura 2 furnizează o privire de ansamblu a activităților desfășurate într-un audit
tipic. Măsura în care sunt aplicabile prevederile prezentului articol, depinde de obiectivele și domeniul
auditului specific.
6.2.1 Generalități
Pentru a iniția un audit ar trebui luate în considerare etapele din figura 1; cu toate acestea,
succesiunea acestora poate diferi în funcție de auditat, de procesele și de circumstanțele specifice
auditului.
Conducătorul echipei de audit ar trebui să se asigure că este stabilit contactul cu auditatul, pentru
24
SR EN ISO 19011:2018
i) a conveni cu privire la participarea observatorilor și necesitatea unor ghizi sau interpreți pentru
echipa de audit;
j) a determina orice zone de interes, preocupare sau riscuri pentru auditat în legătură cu un audit
specific;
Atunci când auditul nu este fezabil, ar trebui propusă o alternativă pentru clientul auditului, cu acordul
auditatului.
Informațiile documentate ar trebui să includă, dar fără a se limita la acestea: documente și înregistrări
ale sistemului de management, precum și rapoartele de audit anterioare. Analizarea ar trebui să ia în
considerare contextul organizației auditatului, inclusiv dimensiunea, natura și complexitatea acesteia,
precum și riscurile și oportunitățile asociate. Ar trebui, de asemenea, să țină cont de domeniul,
criteriile și obiectivele auditului.
Conducătorul echipei de audit ar trebui să adopte o abordare bazată pe risc pentru planificarea
auditului, pornind de la informațiile din programul de audit și informațiile documentate furnizate de
auditat.
25
SR EN ISO 19011:2018
Gradul de detaliere în planul de audit ar trebui să reflecte domeniul și complexitatea auditului, precum
și riscul de a nu realiza obiectivele auditului. La planificarea auditului, conducătorul echipei de audit ar
trebui să ia în considerare următoarele:
Riscurile pentru auditat pot rezulta din prezența membrilor echipei de audit care influențează în mod
negativ aranjamentele auditatului referitoare la sănătate și securitate, mediu și calitate, precum și
produsele, serviciile, personalul sau infrastructura (de exemplu, contaminarea facilităților de tip
camere curate).
Pentru audituri combinate, o atenție deosebită ar trebui acordată interacțiunilor dintre procesele
operaționale și orice alte obiective și priorități concurente ale diferitelor sisteme de management.
Amploarea și conținutul planificării auditului pot diferi, de exemplu, între auditurile inițiale și cele
ulterioare, precum și între audituri interne și externe. Planificarea auditului ar trebui să fie suficient de
flexibilă pentru a permite modificări care pot deveni necesare pe măsură ce activitățile de audit
progresează.
a) obiectivele auditului;
Asociația de Standardizare din România, GARLEANU FLAVIUS, 09/2/2021
d) locațiile (fizice și virtuale), datele, timpul estimat și durata activităților de audit care urmează să
se desfășoare, inclusiv întâlniri cu managementul auditatului;
f) metodele de audit care urmează să fie utilizate, inclusiv măsura în care pentru audit este
necesară eșantionarea, pentru a obține suficiente dovezi de audit;
Planificarea auditului ar trebui să țină seama de, după cum este cazul:
limba în care se efectuează auditul și se fac rapoartele de audit în cazul în care aceasta este
diferită de limba auditorului, auditatului sau a ambilor;
26
SR EN ISO 19011:2018
orice acțiuni specifice care vor fi întreprinse pentru tratarea riscurilor care apar în realizarea
obiectivelor și în valorificarea oportunităților de audit;
orice acțiuni de urmărire de la un audit anterior sau alte surse, de exemplu, lecții învățate,
analize de proiect;
Planurile de audit ar trebui să fie prezentate auditatului. Orice aspecte în legătură cu planurile de audit
ar trebui rezolvate între conducătorul echipei de audit, auditat și, dacă este necesar, persoana
(persoanele) care coordonează programul de audit.
Conducătorul echipei de audit, consultându-se cu echipa de audit, ar trebui să aloce fiecărui membru
al echipei responsabilitate pentru auditarea proceselor, activităților, funcțiilor sau locațiilor specifice și,
dacă este cazul, autoritate pentru luarea deciziei. Astfel de alocări ar trebui să țină seama de
imparțialitatea, obiectivitatea și competența auditorilor și de utilizarea eficace a resurselor, precum și
de diferitele roluri și responsabilități ale auditorilor, auditorilor în formare și experților tehnici.
Ar trebui să aibă loc reuniuni ale echipei de audit, după cum este cazul, organizate de conducătorul
echipei de audit, pentru a se aloca sarcini de lucru și a se decide posibile modificări. Pentru a se
asigura realizarea obiectivelor auditului, pot fi făcute modificări ale sarcinilor de lucru, pe măsură ce
auditul progresează.
Membrii echipei de audit ar trebui să colecteze și să analizeze informațiile relevante pentru sarcinile
lor de audit și să pregătească informațiile documentate pentru audit, utilizând orice mijloace de
informare adecvate.
NOTĂ - Îndrumări referitoare la pregătirea documentelor de lucru pentru audit sunt precizate în A.13.
Informațiile documentate pregătite pentru audit și cele rezultate din audit, ar trebui păstrate cel puțin
până la finalizarea auditului sau așa cum este specificat în programul de audit. Păstrarea informațiilor
documentate după finalizarea auditului este descrisă la 6.6. Informațiile documentate create în timpul
procesului de audit care implică informații confidențiale sau aflate în proprietatea auditatului, ar trebui
protejate corespunzător, în orice moment, de către membrii echipei de audit.
6.4.1 Generalități
Activitățile de audit se efectuează în mod normal într-o succesiune definită așa cum este indicată în
figura 1. Această succesiune poate varia pentru a se potrivi circumstanțelor auditurilor specifice.
27
SR EN ISO 19011:2018
Ghizii și observatorii pot însoți echipa de audit cu aprobări de la conducătorul echipei audit, clientul
auditului și/sau auditatului, dacă este necesar. Ei nu ar trebui să influențeze sau să interfereze cu
desfășurarea auditului. Dacă acest lucru nu poate fi asigurat, conducătorul echipei de audit ar trebui
să aibă dreptul să refuze prezența observatorilor în timpul anumitor activități de audit.
Pentru observatori, orice aranjamente referitoare la acces, sănătate și securitate, mediu, siguranță și
confidențialitate, ar trebui convenite între clientul auditului și auditat.
Ghizii, numiți de auditat, ar trebui să ajute echipa de audit și să acționeze la cererea conducătorului
echipei de audit sau a auditorului căruia le-au fost desemnați. Responsabilitățile lor ar trebui să
includă următoarele:
e) furnizarea de clarificări sau asistarea în colectarea informațiilor, atunci când este necesar.
a) confirmarea acordului tuturor părților (de exemplu auditați, echipa de audit) pentru planul de
audit;
O ședință de deschidere ar trebui ținută cu managementul auditatului și, atunci când este cazul, cu cei
responsabili pentru funcțiile sau procesele care urmează a fi auditate. Pe durata ședinței ar trebui
asigurată oportunitatea de a pune întrebări.
Gradul de detaliere ar trebui să fie în concordanță cu măsura în care auditatul este familiarizat cu
procesul de audit. În multe cazuri, de exemplu auditurile interne într-o organizație mică, ședința de
deschidere poate consta pur și simplu în comunicarea că se efectuează auditul și explicarea naturii
acestuia.
Pentru alte situații de audit, ședința ar putea fi formală și ar trebui păstrate înregistrări ale participării.
Ședința ar trebui prezidată de conducătorul echipei de audit.
Ar trebui luată în considerare, după cum este cazul, introducerea următoarelor aspecte:
metodele de audit pentru gestionarea riscurilor organizației care ar putea rezulta din prezența
membrilor echipei de audit.
Ar trebui luată în considerare, după cum este cazul, confirmarea următoarelor aspecte:
28
SR EN ISO 19011:2018
planul de audit și a alte acorduri relevante cu auditatul, cum ar fi data și ora ședinței de
închidere, orice ședințe intermediare între echipa de audit și managementul auditatului,
precum și orice schimbare (schimbări) necesară (necesare);
activități la fața locului care pot avea impact asupra desfășurării auditului.
Ar trebui luată în considerare, după cum este cazul, prezentarea următoarelor aspecte:
Echipa de audit ar trebui să se consulte periodic pentru a face schimb de informații, a evalua
progresul auditului și a realoca activitățile între membrii echipei de audit, după cum este necesar.
Pe parcursul auditului, conducătorul echipei de audit ar trebui să comunice periodic progresul, orice
constatări semnificative, precum și orice preocupări, auditatului și clientului auditului, după cum este
cazul. Dovezile colectate în timpul auditului, care sugerează un risc imediat și semnificativ, ar trebui
raportate fără întârziere auditatului și, după caz, clientului auditului. Orice preocupare referitoare la un
aspect în afara domeniului auditului ar trebui notată și raportată conducătorului echipei de audit, în
scopul unei posibile comunicări către clientului auditului și către auditat.
Atunci când dovezile de audit disponibile indică faptul că obiectivele auditului sunt de nerealizat,
conducătorul echipei de audit ar trebui să raporteze clientului auditului și auditatului motivele, pentru a
determina acțiunile corespunzătoare. Astfel de acțiuni pot include modificarea planului de audit, a
obiectivelor auditului, a domeniului auditului sau încetarea auditului.
Orice nevoie de modificări ale planului de audit, care poate deveni evidentă pe măsură ce activitățile
de audit avansează, ar trebui analizată și acceptată, după cum este cazul, atât de persoana care
coordonează programul de audit cât și de clientul auditului, și ar trebui prezentată auditatului.
Metodele de audit alese pentru un audit depind de obiectivele, domeniul și criteriile auditului, definite,
precum și de durată și locație. Locația este acolo unde sunt disponibile echipei de audit informațiile
necesare pentru activitatea specifică de audit. Aceasta poate include locații fizice și virtuale.
29
SR EN ISO 19011:2018
Unde, când și cum se accesează informațiile referitoare la audit este decisiv pentru audit. Acest lucru
este independent de locul în care sunt create, utilizate și/sau stocate informațiile. Este necesar ca
metodele de audit să fie stabilite pe baza acestor aspecte (a se vedea tabelul A.1). Auditul poate
utiliza un amestec de metode. De asemenea, circumstanțele de audit pot conduce la necesitatea de a
schimba metodele în timpul auditului.
Analiza poate fi combinată cu alte activități de audit și poate continua pe parcursul auditului, cu
condiția ca acest lucru să nu fie în detrimentul eficacității efectuării auditului.
Dacă informațiile documentate adecvate nu pot fi furnizate în limitele intervalului de timp stabilit în
planul de audit, conducătorul echipei de audit ar trebui să informeze atât persoana care coordonează
programul de audit cât și auditatul. În funcție de obiectivele și domeniul auditului, ar trebui luată o
decizie dacă auditul ar trebui continuat sau ar trebui suspendat până când sunt soluționate
preocupările referitoare la informațiile documentate.
Pe parcursul auditului, informațiile relevante pentru obiectivele, domeniul și criteriile auditului, inclusiv
informațiile referitoare la interfețele dintre funcții, activități și procese, ar trebui colectate prin
intermediul unei eșantionări corespunzătoare și ar trebui verificate, în măsura în care este practicabil.
Asociația de Standardizare din România, GARLEANU FLAVIUS, 09/2/2021
Numai informațiile care sunt verificabile într-o anumită măsură ar trebui acceptate ca dovezi de audit.
Atunci când gradul de verificare este scăzut, auditorul ar trebui să folosească raționamentul
profesional pentru a determina gradul de încredere pe care-l poate avea acea informație ca dovadă de
audit. Dovezile de audit care conduc la constatări de audit ar trebui înregistrate. Dacă, pe durata
colectării dovezilor obiective, echipa de audit conștientizează orice circumstanțe, riscuri sau
oportunități noi sau modificate, acestea ar trebui tratate corespunzător de către echipă.
Figura 2 oferă o imagine de ansamblu a unui proces tipic, de la colectarea de informații până la
concluziile auditului.
30
SR EN ISO 19011:2018
Sursă de informaţii
Dovadă de audit
Analizare
observări;
NOTA 3 - Îndrumări referitoare la selectarea surselor de informații și observații sunt precizate în A.14.
Dovezile de audit ar trebui evaluate față de criteriile de audit pentru a determina constatările auditului.
Constatările auditului pot indica conformitatea sau neconformitatea cu criteriile de audit. Atunci când
este specificat în planul de audit, constatările fiecărui audit ar trebui să includă conformitatea și bunele
practici împreună cu dovezile care le susțin, oportunitățile de îmbunătățire și orice recomandări către
auditat.
NOTA 1 - Îndrumări suplimentare referitoare la identificarea și evaluarea constatărilor auditului sunt precizate în
A.18.
NOTA 2 - Conformitatea sau nonconformitatea cu criteriile de audit referitoare la cerințele legale sau de
reglementare sau alte cerințe, este uneori menționată ca fiind conformare sau neconformare.
31
SR EN ISO 19011:2018
Membri echipei de audit ar trebui să se consulte înainte de ședința de închidere, în scopul de:
d) constatări similare făcute în diferite zone care au fost auditate sau dintr-un audit comun sau
anterior, în scopul identificării tendințelor.
Asociația de Standardizare din România, GARLEANU FLAVIUS, 09/2/2021
Dacă așa este specificat în planul de audit, concluziile auditului pot duce la recomandări pentru
îmbunătățire sau la activități de auditare viitoare.
O ședință de închidere ar trebui să fie realizată pentru a prezenta constatările și concluziile auditului.
a clientului auditului;
Dacă este aplicabil, conducătorul echipei de audit ar trebui să înștiințeze auditatul despre acele
situațiile identificate pe parcursul auditului, care ar putea scădea încrederea acordată concluziilor
auditului. Dacă este definit astfel în sistemul de management sau s-a convenit astfel cu clientul
auditului, participanții ar trebui să convină un interval de timp pentru un plan de acțiune care să trateze
constatările auditului.
Pentru unele situații de audit, ședința poate fi oficială și ar trebui păstrată o minută a acesteia, inclusiv
înregistrarea participanților. În alte situații, de exemplu auditul intern, ședința de închidere poate fi mai
puțin oficială și poate consta numai în comunicarea constatărilor și concluziilor auditului.
32
SR EN ISO 19011:2018
După cum este cazul, la ședința de închidere ar trebui explicate auditatului următoarele:
a) înștiințarea că dovezile de audit colectate s-au bazat pe eșantioane din informațiile disponibile
și nu sunt în mod necesar pe deplin reprezentative pentru eficacitatea globală a proceselor
auditatului;
b) metoda de raportare;
c) modul în care ar trebui tratate constatările auditului pe baza unui proces convenit;
e) prezentarea constatărilor și concluziilor auditului într-o asemenea manieră încât să fie înțelese
și acceptate de managementul auditatului;
Orice opinii divergente referitoare la constatările sau concluziile auditului ar trebui discutate între
echipa de audit și auditat și, dacă este posibil, soluționate. Dacă nu sunt soluționate, acestea ar trebui
înregistrate.
Dacă este specificat în obiectivele auditului, ar putea fi prezentate recomandări pentru oportunități de
îmbunătățire. Ar trebui subliniat că recomandările nu sunt obligatorii.
a) obiectivele auditului;
f) criteriile de audit;
h) concluziile auditului;
k) auditurile prin natura lor sunt un exercițiu de eșantionareN3); ca atare, există riscul ca dovezile
de audit examinate să nu fie reprezentative.
Raportul de audit poate include, de asemenea, sau poate să se refere la următoarele, după cum este
cazul:
33
SR EN ISO 19011:2018
un rezumat al procesului de audit, inclusiv orice obstacole întâlnite care ar putea scădea
încrederea în concluziile auditului;
orice zonă din domeniului auditului care nu a fost acoperită, inclusiv orice aspecte referitoare
la disponibilitatea dovezilor de audit, a resurselor sau la confidențialitate cu justificările
conexe;
un rezumat care cuprinde concluziile auditului și principalele constatări de audit care le susțin;
Raportul de audit ar trebui emis în perioada de timp convenită. Dacă se întârzie, motivele ar trebui
comunicate auditatului și persoanei/persoanelor care coordonează programul de audit.
Raportul de audit ar trebui datat, analizat și acceptat, după cum este cazul, în conformitate cu
programul de audit.
Raportul de audit ar trebui difuzat părților interesate relevante definite în programul de audit sau în
planul de audit.
Asociația de Standardizare din România, GARLEANU FLAVIUS, 09/2/2021
Atunci când se difuzează raportul de audit, ar trebui luate în considerare măsuri adecvate pentru a se
asigura confidențialitatea.
Auditul este încheiat atunci când toate activitățile de audit planificate au fost realizate sau dacă s-a
convenit altfel cu clientul auditului (de exemplu ar putea exista o situație neașteptată care împiedică
încheierea auditul conform planului).
Informațiile documentate referitoare la audit ar trebui păstrate sau distruse printr-un acord între părțile
participante și în conformitate cu cerințele programului de audit și cu cele aplicabile.
Cu excepția cazului în care este cerut prin lege, echipa de audit și persoana/persoanele care
coordonează programul de audit ar trebui să nu divulge nicio informație obținută pe parcursul auditului
și nici raportul de audit, către oricare altă parte, fără aprobarea explicită a clientului auditului și, atunci
când este cazul, aprobarea auditatului. Dacă este solicitată divulgarea conținutului unui document
referitor la audit, clientul auditului și auditatul ar trebui informați cât mai repede posibil.
Lecțiile învățate din audit pot identifica riscuri și oportunități pentru programul de audit și auditat.
Rezultatele auditului pot indica, în funcție de obiectivele auditului, necesitatea de corecții sau acțiuni
corective, sau oportunități de îmbunătățire. Astfel de acțiuni sunt de obicei decise și întreprinse de
către auditat într-un interval de timp convenit. După cum este cazul, auditatul ar trebui să informeze
persoana/persoanele care coordonează programul de audit și/sau echipa de audit despre stadiul
acestor acțiuni.
Finalizarea și eficacitatea acestor acțiuni ar trebui verificate. Această verificare ar putea face parte
dintr-un audit ulterior. Rezultatele ar trebui raportate persoanei care coordonează programul de audit
și clientului auditului pentru analiza efectuată de management.
34
SR EN ISO 19011:2018
7.1 Generalități
Încrederea în procesul de audit și capacitatea de a-și realiza obiectivele depind de competența acelor
persoane care sunt implicate în planificarea și efectuarea auditurilor, inclusiv auditori și conducătorul
echipei de audit.
d) efectuarea evaluării.
Auditorii ar trebui să își dezvolte, să își mențină și să își îmbunătățească competența prin dezvoltarea
profesională continuă și prin participarea periodică la audituri (a se vedea 7.6).
Un proces pentru evaluarea auditorilor și a conducătorilor echipei de audit este descris la 7.3, 7.4 și
7.5.
Auditorii și conducătorii echipei de audit ar trebui evaluați atât față de criteriile stabilite la 7.2.2 și 7.2.3
cât și față de criteriile stabilite la 7.1.
Competența cerută pentru persoana/persoanele care coordonează programul de audit este descrisă
la 5.4.2.
7.2.1 Generalități
Pentru a decide competența necesară pentru un audit, ar trebui luate în considerare cunoștințele și
abilitățile auditorului, în legătură cu următoarele:
b) metodele de auditare;
35
SR EN ISO 19011:2018
h) alte cerințe, cum ar fi cele impuse de clientul auditului sau alte părți interesate relevante,
atunci când este cazul.
b) deschis la minte, adică dornic să ia în considerare idei sau puncte de vedere alternative;
d) bun observator, adică să urmărească în mod activ mediul fizic înconjurător și activitățile;
h) capabil să ia decizii, adică să poată să ajungă în timp util la concluzii bazate pe raționamente
și analize logice;
j) să acționeze cu curaj, adică să fie capabil să acționeze responsabil și etic chiar dacă aceste
acțiuni pot să nu fie întotdeauna populare și pot uneori să conducă la dezacorduri sau
confruntări;
7.2.3.1 Generalități
a) cunoștințe și abilități necesare pentru a obține rezultatele intenționate ale auditurilor pe care
este de așteptat să le efectueze;
Conducătorii echipelor de audit ar trebui să aibă în plus cunoștințele și abilitățile necesare pentru a
asigura leadershipul echipei de audit.
36
SR EN ISO 19011:2018
a) Principii, proceduri și metode de audit: cunoștințele și abilitățile de acest tip permit auditorului
să se asigure că auditurile sunt desfășurate într-o manieră consecventă și sistematică.
să comunice eficace, oral și în scris (fie direct, fie prin intermediul interpreților);
sa auditeze un proces de la început până la sfârșit, inclusiv relațiile cu alte procese și funcții
diferite, dacă este cazul;
să evalueze acei factori care pot afecta credibilitatea constatărilor și concluziilor auditului;
c) Organizația și contextul ei: cunoștințele și abilitățile de acest tip permit auditorilor să înțeleagă
structura, scopul și practicile de management ale auditatului și ar trebui să cuprindă următoarele:
37
SR EN ISO 19011:2018
d) Cerințe legale și reglementate aplicabile și alte cerințe: cunoștințele și abilitățile de acest tip
permit auditorului să fie conștient de cerințele organizației și să lucreze cu acestea. Cunoștințele
și abilitățile specifice jurisdicției sau care se aplică activităților, proceselor, produselor și serviciilor
auditatului ar trebui să cuprindă:
NOTĂ - Conștientizarea cerințelor legale și reglementate nu implică expertiză juridică și un audit de sistem
de management nu ar trebui tratat ca un audit de conformare legală.
b) discutarea aspectelor strategice cu managementul de la cel mai înalt nivel al auditatului pentru
a stabili dacă au fost luate în considerare aceste aspecte atunci când au fost evaluate riscurile
și oportunitățile;
c) dezvoltarea și menținerea unei relații de lucru prin colaborare între membrii echipei de audit;
38
SR EN ISO 19011:2018
În cazul în care se auditează sisteme de management care tratează mai multe domenii de
management, membrii echipei de audit ar trebui să înțeleagă interacțiunile și sinergia dintre diferitele
sisteme de management.
b) experiența în poziții tehnice, manageriale sau profesionale relevante, care implică exersarea
raționamentului logic, luarea deciziilor, rezolvarea problemelor și comunicarea cu managerii,
experții, omologiN4), clienții și alte părți interesate relevante;
c) educație/instruire și experiență într-un anumit domeniu de management al sistemului de
management și într-un anumit sector de activitate, care contribuie la dezvoltarea competenței
globale;
d) experiența de audit obținută sub supravegherea unui auditor competent în același domeniu de
management.
NOTĂ - Parcurgerea cu succes a unui curs de instruire va depinde de tipul de curs. Pentru cursurile care includ
examinare, poate însemna trecerea cu succes a examenului. Pentru alte cursuri, aceasta poate însemna
participarea la curs și finalizarea cursului.
N4) NOTĂ NAȚIONALĂ – Termenul „omologi” reprezintă traducerea termenului din limba engleză „peers” și din
limba franceză „des pairs”.
39
SR EN ISO 19011:2018
Atunci când un auditor aflat în evaluare care urmează să participe într-un program de audit nu
îndeplinește criteriile, ar trebui efectuate activități suplimentare de instruire, de dobândire a experienței
de lucru sau de audit, și ar trebui efectuată o reevaluare ulterioară.
40
SR EN ISO 19011:2018
41
SR EN ISO 19011:2018
Anexa A
(informativă)
Efectuarea unui audit implică o interacțiune între persoanele din cadrul sistemului de management
auditat și tehnologia utilizată pentru a se efectua auditul. Tabelul A.1 furnizează exemple de metode
de auditare care pot fi utilizate, singure sau în combinație, pentru a se îndeplini obiectivele auditului.
Dacă un audit implică utilizarea unei echipe de audit cu mai mulți membri, pot fi utilizate simultan
metode de auditare la fața locului și metode de auditare la distanță.
NOTĂ - Informații suplimentare referitoare la vizitarea locațiilor sunt precizate în articolul A.15.
Activitățile de audit la fața locului sunt efectuate la locația auditatului. Activitățile de audit la distanță sunt
efectuate în orice alt loc decât locația auditatului, indiferent de distanță.
Activitățile de audit interactive implică o interacțiune între personalul auditatului și echipa de audit. Activitățile de
audit neinteractive nu implică interacțiuni umane cu persoanele care reprezintă auditatul, dar implică
interacțiunea cu echipamentele, facilitățile și documentația.
Responsabilitatea pentru aplicarea eficace a metodelor de auditare pentru orice audit în stadiul de
planificare, revine persoanei care coordonează programul de audit sau conducătorului echipei de
audit. Conducătorul echipei de audit are această responsabilitate de a conduce activitățile de audit.
Fezabilitatea activităților de audit la distanță poate să depindă de mai mulți factori (de exemplu nivelul
riscului pentru realizarea obiectivelor auditului, nivelul de încredere dintre auditor și personalul
auditatului și cerințele de reglementare).
42
SR EN ISO 19011:2018
Absența unui proces sau a documentației poate fi importantă într-o organizație cu risc sporit sau
Asociația de Standardizare din România, GARLEANU FLAVIUS, 09/2/2021
Dacă informațiile sunt furnizate într-un mod diferit de cel așteptat (de exemplu, de către persoane
diferite, medii alternative), ar trebui evaluată integritatea dovezilor.
Este necesară o atenție specială pentru securitatea informațiilor, din cauza reglementărilor aplicabile
privind protecția datelor (în special pentru informațiile din afara domeniului auditului, dar care
figurează și în document).
A.6 Eșantionarea
A.6.1 Generalități
În cadrul auditului, eșantionarea are loc atunci când nu este posibil sau nu este eficient din punct de
vedere al costurilor, ca în timpul unui audit să se examineze toate informațiile disponibile, de exemplu
înregistrările sunt prea numeroase sau prea dispersate geografic pentru a se justifica examinarea
43
SR EN ISO 19011:2018
fiecărui element din populația respectivă. Eșantionarea unei populații mari, în cadrul auditului, este
procesul de selectare a mai puțin de 100 % elemente din totalul ansamblului de date disponibile
(populație) pentru a obține și a evalua dovezi despre unele caracteristici ale acelei populații, cu scopul
de formula o concluzie referitoare la populație.
Obiectivul eșantionării, în cadrul auditului, este de a furniza informații, astfel încât auditorul să aibă
încredere că obiectivele auditului pot să fie sau vor fi îndeplinite.
Riscul asociat eșantionării este acela că eșantioanele pot să nu fie reprezentative pentru populația din
care sunt selectate. Astfel, concluzia auditorului poate fi influențată și poate fi diferită de cea la care ar
fi ajuns dacă întreaga populație ar fi fost examinată. Pot fi și alte riscuri, în funcție de variabilitatea din
cadrul populației care va fi eșantionată și de metoda aleasă.
Atunci când se eșantionează ar trebui acordată atenție calității datelor disponibile, deoarece prin
eșantionarea unor date insuficiente sau inexacte nu se va obține un rezultat util. Selecția unui
eșantion adecvat ar trebui să se bazeze atât pe metoda de eșantionare, cât și pe tipul de date cerute,
de exemplu deducerea unui anumit model de comportament sau concluzionarea pentru o întreagă
populație.
Raportarea la eșantionul ales ar putea să țină cont de mărimea eșantionului, de metoda de selecție și
Asociația de Standardizare din România, GARLEANU FLAVIUS, 09/2/2021
Auditurile pot să utilizeze eșantionarea bazată pe raționament (a se vedea A.6.2) sau eșantionarea
statistică (a se vedea A.6.3).
44
SR EN ISO 19011:2018
Planul de eșantionare ar trebui să ia în considerare dacă rezultatele care sunt examinate par a fi
bazate pe atribute sau bazate pe variabile. De exemplu, când se evaluează conformitatea formularelor
completate cu cerințele precizate într-o procedură, ar putea fi utilizată o abordare bazată pe atribute.
Când se examinează apariția incidentelor pentru siguranța alimentelor sau numărul de încălcări ale
securității, o abordare bazată pe variabile ar putea fi mai adecvată.
Elementele esențiale care vor influența planul de eșantionare în cadrul auditului sunt:
Atunci când este elaborat un plan de eșantionare statistică, nivelul de risc la eșantionare pe care
auditorul este dispus să-l accepte constituie un considerent important. Acesta este adesea denumit
nivel de încredere acceptabil. De exemplu, un risc de eșantionare de 5 % corespunde unui nivel de
încredere acceptabil de 95 %. Un risc de eșantionare de 5 % înseamnă că auditorul este dispus să
accepte riscul că 5 din 100 (sau 1 din 20) dintre eșantioanele examinate nu vor reflecta valorile reale
care ar fi fost obținute dacă ar fi fost examinată întreaga populație.
activitatea efectuată. Aceasta ar trebui să includă o descriere a populației care s-a intenționat a fi
eșantionată, criteriile de eșantionare utilizate pentru evaluare (de exemplu în ce constă un eșantion
acceptabil), parametrii statistici și metodele care au fost utilizate, numărul de eșantioane evaluate și
rezultatele obținute.
a) identificarea cerințelor sale legale și reglementate și a altor cerințe la care s-a angajat;
b) gestionarea activităților, produselor și serviciilor sale pentru a realiza conformarea cu aceste
cerințe;
c) evaluarea stadiului său de conformare.
În plus față de îndrumările generale furnizate în acest document, atunci când evaluează procesele pe
care auditatul le-a implementat pentru a asigura conformitatea cu cerințele relevante, echipa de audit
trebuie să aibă în vedere dacă auditatul:
45
SR EN ISO 19011:2018
Multe standarde de sisteme de management solicită unei organizații să-și determine contextul,
inclusiv necesitățile și așteptările părților interesate relevante și aspectele interne și externe. Pentru a
face acest lucru, o organizație poate folosi diferite tehnici pentru analiza și planificarea strategică.
Auditorii ar trebui să confirme că au fost dezvoltate procese adecvate pentru aceasta și că acestea
sunt utilizate în mod eficace, astfel încât rezultatele să ofere o bază de încredere pentru determinarea
domeniului de aplicare și a dezvoltării sistemului de management. Pentru a face acest lucru, auditorii
ar trebui să ia în considerare dovezi obiective referitoare la următoarele:
Multe standarde de sisteme de management conțin cerințe sporite pentru managementul de la cel mai
înalt nivel.
Auditorii trebuie să obțină dovezi obiective referitoare la gradul în care managementul de la cel mai
înalt nivel este implicat în luarea deciziei legate de sistemul de management și modul în care acesta
demonstrează angajamentul de a-și asigura eficacitatea. Acest lucru poate fi realizat prin analiza
rezultatelor proceselor relevante (de exemplu, politici, obiective, resurse disponibile, comunicări de la
managementul de la cel mai înalt nivel) și prin intervievarea personalului pentru a determina gradul de
angajament al managementului de la cel mai înalt nivel.
Auditorii ar trebui, de asemenea, să aibă ca scop intervievarea managementului de la cel mai înalt
nivel pentru a confirma că acesta are o înțelegere adecvată a aspectelor specifice domeniului de
management, relevante pentru propriul sistem de management, împreună cu contextul în care
funcționează organizația, astfel încât să se asigure că sistemul de management obține rezultatele
intenționate.
Auditorii ar trebui să se concentreze nu numai managementul de la cel mai înalt nivel, ci ar trebui, de
asemenea, să auditeze leadership-ul și angajamentul de la alte niveluri de management, după caz.
46
SR EN ISO 19011:2018
b) metoda prin care se evaluează riscurile și oportunitățile, care poate să difere între domenii de
management și sectoare.
Tratarea de către organizație a riscurilor și oportunităților sale, inclusiv a nivelului de risc pe care
dorește să îl accepte și a modului în care este controlat, va cere aplicarea unei judecăți profesionale
de către auditor.
ciclului de viață al produselor și serviciilor. Etapele într-un ciclu de viață includ achiziția de materii
prime, proiectarea, producția, transportul/livrarea, utilizarea, tratamentul la sfârșitul ciclului de viață și
eliminarea finală. Această abordare permite organizației să identifice domeniile în care, luând în
considerare domeniul său de aplicare, poate reduce la minim impactul său asupra mediului, adăugând
valoare organizației. Auditorul ar trebui să utilizeze judecata profesională proprie referitoare la modul
în care organizația a aplicat perspectiva ciclului de viață în ceea ce privește strategia sa și:
Este posibil să se impună auditarea lanțului de aprovizionare față de cerințe specifice. Programul de
audit al furnizorului ar trebui elaborat cu criterii de audit aplicabile pentru tipul de furnizori și prestatori
externi. Domeniul auditului lanțului de aprovizionare poate fi diferit, de exemplu, audit complet al
sistemului de management, audit al unui singur proces, audit de produs, audit de configurație.
47
SR EN ISO 19011:2018
Pentru auditurile combinate, ar trebui dezvoltate documente de lucru pentru a se evita dublarea
activităților de audit, prin:
Documentele de lucru ar trebui să fie adecvate, astfel încât să trateze toate elementele sistemului de
management din cadrul domeniului auditului și ele pot să fie furnizate pe orice suport.
g) rapoarte din alte surse, de exemplu feedback de la clienți, sondaje și măsurări externe, alte
informații relevante de la părți externe și clasificarea furnizorilor externi;
h) baze de date și pagini de web;
i) simulare și modelare.
a) planificarea vizitei:
să se asigure permisiunea și accesul în acele părți ale locației auditatului care urmează
a fi vizitate în conformitate cu domeniul auditului;
48
SR EN ISO 19011:2018
dacă apare un incident în timpul vizitei la fața locului, conducătorul echipei de audit ar
trebui să analizeze situația împreună cu auditatul și, dacă este necesar, cu clientul
auditului și să ajungă la o înțelegere dacă auditul ar trebui întrerupt, reprogramat sau
continuat;
atunci când se fac copii ale documentelor de orice tip, se va solicita în avans
permisiunea și se vor avea în vedere problemele de confidențialitate și de securitate;
atunci când se iau notițe, se va evita colectarea informațiilor personale, dacă nu este
necesar pentru obiectivele sau criteriile auditului.
Un audit virtual urmărește procesul standard de audit în timp ce utilizează tehnologia pentru a verifica
dovezile obiective. Auditatul și echipa de audit ar trebui să asigure cerințele tehnologice adecvate
pentru auditurile virtuale, care pot include:
49
SR EN ISO 19011:2018
Atunci când conduce ședința de deschidere sau auditează virtual, auditorul ar trebui să ia în
considerare și următoarele elemente:
solicitarea permisiunii în avans de a face copii ale documentelor sau ale oricărui tip de
înregistrări, luând în considerare aspectele de confidențialitate și securitate;
Interviurile constituie unul dintre cele mai importante mijloace de colectare a informațiilor și ar trebui
realizate într-un mod adaptat situației și persoanei intervievate, ori față în față, ori prin alte mijloace de
comunicare. Totuși, auditorul ar trebui să ia în considerare următoarele:
50
SR EN ISO 19011:2018
Pe parcursul unui audit, este posibil să se identifice constatări legate de criterii multiple. Atunci când
un auditor identifică o constatare în legătură cu un criteriu de la un audit combinat, auditorul ar trebui
să ia în considerare impactul posibil asupra criteriilor corespunzătoare sau similare de la alte sisteme
de management.
În funcție de aranjamentele cu clientul auditului, auditorul poate îndruma auditatul cum să răspundă
acestor constatări.
51
SR EN ISO 19011:2018
Bibliografie
[4] ISO/IEC 17021-1, Conformity assessment — Requirements for bodies providing audit and
certification of management systems — Part 1: Requirements
Asociația de Standardizare din România, GARLEANU FLAVIUS, 09/2/2021
1) A se vedea www.iso.org/tc176/ISO9001AuditingPracticesGroup
52
Asociația de Standardizare din România, GARLEANU FLAVIUS, 09/2/2021
53
(pagină albă)
SR EN ISO 19011:2018
ASRO – Asociația de Standardizare din România
organismul național de standardizare cu atribuții exclusive privind activitatea de
standardizare națională și reprezentarea României în procesul de standardizare
european și internațional.
56 pagini