ISO 19011:2011
(Main)Guidelines for auditing management systems
Guidelines for auditing management systems
ISO 19011:2011 provides guidance on auditing management systems, including the principles of auditing, managing an audit programme and conducting management system audits, as well as guidance on the evaluation of competence of individuals involved in the audit process, including the person managing the audit programme, auditors and audit teams. ISO 19011:2011 is applicable to all organizations that need to conduct internal or external audits of management systems or manage an audit programme. The application of ISO 19011:2011 to other types of audits is possible, provided that special consideration is given to the specific competence needed.
Lignes directrices pour l'audit des systèmes de management
L'ISO 19011:2011 fournit des lignes directrices sur l'audit de systèmes de management, comprenant les principes de l'audit, le management d'un programme d'audit et la réalisation d'audits de systèmes de management. Elle donne également des lignes directrices sur l'évaluation de la compétence des personnes impliquées dans le processus d'audit, y compris le ou la responsable du management du programme d'audit, les auditeurs et les équipes d'audit. L'ISO 19011:2011 est applicable à tous les organismes qui doivent réaliser des audits internes ou externes de systèmes de management ou manager un programme d'audit. L'ISO 19011:2011 peut, en principe, s'appliquer à d'autres types d'audits, à condition toutefois d'accorder une attention toute particulière aux compétences spécifiques requises.
General Information
Relations
Buy Standard
Standards Content (Sample)
МЕЖДУНАРОДНЫЙ ISO
СТАНДАРТ 19011
Второе издание
2011-11-15
Руководящие указания по аудиту
систем менеджмента
Guidelines for auditing management systems
Ответственность за подготовку русской версии несёт GOST R
(Российская Федерация) в соответствии со статьёй 18.1 Устава ISO
Ссылочный номер
ISO 19011:2011(R)
©
ISO 2011
---------------------- Page: 1 ----------------------
ISO 19011:2011(R)
Отказ от ответственности при работе в PDF
Настоящий файл PDF может содержать интегрированные шрифты. В соответствии с условиями лицензирования, принятыми
фирмой Adobe, этот файл можно распечатать или смотреть на экране, но его нельзя изменить, пока не будет получена
лицензия на интегрированные шрифты и они не будут установлены на компьютере, на котором ведется редактирование. В
случае загрузки настоящего файла заинтересованные стороны принимают на себя ответственность за соблюдение
лицензионных условий фирмы Adobe. Центральный секретариат ISO или IDF не несут никакой ответственности в этом
отношении.
Adobe – торговый знак фирмы Adobe Systems Incorporated.
Подробности, относящиеся к программным продуктам, использованные для создания настоящего файла PDF, можно найти в
рубрике General Info файла; параметры создания PDF были оптимизированы для печати. Были приняты во внимание все
меры предосторожности с тем, чтобы обеспечить пригодность настоящего файла для использования комитетами-членами
ISO и национальными комитетами IDF. В редких случаях возникновения проблемы, связанной со сказанным выше, просьба
проинформировать Центральный секретариат по адресу, приведенному ниже.
ДОКУМЕНТ ЗАЩИЩЕН АВТОРСКИМ ПРАВОМ
© ISO 2011
Все права сохраняются. Если не указано иное, никакую часть настоящей публикации нельзя копировать или использовать в
какой-либо форме или каким-либо электронным или механическим способом, включая фотокопии и микрофильмы, без
предварительного письменного согласия ISO, которое должно быть получено после запроса о разрешении, направленного по
адресу, приведенному ниже, или в комитет-член ISO в стране запрашивающей стороны.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Опубликовано в Швейцарии
ii © ISO 2011 – Все права сохраняются
---------------------- Page: 2 ----------------------
ISO 19011:2011(R)
Содержание Страница
Предисловие .iv
Введение .v
1 Область применения .1
2 Нормативные ссылки .1
3 Термины и определения .1
4 Принципы аудита .5
5 Управление программой аудита.6
5.1 Общие положения .6
5.2 Постановка целей программы аудита.8
5.3 Создание программы аудита .8
5.4 Внедрение программы аудита.11
5.5 Мониторинг программы аудита.15
5.6 Анализ и улучшение программы аудита .16
6 Проведение аудита .16
6.1 Общие положения .16
6.2 Начало аудита .17
6.3 Подготовка к проведению аудита .18
6.4 Aудиторская деятельность .21
6.5 Подготовка и рассылка отчета по аудиту.26
6.6 Завершение аудита .27
6.7 Выполнение последующих действий по результатам аудита.27
7 Компетентность и оценка аудиторов .28
7.1 Общие положения .28
7.2 Определение компетентности аудиторов для выполнения программы аудита.28
7.3 Разработка критериев оценки аудитора .33
7.4 Выбор подходящего способа оценивания аудитора.33
7.5 Проведение оценивания аудиторов.34
7.6 Поддержание и повышение компетентности аудитора.34
Приложение A (информативное) Руководство и наглядные примеры знаний в области
конкретной дисциплины и навыков аудиторов.35
Приложение B (информативное) Дополнительное руководство для аудиторов по
планированию и проведению аудитов .41
Библиография.48
© ISO 2011 – Все права сохраняются iii
---------------------- Page: 3 ----------------------
ISO 19011:2011(R)
Предисловие
Международная организация по стандартизации (ISO) является всемирной федерацией национальных
организаций по стандартизации (комитетов-членов ISO). Разработка международных стандартов
обычно осуществляется техническими комитетами ISO. Каждый комитет-член, заинтересованный в
деятельности, для которой был создан технический комитет, имеет право быть представленным в этом
комитете. Международные правительственные и неправительственные организации, имеющие связи с
ISO, также принимают участие в работах. Что касается стандартизации в области электротехники, то
ISO работает в тесном сотрудничестве с Международной электротехнической комиссией (IEC).
Проекты международных стандартов разрабатываются в соответствии с правилами Директив ISO/IEC,
Часть 2.
Основной задачей технических комитетов является подготовка международных стандартов. Проекты
международных стандартов, принятые техническими комитетами, рассылаются комитетам-членам на
голосование. Их опубликование в качестве международных стандартов требует одобрения не менее
75 % комитетов-членов, принимающих участие в голосовании.
Следует иметь в виду, что некоторые элементы настоящего международного стандарта могут быть
объектом патентных прав. Международная организация по стандартизации не может нести
ответственность за идентификацию какого-либо одного или всех патентных прав.
ISO 19011 был подготовлен Техническим комитетом ISO/TC 176, Менеджмент качества и
обеспечение качества, Подкомитетом SC 3, Поддерживающие технологии.
Настоящее второе издание отменяет и заменяет первое издание (ISO 19011:2002) после технического
пересмотра.
Основные различия по сравнению с первым изданием следующие:
⎯ область применения была расширена от аудита систем менеджмента качества и систем
экологического менеджмента до аудита всех систем менеджмента;
⎯ даны пояснения о взаимосвязи ISO 19011 и ISO/IEC 17021;
⎯ представлены методы дистанционного аудита и концепция риска;
⎯ добавлена конфиденциальность как новый принцип аудита;
⎯ Разделы 5, 6 и 7 перестроены;
⎯ включена дополнительная информация в новое Приложение B, в результате чего удален текст в
рамках;
⎯ уточнены определение компетентности и процесс оценивания ;
⎯ в новое Приложение А включены иллюстрации примеров знаний и навыков в определенной
области;
⎯ имеются дополнительные рекомендации на сайте: www.iso.org/19011auditing.
iv © ISO 2011 – Все права сохраняются
---------------------- Page: 4 ----------------------
ISO 19011:2011(R)
Введение
С момента публикации первого издания в 2002 г. был выпущен ряд новых стандартов по системам
менеджмента. В результате возникла необходимость рассмотреть более широкую область аудита
систем менеджмента, а также обеспечить более общее руководство.
В 2006 г. Комитет ISO по оценке соответствия (CASCO) разработал стандарт ISO/IEC 17021, в котором
устанавливаются требования к сертификации систем менеджмента качества третьей стороной и
который основан отчасти на руководстве, содержащемся в первом издании этого международного
стандарта.
Второе издание ISO/IEC 17021, опубликованное в 2011 г., было расширено для того, чтобы
преобразовать руководство, предложенное в этом международном стандарте, в требования к аудитам
сертификации систем менеджмента. Именно в таком контексте второе издание этого международного
стандарта обеспечивает руководство для всех пользователей, включая малые и средние предприятия,
и сосредоточивает внимание на том, что обычно называют “внутренним аудитом” (аудит первой
стороной) и “аудитами поставщиков, осуществляемыми заказчиками” (аудиты второй стороной). Так
как участвующие в аудитах сертификации систем менеджмента стороны следуют требованиям
ISO/IEC 17021:2011, они также могут найти полезным руководство, данное в настоящем
международном стандарте.
Взаимосвязь между вторым изданием настоящего международного стандарта и ISO/IEC 17021:2011
показано в Таблице 1.
Таблица 1 — Область применения настоящего международного стандарта и его взаимосвязь
с ISO/IEC 17021:2011
Внутренний аудит Внешний аудит
Аудит поставщика Аудит третьей стороной
Для юридических целей,
регулирующих и аналогичных
Иногда называют аудитом первой Иногда называют аудитом второй
целей
стороной стороной
Для сертификации (см. также
требования в ISO/IEC 17021:2011)
Настоящий международный стандарт не устанавливает требования, в нем содержится руководство по
менеджменту программ аудита, по планированию и проведению аудитов систем менеджмента, а также
по компетентности и оценке аудиторов и группы по аудиту.
В организациях могут действовать несколько официальных систем менеджмента. Для упрощения
читаемости настоящего международного стандарта предпочтительна форма “система менеджмента” в
единственном числе, но пользователь может адаптировать использование руководства к своей
собственной ситуации. Вышесказанное также применимо к терминам “лицо” и “лица”, “аудитор” и
“аудиторы”.
Настоящий международный стандарт предназначен для использования широким кругом
потенциальных пользователей, включая аудиторов; организации, внедряющие системы менеджмента,
и организации, в которых необходимо провести аудиты по системам менеджмента согласно договорам
или регламентам; Пользователи данного международного стандарта могут, в то же время, применять
это руководство для разработки своих собственных требований, касающихся аудита.
© ISO 2011 – Все права сохраняются v
---------------------- Page: 5 ----------------------
ISO 19011:2011(R)
Руководство, приведенное в данном международном стандарте, также можно использовать для
самодекларации, и оно может быть полезным для организаций, занимающихся обучением аудиторов
или аттестацией персонала.
Руководство в настоящем стандарте довольно гибкое. Как несколько раз указано в тексте, его
использование может быть различным в зависимости от размера и уровня развития системы
менеджмента организации, характера и сложности организации, подлежащей аудиту, а также целей и
области аудитов.
В данный международный стандарт вводится концепция риска для аудита систем менеджмента.
Применяемый подход касается как риска, связанного с возможностью для процесса аудита не достичь
своих целей, так и с потенциальной возможностью для аудита помешать деятельности и процессам в
проверяемой организации. Стандарт не содержит конкретного руководства по процессу менеджмента
риска для организации, но признает, что организации могут сконцентрировать усилия аудита на
вопросах, значимых именно для системы менеджмента.
Настоящий международный стандарт принимает подход, который заключается в том, что, когда аудит
касается одновременно двух или более систем менеджмента в различных областях, он определяется
термином “комплексный аудит”. Там, где несколько систем менеджмента интегрированы в одну
систему, принципы и процессы аудита будут такими же, как в комплексном аудите.
В Разделе 3 устанавливаются ключевые термины и определения, используемые в настоящем
международном стандарте. Приложены все усилия, чтобы устранить противоречия между этими
определениями и определениями, используемыми в других стандартах.
Раздел 4 описывает принципы, на которых основан аудит. Эти принципы помогают пользователю
понять существенные характеристики аудита и важны для понимания руководства в Разделах 5 – 7.
Раздел 5 обеспечивает руководство по созданию и управлению программой аудита, постановке задач
программы аудита и координации деятельности в процессе аудита.
Раздел 6 обеспечивает руководство по планированию и проведению аудита системы менеджмента.
Раздел 7 обеспечивает руководство, касающееся компетентности и оценивания аудиторов системы
менеджмента и групп по аудиту.
Приложение A иллюстрирует применение руководства Раздела 7 в различных областях.
Приложение B обеспечивает дополнительное руководство для аудиторов по планированию и
проведению аудитов.
vi © ISO 2011 – Все права сохраняются
---------------------- Page: 6 ----------------------
МЕЖДУНАРОДНЫЙ СТАНДАРТ ISO 19011:2011(R)
Руководство по аудиту систем менеджмента
1 Область применения
В настоящем международном стандарте представлено руководство по аудиту систем менеджмента,
включая принципы аудита, управление программой аудита и проведение аудитов систем менеджмента,
а также руководство по оценке компетентности лиц, участвующих в процессе аудита, включая лицо,
ответственное за управление программой аудита (далее — руководитель программы аудита),
аудиторов и аудиторские группы.
Настоящий международный стандарт применим ко всем организациям, которым необходимо провести
внутренний или внешний аудит систем менеджмента или управлять программой аудита.
Применение данного международного стандарта к аудитам другого типа возможно при условии
особого внимания к необходимости специального профессионального соответствия.
2 Нормативные ссылки
Нормативные ссылки не приводятся. Данный раздел включен для того, чтобы оставить нумерацию
разделов в соответствии с другими стандартами ISO на системы менеджмента.
3 Термины и определения
В настоящем стандарте используются следующие термины и определения.
3.1
аудит
audit
систематический, независимый и документированный процесс получения свидетельств аудита (3.3) и
объективного их оценивания с целью установления степени выполнения согласованных критериев
аудита (3.2)
ПРИМЕЧАНИЕ 1 Внутренние аудиты, иногда называемые “аудитами первой стороной”, проводятся обычно
самой организацией, или от ее имени для анализа менеджмента и других внутренних целей (например, чтобы
подтвердить результативность системы менеджмента или чтобы получить информацию для улучшения системы
менеджмента). Внутренние аудиты могут служить основанием для декларации о соответствии. Во многих случаях,
особенно на малых предприятиях, независимость может демонстрироваться свободой от ответственности за
деятельность, которая подвергается аудиту или свободой от предвзятости и конфликта интересов.
ПРИМЕЧАНИЕ 2 Внешние аудиты включают “аудиты второй стороной” и ” аудиты третьей стороной”. Аудиты
второй стороной проводятся сторонами, заинтересованными в деятельности организации, например
потребителями или другими лицами от их имени. Аудиты третьей стороной проводятся внешними независимыми
аудиторскими организациями, такими, как регулирующие органы или организации, которые осуществляют
сертификацию.
ПРИМЕЧАНИЕ 3 Если две или более систем менеджмента в различных областях (например, менеджмента
качества, экологического менеджмента, менеджмента безопасности и гигиены труда) вместе подвергаются аудиту,
это называется “комплексным аудитом”.
ПРИМЕЧАНИЕ 4 Если две или несколько организаций проводят совместно аудит одной проверяемой
организации (3.7), это называется “совместным аудитом”.
ПРИМЕЧАНИЕ 5 Взято из ISO 9000:2005, определение 3.9.1.
© ISO 2011 – Все права сохраняются 1
---------------------- Page: 7 ----------------------
ISO 19011:2011(R)
3.2
критерии аудита
audit criteria
совокупность политики, процедур или требований, используемых для сравнения при
получении свидетельства аудита (3.3)
ПРИМЕЧАНИЕ 1 Взято из ISO 9000:2005, определение 3.9.3.
ПРИМЕЧАНИЕ 2 Если критерии аудита являются законодательными (включая нормативные, или регламентные)
требованиями, термины “соответствующий” или “несоответствующий” часто используются в выводах аудита
(3.4).
3.3
свидетельство аудита
audit evidence
записи, изложение фактов или другая информация, связанные с критериями аудита (3.2), которые
могут быть перепроверены
ПРИМЕЧАНИЕ Свидетельство аудита может быть качественным или количественным.
[ISO 9000:2005, определение 3.9.4]
3.4
выводы аудита
audit findings
результат оценки собранных свидетельств аудита (3.3) в зависимости от критериев аудита (3.2)
ПРИМЕЧАНИЕ 1 Выводы аудита указывают на соответствие или несоответствие.
ПРИМЕЧАНИЕ 2 Выводы аудита могут помочь в идентификации возможностей для улучшения или записи
общепризнанной практики.
ПРИМЕЧАНИЕ 3 Если критерии аудита выбираются из законодательных или других требований, результаты
аудита сводятся к соблюдению или несоблюдению этих требований.
ПРИМЕЧАНИЕ 4 Взято из ISO 9000:2005, определение 3.9.5.
3.5
заключение аудита
audit conclusion
итоги аудита (3.1) после рассмотрения целей аудита и всех выводов аудита (3.4)
ПРИМЕЧАНИЕ Взято из ISO 9000:2005, определение 3.9.6.
3.6
заказчик аудита
audit client
организация или лицо, заказавшее аудит (3.1)
ПРИМЕЧАНИЕ 1 В случае внутреннего аудита заказчиком аудита также может быть проверяемая организация
(3.7) или лицо, несущее ответственность за управление программой аудита (руководитель программы аудита).
Запросы на внешний аудит могут поступать от таких организаций, как регулирующие органы, стороны контракта
или потенциальные заказчики.
ПРИМЕЧАНИЕ 2 Взято из ISO 9000:2005, определение 3.9.7.
2 © ISO 2011 – Все права сохраняются
---------------------- Page: 8 ----------------------
ISO 19011:2011(R)
3.7
проверяемая организация
auditee
организация, подвергающаяся аудиту
[ISO 9000:2005, определение 3.9.8]
3.8
аудитор
auditor
лицо, которое проводит аудит (3.1)
3.9
аудиторская группа
audit team
один или несколько аудиторов (3.8), выполняющих аудит (3.1), при необходимости, поддерживаемые
техническими экспертами (3.10)
ПРИМЕЧАНИЕ 1 Один из аудиторов аудиторской группы назначается руководителем группы.
ПРИМЕЧАНИЕ 2 Аудиторская группа может включать стажеров.
[ISO 9000:2005, определение 3.9.10]
3.10
технический эксперт
technical expert
лицо, обладающее специальными знаниями или опытом для участия в аудиторской группе (3.9)
ПРИМЕЧАНИЕ 1 Специальные знания или опыт включают знания или опыт применительно к организации,
процессам или деятельности, подвергаемым аудиту (3.1), а также знание языка и культуры страны, где
проводится аудит.
ПРИМЕЧАНИЕ 2 Технический эксперт не имеет полномочий аудитора (3.8) в аудиторской группе.
[ISO 9000:2005, определение 3.9.11]
3.11
наблюдатель
observer
лицо, сопровождающее аудиторскую группу (3.9), но не осуществляющее аудит
ПРИМЕЧАНИЕ 1 Наблюдатель не входит в аудиторскую группу (3.9), не имеет влияния на нее, а также не
вмешивается в проведение аудита (3.1).
ПРИМЕЧАНИЕ 2 Наблюдатель может выбираться из проверяемой организации (3.7), регулирующего органа
или из другой заинтересованной стороны, которая удостоверяет аудит (3.1).
3.12
сопровождающее лицо
guide
лицо, назначенное проверяемой организацией (3.7) в помощь аудиторской группе (3.9)
3.13
программа аудита
audit programme
мероприятия по проведению одного или нескольких аудитов (3.1), запланированные на конкретный
период времени и направленные на достижение конкретной цели
© ISO 2011 – Все права сохраняются 3
---------------------- Page: 9 ----------------------
ISO 19011:2011(R)
ПРИМЕЧАНИЕ Взято из ISO 9000:2005, определение 3.9.2.
3.14
область аудита
audit scope
глубина и границы аудита (3.1)
ПРИМЕЧАНИЕ Область аудита обычно включает описание физических мест, подразделений организации,
деятельность и процессы, а также охватываемый период времени.
[ISO 9000:2005, определение 3.9.13]
3.15
план аудита
audit plan
описание действий и мероприятий аудита (3.1)
[ISO 9000:2005, определение 3.9.12]
3.16
риск
risk
влияние неопределенности на цели
ПРИМЕЧАНИЕ Взято из ISO Guide 73:2009, определение 1.1.
3.17
компетентность
competence
способность применять знания и умения для достижения предполагаемых результатов
ПРИМЕЧАНИЕ Такая способность подразумевает соответствующее личное поведение в процессе аудита.
3.18
соответствие
conformity
соблюдение требования
[ISO 9000:2005, определение 3.6.1]
3.19
несоответствие
nonconformity
несоблюдение требования
[ISO 9000:2005, определение 3.6.2]
3.20
система менеджмента
management system
система для установления политики и целей и достижения этих целей
ПРИМЕЧАНИЕ Система менеджмента организации может включать различные системы менеджмента,
например, систему менеджмента качества, систему менеджмента финансов или экологическую систему
менеджмента.
[ISO 9000:2005, определение 3.2.2]
4 © ISO 2011 – Все права сохраняются
---------------------- Page: 10 ----------------------
ISO 19011:2011(R)
4 Принципы аудита
Аудит характеризуется степенью соответствия определенным принципам. Это помогает аудиту быть
результативным и надежным инструментом следования политике менеджмента и использования
средств контроля, обеспечивая информацию, на основе которой организация может улучшать свою
эффективность. Приверженность этим принципам является предпосылкой для получения заключений
аудита, соответствующих, и достаточных для того, чтобы аудиторы, работающие независимо друг от
друга, делали аналогичные заключения в аналогичных обстоятельствах.
Руководство в Разделах от 5 до 7, основано на шести принципах, приведенных ниже.
a) Честность: основа профессионализма
Аудиторам и руководителю программы аудита следует:
⎯ выполнять свою работу честно, старательно и ответственно;
⎯ соблюдать все применяемые законодательные требования;
⎯ при выполнении работы демонстрировать свою компетентность;
⎯ выполнять свою работу беспристрастно, т.е. оставаться справедливым и непредубежденным
во всех своих действиях;
⎯ чутко относиться к любым влияниям, которые могут быть оказаны на их мнения при
выполнении аудита.
b) Беспристрастное представление: обязательство представлять правдивые и точные отчеты
В выводах, заключениях и отчетах аудита следует правдиво и точно отражать действия по аудиту.
Существенные препятствия, встреченные в процессе аудита, а также неразрешенные проблемы
или разногласия между аудиторской группой и проверяемой организацией следует отражать в
отчетах. Сообщения должны быть правдивыми, точными, объективными, своевременными,
четкими и полными.
c) Должная профессиональная тщательность: прилежание и обдуманность решений при проведении аудита
Аудиторам следует проявлять должную тщательность в соответствии с важностью задачи,
которую они выполняют, и доверием, которое им оказывает заказчик аудита и другие
заинтересованные стороны. Важным фактором в выполнении их работы с должной
профессиональной тщательностью является способность принимать обдуманные решения в
любых ситуациях в процессе аудита.
d) Конфиденциальность: неразглашение информации
Аудиторам следует проявлять осторожность при использовании и защите информации,
полученной в ходе выполнения своих обязанностей. Информацию, связанную с выполняемым
аудитом, не следует использовать в корыстных целях аудитора или заказчика аудита, либо таким
образом, который нанесёт ущерб законным интересам проверяемой организации. Эта концепция
включает надлежащее обращение с конфиденциальной и требующей особого отношения
информацией.
e) Независимость: основа беспристрастности аудита и объективности заключений аудита
Аудиторам следует быть независимыми от деятельности, подлежащей аудиту всегда, где это
целесообразно, и во всех случаях действовать независимо от пристрастий и конфликта интересов.
При проведении внутренних аудитов аудиторам следует вести себя независимо от действующих
руководителей служб, подвергаемых аудиту. Аудиторам следует сохранять объективность в
© ISO 2011 – Все права сохраняются 5
---------------------- Page: 11 ----------------------
ISO 19011:2011(R)
процессе аудита, чтобы обеспечить обоснование выводов и заключений аудита только на
свидетельстве аудита.
Для небольших организаций внутренние аудиторы не могут быть полностью независимыми от
деятельности, подвергаемой аудиту, однако следует приложить все силы, чтобы избежать
пристрастности и соблюсти объективность.
f) Подход, основанный на свидетельстве: рациональный метод для достижения надежных и
воспроизводимых заключений аудита в систематическом процессе аудита
Свидетельство аудита должно быть проверяемым. Оно, в общем, должно быть основано на
выборках имеющейся информации, поскольку аудит проводится в течение конечного периода
времени и с ограниченными ресурсами. Такие выборки следует использовать соответствующим
образом, поскольку это тесно связано с доверием, которое вложено в заключение аудита.
5 Управление программой аудита
5.1 Общие положения
Организации, которой необходимо провести аудит, следует разработать программу аудита, которая
внесет свой вклад в определение результативности системы менеджмента проверяемой организации.
Программа аудита может включать аудиты одной или нескольких систем менеджмента, выполняемых
по отдельности или совместно.
Высшему руководству следует обеспечить установление целей программы аудита и назначение
одного или нескольких компетентных лиц для управления программой аудита. Объем программы
аудита следует рассчитывать, исходя из размера и характера проверяемой организации, а также из
характера, функциональности, сложности и уровня развития системы менеджмента, подлежащей
аудиту. Приоритет следует отдать распределению ресурсов программы аудита, чтобы провести аудит
значимых элементов системы менеджмента. Они могут включать существенные характеристики
качества продукции или опасности, связанные со здоровьем и безопасностью, или важные
экологические аспекты и контроль над ними.
ПРИМЕЧАНИЕ Такая концепция обычно известна как аудит на основе оценки рисков. Настоящий
международный стандарт не дает дополнительных указаний в отношении такого рода аудита.
Программа аудита должна включать в себя информацию и ресурсы, необходимые для организации и
эффективного и результативного проведения аудита в рамках установленного времени, и может также
включать следующее:
⎯ цели программы аудита и отдельных аудитов;
⎯ объем/количество/типы/продолжительность/место проведения/график аудитов;
⎯ процедуры программы аудита;
⎯ критерии аудита;
⎯ методы аудита;
⎯ выбор аудиторских групп;
⎯ необходимые ресурсы, включая транспорт и жилье;
⎯ процессы обращения с конфиденциальностью, защитой информации, вопросами здоровья и
безопасности, и другими аналогичными вопросами.
6 © ISO 2011 – Все права сохраняются
---------------------- Page: 12 ----------------------
ISO 19011:2011(R)
Выполнение программы аудита следует контролировать и измерять, чтобы обеспечить достижение ее
целей. Программу аудита следует проанализировать, чтобы идентифицировать возможные улучшения.
Рисунок 1 иллюстрирует последовательность операций для менеджмента программы аудита.
ПРИМЕЧАНИЕ 1 Этот рисунок иллюстрирует применение цикла План-Исполнение-Проверка-Действие
необходимых мер в данном международном стандарте.
ПРИМЕЧАНИЕ 2 Нумерация раздела/подраздела относится к соответствующим разделам/подразделам данного
международного стандарта.
Рисунок 1 — Схема последовательности выполнения программы аудита
© ISO 2011 – Все права сохраняются 7
---------------------- Page: 13 ----------------------
ISO 19011:2011(R)
5.2 Постановка целей программы аудита
Высшему руководству следует обеспечить постановку целей, чтобы определить направления
планирования и проведения аудита, а также эффективное исполнение программы. Цели программы
аудита должны согл
...
INTERNATIONAL ISO
STANDARD 19011
Redline version
compares second edition
to first edition
Guidelines for auditing management
systems
Lignes directrices pour l’audit des systèmes de management
Reference number
ISO 19011:redline:2014(E)
©
ISO 2014
---------------------- Page: 1 ----------------------
ISO 19011:redline:2014(E)
IMPORTANT — PLEASE NOTE
This is a mark-up copy and uses the following colour coding:
Text example 1 — indicates added text (in green)
Text example 2 — indicates removed text (in red)
— indicates added graphic figure
— indicates removed graphic figure
1.x . — Heading numbers containg modifications are highlighted in yellow in
the Table of Contents
DISCLAIMER
This Redline version provides you with a quick and easy way to compare the main changes
between this edition of the standard and its previous edition. It doesn’t capture all single
changes such as punctuation but highlights the modifications providing customers with
the most valuable information. Therefore it is important to note that this Redline version is
not the official ISO standard and that the users must consult with the clean version of the
standard, which is the official standard, for implementation purposes.
COPYRIGHT PROTECTED DOCUMENT
© ISO 2014
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2014 – All rights reserved
---------------------- Page: 2 ----------------------
ISO 19011:redline:2014(E)
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Principles of auditing . 4
5 Managing an audit programme . 6
5.1 General . 6
5.2 Establishing the audit programme objectives . 9
5.2 5.3 Audit programme objectives and extent Establishing the audit programme .10
5.3 Audit programme responsibilities, resources and procedures .13
5.4 Audit programme implementation Implementing the audit programme .13
5.5 Audit programme records Monitoring the audit programme .18
5.6 Audit programme monitoring and reviewing Reviewing and improving the
audit programme .18
6 Audit activities Performing an audit.19
6.1 General .19
6.2 Initiating the audit .21
6.3 Conducting document review .24
6.4 6.3 Preparing for the on-site audit activities .24
6.5 6.4 Conducting on-site the audit activities .27
6.6 6.5 Preparing, approving and distributing the audit report .34
6.7 6.6 Completing the audit .35
6.8 6.7 Conducting audit follow-up.35
7 Competence and evaluation of auditors .36
7.1 General .36
7.2 Personal attributes .37
7.3 7.2 Knowledge and skills Determining auditor competence to fulfil the needs of the
audit programme .37
7.4 Education, work experience, auditor training and audit experience .44
7.5 7.3 Maintenance and improvement of competence Establishing the auditor
evaluation criteria .45
7.6 7.4 Auditor evaluation Selecting the appropriate auditor evaluation method .46
7.5 Conducting auditor evaluation .50
7.6 Maintaining and improving auditor competence.50
Annex A (informative) Guidance and illustrative examples of discipline-specific knowledge and
skills of auditors .51
Annex B (informative) Additional guidance for auditors for planning and conducting audits .57
Bibliography .64
© ISO 2014 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO 19011:redline:2014(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives,
part 3Part 2.
The main task of technical committees is to prepare International Standards. Draft International
Standards acceptedadopted by the technical committees are circulated to the member bodies for voting.
Publication as an International Standard requires approval by at least 75 % of the membersmember
bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this International Standarddocument may
be the subject of patent rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 19011 was prepared jointly by Technical Committee ISO/TC 176, Quality management and
quality assurance, Subcommittee SC 3, Supporting technologies, and Technical Committee ISO/TC 207,
Environmental management, Subcommittee SC 2, Environmental auditing and related environmental
investigations.
This first edition of second edition cancels and replaces the first edition (ISO 19011:2002 cancels
and replaces )ISO 10011-1:1990, ISO 10011-2:1991,which ISO 10011-3:1991,has ISO 14010:1996,been
ISO 14011:1996 and technically revisedISO 14012:1996.
The main differences compared with the first edition are as follows:
— the scope has been broadened from the auditing of quality and environmental management systems
to the auditing of any management systems;
— the relationship between ISO 19011 and ISO/IEC 17021 has been clarified;
— remote audit methods and the concept of risk have been introduced;
— confidentiality has been added as a new principle of auditing;
— Clauses 5, 6 and 7 have been reorganized;
— additional information has been included in a new Annex B, resulting in the removal of help boxes;
— the competence determination and evaluation process has been strengthened;
— illustrative examples of discipline-specific knowledge and skills have been included in a new Annex A;
— additional guidelines are available at the following website: www.iso.org/19011auditing.
iv © ISO 2014 – All rights reserved
---------------------- Page: 4 ----------------------
ISO 19011:redline:2014(E)
Introduction
TheSince ISO 9000 andthe first ISO 14000 seriesedition of International Standards emphasize the
importance of audits as a management tool for monitoring and verifying the effective implementation
of an organization’s quality and/or environmental policy. Audits are also an essential part of conformity
assessment activities such as external certification/registration and of supply chain evaluation
and surveillancethis International Standard was published in 2002, a number of new management
system standards have been published. As a result, there is now a need to consider a broader scope of
management system auditing, as well as providing guidance that is more generic.
In 2006, the ISO committee for conformity assessment (CASCO) developed ISO/IEC 17021, which sets
out requirements for third party certification of management systems and which was based in part on
the guidelines contained in the first edition of this International Standard.
The second edition of ISO/IEC 17021, published in 2011, was extended to transform the guidance offered
in this International Standard into requirements for management system certification audits. It is in this
context that this second edition of this International Standard provides guidance for all users, including
small and medium-sized organizations, and concentrates on what are commonly termed “internal
audits” (first party) and “audits conducted by customers on their suppliers” (second party). While those
involved in management system certification audits follow the requirements of ISO/IEC 17021:2011,
they might also find the guidance in this International Standard useful.
The relationship between this second edition of this International Standard and ISO/IEC 17021:2011 is
shown in Table 1.
Table 1 — Scope of this International Standard and its relationship with ISO/IEC 17021:2011
Internal auditing External auditing
Supplier auditing Third party auditing
Sometimes called first party Sometimes called second party For legal, regulatory and similar
audit audit purposes
For certification (see also
the requirements in
ISO/IEC 17021:2011)
This International Standard does not state requirements, but provides guidance on the management of
an audit programme, on the planning and conducting of an audit of the management system, as well as
on the competence and evaluation of an auditor and an audit team.
Organizations can operate more than one formal management system. To simplify the readability of
this International Standard, the singular form of “management system” is preferred, but the reader can
adapt the implementation of the guidance to their own particular situation. This also applies to the use
of “person” and “persons”, “auditor” and “auditors”.
This International Standard provides guidance on the management of audit programmes, the conduct
of internal or external audits of quality and/or environmental management systems, as well as
on the competence and evaluation of auditors. It is intended to apply to a broad range of potential
users, including auditors, organizations implementing quality and/or environmental management
systems, and organizations needing to conduct audits of quality and/or environmental management
systems for contractual reasons, and organizations involved in auditor certification or training, in
certification/registration of management systems, in accreditation or in standardization in the area of
conformity assessmentor regulatory reasons. Users of this International Standard can, however, apply
this guidance in developing their own audit-related requirements.
The guidance in this International Standard can also be used for the purpose of self-declaration, and can
be useful to organizations involved in auditor training or personnel certification.
© ISO 2014 – All rights reserved v
---------------------- Page: 5 ----------------------
ISO 19011:redline:2014(E)
The guidance in this International Standard is intended to be flexible. As indicated at various points in
the text, the use of these guidelines can differ according to the size,this guidance can differ depending on
the size and level of maturity of an organization’s management system and on the nature and complexity
of the organizationsorganization to be audited, as well as on the objectives and scopesscope of the
audits to be conducted. Throughout this International Standard, supplementary guidance or examples
on specific topics are provided in the form of practical help in boxed text. In some instances, this is
intended to support the use of this International Standard in small organizations.
This International Standard introduces the concept of risk to management systems auditing. The
approach adopted relates both to the risk of the audit process not achieving its objectives and to the
potential of the audit to interfere with the auditee’s activities and processes. It does not provide specific
guidance on the organization’s risk management process, but recognizes that organizations can focus
audit effort on matters of significance to the management system.
This International Standard adopts the approach that when two or more management systems of
different disciplines are audited together, this is termed a “combined audit”. Where these systems are
integrated into a single management system, the principles and processes of auditing are the same as
for a combined audit.
Clause 3 sets out the key terms and definitions used in this International Standard. All efforts have been
taken to ensure that these definitions do not conflict with definitions used in other standards.
Clause 4 describes the principles of auditingon which auditing is based. These principles help the user to
appreciateunderstand the essential nature of auditing and they are a necessary prelude toimportant in
understanding the clauses 5,guidance 6 andset out in Clauses 5 to 7.
Clause 5 provides guidance on managing audit programmes and covers such issues as assigning
responsibility for managing audit programmesestablishing and managing an audit programme,
establishing the audit programme objectives, and coordinating auditing activities and providing
sufficient audit team resources.
Clause 6 provides guidance on conducting audits of quality and/or environmental management systems,
including the selection of audit teamsplanning and conducting an audit of a management system.
Clause 7 provides guidance onrelating to the competence needed by an auditor and describes a process
for evaluating auditorsand evaluation of management system auditors and audit teams.
Where quality and environmental management systems are implemented together, it is at the
discretion of the user of this International Standard as to whether the quality management system and
environmental management system audits are conducted separately or together.
AlthoughAnnex A this International Standard is applicable to the auditing of quality and/or
environmental management systems, the user can consider adapting or extending the guidance provided
hereinillustrates the application of the guidance in Clause 7 to apply to other types of audits, including
other management system auditsdifferent disciplines.
ThisAnnex B International Standard provides only guidance, however, users can apply this to develop
their own audit-related requirementsprovides additional guidance for auditors on planning and
conducting audits.
In addition, any other individual or organization with an interest in monitoring conformance to
requirements, such as product specifications or laws and regulations, may find the guidance in this
International Standard useful.
vi © ISO 2014 – All rights reserved
---------------------- Page: 6 ----------------------
INTERNATIONAL STANDARD ISO 19011:redline:2014(E)
Guidelines for auditing management systems
1 Scope
This International Standard provides guidance on auditing management systems, including the
principles of auditing, managing audit programmes, conducting quality management system audits and
environmentalan audit programme and conducting management system audits, as well as guidance on
the competence of quality and environmental management system auditorsevaluation of competence of
individuals involved in the audit process, including the person managing the audit programme, auditors
and audit teams.
It is applicable to all organizations needingthat need to conduct internal or external audits of quality
and/or environmental management systems or to manage an audit programme.
The application of this International Standard to other types of auditaudits is possible in principle,
provided that special consideration is paidgiven to identifying the competence needed by the audit team
members in such casesspecific competence needed.
2 Normative references
The following normative documents contain provisions which, through references in this text,
constitute provisions of this International Standard. For dated references, subsequent amendments to,
or revisions of, any of these publications do not apply. However, parties to agreements based on this
International Standard are encouraged to investigate the possibility of applying the most recent edition
of the normative documents indicated below. For undated references, the latest edition of the normative
document referred to apply. Members of ISO and IEC maintain registers of currently valid International
StandardsNo normative references are cited. This clause is included in order to retain clause numbering
identical with other ISO management system standards.
ISO 9000:2000, Quality management systems — Fundamentals and vocabulary
ISO 14050:2002, Environmental management — Vocabulary
3 Terms and definitions
For the purposes of this International Standard, the terms and definitions given indocument, the following
ISO 9000 and ISO 14050 apply, unless superseded by the terms and definitions given belowapply.
A term in a definition or note which is defined elsewhere in this clause is indicated by boldface followed
by its entry number in parentheses. Such a boldface term may be replaced in the definition by its
complete definition.
3.1
audit
systematic, independent and documented process for obtaining audit evidence (3.3) and evaluating it
objectively to determine the extent to which the audit criteria (3.2) are fulfilled
Note 1 to entry: Internal audits, sometimes called first- party audits, are conducted by the organization itself,
or on behalf of, the organization itself its behalf, for management review and other internal purposes, and may
(e.g. to confirm the effectiveness of the management system or to obtain information for the improvement of the
management system). Internal audits can form the basis for an organization’s organization’s self-declaration of
conformity. In many cases, particularly in smaller small organizations, independence can be demonstrated by the
freedom from responsibility for the activity being audited or freedom from bias and conflict of interest.
© ISO 2014 – All rights reserved 1
---------------------- Page: 7 ----------------------
ISO 19011:redline:2014(E)
Note 2 to entry: External audits include those generally termed second- second and third- party audits. Second-
party audits are conducted by parties having an interest in the organization, such as customers, or by other
persons on their behalf. Third- party audits are conducted by external, independent auditing organizations, such
as regulators or those providing registration or certification of conformity to the requirements of ISO 9001 or
ISO 14001 certification.
Note 3 to entry: When a quality management system and an environmental management system two or more
management systems of different disciplines (e.g. quality, environmental, occupational health and safety) are
audited together, this is termed a combined audit.
Note 4 to entry: When two or more auditing organizations cooperate to audit a single auditee (3.7), this is termed
a joint audit.
Note 5 to entry: Adapted from ISO 9000:2005, definition 3.9.1.
3.2
audit criteria
set of policies, procedures or requirements used as a reference against which audit evidence (3.3) is compared
Note 1 to entry: Adapted from ISO 9000:2005, definition 3.9.3.
Note 2 to entry: Audit criteria are used as a reference against which If the audit criteria are legal (including
statutory or regulatory) requirements, audit evidence (3.3) is compared the terms “compliant” or “non-compliant”
are often used in an audit finding (3.4).
3.3
audit evidence
records, statements of fact or other information which are relevant to the audit criteria (3.2) and verifiable
Note 1 to entry: Audit evidence may can be qualitative or quantitative.
[SOURCE: ISO 9000:2005, definition 3.9.4]
3.4
audit findings
results of the evaluation of the collected audit evidence (3.3) against audit criteria (3.2)
Note 1 to entry: Audit findings can indicate either conformity or nonconformity with audit criteria or opportunities
for improvement .
Note 2 to entry: Audit findings can lead to the identification of opportunities for improvement or recording
good practices.
Note 3 to entry: If the audit criteria are selected from legal or other requirements, the audit finding is termed
compliance or non-compliance.
Note 4 to entry: Adapted from ISO 9000:2005, definition 3.9.5.
3.5
audit conclusion
outcome of an audit (3.1), provided by the audit team (3.9)after consideration of the audit objectives and
all audit findings (3.4)
Note 1 to entry: Adapted from ISO 9000:2005, definition 3.9.6.
3.6
audit client
organization or person requesting an audit (3.1)
Note 1 to entry: The audit client may In the case of internal audit, the audit client can also be the auditee (3.7) or
any other organization which has the regulatory or contractual right to request an audit the person managing the
audit programme. Requests for external audit can come from sources such as regulators, contracting parties or
potential clients.
2 © ISO 2014 – All rights reserved
---------------------- Page: 8 ----------------------
ISO 19011:redline:2014(E)
Note 2 to entry: Adapted from ISO 9000:2005, definition 3.9.7.
3.7
auditee
organization being audited
[SOURCE: ISO 9000:2005, definition 3.9.8]
3.8
auditor
person with the who conducts competence (3.14) to conduct an audit (3.1)
3.9
audit team
one or more auditors (3.8) conducting an audit (3.1), supported if needed by technical experts (3.10)
Note 1 to entry: One auditor of the audit team is appointed as the audit team leader.
Note 2 to entry: The audit team may include auditors-in-training.
[SOURCE: ISO 9000:2005, definition 3.9.10]
3.10
technical expert
person who provides specific knowledge or expertise to the audit team (3.9)
Note 1 to entry: Specific knowledge or expertise is that which relates to the organization, the process or activity
to be audited, or language or culture.
Note 2 to entry: A technical expert does not act as an auditor (3.8) in the audit team.
[SOURCE: ISO 9000:2005, definition 3.9.11]
3.11
observer
person who accompanies the audit team (3.9) but does not audit
Note 1 to entry: An observer is not a part of the audit team (3.9) and does not influence or interfere with the
conduct of the audit (3.1).
Note 2 to entry: An observer can be from the auditee (3.7), a regulator or other interested party who witnesses
the audit (3.1).
3.12
guide
person appointed by the auditee (3.7) to assist the audit team (3.9)
3.11 3.13
audit programme
arrangements for a set of one or more audits (3.1) planned for a specific time frame and directed towards
a specific purpose
Note 1 to entry: An audit programme Adapted from ISO 9000:2005, definition 3.9.2 includes all activities necessary
for planning, organizing and conducting the audits .
3.12
audit plan
description of the activities and arrangements for an audit (3.1)
© ISO 2014 – All rights reserved 3
---------------------- Page: 9 ----------------------
ISO 19011:redline:2014(E)
3.13 3.14
audit scope
extent and boundaries of an audit (3.1)
Note 1 to entry: The audit scope generally includes a description of the physical locations, organizational units,
activities and processes, as well as the time period covered.
[SOURCE: ISO 9000:2005, definition 3.9.13]
3.15
audit plan
description of the activities and arrangements for an audit (3.1)
[SOURCE: ISO 9000:2005, definition 3.9.12]
3.16
risk
effect of uncertainty on objectives
Note 1 to entry: Adapted from ISO Guide 73:2009, definition 1.1.
3.14 3.17
competence
demonstrated personal attributes and demonstrated ability to apply knowledge and skills to achieve
intended results
Note 1 to entry: Ability implies the appropriate application of personal behaviour during the audit process.
3.18
conformity
fulfilment of a requirement
[SOURCE: ISO 9000:2005, definition 3.6.1]
3.19
nonconformity
non-fulfilment of a requirement
[SOURCE: ISO 9000:2005, definition 3.6.2]
3.20
management system
system to establish policy and objectives and to achieve those objectives
Note 1 to entry: A management system of an organization can include different management systems, such as a
quality management system, a financial management system or an environmental management system.
[SOURCE: ISO 9000:2005, definition 3.2.2]
4 Principles of auditing
Auditing is characterized by reliance on a number of principles. These principles should help to make
the audit an effective and reliable tool in support of management policies and controls, by providing
information on which an organization can act in order to improve its performance. Adherence to
these principles is a prerequisite for providing audit conclusions that are relevant and sufficient and
for enabling auditors, working independently from one another, to reach similar conclusions in similar
circumstances.
The following principles relateguidance given in Clauses 5 to 7auditors is based on the six principles
outlined below.
a) Ethical conduct: the foundation of professionalism
4 © ISO 2014 – All rights reserved
---------------------- Page: 10 ----------------------
ISO 19011:redline:2014(E)
Trust, integrity, confidentiality and discretion are essential to auditing.
b) Fair presentation: the obligation to report truthfully and a
...
INTERNATIONAL ISO
STANDARD 19011
Second edition
2011-11-15
Guidelines for auditing management
systems
Lignes directrices pour l’audit des systèmes de management
Reference number
ISO 19011:2011(E)
©
ISO 2011
---------------------- Page: 1 ----------------------
ISO 19011:2011(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO 2011
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or ISO’s
member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2011 – All rights reserved
---------------------- Page: 2 ----------------------
ISO 19011:2011(E)
Contents Page
Foreword .iv
Introduction . v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Principles of auditing . 4
5 Managing an audit programme . 5
5.1 General . 5
5.2 Establishing the audit programme objectives . 6
5.3 Establishing the audit programme . 7
5.4 Implementing the audit programme .10
5.5 Monitoring the audit programme .13
5.6 Reviewing and improving the audit programme .14
6 Performing an audit .14
6.1 General .14
6.2 Initiating the audit.15
6.3 Preparing audit activities .16
6.4 Conducting the audit activities .18
6.5 Preparing and distributing the audit report.23
6.6 Completing the audit .24
6.7 Conducting audit follow-up .24
7 Competence and evaluation of auditors .24
7.1 General .24
7.2 Determining auditor competence to fulfil the needs of the audit programme.25
7.3 Establishing the auditor evaluation criteria .29
7.4 Selecting the appropriate auditor evaluation method .29
7.5 Conducting auditor evaluation .29
7.6 Maintaining and improving auditor competence .29
Annex A (informative) Guidance and illustrative examples of discipline-specific knowledge and skills of
auditors .31
Annex B (informative) Additional guidance for auditors for planning and conducting audits .37
Bibliography .44
© ISO 2011 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO 19011:2011(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies
(ISO member bodies). The work of preparing International Standards is normally carried out through ISO
technical committees. Each member body interested in a subject for which a technical committee has been
established has the right to be represented on that committee. International organizations, governmental and
non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the International
Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International Standards
adopted by the technical committees are circulated to the member bodies for voting. Publication as an
International Standard requires approval by at least 75 % of the member bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 19011 was prepared by Technical Committee ISO/TC 176, Quality management and quality assurance,
Subcommittee SC 3, Supporting technologies.
This second edition cancels and replaces the first edition (ISO 19011:2002), which has been technically revised.
The main differences compared with the first edition are as follows:
— the scope has been broadened from the auditing of quality and environmental management systems to the
auditing of any management systems;
— the relationship between ISO 19011 and ISO/IEC 17021 has been clarified;
— remote audit methods and the concept of risk have been introduced;
— confidentiality has been added as a new principle of auditing;
— Clauses 5, 6 and 7 have been reorganized;
— additional information has been included in a new Annex B, resulting in the removal of help boxes;
— the competence determination and evaluation process has been strengthened;
— illustrative examples of discipline-specific knowledge and skills have been included in a new Annex A;
— additional guidelines are available at the following website: www.iso.org/19011auditing.
iv © ISO 2011 – All rights reserved
---------------------- Page: 4 ----------------------
ISO 19011:2011(E)
Introduction
Since the first edition of this International Standard was published in 2002, a number of new management
system standards have been published. As a result, there is now a need to consider a broader scope of
management system auditing, as well as providing guidance that is more generic.
In 2006, the ISO committee for conformity assessment (CASCO) developed ISO/IEC 17021, which sets out
requirements for third party certification of management systems and which was based in part on the guidelines
contained in the first edition of this International Standard.
The second edition of ISO/IEC 17021, published in 2011, was extended to transform the guidance offered in
this International Standard into requirements for management system certification audits. It is in this context
that this second edition of this International Standard provides guidance for all users, including small and
medium-sized organizations, and concentrates on what are commonly termed “internal audits” (first party)
and “audits conducted by customers on their suppliers” (second party). While those involved in management
system certification audits follow the requirements of ISO/IEC 17021:2011, they might also find the guidance in
this International Standard useful.
The relationship between this second edition of this International Standard and ISO/IEC 17021:2011 is shown
in Table 1.
Table 1 — Scope of this International Standard and its relationship with ISO/IEC 17021:2011
Internal auditing External auditing
Supplier auditing Third party auditing
For legal, regulatory and similar
purposes
Sometimes called first party audit Sometimes called second party audit
For certification (see also the
requirements in ISO/IEC 17021:2011)
This International Standard does not state requirements, but provides guidance on the management of an
audit programme, on the planning and conducting of an audit of the management system, as well as on the
competence and evaluation of an auditor and an audit team.
Organizations can operate more than one formal management system. To simplify the readability of this
International Standard, the singular form of “management system” is preferred, but the reader can adapt the
implementation of the guidance to their own particular situation. This also applies to the use of “person” and
“persons”, “auditor” and “auditors”.
This International Standard is intended to apply to a broad range of potential users, including auditors,
organizations implementing management systems, and organizations needing to conduct audits of management
systems for contractual or regulatory reasons. Users of this International Standard can, however, apply this
guidance in developing their own audit-related requirements.
The guidance in this International Standard can also be used for the purpose of self-declaration, and can be
useful to organizations involved in auditor training or personnel certification.
The guidance in this International Standard is intended to be flexible. As indicated at various points in the text,
the use of this guidance can differ depending on the size and level of maturity of an organization’s management
system and on the nature and complexity of the organization to be audited, as well as on the objectives and
scope of the audits to be conducted.
This International Standard introduces the concept of risk to management systems auditing. The approach
adopted relates both to the risk of the audit process not achieving its objectives and to the potential of the
audit to interfere with the auditee’s activities and processes. It does not provide specific guidance on the
organization’s risk management process, but recognizes that organizations can focus audit effort on matters of
significance to the management system.
© ISO 2011 – All rights reserved v
---------------------- Page: 5 ----------------------
ISO 19011:2011(E)
This International Standard adopts the approach that when two or more management systems of different
disciplines are audited together, this is termed a “combined audit”. Where these systems are integrated into a
single management system, the principles and processes of auditing are the same as for a combined audit.
Clause 3 sets out the key terms and definitions used in this International Standard. All efforts have been taken
to ensure that these definitions do not conflict with definitions used in other standards.
Clause 4 describes the principles on which auditing is based. These principles help the user to understand the
essential nature of auditing and they are important in understanding the guidance set out in Clauses 5 to 7.
Clause 5 provides guidance on establishing and managing an audit programme, establishing the audit
programme objectives, and coordinating auditing activities.
Clause 6 provides guidance on planning and conducting an audit of a management system.
Clause 7 provides guidance relating to the competence and evaluation of management system auditors and
audit teams.
Annex A illustrates the application of the guidance in Clause 7 to different disciplines.
Annex B provides additional guidance for auditors on planning and conducting audits.
vi © ISO 2011 – All rights reserved
---------------------- Page: 6 ----------------------
INTERNATIONAL STANDARD ISO 19011:2011(E)
Guidelines for auditing management systems
1 Scope
This International Standard provides guidance on auditing management systems, including the principles of
auditing, managing an audit programme and conducting management system audits, as well as guidance on
the evaluation of competence of individuals involved in the audit process, including the person managing the
audit programme, auditors and audit teams.
It is applicable to all organizations that need to conduct internal or external audits of management systems or
manage an audit programme.
The application of this International Standard to other types of audits is possible, provided that special
consideration is given to the specific competence needed.
2 Normative references
No normative references are cited. This clause is included in order to retain clause numbering identical with
other ISO management system standards.
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
3.1
audit
systematic, independent and documented process for obtaining audit evidence (3.3) and evaluating it
objectively to determine the extent to which the audit criteria (3.2) are fulfilled
NOTE 1 Internal audits, sometimes called first party audits, are conducted by the organization itself, or on its behalf, for
management review and other internal purposes (e.g. to confirm the effectiveness of the management system or to obtain
information for the improvement of the management system). Internal audits can form the basis for an organization’s self-
declaration of conformity. In many cases, particularly in small organizations, independence can be demonstrated by the
freedom from responsibility for the activity being audited or freedom from bias and conflict of interest.
NOTE 2 External audits include second and third party audits. Second party audits are conducted by parties having an
interest in the organization, such as customers, or by other persons on their behalf. Third party audits are conducted by
independent auditing organizations, such as regulators or those providing certification.
NOTE 3 When two or more management systems of different disciplines (e.g. quality, environmental, occupational
health and safety) are audited together, this is termed a combined audit.
NOTE 4 When two or more auditing organizations cooperate to audit a single auditee (3.7), this is termed a joint audit.
NOTE 5 Adapted from ISO 9000:2005, definition 3.9.1.
3.2
audit criteria
set of policies, procedures or requirements used as a reference against which audit evidence (3.3) is compared
NOTE 1 Adapted from ISO 9000:2005, definition 3.9.3.
NOTE 2 If the audit criteria are legal (including statutory or regulatory) requirements, the terms “compliant” or “non-
compliant” are often used in an audit finding (3.4).
© ISO 2011 – All rights reserved 1
---------------------- Page: 7 ----------------------
ISO 19011:2011(E)
3.3
audit evidence
records, statements of fact or other information which are relevant to the audit criteria (3.2) and verifiable
NOTE Audit evidence can be qualitative or quantitative.
[ISO 9000:2005, definition 3.9.4]
3.4
audit findings
results of the evaluation of the collected audit evidence (3.3) against audit criteria (3.2)
NOTE 1 Audit findings indicate conformity or nonconformity.
NOTE 2 Audit findings can lead to the identification of opportunities for improvement or recording good practices.
NOTE 3 If the audit criteria are selected from legal or other requirements, the audit finding is termed compliance or
non-compliance.
NOTE 4 Adapted from ISO 9000:2005, definition 3.9.5.
3.5
audit conclusion
outcome of an audit (3.1), after consideration of the audit objectives and all audit findings (3.4)
NOTE Adapted from ISO 9000:2005, definition 3.9.6.
3.6
audit client
organization or person requesting an audit (3.1)
NOTE 1 In the case of internal audit, the audit client can also be the auditee (3.7) or the person managing the audit
programme. Requests for external audit can come from sources such as regulators, contracting parties or potential clients.
NOTE 2 Adapted from ISO 9000:2005, definition 3.9.7.
3.7
auditee
organization being audited
[ISO 9000:2005, definition 3.9.8]
3.8
auditor
person who conducts an audit (3.1)
3.9
audit team
one or more auditors (3.8) conducting an audit (3.1), supported if needed by technical experts (3.10)
NOTE 1 One auditor of the audit team is appointed as the audit team leader.
NOTE 2 The audit team may include auditors-in-training.
[ISO 9000:2005, definition 3.9.10]
3.10
technical expert
person who provides specific knowledge or expertise to the audit team (3.9)
NOTE 1 Specific knowledge or expertise is that which relates to the organization, the process or activity to be audited,
or language or culture.
NOTE 2 A technical expert does not act as an auditor (3.8) in the audit team.
2 © ISO 2011 – All rights reserved
---------------------- Page: 8 ----------------------
ISO 19011:2011(E)
[ISO 9000:2005, definition 3.9.11]
3.11
observer
person who accompanies the audit team (3.9) but does not audit
NOTE 1 An observer is not a part of the audit team (3.9) and does not influence or interfere with the conduct of the
audit (3.1).
NOTE 2 An observer can be from the auditee (3.7), a regulator or other interested party who witnesses the audit (3.1).
3.12
guide
person appointed by the auditee (3.7) to assist the audit team (3.9)
3.13
audit programme
arrangements for a set of one or more audits (3.1) planned for a specific time frame and directed towards a
specific purpose
NOTE Adapted from ISO 9000:2005, definition 3.9.2.
3.14
audit scope
extent and boundaries of an audit (3.1)
NOTE The audit scope generally includes a description of the physical locations, organizational units, activities and
processes, as well as the time period covered.
[ISO 9000:2005, definition 3.9.13]
3.15
audit plan
description of the activities and arrangements for an audit (3.1)
[ISO 9000:2005, definition 3.9.12]
3.16
risk
effect of uncertainty on objectives
NOTE Adapted from ISO Guide 73:2009, definition 1.1.
3.17
competence
ability to apply knowledge and skills to achieve intended results
NOTE Ability implies the appropriate application of personal behaviour during the audit process.
3.18
conformity
fulfilment of a requirement
[ISO 9000:2005, definition 3.6.1]
3.19
nonconformity
non-fulfilment of a requirement
[ISO 9000:2005, definition 3.6.2]
© ISO 2011 – All rights reserved 3
---------------------- Page: 9 ----------------------
ISO 19011:2011(E)
3.20
management system
system to establish policy and objectives and to achieve those objectives
NOTE A management system of an organization can include different management systems, such as a quality
management system, a financial management system or an environmental management system.
[ISO 9000:2005, definition 3.2.2]
4 Principles of auditing
Auditing is characterized by reliance on a number of principles. These principles should help to make the audit
an effective and reliable tool in support of management policies and controls, by providing information on which
an organization can act in order to improve its performance. Adherence to these principles is a prerequisite for
providing audit conclusions that are relevant and sufficient and for enabling auditors, working independently
from one another, to reach similar conclusions in similar circumstances.
The guidance given in Clauses 5 to 7 is based on the six principles outlined below.
a) Integrity: the foundation of professionalism
Auditors and the person managing an audit programme should:
— perform their work with honesty, diligence, and responsibility;
— observe and comply with any applicable legal requirements;
— demonstrate their competence while performing their work;
— perform their work in an impartial manner, i.e. remain fair and unbiased in all their dealings;
— be sensitive to any influences that may be exerted on their judgement while carrying out an audit.
b) Fair presentation: the obligation to report truthfully and accurately
Audit findings, audit conclusions and audit reports should reflect truthfully and accurately the audit
activities. Significant obstacles encountered during the audit and unresolved diverging opinions between
the audit team and the auditee should be reported. The communication should be truthful, accurate,
objective, timely, clear and complete.
c) Due professional care: the application of diligence and judgement in auditing
Auditors should exercise due care in accordance with the importance of the task they perform and the
confidence placed in them by the audit client and other interested parties. An important factor in carrying
out their work with due professional care is having the ability to make reasoned judgements in all audit
situations.
d) Confidentiality: security of information
Auditors should exercise discretion in the use and protection of information acquired in the course of
their duties. Audit information should not be used inappropriately for personal gain by the auditor or the
audit client, or in a manner detrimental to the legitimate interests of the auditee. This concept includes the
proper handling of sensitive or confidential information.
e) Independence: the basis for the impartiality of the audit and objectivity of the audit conclusions
Auditors should be independent of the activity being audited wherever practicable, and should in all
cases act in a manner that is free from bias and conflict of interest. For internal audits, auditors should
be independent from the operating managers of the function being audited. Auditors should maintain
4 © ISO 2011 – All rights reserved
---------------------- Page: 10 ----------------------
ISO 19011:2011(E)
objectivity throughout the audit process to ensure that the audit findings and conclusions are based only
on the audit evidence.
For small organizations, it may not be possible for internal auditors to be fully independent of the activity
being audited, but every effort should be made to remove bias and encourage objectivity.
f) Evidence-based approach: the rational method for reaching reliable and reproducible audit conclusions
in a systematic audit process
Audit evidence should be verifiable. It will in general be based on samples of the information available,
since an audit is conducted during a finite period of time and with finite resources. An appropriate use of
sampling should be applied, since this is closely related to the confidence that can be placed in the audit
conclusions.
5 Managing an audit programme
5.1 General
An organization needing to conduct audits should establish an audit programme that contributes to the
determination of the effectiveness of the auditee’s management system. The audit programme can include
audits considering one or more management system standards, conducted either separately or in combination.
The top management should ensure that the audit programme objectives are established and assign one or
more competent persons to manage the audit programme. The extent of an audit programme should be based
on the size and nature of the organization being audited, as well as on the nature, functionality, complexity
and the level of maturity of the management system to be audited. Priority should be given to allocating
the audit programme resources to audit those matters of significance within the management system. These
may include the key characteristics of product quality or hazards related to health and safety, or significant
environmental aspects and their control.
NOTE This concept is commonly known as risk-based auditing. This International Standard does not give further
guidance on risk-based auditing.
The audit programme should include information and resources necessary to organize and conduct its audits
effectively and efficiently within the specified time frames and can also include the following:
— objectives for the audit programme and individual audits;
— extent/number/types/duration/locations/schedule of the audits;
— audit programme procedures;
— audit criteria;
— audit methods;
— selection of audit teams;
— necessary resources, including travel and accommodation;
— processes for handling confidentiality, information security, health and safety, and other similar matters.
The implementation of the audit programme should be monitored and measured to ensure its objectives have
been achieved. The audit programme should be reviewed in order to identify possible improvements.
Figure 1 illustrates the process flow for the management of an audit programme.
© ISO 2011 – All rights reserved 5
---------------------- Page: 11 ----------------------
ISO 19011:2011(E)
5.2 Establishing the audit programme objectives
5.3 Establishing the audit programme
PLAN
5.3.1 Roles and responsibilities of the person
managing the audit programme
5.3.2 Competence of the person managing the audit
programme
5.3.3 Establishing the extent of the audit programme
5.3.4 Identifying and evaluating audit programme
risks
5.3.5 Establishing procedures for the audit
programme
5.3.6 Identifying audit programme resources
5.4 Implementing the audit programme
5.4.1 General
Competence and
evaluation of auditors
5.4.2 Defining the objectives, scope and criteria for
(Clause 7)
an individual audit
DO
5.4.3 Selecting the audit methods
5.4.4 Selecting the audit team members
Performing an audit
5.4.5 Assigning responsibility for an individual audit
to the audit team leader
(Clause 6)
5.4.6 Managing the audit programme outcome
5.4.7 Managing and maintaining audit programme
records
CHECK
5.5 Monitoring the audit programme
5.6 Reviewing and improving the audit
ACT
programme
NOTE 1 This figure illustrates the application of the Plan-Do-Check-Act cycle in this International Standard.
NOTE 2 Clause/subclause numbering refers to the relevant clauses/subclauses of this International Standard.
Figure 1 — Process flow for the management of an audit programme
5.2 Establishing the audit programme objectives
The top management should ensure that the audit programme objectives are established to direct the planning
and conduct of audits and should ensure the audit programme is implemented effectively. Audit programme
objectives should be consistent with and support management system policy and objectives.
6 © ISO 2011 – All rights reserved
---------------------- Page: 12 ----------------------
ISO 19011:2011(E)
These objectives can be based on consideration of the following:
a) management priorities;
b) commercial and other business intentions;
c) characteristics of processes, products and projects, and any changes to them;
d) management system requirements;
e) legal and contractual requirements and other requirements to which the organization is committed;
f) need for supplier evaluation;
g) needs and expectations of interested parties, including customers;
h) auditee’s level of performance, as reflected in the occurrence of failures or incidents or customer complaints;
i) risks to the auditee;
j) results of previous audits;
k) level of maturity of the management system being audited.
Examples of audit programme objectives include the following:
— to contribute to the improvement of a management system and its performance;
— to fulfil external requirements, e.g. certification to a management system standard;
— to verify conformity with contractual requirements;
— to obtain and maintain confidence in the capability of a supplier;
— to determine the effectiveness of the management system;
— to evaluate the compatibility and alignment of the management system objectives with the management
system policy and the overall organizational objectives.
5.3 Establishing the audit programme
5.3.1 Roles and responsibilities of the person managing the audit programme
The person managing the audit programme should:
— establish the extent of the audit programme;
— identify and evaluate the risks for the audit programme;
— establish audit responsibilities;
— establish procedures for audit programmes;
— determine necessary resources;
...
NORME ISO
INTERNATIONALE 19011
Deuxième édition
2011-11-15
Lignes directrices pour l’audit des
systèmes de management
Guidelines for auditing management systems
Numéro de référence
ISO 19011:2011(F)
©
ISO 2011
---------------------- Page: 1 ----------------------
ISO 19011:2011(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2011
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l’accord écrit
de l’ISO à l’adresse ci-après ou du comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO 2011 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO 19011:2011(F)
Sommaire Page
Avant-propos .iv
Introduction . v
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Principes de l’audit . 4
5 Management d’un programme d’audit . 5
5.1 Généralités . 5
5.2 Détermination des objectifs du programme d’audit . 7
5.3 Établissement du programme d’audit . 8
5.4 Mise en œuvre du programme d’audit . 11
5.5 Surveillance du programme d’audit .14
5.6 Revue et amélioration du programme d’audit .15
6 Réalisation d’un audit .15
6.1 Généralités .15
6.2 Déclenchement de l’audit .16
6.3 Préparation des activités d’audit .17
6.4 Réalisation des activités d’audit .19
6.5 Préparation et diffusion du rapport d’audit .24
6.6 Clôture de l’audit .25
6.7 Réalisation du suivi d’audit .26
7 Compétence et évaluation des auditeurs .26
7.1 Généralités .26
7.2 Détermination de la compétence de l’auditeur pour répondre aux besoins du
programme d’audit .27
7.3 Déterminer les critères d’évaluation des auditeurs .31
7.4 Choisir la méthode d’évaluation des auditeurs appropriée .31
7.5 Réaliser l’évaluation du ou des auditeurs .31
7.6 Maintien et amélioration de la compétence du ou des auditeurs .32
Annexe A (informative) Lignes directrices et exemples illustratifs de connaissances et aptitudes
spécifiques à la discipline des auditeurs .33
Annexe B (informative) Lignes directrices supplémentaires destinées aux auditeurs pour la
planification et la réalisation des audits .39
Bibliographie .46
© ISO 2011 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO 19011:2011(F)
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes nationaux de
normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est en général confiée aux
comités techniques de l’ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du comité
technique créé à cet effet. Les organisations internationales, gouvernementales et non gouvernementales,
en liaison avec l’ISO participent également aux travaux. L’ISO collabore étroitement avec la Commission
électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale des comités techniques est d’élaborer les Normes internationales. Les projets de Normes
internationales adoptés par les comités techniques sont soumis aux comités membres pour vote. Leur
publication comme Normes internationales requiert l’approbation de 75 % au moins des comités membres
votants.
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet de droits
de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable de ne pas avoir
identifié de tels droits de propriété et averti de leur existence.
L’ISO 19011 a été élaborée par le comité technique ISO/TC 176, Management et assurance de la qualité,
sous-comité SC 3, Techniques de soutien.
Cette deuxième édition annule et remplace la première (ISO 19011:2002), qui a fait l’objet d’une révision
technique.
Les principales différences entre les versions de 2002 et 2011 de l’ISO 19011 sont les suivantes:
— le domaine d’application de la présente Norme internationale, qui se limitait dans la version précédente
à l’audit des systèmes de management de la qualité et de management environnemental, concerne cette
fois l’audit de tous les systèmes de management quels qu’ils soient;
— la relation entre l’ISO 19011 et l’ISO/CEI 17021 est clarifiée;
— les méthodes d’audit à distance et le concept de risque sont introduits;
— la confidentialité a été ajoutée comme nouveau principe;
— les Articles 5, 6 et 7 ont été réorganisés;
— une nouvelle Annexe B contient des informations supplémentaires, ce qui a conduit à la suppression des
textes encadrés;
— le processus de détermination et d’évaluation des compétences est renforcé;
— une nouvelle Annexe A présente des exemples illustratifs des connaissances et aptitudes spécifiques à la
discipline;
— de plus amples informations doivent être mises à disposition sur un site Web public de l’ISO (www.iso.
org/19011auditing).
iv © ISO 2011 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO 19011:2011(F)
Introduction
Depuis que la première édition de la présente Norme internationale a été publiée en 2002, un certain nombre
de nouvelles normes sur les systèmes de management a été publié. Le résultat est que maintenant il y a un
besoin de prendre en considération un domaine d’application plus étendu d’audit du système de management,
aussi bien que de fournir des lignes directrices, ce qui est plus général.
En 2006, l’ISO CASCO (Comité pour l’évaluation de la conformité) a élaboré l’ISO/CEI 17021 spécifiant des
exigences applicables à la certification par tierce partie des systèmes de management. Cette norme était
fondée partiellement sur les lignes directrices contenues dans la première édition de la présente Norme
internationale.
La deuxième édition de l’ISO/CEI 17021, publiée en 2011, a été étendue afin de transformer les lignes
directrices proposées dans la présente Norme internationale en exigences concernant les audits de
certification du système de management. C’est dans ce contexte que cette deuxième édition de la présente
Norme internationale fournit des lignes directrices à l’intention de tous les utilisateurs, y compris les petites
et moyennes entreprises, s’intéressant par ailleurs aux dénominations communément appliquées aux audits
internes (première partie) et aux audits réalisés par les clients portant sur leurs fournisseurs (seconde partie).
Bien que les personnes en charge des audits de certification du système de management respectent les
exigences de l’ISO/CEI 17021:2011, elles peuvent également considérer comme utiles les lignes directrices
définies dans la présente Norme internationale.
La relation entre cette deuxième édition de la présente Norme internationale et l’ISO/CEI 17021:2011 est
présentée dans le Tableau 1.
Tableau 1 — Domaine d’application de la présente Norme internationale
et sa relation avec l’ISO/CEI 17021:2011
Audit externe
Audit interne
Audit des fournisseurs Audit de tierce partie
À des fins légales, réglementaires et similaires
Parfois appelé Parfois appelé
re e Pour certification (voir également les exigences
audit de 1 partie audit de 2 partie
spécifiées dans l’ISO/CEI 17021:2011)
La présente Norme internationale ne spécifie pas d’exigences mais donne des lignes directrices sur le
management d’un programme d’audit, la planification et la réalisation d’un audit du système de management,
ainsi que sur la compétence et l’évaluation d’un auditeur et d’une équipe d’audit.
Les organismes peuvent utiliser deux systèmes de management formels ou plus. Pour une simplification de la
lisibilité de la présente Norme internationale, la forme singulière de «système de management» est préférable,
le lecteur pouvant toutefois adapter la mise en œuvre des lignes directrices à sa propre situation particulière.
La présente Norme internationale est destinée à une large gamme d’utilisateurs potentiels parmi lesquels
des auditeurs, des organismes mettant en œuvre des systèmes de management et des organismes devant
réaliser des audits de systèmes de management dans un cadre contractuel ou réglementaire. Les utilisateurs
de la présente Norme internationale peuvent cependant appliquer ces lignes directrices pour développer leurs
propres exigences en matière d’audit.
Les lignes directrices fournies dans la présente Norme internationale peuvent également être utilisées à des
fins d’autodéclaration et peuvent par ailleurs se révéler utiles aux organismes chargés de la certification du
personnel ou de la formation d’auditeurs.
Les lignes directrices fournies dans la présente Norme internationale se veulent flexibles. Comme indiqué à
différentes reprises dans le texte, l’utilisation de ces lignes directrices peut varier selon la taille, le niveau de
maturité du système de management de l’organisme, la nature et la complexité de l’organisme à auditer, ainsi
que selon les objectifs et le champ des audits à réaliser.
© ISO 2011 – Tous droits réservés v
---------------------- Page: 5 ----------------------
ISO 19011:2011(F)
La présente Norme internationale introduit le concept de risque dans l’audit des systèmes de management.
L’approche adoptée se rapporte à la fois au risque que le processus d’audit n’atteint pas ses objectifs et à
l’éventualité que l’audit influe sur les activités et les processus de l’audité. Cette approche ne fournit aucune
ligne directrice spécifique concernant le processus de gestion des risques d’un organisme, mais reconnaît
que les organismes peuvent concentrer l’effort d’audit sur des questions importantes pour le système de
management.
La présente Norme internationale adopte le principe selon lequel, lorsque deux ou plusieurs systèmes de
management de disciplines différentes font l’objet d’un audit conjoint, on parle d’audit combiné. Les principes
et les processus d’audit sont identiques à ceux applicables à un audit combiné lorsque les systèmes définis
sont intégrés dans un système de management unique.
L’Article 3 établit les termes et les définitions clés utilisés dans la présente Norme internationale. Les définitions
sont données en veillant à ne pas les rendre contradictoires avec les définitions utilisées dans d’autres normes
de systèmes de management.
L’Article 4 décrit les principes de base de l’audit. Ces principes permettent à l’utilisateur de comprendre les
fondements de l’audit, de même qu’ils sont importants pour la compréhension des lignes directrices spécifiées
dans les Articles 5 à 7.
L’Article 5 donne des lignes directrices pour la détermination et le management d’un programme d’audit, y
compris l’établissement des objectifs d’un programme d’audit et la coordination des activités d’audit.
L’Article 6 donne des lignes directrices pour planifier et réaliser l’audit d’un système de management.
L’Article 7 donne des lignes directrices relatives à la compétence et à l’évaluation des auditeurs et des équipes
d’audit d’un système de management.
L’Annexe A illustre l’application des lignes directrices de l’Article 7 à différentes disciplines.
L’Annexe B fournit des lignes directrices supplémentaires destinées aux auditeurs sur la planification et la
réalisation des audits.
vi © ISO 2011 – Tous droits réservés
---------------------- Page: 6 ----------------------
NORME INTERNATIONALE ISO 19011:2011(F)
Lignes directrices pour l’audit des systèmes de management
1 Domaine d’application
La présente Norme internationale fournit des lignes directrices sur l’audit de systèmes de management,
comprenant les principes de l’audit, le management d’un programme d’audit et la réalisation d’audits de
systèmes de management. Elle donne également des lignes directrices sur l’évaluation de la compétence
des personnes impliquées dans le processus d’audit, y compris le ou la responsable du management du
programme d’audit, les auditeurs et les équipes d’audit.
Elle est applicable à tous les organismes qui doivent réaliser des audits internes ou externes de systèmes de
management ou manager un programme d’audit.
La présente Norme internationale peut, en principe, s’appliquer à d’autres types d’audits, à condition toutefois
d’accorder une attention toute particulière aux compétences spécifiques requises.
2 Références normatives
Aucune référence normative n’est citée. L’inclusion du présent article permet de conserver une numérotation
des articles identique à celle utilisée dans d’autres normes de systèmes de management ISO.
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s’appliquent.
3.1
audit
processus méthodique, indépendant et documenté permettant d’obtenir des preuves d’audit (3.3) et de les
évaluer de manière objective pour déterminer dans quelle mesure les critères d’audit (3.2) sont satisfaits
NOTE 1 Les audits internes, parfois appelés audits de première partie, sont réalisés par ou pour le compte de l’organisme
lui-même, pour la revue de direction et d’autres besoins internes (par exemple pour confirmer le fonctionnement prévu du
système de management ou pour obtenir des informations permettant d’améliorer le système de management), et peuvent
servir de base à l’autodéclaration de conformité de l’organisme. Dans de nombreux cas et en particulier pour les petits
organismes, l’indépendance peut être démontrée par l’absence de responsabilité vis-à-vis de l’activité à auditer, ou de
divergence et de conflit d’intérêt.
NOTE 2 Les audits externes comprennent les audits de seconde et de tierce partie. Les audits de seconde partie
sont réalisés par des parties ayant un intérêt à l’égard de l’organisme, comme les clients ou d’autres personnes agissant
en leur nom. Les audits de tierce partie sont réalisés par des organismes d’audit indépendants, tels que les autorités de
réglementation ou les organismes qui octroient l’enregistrement ou la certification.
NOTE 3 Lorsque deux ou plusieurs systèmes de management de différentes disciplines (par exemple qualité,
environnement, santé et sécurité au travail) font l’objet d’un audit conjoint, on parle d’audit combiné.
NOTE 4 Lorsque deux ou plusieurs organismes d’audit coopèrent pour auditer un seul audité (3.7), on parle d’audit
conjoint.
NOTE 5 Adapté de l’ISO 9000:2005, définition 3.9.1.
3.2
critères d’audit
ensemble de politiques, procédures ou exigences utilisées comme référence vis-à-vis de laquelle les preuves
d’audit (3.3) sont comparées
NOTE Adapté de l’ISO 9000:2005, définition 3.9.3.
© ISO 2011 – Tous droits réservés 1
---------------------- Page: 7 ----------------------
ISO 19011:2011(F)
3.3
preuves d’audit
enregistrements, énoncés de faits ou d’autres informations pertinents pour les critères d’audit (3.2) et
vérifiables
NOTE Les preuves d’audit peuvent être qualitatives ou quantitatives.
[ISO 9000:2005, définition 3.9.4]
3.4
constatations d’audit
résultats de l’évaluation des preuves d’audit (3.3) par rapport aux critères d’audit (3.2)
NOTE 1 Les constatations d’audit indiquent la conformité ou la non-conformité.
NOTE 2 Les constatations d’audit peuvent conduire à l’identification des opportunités d’amélioration ou à la consignation
des bonnes pratiques.
NOTE 3 Si les critères d’audit sont choisis parmi les exigences légales ou d’autres exigences, la constatation d’audit
est qualifiée de conformité ou non conformité.
NOTE 4 Adapté de l’ISO 9000:2005, définition 3.9.5.
3.5
conclusions d’audit
résultat d’un audit (3.1), après avoir pris en considération les objectifs de l’audit et toutes les constatations
d’audit (3.4)
3.6
client de l’audit
organisme ou personne demandant un audit (3.1)
NOTE 1 Dans le cas d’un audit interne, le client de l’audit peut également être l’audité (3.7) ou la personne qui gère le
programme d’audit. Les demandes d’audit externe peuvent provenir de sources telles que des autorités de réglementation,
des parties contractantes ou des clients potentiels.
NOTE Adapté de l’ISO 9000:2005, définition 3.9.7.
3.7
audité
organisme qui est audité
[ISO 9000:2005, définition 3.9.8]
3.8
auditeur
personne qui réalise un audit (3.1)
3.9
équipe d’audit
un ou plusieurs auditeurs (3.8) réalisant un audit (3.1), assistés, si nécessaire, par des experts
techniques (3.10)
NOTE 1 Un auditeur de l’équipe d’audit est nommé responsable de l’équipe d’audit.
NOTE 2 L’équipe d’audit peut comprendre des auditeurs en formation.
[ISO 9000:2005, définition 3.9.10]
2 © ISO 2011 – Tous droits réservés
---------------------- Page: 8 ----------------------
ISO 19011:2011(F)
3.10
expert technique
〈audit〉 personne apportant à l’équipe d’audit (3.9) des connaissances ou une expertise spécifiques
NOTE 1 Ces connaissances ou cette expertise spécifiques sont relatives à l’organisme, au processus ou à l’activité à
auditer, ou elles consistent en une assistance linguistique ou culturelle.
NOTE 2 Au sein de l’équipe d’audit, un expert technique n’agit pas en tant qu’auditeur (3.8).
[ISO 9000:2005, définition 3.9.11]
3.11
observateur
personne qui accompagne l’équipe d’audit (3.9) mais ne réalise pas d’audit
NOTE 1 L’observateur ne fait pas partie intégrante de l’équipe d’audit et n’influence en aucune manière la réalisation
de l’audit (3.1).
NOTE 2 Un observateur peut être désigné par l’audité (3.7), des Pouvoirs Publics ou toute autre partie intéressée qui
assiste à l’audit (3.1).
3.12
guide
personne nommée par l’audité (3.7) pour assister l’équipe d’audit (3.9)
3.13
programme d’audit
dispositions relatives à un ensemble d’un ou plusieurs audits (3.1) planifié pour une durée spécifique et dirigé
dans un but spécifique
3.14
champ de l’audit
étendue et limites d’un audit (3.1)
NOTE Le champ de l’audit décrit généralement les lieux, les unités organisationnelles, les activités et les processus
ainsi que la période de temps couverte.
[ISO 9000:2005, définition 3.9.13]
3.15
plan d’audit
description des activités et des dispositions nécessaires pour réaliser un audit (3.1)
[ISO 9000:2005, définition 3.9.12]
3.16
risque
effet de l’incertitude sur les objectifs
NOTE Adapté de l’ISO Guide 73:2009, définition 1.1.
3.17
compétence
capacité à appliquer des connaissances et des aptitudes pour obtenir les résultats escomptés
NOTE La capacité implique la bonne application des comportements personnels pendant le processus d’audit.
© ISO 2011 – Tous droits réservés 3
---------------------- Page: 9 ----------------------
ISO 19011:2011(F)
3.18
conformité
satisfaction d’une exigence
[ISO 9000:2005, définition 3.6.1]
NOTE Si les critères d’audit (3.2) sont des exigences légales (y compris statutaires ou réglementaires), une
constatation d’audit (3.4) utilise souvent les termes «conforme à la réglementation» ou «non conforme à la réglementation».
3.19
non-conformité
non-satisfaction d’une exigence
[ISO 9000:2005, définition 3.6.2]
3.20
système de management
système permettant d’établir une politique et des objectifs et d’atteindre ces objectifs
NOTE Le système de management d’un organisme peut inclure différents systèmes de management, tels
qu’un système de management de la qualité, un système de management financier ou un système de management
environnemental.
[ISO 9000:2005, définition 3.2.2]
4 Principes de l’audit
L’audit est caractérisé par la confiance accordée à un certain nombre de principes. Il convient que ces
principes fassent de l’audit un outil efficace et fiable sur lequel la direction peut s’appuyer pour gérer ses
politiques et contrôles en fournissant des informations à partir desquelles l’organisme peut agir pour améliorer
ses performances. Le respect de ces principes est indispensable pour que les conclusions d’audit soient
pertinentes et suffisantes, et pour que des auditeurs travaillant indépendamment les uns des autres parviennent
à des conclusions similaires dans des circonstances similaires.
Les lignes directrices données dans les Articles 5 à 7 sont fondées sur les sept principes mis en évidence
ci-après.
a) Déontologie: le fondement du professionnalisme
Il convient que les auditeurs et la personne responsable du management du programme d’audit:
— réalisent leurs tâches avec honnêteté, diligence et responsabilité;
— observent et respectent toutes les exigences légales applicables;
— démontrent leur compétence technique dans l’accomplissement de leurs tâches;
— réalisent leurs tâches en toute impartialité, c’est-à-dire qu’ils restent justes et sans parti pris dans
toutes leurs actions;
— soient sensibilisés à toutes les influences que peuvent exercer d’autres parties intéressées sur leur
jugement lorsqu’ils réalisent un audit.
b) Présentation impartiale: l’obligation de rendre compte de manière honnête et précise
Il convient que les constatations, conclusions et rapports d’audit reflètent de manière honnête et précise
les activités d’audit. Il convient de consigner les obstacles importants rencontrés pendant l’audit et les
questions non résolues ou les avis divergents entre l’équipe d’audit et l’audité. La communication doit être
honnête, précise, objective, opportune, claire et complète.
4 © ISO 2011 – Tous droits réservés
---------------------- Page: 10 ----------------------
ISO 19011:2011(F)
c) Conscience professionnelle: l’attitude diligente et avisée au cours de l’audit
Il convient que les auditeurs agissent en accord avec l’importance des tâches qu’ils réalisent et la confiance
que leur ont accordée le client de l’audit et les autres parties intéressées. La qualité essentielle pour
réaliser leurs tâches avec conscience professionnelle réside dans la capacité à prendre des décisions
avisées dans toutes les situations d’audit.
d) Confidentialité: sûreté des informations
Il convient que les auditeurs utilisent avec précaution les informations acquises au cours de leurs missions
et respectent les règles de confidentialité. Il convient que les informations d’audit ne soient pas utilisées
de manière inappropriée au seul bénéfice de l’auditeur ou du client de l’audit ou de manière qui pourrait
porter préjudice à l’intérêt légitime de l’audité. Ce concept comprend le traitement correct des informations
sensibles ou confidentielles.
e) Indépendance: le fondement de l’impartialité de l’audit et de l’objectivité des conclusions d’audit
Il convient que les auditeurs soient indépendants de l’activité auditée et n’aient ni parti pris ni conflit
d’intérêt dans toute la mesure du possible. Pour les audits internes, il convient que les auditeurs soient
indépendants des responsables opérationnels de la fonction auditée. Il convient que les auditeurs
conservent un état d’esprit objectif tout au long du processus d’audit pour s’assurer que les constatations
et conclusions sont uniquement fondées sur les preuves d’audit.
Pour les petits organismes, il peut se révéler impossible pour les auditeurs internes d’être totalement
indépendants de l’activité auditée, mais il convient de s’efforcer d’établir des relations sans parti pris et de
créer un climat d’objectivité.
f) Approche fondée sur la preuve: la méthode rationnelle pour parvenir à des conclusions d’audit fiables
et reproductibles dans un processus d’audit systématique
Il convient que les preuves d’audit soient vérifiables. Elles s’appuient généralement sur des échantillons
des informations disponibles, dans la mesure où un audit est réalisé avec une durée et des ressources
délimitées. Il convient d’utiliser l’échantillonnage de manière appropriée, dans la mesure où cette utilisation
est étroitement liée à la confiance qui peut être accordée aux conclusions d’audit.
5 Management d’un programme d’audit
5.1 Généralités
Il convient qu’un organisme devant réaliser des audits établisse un programme d’audit qui contribue à déterminer
l’efficacité du système de management de l’audité. Le programme d’audit peut inclure des audits prenant en
compte une ou plusieurs normes de systèmes de management, réalisés de manière individuelle ou combinée.
Il convient que la direction s’assure que les objectifs d’un programme d’audit sont établis et qu’elle attribue à
une ou des personnes compétentes la responsabilité du management du programme d’audit. Il convient que
l’étendue d’un programme d’audit tienne compte de la taille et de la nature de l’organisme audité, ainsi que de
la nature, de la fonctionnalité, de la complexité et du niveau de maturité du système de management à auditer.
Il convient d’accorder la priorité aux ressources du programme d’audit à attribuer aux questions importantes
au sein du système de management. Ces éléments significatifs peuvent comprendre les caractéristiques
essentielles relevant de la qualité du produit, des dangers et risques en matière de santé et de sécurité, ou des
aspects environnementaux significatifs et leur maîtrise.
NOTE Ce concept est communément appelé audit en fonction du risque. La présente Norme internationale ne fournit
pas de lignes directrices supplémentaires concernant l’audit en fonction du risque.
Il convient que le programme d’audit comporte les informations et ressources nécessaires pour organiser et
réaliser ses audits de façon efficace et effective dans les délais spécifiés. Ce programme peut également
inclure:
— des objectifs pour le programme d’audit et les audits individuels;
© ISO 2011 – Tous droits réservés 5
---------------------- Page: 11 ----------------------
ISO 19011:2011(F)
— l’étendue/le nombre/les types/la durée/les lieux/le calendrier des audits;
— les procédures de programme d’audit;
— les critères d’audit;
— les méthodes d’audit;
— la constitution des équipes d’audit;
— les ressources nécessaires, y compris les déplacements et l’hébergement;
— les processus de traitement des questions relatives à la confidentialité, à la sûreté des informations, à la
santé et à la sécurité, et autres sujets similaires.
Il convient de surveiller et mesurer la mise en œuvre du programme d’audit afin de s’assurer de la réalisation
de ses objectifs. Il convient que le programme d’audit fasse l’objet d’une revue afin d’identifier l
...
NORMA ISO
INTERNACIONAL 19011
Traducción oficial
Segunda edición
Official translation
2011-11-15
Traduction officielle
Directrices para la auditoría de los
sistemas de gestión
Guidelines for auditing management systems
Lignes directrices pour l'audit des systèmes de management
Publicado por la Secretaría Central de ISO en Ginebra, Suiza, como
traducción oficial en español avalada por el Translation Management
Group, que ha certificado la conformidad en relación con las versiones
inglesa y francesa.
Número de referencia
ISO 19011:2011
(traducción oficial)
©
ISO 2011
---------------------- Page: 1 ----------------------
ISO 19011:2011 (traducción oficial)
DOCUMENTO PROTEGIDO POR COPYRIGHT
© ISO 2011
Reservados los derechos de reproducción. Salvo prescripción diferente, no podrá reproducirse ni utilizarse ninguna parte de esta
publicación bajo ninguna forma y por ningún medio, electrónico o mecánico, incluidos el fotocopiado y la microfilmación, sin la
autorización por escrito recibida de ISO en la siguiente dirección o del organismo miembro de ISO en el país solicitante.
ISO copyright office
Case postale 56 CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Versión española publicada en 2012
Publicado en Suiza
Traducción oficial/Official translation/Traduction officielle
ii © ISO 2011 — Todos los derecho reservados
---------------------- Page: 2 ----------------------
ISO 19011:2011 (traducción oficial)
Índice Página
Prólogo . iv
Prólogo de la versión en español . v
Introducción . vi
1 Objeto y campo de aplicación . 1
2 Referencias normativas . 1
3 Términos y definiciones . 1
4 Principios de auditoría . 4
5 Gestión de un programa de auditoría . 5
5.1 Generalidades . 5
5.2 Establecimiento de los objetivos del programa de auditoría . 8
5.3 Establecimiento del programa de auditoría . 8
5.4 Implementación del programa de auditoría . 11
5.5 Seguimiento del programa de auditoría . 15
5.6 Revisión y mejora del programa de auditoría . 16
6 Realización de una auditoría . 16
6.1 Generalidades . 16
6.2 Inicio de la auditoría . 17
6.3 Preparación de las actividades de auditoría . 18
6.4 Realización de las actividades de auditoría . 21
6.5 Preparación y distribución del informe de auditoría . 26
6.6 Finalización de la auditoría . 27
6.7 Realización de las actividades de seguimiento de una auditoría . 28
7 Competencia y evaluación de los auditores . 28
7.1 Generalidades . 28
7.2 Determinación de la competencia del auditor para cumplir las necesidades del programa
de auditoría . 29
7.3 Establecimiento de los criterios de evaluación del auditor . 33
7.4 Selección del método apropiado de evaluación del auditor. 33
7.5 Realización de la evaluación del auditor . 34
7.6 Mantenimiento y mejora de la competencia del auditor . 34
Anexo A (informativo) Orientación y ejemplos ilustrativos de conocimientos y habilidades de un
auditor en disciplinas específicas . 35
Anexo B (informativo) Orientación adicional destinada a los auditores para planificar y realizar
las auditorías . 42
Bibliografía . 49
Traducción oficial/Official translation/Traduction officielle
© ISO 2011 — Todos los derechos reservados iii
---------------------- Page: 3 ----------------------
ISO 19011:2011 (traducción oficial)
Prólogo
ISO (Organización Internacional de Normalización) es una federación mundial de organismos nacionales de
normalización (organismos miembros de ISO). El trabajo de preparación de las Normas Internacionales
normalmente se realiza a través de los comités técnicos de ISO. Cada organismo miembro interesado en una
materia para la cual se haya establecido un comité técnico, tiene el derecho de estar representado en dicho
comité. Las organizaciones internacionales, públicas y privadas, en coordinación con ISO, también participan
en el trabajo. ISO colabora estrechamente con la Comisión Electrotécnica Internacional (IEC) en todas las
materias de normalización electrotécnica.
Las normas internacionales se redactan de acuerdo con las reglas establecidas en la Parte 2 de las
Directivas ISO/IEC.
La tarea principal de los comités técnicos es preparar Normas Internacionales. Los Proyectos de Normas
Internacionales adoptados por los comités técnicos se envían a los organismos miembros para votación. La
publicación como Norma Internacional requiere la aprobación por al menos el 75% de los organismos
miembros que emiten voto.
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan estar
sujetos a derechos de patente. ISO no asume la responsabilidad por la identificación de cualquiera o todos
los derechos de patente.
La Norma ISO 19011 ha sido preparada por el Comité Técnico ISO/TC 176, Gestión y aseguramiento de la
calidad, Subcomité SC 3, Tecnologías de apoyo.
Esta segunda edición anula y sustituye a la primera edición (ISO 19011:2002), que ha sido revisada
técnicamente.
Las principales diferencias entre las versiones de 2002 y 2011 de la Norma ISO 19011 son las siguientes:
— el objeto y campo de aplicación se ha ampliado de la auditoría de los sistemas de gestión de la calidad y
del medio ambiente a las auditorías de todos los sistemas de gestión;
— se ha aclarado la relación entre las Normas ISO 19011 e ISO/IEC 17021;
— se han introducido los métodos de auditoría a distancia y el concepto de riesgo;
— se ha añadido la confidencialidad como un nuevo principio de auditoría;
— se han reorganizado los capítulos 5, 6 y 7;
— se ha incluido un nuevo Anexo B con información adicional, dando como resultado la eliminación de los
recuadros de ayuda;
— se ha fortalecido el proceso de determinación y evaluación de las competencias;
— se han incluido en un nuevo Anexo A ejemplos ilustrativos de los conocimientos y habilidades
específicos de la disciplina;
— se encuentran disponibles directrices adicionales en el siguiente sitio Web: www.iso.org/19011auditing
Traducción oficial/Official translation/Traduction officielle
iv © ISO 2011 — Todos los derechos reservados
---------------------- Page: 4 ----------------------
ISO 19011:2011 (traducción oficial)
Prólogo de la versión en español
Esta Norma Internacional ha sido traducida por el Grupo de Trabajo Spanish Translation Task Group (STTG)
del Comité Técnico ISO/TC 176, Gestión y aseguramiento de la calidad, en el que participan representantes
de los organismos nacionales de normalización y representantes del sector empresarial de los siguientes
países:
Argentina, Bolivia, Brasil, Chile, Colombia, Costa Rica, Cuba, Ecuador, España, Estados Unidos de América,
México, Perú y Uruguay.
Igualmente, en el citado Grupo de Trabajo participan representantes de COPANT (Comisión Panamericana
de Normas Técnicas) y de INLAC (Instituto Latinoamericano de la Calidad).
Esta traducción es parte del resultado del trabajo que el Grupo ISO/TC 176/STTG viene desarrollando desde
su creación en el año 1999 para lograr la unificación de la terminología en lengua española en el ámbito de la
gestión de la calidad.
Traducción oficial/Official translation/Traduction officielle
© ISO 2011 — Todos los derechos reservados v
---------------------- Page: 5 ----------------------
ISO 19011:2011 (traducción oficial)
Introducción
Desde la publicación de la primera edición de esta Norma Internacional en 2002, se han publicado varias
normas nuevas de sistemas de gestión. Como resultado, ahora existe la necesidad de considerar un alcance
más amplio de la auditoría de los sistemas de gestión, así como de proporcionar una orientación más
genérica.
En 2006, el comité de ISO para la evaluación de la conformidad (CASCO) desarrolló la Norma ISO/IEC 17021,
que establece los requisitos para la certificación de tercera parte de los sistemas de gestión y que se basa
parcialmente en las directrices contenidas en la primera edición de esta Norma Internacional.
La segunda edición de la Norma ISO/IEC 17021, publicada en 2011, se amplió para transformar la
orientación ofrecida en esta Norma Internacional en requisitos para las auditorías de certificación de sistemas
de gestión. Es en este contexto que esta segunda edición de esta Norma Internacional proporciona
orientación a todos los usuarios, incluyendo las organizaciones pequeñas y medianas, y se concentra en lo
que se denomina comúnmente “auditorías internas” (de primera parte) y “auditorías realizadas por clientes a
sus proveedores” (de segunda parte). Aunque aquellos implicados en auditorías de certificación de sistemas
de gestión sigan los requisitos de la Norma ISO/IEC 17021:2011, también podrían encontrar útil la orientación
de esta Norma Internacional.
La relación entre esta segunda edición de esta Norma Internacional y la Norma ISO/IEC 17021:2011 se
muestra en la Tabla 1.
Tabla 1 – Alcance de esta Norma Internacional y su relación con la Norma ISO/IEC 17021:2011
Auditoría externa
Auditoría interna
Auditoría al proveedor Auditoría de tercera parte
Para propósitos legales,
reglamentarios y similares
A veces llamada auditoría de
A veces llamada auditoría de segunda parte
primera parte
Para certificación (Véanse también
los requisitos en la Norma
ISO/IEC 17021:2011)
Esta Norma Internacional no establece requisitos, sino que proporciona orientación sobre la gestión de un
programa de auditoría, sobre la planificación y realización de una auditoría del sistema de gestión, así como
sobre la competencia y evaluación de un auditor y un equipo auditor.
Las organizaciones pueden operar más de un sistema de gestión formal. Para simplificar la legibilidad de esta
Norma Internacional, se prefiere la forma singular de “sistema de gestión”, pero el lector puede adaptar la
implementación de la orientación a su propia situación particular. Esto también aplica al uso de “persona” y
“personas”, “auditor” y “auditores”.
Se pretende que esta Norma Internacional se aplique a un amplio rango de usuarios potenciales, incluyendo
auditores, organizaciones que implementan sistemas de gestión y organizaciones que necesitan realizar
auditorías de sistemas de gestión por razones contractuales o reglamentarias. Sin embargo, los usuarios de
esta Norma Internacional pueden aplicar esta orientación al desarrollar sus propios requisitos relacionados
con auditorías.
La orientación en esta Norma Internacional también puede usarse con el propósito de la autodeclaración, y
puede ser útil para organizaciones que participan en la formación de auditores o en la certificación de
personas.
Traducción oficial/Official translation/Traduction officielle
vi © ISO 2011 — Todos los derechos reservados
---------------------- Page: 6 ----------------------
ISO 19011:2011 (traducción oficial)
La orientación en esta Norma Internacional pretende ser flexible. Como se indica en varios puntos del texto,
el uso de esta orientación puede diferir dependiendo del tamaño y el nivel de madurez del sistema de gestión
de una organización y de la naturaleza y complejidad de la organización que se va a auditar, así como de los
objetivos y el alcance de las auditorías que se van a realizar.
Esta Norma Internacional introduce el concepto de riesgo en la auditoría de sistemas de gestión. El enfoque
adoptado se refiere tanto a los riesgos del proceso de auditoría para alcanzar sus objetivos como al riesgo
potencial de la auditoría para interferir con las actividades y procesos del auditado. No proporciona
orientación específica para los procesos de gestión del riesgo de la organización, pero reconoce que las
organizaciones pueden centrar el esfuerzo de auditoría en cuestiones de importancia para el sistema de
gestión.
Esta Norma Internacional adopta el enfoque de que cuando se auditan juntos dos o más sistemas de gestión
de distintas disciplinas, esto se denomina “auditoría combinada”. Cuando estos sistemas están integrados en
un único sistema de gestión, los principios y procesos de auditoría son los mismos que para una auditoría
combinada.
El capítulo 3 establece los términos y definiciones clave utilizados en esta Norma Internacional. Se ha hecho
un gran esfuerzo para asegurarse de que estas definiciones no estén en conflicto con las definiciones
utilizadas en otras normas.
El capítulo 4 describe los principios en los que se basa la auditoría. Estos principios ayudan al usuario a
comprender la naturaleza esencial de la auditoría y son importantes para comprender la orientación
establecida en los capítulos 5 a 7.
El capítulo 5 proporciona orientación sobre el establecimiento y la gestión de un programa de auditoría, el
establecimiento de los objetivos del programa de auditoría y la coordinación de las actividades de auditoría.
El capítulo 6 proporciona orientación sobre la planificación y realización de una auditoría de un sistema de
gestión.
El capítulo 7 proporciona orientación relativa a la competencia y la evaluación de los auditores y los equipos
auditores de sistemas de gestión.
El Anexo A ilustra la aplicación de la orientación del capítulo 7 a distintas disciplinas.
El Anexo B proporciona orientación adicional para auditores sobre la planificación y realización de auditorías.
Traducción oficial/Official translation/Traduction officielle
© ISO 2011 — Todos los derechos reservados vii
---------------------- Page: 7 ----------------------
NORMA INTERNACIONAL ISO 19011:2011 (traducción oficial)
Directrices para la auditoría de los sistemas de gestión
1 Objeto y campo de aplicación
Esta Norma Internacional proporciona orientación sobre la auditoría de los sistemas de gestión, incluyendo
los principios de la auditoría, la gestión de un programa de auditoría y la realización de auditorías de sistemas
de gestión, así como orientación sobre la evaluación de la competencia de los individuos que participan en el
proceso de auditoría, incluyendo a la persona que gestiona el programa de auditoría, los auditores y los
equipos auditores.
Es aplicable a todas las organizaciones que necesitan realizar auditorías internas o externas de sistemas de
gestión, o gestionar un programa de auditoría.
La aplicación de esta Norma Internacional a otros tipos de auditorías es posible, siempre que se preste
especial atención a la competencia específica necesaria.
2 Referencias normativas
No se citan referencias normativas. Se incluye este capítulo para conservar una numeración de capítulos
idéntica a la utilizada en otras normas de sistemas de gestión ISO.
3 Términos y definiciones
Para el propósito de este documento, se aplican los siguientes términos y definiciones.
3.1
auditoría
proceso sistemático, independiente y documentado para obtener evidencias de la auditoría (3.3) y
evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría
(3.2).
NOTA 1 Las auditorías internas, denominadas en algunos casos auditorías de primera parte, se realizan por la propia
organización, o en su nombre, para la revisión por la dirección y para otros propósitos internos (por ejemplo, para
confirmar la eficacia del sistema de gestión o para obtener información para la mejora del sistema de gestión). Las
auditorías internas pueden formar la base para una autodeclaración de conformidad de una organización. En muchos
casos, particularmente en organizaciones pequeñas, la independencia puede demostrarse al estar libre el auditor de
responsabilidades en la actividad que se audita o al estar libre de sesgo y conflicto de intereses.
NOTA 2 Las auditorías externas incluyen auditorías de segunda y tercera parte. Las auditorías de segunda parte se
llevan a cabo por partes que tienen un interés en la organización, tal como los clientes, o por otras personas en su
nombre. Las auditorías de tercera parte se llevan a cabo por organizaciones auditoras independientes, tales como las
autoridades reglamentarias o aquellas que proporcionan la certificación.
NOTA 3 Cuando dos o más sistemas de gestión de disciplinas diferentes (por ejemplo, de la calidad, ambiental,
seguridad y salud ocupacional) se auditan juntos, se denomina auditoría combinada.
NOTA 4 Cuando dos o más organizaciones auditoras cooperan para auditar a un único auditado (3.7), se denomina
auditoría conjunta.
NOTA 5 Adaptado de la Norma ISO 9000:2005, definición 3.9.1.
Traducción oficial/Official translation/Traduction officielle
© ISO 2011 — Todos los derechos reservados 1
---------------------- Page: 8 ----------------------
ISO 19011:2011 (traducción oficial)
3.2
criterios de auditoria
conjunto de políticas, procedimientos o requisitos usados como referencia frente a la cual se compara la
evidencia de la auditoría (3.3)
NOTA 1 Adaptado de la Norma ISO 9000:2005, definición 3.9.3.
NOTA 2 Si los criterios de auditoría son requisitos legales (incluyendo los reglamentarios), los términos “ cumple” o no
“cumple” se utilizan a menudo en los hallazgos de auditoría (3.4).
3.3
evidencia de la auditoría
registros, declaraciones de hechos o cualquier otra información que es pertinente para los criterios de
auditoría (3.2) y que es verificable
NOTA La evidencia de la auditoría puede ser cualitativa o cuantitativa.
[ISO 9000:2005, definición 3.9.4]
3.4
hallazgos de la auditoría
resultados de la evaluación de la evidencia de la auditoría (3.3) recopilada frente a los criterios de
auditoría (3.2)
NOTA 1 Los hallazgos de la auditoría pueden indicar conformidad o no conformidad.
NOTA 2 Los hallazgos de la auditoría pueden conducir a la identificación de oportunidades para la mejora o el registro
de buenas prácticas.
NOTA 3 Si los criterios de auditoría se seleccionan de entre los requisitos legales u otros requisitos, el hallazgo de la
auditoría se denomina cumplimiento o no cumplimiento.
NOTA 4 Adaptado de la Norma ISO 9000:2005, definición 3.9.5.
3.5
conclusiones de la auditoría
resultado de una auditoría (3.1), tras considerar los objetivos de la auditoría y todos los hallazgos de la
auditoría (3.4)
NOTA Adaptado de la Norma ISO 9000:2005, definición 3.9.6.
3.6
cliente de la auditoría
organización o persona que solicita una auditoría (3.1)
NOTA 1 En el caso de una auditoría interna, el cliente de la auditoría también puede ser el auditado (3.7) o la persona
que gestiona el programa de auditoría. Las solicitudes de una auditoría externa pueden provenir de fuentes como
autoridades reglamentarias, partes contratantes o clientes potenciales.
NOTA 2 Adaptado de la Norma ISO 9000:2005, definición 3.9.7.
3.7
auditado
organización que es auditada
[ISO 9000:2005, definición 3.9.8]
3.8
auditor
persona que lleva a cabo una auditoría (3.1)
Traducción oficial/Official translation/Traduction officielle
2 © ISO 2011 — Todos los derechos reservados
---------------------- Page: 9 ----------------------
ISO 19011:2011 (traducción oficial)
3.9
equipo auditor
uno o más auditores (3.8) que llevan a cabo una auditoría (3.1), con el apoyo, si es necesario, de expertos
técnicos (3.10).
NOTA 1 A un auditor del equipo se le designa como líder del mismo.
NOTA 2 El equipo auditor puede incluir auditores en formación.
[ISO 9000:2005, definición 3.9.10]
3.10
experto técnico
persona que aporta conocimientos o experiencia específicos al equipo auditor (3.9)
NOTA 1 El conocimiento o experiencia específicos son los relacionados con la organización, el proceso o la actividad
a auditar, el idioma o la orientación cultural.
NOTA 2 Un experto técnico no actúa como un auditor (3.8) en el equipo auditor.
[ISO 9000:2005, definición 3.9.11]
3.11
observador
persona que acompaña al equipo auditor (3.9) pero que no audita.
NOTA 1 Un observador no es parte del equipo auditor (3.9) y no influye ni interfiere en la realización de la auditoría
(3.1).
NOTA 2 Un observador puede designarse por el auditado (3.7), una autoridad reglamentaria u otra parte interesada
que testifica la auditoría (3.1).
3.12
guía
persona designada por el auditado (3.7) para asistir al equipo auditor (3.9)
3.13
programa de auditoría
detalles acordados para un conjunto de una o más auditorías (3.1) planificadas para un periodo de tiempo
determinado y dirigidas hacia un propósito específico
NOTA Adaptado de la Norma ISO 9000:2005, definición 3.9.2.
3.14
alcance de la auditoría
extensión y límites de una auditoría (3.1)
NOTA El alcance de la auditoría incluye generalmente una descripción de las ubicaciones, las unidades de la
organización, las actividades y los procesos, así como el periodo de tiempo cubierto.
[ISO 9000:2005, definición 3.9.13]
3.15
plan de auditoría
descripción de las actividades y de los detalles acordados de una auditoría (3.1)
[ISO 9000:2005, definición 3.9.12]
Traducción oficial/Official translation/Traduction officielle
© ISO 2011 — Todos los derechos reservados 3
---------------------- Page: 10 ----------------------
ISO 19011:2011 (traducción oficial)
3.16
riesgo
efecto de la incertidumbre sobre los objetivos
NOTA Adaptado de la Guía ISO 73:2009, definición 1.1.
3.17
competencia
capacidad para aplicar conocimientos y habilidades para alcanzar los resultados pretendidos
NOTA La capacidad implica la aplicación apropiada del comportamiento personal durante el proceso de auditoría.
3.18
conformidad
cumplimiento de un requisito
[ISO 9000:2005, definición 3.6.1]
3.19
no conformidad
incumplimiento de un requisito
[ISO 9000:2005, definición 3.6.2]
3.20
sistema de gestión
sistema para establecer la política y los objetivos y para lograr dichos objetivos
NOTA Un sistema de gestión de una organización puede incluir diferentes sistemas de gestión, tales como un
sistema de gestión de la calidad, un sistema de gestión financiera o un sistema de gestión ambiental.
[ISO 9000:2005, definición 3.2.2]
4 Principios de auditoría
La auditoría se caracteriza por depender de varios principios. Estos principios deberían ayudar a hacer de la
auditoría una herramienta eficaz y fiable en apoyo de las políticas y controles de gestión, proporcionando
información sobre la cual una organización puede actuar para mejorar su desempeño. La adhesión a esos
principios es un requisito previo para proporcionar conclusiones de la auditoría que sean pertinentes y
suficientes y para permitir a los auditores, trabajando independientemente entre sí, alcanzar conclusiones
similares en circunstancias similares.
La orientación dada en los capítulos 5 a 7 se basa en los seis principios señalados a continuación.
a) Integridad: el fundamento de la profesionalidad
Los auditores y las personas que gestionan un programa de auditoría deberían:
— desempeñar su trabajo con honestidad, diligencia y responsabilidad;
— observar y cumplir todos los requisitos legales aplicables;
— demostrar su competencia al desempeñar su trabajo;
— desempeñar su trabajo de manera imparcial, es decir, permanecer ecuánime y sin sesgo en todas
sus acciones;
— ser sensible a cualquier influencia que se pueda ejercer sobre su juicio mientras lleva a cabo una
auditoría.
Traducción oficial/Official translation/Traduction officielle
4 © ISO 2011 — Todos los derechos reservados
---------------------- Page: 11 ----------------------
ISO 19011:2011 (traducción oficial)
b) Presentación imparcial: la obligación de informar con veracidad y exactitud
Los hallazgos, conclusiones e informes de la auditoría deberían reflejar con veracidad y exactitud las
actividades de auditoría. Se debería informar de los obstáculos significativos encontrados durante la
auditoría y de las opiniones divergentes sin resolver entre el equipo auditor y el auditado. La
comunicación debería ser veraz, exacta, objetiva, oportuna, clara y completa.
c) Debido cuidado profesional: la aplicación de diligencia y juicio al auditar
Los auditores deberían proceder con el debido cuidado, de acuerdo con la importancia de la tarea que
desempeñan y la confianza depositada en ellos por el cliente de la auditoría y por otras partes
interesadas. Un factor importante al realizar su trabajo con el debido cuidado profesional es tener la
capacidad de hacer juicios razonados en todas las situaciones de la auditoría.
d) Confidencialidad: seguridad de la información
Los auditores deberían proceder con discreción en el uso y la protección de la información adquirida en
el curso de sus tareas. La información de la auditoría no debería usarse inapropiadamente para
beneficio personal del auditor o del cliente de la auditoría, o de modo que perjudique el interés legítimo
del auditado. Este concepto incluye el tratamiento apropiado de la información sensible o confidencial.
e) Independencia: la base para la imparcialidad de la auditoría y la objetividad de las conclusiones de la
auditoría
Los auditores deberían ser independientes de la actividad que se audita siempre que sea posible, y en
todos los casos deberían actuar de una manera libre de sesgo y conflicto de intereses. Para las
auditorías internas, los auditores deberían ser independientes de los responsables operativos de la
función que se audita. Los auditores deberían mantener la objetividad a lo largo del proceso de auditoría
para asegurarse de que los hallazgos y conclusiones de la auditoría estarán basados sólo en la
evidencia de la auditoría.
Para las organizaciones pequeñas, puede que no sea posible que los auditores internos sean
completamente independientes de la actividad que se audita, pero deberían hacerse todos los esfuerzos
para eliminar el sesgo y fomentar la objetividad.
f) Enfoque basado en la evidencia: el método racional para alcanzar conclusiones de la auditoría fiables
y reproducibles en un proceso de auditoría sistemático
La evidencia de la auditoría debería ser verificable. En general se basará en muestras de la información
disponible, ya que una auditoría se lleva a cabo durante un periodo de tiempo delimitado y con recursos
finitos. Debería aplicarse un uso apropiado del muestreo, ya que está estrechamente relacionado con la
confianza que puede depositarse en las conclusiones de la auditoría.
5 Gestión de un programa de auditoría
5.1 Generalidades
Una organización que necesita llevar a cabo auditorías debería establecer un programa de auditoría que
contribuya a la determinación de la eficacia del sistema de gestión del auditado. El programa de auditoría
puede incluir auditorías que tengan en consideración una o más normas de sistemas de gestión, llevadas a
cabo de manera individual o combinada.
La alta dirección debería asegurarse de que los objetivo
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.