ISO 19011:2011
(Main)Guidelines for auditing management systems
Guidelines for auditing management systems
ISO 19011:2011 provides guidance on auditing management systems, including the principles of auditing, managing an audit programme and conducting management system audits, as well as guidance on the evaluation of competence of individuals involved in the audit process, including the person managing the audit programme, auditors and audit teams. ISO 19011:2011 is applicable to all organizations that need to conduct internal or external audits of management systems or manage an audit programme. The application of ISO 19011:2011 to other types of audits is possible, provided that special consideration is given to the specific competence needed.
Lignes directrices pour l'audit des systèmes de management
L'ISO 19011:2011 fournit des lignes directrices sur l'audit de systèmes de management, comprenant les principes de l'audit, le management d'un programme d'audit et la réalisation d'audits de systèmes de management. Elle donne également des lignes directrices sur l'évaluation de la compétence des personnes impliquées dans le processus d'audit, y compris le ou la responsable du management du programme d'audit, les auditeurs et les équipes d'audit. L'ISO 19011:2011 est applicable à tous les organismes qui doivent réaliser des audits internes ou externes de systèmes de management ou manager un programme d'audit. L'ISO 19011:2011 peut, en principe, s'appliquer à d'autres types d'audits, à condition toutefois d'accorder une attention toute particulière aux compétences spécifiques requises.
General Information
- Status
- Withdrawn
- Publication Date
- 10-Nov-2011
- Withdrawal Date
- 10-Nov-2011
- Technical Committee
- ISO/TC 176/SC 3 - Supporting technologies
- Drafting Committee
- ISO/TC 176/SC 3 - Supporting technologies
- Current Stage
- 9599 - Withdrawal of International Standard
- Start Date
- 03-Jul-2018
- Completion Date
- 12-Feb-2026
Relations
- Effective Date
- 09-Feb-2026
- Effective Date
- 12-Feb-2026
- Effective Date
- 05-Nov-2015
- Effective Date
- 15-Apr-2008
ISO 19011:2011 - Guidelines for auditing management systems
REDLINE ISO 19011:2011 - Guidelines for auditing management systems
ISO 19011:2011 - Lignes directrices pour l'audit des systemes de management
ISO 19011:2011 - Guidelines for auditing management systems
Get Certified
Connect with accredited certification bodies for this standard
BSI Group
BSI (British Standards Institution) is the business standards company that helps organizations make excellence a habit.
Bureau Veritas
Bureau Veritas is a world leader in laboratory testing, inspection and certification services.
DNV
DNV is an independent assurance and risk management provider.
Sponsored listings
Frequently Asked Questions
ISO 19011:2011 is a standard published by the International Organization for Standardization (ISO). Its full title is "Guidelines for auditing management systems". This standard covers: ISO 19011:2011 provides guidance on auditing management systems, including the principles of auditing, managing an audit programme and conducting management system audits, as well as guidance on the evaluation of competence of individuals involved in the audit process, including the person managing the audit programme, auditors and audit teams. ISO 19011:2011 is applicable to all organizations that need to conduct internal or external audits of management systems or manage an audit programme. The application of ISO 19011:2011 to other types of audits is possible, provided that special consideration is given to the specific competence needed.
ISO 19011:2011 provides guidance on auditing management systems, including the principles of auditing, managing an audit programme and conducting management system audits, as well as guidance on the evaluation of competence of individuals involved in the audit process, including the person managing the audit programme, auditors and audit teams. ISO 19011:2011 is applicable to all organizations that need to conduct internal or external audits of management systems or manage an audit programme. The application of ISO 19011:2011 to other types of audits is possible, provided that special consideration is given to the specific competence needed.
ISO 19011:2011 is classified under the following ICS (International Classification for Standards) categories: 03.100.70 - Management systems; 03.120.10 - Quality management and quality assurance; 13.020.10 - Environmental management. The ICS classification helps identify the subject area and facilitates finding related standards.
ISO 19011:2011 has the following relationships with other standards: It is inter standard links to EN 9104-002:2016, EN ISO 19011:2011, ISO 19011:2018, ISO 19011:2002. Understanding these relationships helps ensure you are using the most current and applicable version of the standard.
ISO 19011:2011 is available in PDF format for immediate download after purchase. The document can be added to your cart and obtained through the secure checkout process. Digital delivery ensures instant access to the complete standard document.
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 19011
Second edition
2011-11-15
Guidelines for auditing management
systems
Lignes directrices pour l’audit des systèmes de management
Reference number
©
ISO 2011
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or ISO’s
member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2011 – All rights reserved
Contents Page
Foreword .iv
Introduction . v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Principles of auditing . 4
5 Managing an audit programme . 5
5.1 General . 5
5.2 Establishing the audit programme objectives . 6
5.3 Establishing the audit programme . 7
5.4 Implementing the audit programme .10
5.5 Monitoring the audit programme .13
5.6 Reviewing and improving the audit programme .14
6 Performing an audit .14
6.1 General .14
6.2 Initiating the audit.15
6.3 Preparing audit activities .16
6.4 Conducting the audit activities .18
6.5 Preparing and distributing the audit report.23
6.6 Completing the audit .24
6.7 Conducting audit follow-up .24
7 Competence and evaluation of auditors .24
7.1 General .24
7.2 Determining auditor competence to fulfil the needs of the audit programme.25
7.3 Establishing the auditor evaluation criteria .29
7.4 Selecting the appropriate auditor evaluation method .29
7.5 Conducting auditor evaluation .29
7.6 Maintaining and improving auditor competence .29
Annex A (informative) Guidance and illustrative examples of discipline-specific knowledge and skills of
auditors .31
Annex B (informative) Additional guidance for auditors for planning and conducting audits .37
Bibliography .44
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies
(ISO member bodies). The work of preparing International Standards is normally carried out through ISO
technical committees. Each member body interested in a subject for which a technical committee has been
established has the right to be represented on that committee. International organizations, governmental and
non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the International
Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International Standards
adopted by the technical committees are circulated to the member bodies for voting. Publication as an
International Standard requires approval by at least 75 % of the member bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 19011 was prepared by Technical Committee ISO/TC 176, Quality management and quality assurance,
Subcommittee SC 3, Supporting technologies.
This second edition cancels and replaces the first edition (ISO 19011:2002), which has been technically revised.
The main differences compared with the first edition are as follows:
— the scope has been broadened from the auditing of quality and environmental management systems to the
auditing of any management systems;
— the relationship between ISO 19011 and ISO/IEC 17021 has been clarified;
— remote audit methods and the concept of risk have been introduced;
— confidentiality has been added as a new principle of auditing;
— Clauses 5, 6 and 7 have been reorganized;
— additional information has been included in a new Annex B, resulting in the removal of help boxes;
— the competence determination and evaluation process has been strengthened;
— illustrative examples of discipline-specific knowledge and skills have been included in a new Annex A;
— additional guidelines are available at the following website: www.iso.org/19011auditing.
iv © ISO 2011 – All rights reserved
Introduction
Since the first edition of this International Standard was published in 2002, a number of new management
system standards have been published. As a result, there is now a need to consider a broader scope of
management system auditing, as well as providing guidance that is more generic.
In 2006, the ISO committee for conformity assessment (CASCO) developed ISO/IEC 17021, which sets out
requirements for third party certification of management systems and which was based in part on the guidelines
contained in the first edition of this International Standard.
The second edition of ISO/IEC 17021, published in 2011, was extended to transform the guidance offered in
this International Standard into requirements for management system certification audits. It is in this context
that this second edition of this International Standard provides guidance for all users, including small and
medium-sized organizations, and concentrates on what are commonly termed “internal audits” (first party)
and “audits conducted by customers on their suppliers” (second party). While those involved in management
system certification audits follow the requirements of ISO/IEC 17021:2011, they might also find the guidance in
this International Standard useful.
The relationship between this second edition of this International Standard and ISO/IEC 17021:2011 is shown
in Table 1.
Table 1 — Scope of this International Standard and its relationship with ISO/IEC 17021:2011
Internal auditing External auditing
Supplier auditing Third party auditing
For legal, regulatory and similar
purposes
Sometimes called first party audit Sometimes called second party audit
For certification (see also the
requirements in ISO/IEC 17021:2011)
This International Standard does not state requirements, but provides guidance on the management of an
audit programme, on the planning and conducting of an audit of the management system, as well as on the
competence and evaluation of an auditor and an audit team.
Organizations can operate more than one formal management system. To simplify the readability of this
International Standard, the singular form of “management system” is preferred, but the reader can adapt the
implementation of the guidance to their own particular situation. This also applies to the use of “person” and
“persons”, “auditor” and “auditors”.
This International Standard is intended to apply to a broad range of potential users, including auditors,
organizations implementing management systems, and organizations needing to conduct audits of management
systems for contractual or regulatory reasons. Users of this International Standard can, however, apply this
guidance in developing their own audit-related requirements.
The guidance in this International Standard can also be used for the purpose of self-declaration, and can be
useful to organizations involved in auditor training or personnel certification.
The guidance in this International Standard is intended to be flexible. As indicated at various points in the text,
the use of this guidance can differ depending on the size and level of maturity of an organization’s management
system and on the nature and complexity of the organization to be audited, as well as on the objectives and
scope of the audits to be conducted.
This International Standard introduces the concept of risk to management systems auditing. The approach
adopted relates both to the risk of the audit process not achieving its objectives and to the potential of the
audit to interfere with the auditee’s activities and processes. It does not provide specific guidance on the
organization’s risk management process, but recognizes that organizations can focus audit effort on matters of
significance to the management system.
This International Standard adopts the approach that when two or more management systems of different
disciplines are audited together, this is termed a “combined audit”. Where these systems are integrated into a
single management system, the principles and processes of auditing are the same as for a combined audit.
Clause 3 sets out the key terms and definitions used in this International Standard. All efforts have been taken
to ensure that these definitions do not conflict with definitions used in other standards.
Clause 4 describes the principles on which auditing is based. These principles help the user to understand the
essential nature of auditing and they are important in understanding the guidance set out in Clauses 5 to 7.
Clause 5 provides guidance on establishing and managing an audit programme, establishing the audit
programme objectives, and coordinating auditing activities.
Clause 6 provides guidance on planning and conducting an audit of a management system.
Clause 7 provides guidance relating to the competence and evaluation of management system auditors and
audit teams.
Annex A illustrates the application of the guidance in Clause 7 to different disciplines.
Annex B provides additional guidance for auditors on planning and conducting audits.
vi © ISO 2011 – All rights reserved
INTERNATIONAL STANDARD ISO 19011:2011(E)
Guidelines for auditing management systems
1 Scope
This International Standard provides guidance on auditing management systems, including the principles of
auditing, managing an audit programme and conducting management system audits, as well as guidance on
the evaluation of competence of individuals involved in the audit process, including the person managing the
audit programme, auditors and audit teams.
It is applicable to all organizations that need to conduct internal or external audits of management systems or
manage an audit programme.
The application of this International Standard to other types of audits is possible, provided that special
consideration is given to the specific competence needed.
2 Normative references
No normative references are cited. This clause is included in order to retain clause numbering identical with
other ISO management system standards.
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
3.1
audit
systematic, independent and documented process for obtaining audit evidence (3.3) and evaluating it
objectively to determine the extent to which the audit criteria (3.2) are fulfilled
NOTE 1 Internal audits, sometimes called first party audits, are conducted by the organization itself, or on its behalf, for
management review and other internal purposes (e.g. to confirm the effectiveness of the management system or to obtain
information for the improvement of the management system). Internal audits can form the basis for an organization’s self-
declaration of conformity. In many cases, particularly in small organizations, independence can be demonstrated by the
freedom from responsibility for the activity being audited or freedom from bias and conflict of interest.
NOTE 2 External audits include second and third party audits. Second party audits are conducted by parties having an
interest in the organization, such as customers, or by other persons on their behalf. Third party audits are conducted by
independent auditing organizations, such as regulators or those providing certification.
NOTE 3 When two or more management systems of different disciplines (e.g. quality, environmental, occupational
health and safety) are audited together, this is termed a combined audit.
NOTE 4 When two or more auditing organizations cooperate to audit a single auditee (3.7), this is termed a joint audit.
NOTE 5 Adapted from ISO 9000:2005, definition 3.9.1.
3.2
audit criteria
set of policies, procedures or requirements used as a reference against which audit evidence (3.3) is compared
NOTE 1 Adapted from ISO 9000:2005, definition 3.9.3.
NOTE 2 If the audit criteria are legal (including statutory or regulatory) requirements, the terms “compliant” or “non-
compliant” are often used in an audit finding (3.4).
3.3
audit evidence
records, statements of fact or other information which are relevant to the audit criteria (3.2) and verifiable
NOTE Audit evidence can be qualitative or quantitative.
[ISO 9000:2005, definition 3.9.4]
3.4
audit findings
results of the evaluation of the collected audit evidence (3.3) against audit criteria (3.2)
NOTE 1 Audit findings indicate conformity or nonconformity.
NOTE 2 Audit findings can lead to the identification of opportunities for improvement or recording good practices.
NOTE 3 If the audit criteria are selected from legal or other requirements, the audit finding is termed compliance or
non-compliance.
NOTE 4 Adapted from ISO 9000:2005, definition 3.9.5.
3.5
audit conclusion
outcome of an audit (3.1), after consideration of the audit objectives and all audit findings (3.4)
NOTE Adapted from ISO 9000:2005, definition 3.9.6.
3.6
audit client
organization or person requesting an audit (3.1)
NOTE 1 In the case of internal audit, the audit client can also be the auditee (3.7) or the person managing the audit
programme. Requests for external audit can come from sources such as regulators, contracting parties or potential clients.
NOTE 2 Adapted from ISO 9000:2005, definition 3.9.7.
3.7
auditee
organization being audited
[ISO 9000:2005, definition 3.9.8]
3.8
auditor
person who conducts an audit (3.1)
3.9
audit team
one or more auditors (3.8) conducting an audit (3.1), supported if needed by technical experts (3.10)
NOTE 1 One auditor of the audit team is appointed as the audit team leader.
NOTE 2 The audit team may include auditors-in-training.
[ISO 9000:2005, definition 3.9.10]
3.10
technical expert
person who provides specific knowledge or expertise to the audit team (3.9)
NOTE 1 Specific knowledge or expertise is that which relates to the organization, the process or activity to be audited,
or language or culture.
NOTE 2 A technical expert does not act as an auditor (3.8) in the audit team.
2 © ISO 2011 – All rights reserved
[ISO 9000:2005, definition 3.9.11]
3.11
observer
person who accompanies the audit team (3.9) but does not audit
NOTE 1 An observer is not a part of the audit team (3.9) and does not influence or interfere with the conduct of the
audit (3.1).
NOTE 2 An observer can be from the auditee (3.7), a regulator or other interested party who witnesses the audit (3.1).
3.12
guide
person appointed by the auditee (3.7) to assist the audit team (3.9)
3.13
audit programme
arrangements for a set of one or more audits (3.1) planned for a specific time frame and directed towards a
specific purpose
NOTE Adapted from ISO 9000:2005, definition 3.9.2.
3.14
audit scope
extent and boundaries of an audit (3.1)
NOTE The audit scope generally includes a description of the physical locations, organizational units, activities and
processes, as well as the time period covered.
[ISO 9000:2005, definition 3.9.13]
3.15
audit plan
description of the activities and arrangements for an audit (3.1)
[ISO 9000:2005, definition 3.9.12]
3.16
risk
effect of uncertainty on objectives
NOTE Adapted from ISO Guide 73:2009, definition 1.1.
3.17
competence
ability to apply knowledge and skills to achieve intended results
NOTE Ability implies the appropriate application of personal behaviour during the audit process.
3.18
conformity
fulfilment of a requirement
[ISO 9000:2005, definition 3.6.1]
3.19
nonconformity
non-fulfilment of a requirement
[ISO 9000:2005, definition 3.6.2]
3.20
management system
system to establish policy and objectives and to achieve those objectives
NOTE A management system of an organization can include different management systems, such as a quality
management system, a financial management system or an environmental management system.
[ISO 9000:2005, definition 3.2.2]
4 Principles of auditing
Auditing is characterized by reliance on a number of principles. These principles should help to make the audit
an effective and reliable tool in support of management policies and controls, by providing information on which
an organization can act in order to improve its performance. Adherence to these principles is a prerequisite for
providing audit conclusions that are relevant and sufficient and for enabling auditors, working independently
from one another, to reach similar conclusions in similar circumstances.
The guidance given in Clauses 5 to 7 is based on the six principles outlined below.
a) Integrity: the foundation of professionalism
Auditors and the person managing an audit programme should:
— perform their work with honesty, diligence, and responsibility;
— observe and comply with any applicable legal requirements;
— demonstrate their competence while performing their work;
— perform their work in an impartial manner, i.e. remain fair and unbiased in all their dealings;
— be sensitive to any influences that may be exerted on their judgement while carrying out an audit.
b) Fair presentation: the obligation to report truthfully and accurately
Audit findings, audit conclusions and audit reports should reflect truthfully and accurately the audit
activities. Significant obstacles encountered during the audit and unresolved diverging opinions between
the audit team and the auditee should be reported. The communication should be truthful, accurate,
objective, timely, clear and complete.
c) Due professional care: the application of diligence and judgement in auditing
Auditors should exercise due care in accordance with the importance of the task they perform and the
confidence placed in them by the audit client and other interested parties. An important factor in carrying
out their work with due professional care is having the ability to make reasoned judgements in all audit
situations.
d) Confidentiality: security of information
Auditors should exercise discretion in the use and protection of information acquired in the course of
their duties. Audit information should not be used inappropriately for personal gain by the auditor or the
audit client, or in a manner detrimental to the legitimate interests of the auditee. This concept includes the
proper handling of sensitive or confidential information.
e) Independence: the basis for the impartiality of the audit and objectivity of the audit conclusions
Auditors should be independent of the activity being audited wherever practicable, and should in all
cases act in a manner that is free from bias and conflict of interest. For internal audits, auditors should
be independent from the operating managers of the function being audited. Auditors should maintain
4 © ISO 2011 – All rights reserved
objectivity throughout the audit process to ensure that the audit findings and conclusions are based only
on the audit evidence.
For small organizations, it may not be possible for internal auditors to be fully independent of the activity
being audited, but every effort should be made to remove bias and encourage objectivity.
f) Evidence-based approach: the rational method for reaching reliable and reproducible audit conclusions
in a systematic audit process
Audit evidence should be verifiable. It will in general be based on samples of the information available,
since an audit is conducted during a finite period of time and with finite resources. An appropriate use of
sampling should be applied, since this is closely related to the confidence that can be placed in the audit
conclusions.
5 Managing an audit programme
5.1 General
An organization needing to conduct audits should establish an audit programme that contributes to the
determination of the effectiveness of the auditee’s management system. The audit programme can include
audits considering one or more management system standards, conducted either separately or in combination.
The top management should ensure that the audit programme objectives are established and assign one or
more competent persons to manage the audit programme. The extent of an audit programme should be based
on the size and nature of the organization being audited, as well as on the nature, functionality, complexity
and the level of maturity of the management system to be audited. Priority should be given to allocating
the audit programme resources to audit those matters of significance within the management system. These
may include the key characteristics of product quality or hazards related to health and safety, or significant
environmental aspects and their control.
NOTE This concept is commonly known as risk-based auditing. This International Standard does not give further
guidance on risk-based auditing.
The audit programme should include information and resources necessary to organize and conduct its audits
effectively and efficiently within the specified time frames and can also include the following:
— objectives for the audit programme and individual audits;
— extent/number/types/duration/locations/schedule of the audits;
— audit programme procedures;
— audit criteria;
— audit methods;
— selection of audit teams;
— necessary resources, including travel and accommodation;
— processes for handling confidentiality, information security, health and safety, and other similar matters.
The implementation of the audit programme should be monitored and measured to ensure its objectives have
been achieved. The audit programme should be reviewed in order to identify possible improvements.
Figure 1 illustrates the process flow for the management of an audit programme.
5.2 Establishing the audit programme objectives
5.3 Establishing the audit programme
PLAN
5.3.1 Roles and responsibilities of the person
managing the audit programme
5.3.2 Competence of the person managing the audit
programme
5.3.3 Establishing the extent of the audit programme
5.3.4 Identifying and evaluating audit programme
risks
5.3.5 Establishing procedures for the audit
programme
5.3.6 Identifying audit programme resources
5.4 Implementing the audit programme
5.4.1 General
Competence and
evaluation of auditors
5.4.2 Defining the objectives, scope and criteria for
(Clause 7)
an individual audit
DO
5.4.3 Selecting the audit methods
5.4.4 Selecting the audit team members
Performing an audit
5.4.5 Assigning responsibility for an individual audit
to the audit team leader
(Clause 6)
5.4.6 Managing the audit programme outcome
5.4.7 Managing and maintaining audit programme
records
CHECK
5.5 Monitoring the audit programme
5.6 Reviewing and improving the audit
ACT
programme
NOTE 1 This figure illustrates the application of the Plan-Do-Check-Act cycle in this International Standard.
NOTE 2 Clause/subclause numbering refers to the relevant clauses/subclauses of this International Standard.
Figure 1 — Process flow for the management of an audit programme
5.2 Establishing the audit programme objectives
The top management should ensure that the audit programme objectives are established to direct the planning
and conduct of audits and should ensure the audit programme is implemented effectively. Audit programme
objectives should be consistent with and support management system policy and objectives.
6 © ISO 2011 – All rights reserved
These objectives can be based on consideration of the following:
a) management priorities;
b) commercial and other business intentions;
c) characteristics of processes, products and projects, and any changes to them;
d) management system requirements;
e) legal and contractual requirements and other requirements to which the organization is committed;
f) need for supplier evaluation;
g) needs and expectations of interested parties, including customers;
h) auditee’s level of performance, as reflected in the occurrence of failures or incidents or customer complaints;
i) risks to the auditee;
j) results of previous audits;
k) level of maturity of the management system being audited.
Examples of audit programme objectives include the following:
— to contribute to the improvement of a management system and its performance;
— to fulfil external requirements, e.g. certification to a management system standard;
— to verify conformity with contractual requirements;
— to obtain and maintain confidence in the capability of a supplier;
— to determine the effectiveness of the management system;
— to evaluate the compatibility and alignment of the management system objectives with the management
system policy and the overall organizational objectives.
5.3 Establishing the audit programme
5.3.1 Roles and responsibilities of the person managing the audit programme
The person managing the audit programme should:
— establish the extent of the audit programme;
— identify and evaluate the risks for the audit programme;
— establish audit responsibilities;
— establish procedures for audit programmes;
— determine necessary resources;
— ensure the implementation of the audit programme, including the establishment of audit objectives, scope
and criteria of the individual audits, determining audit methods and selecting the audit team and evaluating
auditors;
— ensure that appropriate audit programme records are managed and maintained;
— monitor, review and improve the audit programme.
The person managing an audit programme should inform the top management of the contents of the audit
programme and, where necessary, request its approval.
5.3.2 Competence of the person managing the audit programme
The person managing the audit programme should have the necessary competence to manage the programme
and its associated risks effectively and efficiently, as well as knowledge and skills in the following areas:
— audit principles, procedures and methods;
— management system standards and reference documents;
— activities, products and processes of the auditee;
— applicable legal and other requirements relevant to the activities and products of the auditee;
— customers, suppliers and other interested parties of the auditee, where applicable.
The person managing the audit programme should engage in appropriate continual professional development
activities to maintain the necessary knowledge and skills to manage the audit programme.
5.3.3 Establishing the extent of the audit programme
The person managing the audit programme should determine the extent of the audit programme, which can
vary depending on the size and nature of the auditee, as well as on the nature, functionality, complexity and the
level of maturity of, and matters of significance to, the management system to be audited.
NOTE In certain cases, depending on the auditee’s structure or its activities, the audit programme might only consist
of a single audit (e.g. a small project activity).
Other factors impacting the extent of an audit programme include the following:
— the objective, scope and duration of each audit and the number of audits to be conducted, including audit
follow up, if applicable;
— the number, importance, complexity, similarity and locations of the activities to be audited;
— those factors influencing the effectiveness of the management system;
— applicable audit criteria, such as planned arrangements for the relevant management standards, legal and
contractual requirements and other requirements to which the organization is committed;
— conclusions of previous internal or external audits;
— results of a previous audit programme review;
— language, cultural and social issues;
— the concerns of interested parties, such as customer complaints or non-compliance with legal requirements;
— significant changes to the auditee or its operations;
— availability of information and communication technologies to support audit activities, in particular the use
of remote audit methods (see Clause B.1);
— the occurrence of internal and external events, such as product failures, information security leaks, health
and safety incidents, criminal acts or environmental incidents.
8 © ISO 2011 – All rights reserved
5.3.4 Identifying and evaluating audit programme risks
There are many different risks associated with establishing, implementing, monitoring, reviewing and improving
an audit programme that may affect the achievement of its objectives. The person managing the programme
should consider these risks in its development. These risks may be associated with the following:
— planning, e.g. failure to set relevant audit objectives and determine the extent of the audit programme;
— resources, e.g. allowing insufficient time for developing the audit programme or conducting an audit;
— selection of the audit team, e.g. the team does not have the collective competence to conduct audits
effectively;
— implementation, e.g. ineffective communication of the audit programme;
— records and their controls, e.g. failure to adequately protect audit records to demonstrate audit programme
effectiveness;
— monitoring, reviewing and improving the audit programme, e.g. ineffective monitoring of audit programme
outcomes.
5.3.5 Establishing procedures for the audit programme
The person managing the audit programme should establish one or more procedures, addressing the following,
as applicable:
— planning and scheduling audits considering audit programme risks;
— ensuring information security and confidentiality;
— assuring the competence of auditors and audit team leaders;
— selecting appropriate audit teams and assigning their roles and responsibilities;
— conducting audits, including the use of appropriate sampling methods;
— conducting audit follow-up, if applicable;
— reporting to the top management on the overall achievements of the audit programme;
— maintaining audit programme records;
— monitoring and reviewing the performance and risks, and improving the effectiveness of the audit
programme.
5.3.6 Identifying audit programme resources
When identifying resources for the audit programme, the person managing the audit programme should
consider:
— the financial resources necessary to develop, implement, manage and improve audit activities;
— audit methods;
— the availability of auditors and technical experts having competence appropriate to the particular audit
programme objectives;
— the extent of the audit programme and audit programme risks;
— travelling time and cost, accommodation and other auditing needs;
— the availability of information and communication technologies.
5.4 Implementing the audit programme
5.4.1 General
The person managing the audit programme should implement the audit programme by means of the following:
— communicating the pertinent parts of the audit programme to relevant parties and informing them
periodically of its progress;
— defining objectives, scope and criteria for each individual audit;
— coordinating and scheduling audits and other activities relevant to the audit programme;
— ensuring the selection of audit teams with the necessary competence;
— providing necessary resources to the audit teams;
— ensuring the conduct of audits in accordance with the audit programme and within the agreed time frame;
— ensuring that audit activities are recorded and records are properly managed and maintained.
5.4.2 Defining the objectives, scope and criteria for an individual audit
Each individual audit should be based on documented audit objectives, scope and criteria. These should be
defined by the person managing the audit programme and be consistent with the overall audit programme
objectives.
The audit objectives define what is to be accomplished by the individual audit and may include the following:
— determination of the extent of conformity of the management system to be audited, or parts of it, with audit
criteria;
— determination of the extent of conformity of activities, processes and products with the requirements and
procedures of the management system;
— evaluation of the capability of the management system to ensure compliance with legal and contractual
requirements and other requirements to which the organization is committed;
— evaluation of the effectiveness of the management system in meeting its specified objectives;
— identification of areas for potential improvement of the management system.
The audit scope should be consistent with the audit programme and audit objectives. It includes such factors
as physical locations, organizational units, activities and processes to be audited, as well as the time period
covered by the audit.
The audit criteria are used as a reference against which conformity is determined and may include applicable
policies, procedures, standards, legal requirements, management system requirements, contractual
requirements, sector codes of conduct or other planned arrangements.
In the event of any changes to the audit objectives, scope or criteria, the audit programme should be modified
if necessary.
When two or more management systems of different disciplines are audited together (a combined audit), it is
important that the audit objectives, scope and criteria are consistent with the objectives of the relevant audit
programmes.
10 © ISO 2011 – All rights reserved
5.4.3 Selecting the audit methods
The person managing the audit programme should select and determine the methods for effectively conducting
an audit, depending on the defined audit objectives, scope and criteria.
NOTE Guidance on how to determine audit methods is given in Annex B.
Where two or more auditing organizations conduct a joint audit of the same auditee, the persons managing
the different audit programmes should agree on the audit method and consider implications for resourcing and
planning the audit. If an auditee operates two or more management systems of different disciplines, combined
audits may be included in the audit programme.
5.4.4 Selecting the audit team members
The person managing the audit programme should appoint the members of the audit team, including the team
leader and any technical experts needed for the specific audit.
An audit team should be selected, taking into account the competence needed to achieve the objectives of the
individual audit within the defined scope. If there is only one auditor, the auditor should perform all applicable
duties of an audit team leader.
NOTE Clause 7 contains guidance on determining the competence required for the audit team members and
describes the processes for evaluating auditors.
In deciding the size and composition of the audit team for the specific audit, consideration should be given to
the following:
a) the overall competence of the audit team needed to achieve audit objectives, taking into account audit
scope and criteria;
b) complexity of the audit and if the audit is a combined or joint audit;
c) the audit methods that have been selected;
d) legal and contractual requirements and other requirements to which the organization is committed;
e) the need to ensure the independence of the audit team members from the activities to be audited and to
avoid any conflict of interest [see principle e) in Clause 4];
f) the ability of the audit team members to interact effectively with the representatives of the auditee and to
work together;
g) the language of the audit, and the auditee’s social and cultural characteristics. These issues may be
addressed either by the auditor’s own skills or through the support of a technical expert.
To assure the overall competence of the audit team, the following steps should be performed:
— identification of the knowledge and skills needed to achieve the objectives of the audit;
— selection of the audit team members so that all of the necessary knowledge and skills are present in the
audit team.
If all the necessary competence is not covered by the auditors in the audit team, technical experts with additional
competence should be included in the team. Technical experts should operate under the direction of an auditor,
but should not act as auditors.
Auditors-in-training may be included in the audit team, but should participate under the direction and guidance
of an auditor.
Adjustments to the size and composition of the audit team may be necessary during the audit, i.e. if a conflict
of interest or competence issue arises. If such a situation arises, it should be discussed with the appropriate
parties (e.g. audit team leader, the person managing the audit programme, audit client or auditee) before any
adjustments are made.
5.4.5 Assigning responsibility for an individual audit to the audit team leader
The person managing the audit programme should assign the responsibility for conducting the individual audit
to an audit team leader.
The assignment should be made in sufficient time before the scheduled date of the audit, in order to ensure
the effective planning of the audit.
To ensure effective conduct of the individual audits, the following information should be provided to the audit
team leader:
a) audit objectives;
b) audit criteria and any reference documents;
c) audit scope, including identification of the organizational and functional units and processes to be audited;
d) audit methods and procedures;
e) composition of the audit team;
f) contact details of the auditee, the locations, dates and duration of the audit activities to be conducted;
g) allocation of appropriate resources to conduct the audit;
h) information needed for evaluating and addressing identified risks to the achievement of the audit objectives.
The assignment information should also cover the following, as appropriate:
— working and reporting language of the audit where this is different from the language of the auditor or the
auditee, or both;
— audit report contents and distribution required by the audit programme;
— matters related to confidentiality and information security, if required by the audit programme;
— any health and safety requirements for the auditors;
— any security and authorization requirements;
— any follow-up actions, e.g. from a previous audit, if applicable;
— coordination with other audit activities, in the case of a joint audit.
Where a joint audit is conducted, it is important to reach agreement among the organizations conducting the
audits, before the audit commences, on the specific responsibilities of each party, particularly with regard to
the authority of the team leader appointed for the audit.
5.4.6 Managing the audit programme outcome
The person managing the audit programme should ensure that the following activities are performed:
— review and approval of audit reports, including evaluating the suitability and adequacy of audit findings;
— review of root cause analysis and the effectiveness of corrective actions and preventive actions;
— distribution of audit reports to the top management and other relevant parties;
— determination of the necessity for any follow-up audit.
12 © ISO 2011 – All rights reserved
5.4.7 Managing and maintaining audit programme records
The person managing the audit programme should ensure that audit records are created, managed and
maintained to demonstrate the implementation of the audit programme. Processes should be established to
ensure that any confidentiality needs associated with the audit records are addressed.
Records should include the following:
a) records related to the audit programme, such as:
— documented audit p
...
INTERNATIONAL ISO
STANDARD 19011
Redline version
compares second edition
to first edition
Guidelines for auditing management
systems
Lignes directrices pour l’audit des systèmes de management
Reference number
ISO 19011:redline:2014(E)
©
ISO 2014
ISO 19011:redline:2014(E)
IMPORTANT — PLEASE NOTE
This is a mark-up copy and uses the following colour coding:
Text example 1 — indicates added text (in green)
Text example 2 — indicates removed text (in red)
— indicates added graphic figure
— indicates removed graphic figure
1.x . — Heading numbers containg modifications are highlighted in yellow in
the Table of Contents
DISCLAIMER
This Redline version provides you with a quick and easy way to compare the main changes
between this edition of the standard and its previous edition. It doesn’t capture all single
changes such as punctuation but highlights the modifications providing customers with
the most valuable information. Therefore it is important to note that this Redline version is
not the official ISO standard and that the users must consult with the clean version of the
standard, which is the official standard, for implementation purposes.
© ISO 2014
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2014 – All rights reserved
ISO 19011:redline:2014(E)
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Principles of auditing . 4
5 Managing an audit programme . 6
5.1 General . 6
5.2 Establishing the audit programme objectives . 9
5.2 5.3 Audit programme objectives and extent Establishing the audit programme .10
5.3 Audit programme responsibilities, resources and procedures .13
5.4 Audit programme implementation Implementing the audit programme .13
5.5 Audit programme records Monitoring the audit programme .18
5.6 Audit programme monitoring and reviewing Reviewing and improving the
audit programme .18
6 Audit activities Performing an audit.19
6.1 General .19
6.2 Initiating the audit .21
6.3 Conducting document review .24
6.4 6.3 Preparing for the on-site audit activities .24
6.5 6.4 Conducting on-site the audit activities .27
6.6 6.5 Preparing, approving and distributing the audit report .34
6.7 6.6 Completing the audit .35
6.8 6.7 Conducting audit follow-up.35
7 Competence and evaluation of auditors .36
7.1 General .36
7.2 Personal attributes .37
7.3 7.2 Knowledge and skills Determining auditor competence to fulfil the needs of the
audit programme .37
7.4 Education, work experience, auditor training and audit experience .44
7.5 7.3 Maintenance and improvement of competence Establishing the auditor
evaluation criteria .45
7.6 7.4 Auditor evaluation Selecting the appropriate auditor evaluation method .46
7.5 Conducting auditor evaluation .50
7.6 Maintaining and improving auditor competence.50
Annex A (informative) Guidance and illustrative examples of discipline-specific knowledge and
skills of auditors .51
Annex B (informative) Additional guidance for auditors for planning and conducting audits .57
Bibliography .64
ISO 19011:redline:2014(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives,
part 3Part 2.
The main task of technical committees is to prepare International Standards. Draft International
Standards acceptedadopted by the technical committees are circulated to the member bodies for voting.
Publication as an International Standard requires approval by at least 75 % of the membersmember
bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this International Standarddocument may
be the subject of patent rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 19011 was prepared jointly by Technical Committee ISO/TC 176, Quality management and
quality assurance, Subcommittee SC 3, Supporting technologies, and Technical Committee ISO/TC 207,
Environmental management, Subcommittee SC 2, Environmental auditing and related environmental
investigations.
This first edition of second edition cancels and replaces the first edition (ISO 19011:2002 cancels
and replaces )ISO 10011-1:1990, ISO 10011-2:1991,which ISO 10011-3:1991,has ISO 14010:1996,been
ISO 14011:1996 and technically revisedISO 14012:1996.
The main differences compared with the first edition are as follows:
— the scope has been broadened from the auditing of quality and environmental management systems
to the auditing of any management systems;
— the relationship between ISO 19011 and ISO/IEC 17021 has been clarified;
— remote audit methods and the concept of risk have been introduced;
— confidentiality has been added as a new principle of auditing;
— Clauses 5, 6 and 7 have been reorganized;
— additional information has been included in a new Annex B, resulting in the removal of help boxes;
— the competence determination and evaluation process has been strengthened;
— illustrative examples of discipline-specific knowledge and skills have been included in a new Annex A;
— additional guidelines are available at the following website: www.iso.org/19011auditing.
iv © ISO 2014 – All rights reserved
ISO 19011:redline:2014(E)
Introduction
TheSince ISO 9000 andthe first ISO 14000 seriesedition of International Standards emphasize the
importance of audits as a management tool for monitoring and verifying the effective implementation
of an organization’s quality and/or environmental policy. Audits are also an essential part of conformity
assessment activities such as external certification/registration and of supply chain evaluation
and surveillancethis International Standard was published in 2002, a number of new management
system standards have been published. As a result, there is now a need to consider a broader scope of
management system auditing, as well as providing guidance that is more generic.
In 2006, the ISO committee for conformity assessment (CASCO) developed ISO/IEC 17021, which sets
out requirements for third party certification of management systems and which was based in part on
the guidelines contained in the first edition of this International Standard.
The second edition of ISO/IEC 17021, published in 2011, was extended to transform the guidance offered
in this International Standard into requirements for management system certification audits. It is in this
context that this second edition of this International Standard provides guidance for all users, including
small and medium-sized organizations, and concentrates on what are commonly termed “internal
audits” (first party) and “audits conducted by customers on their suppliers” (second party). While those
involved in management system certification audits follow the requirements of ISO/IEC 17021:2011,
they might also find the guidance in this International Standard useful.
The relationship between this second edition of this International Standard and ISO/IEC 17021:2011 is
shown in Table 1.
Table 1 — Scope of this International Standard and its relationship with ISO/IEC 17021:2011
Internal auditing External auditing
Supplier auditing Third party auditing
Sometimes called first party Sometimes called second party For legal, regulatory and similar
audit audit purposes
For certification (see also
the requirements in
ISO/IEC 17021:2011)
This International Standard does not state requirements, but provides guidance on the management of
an audit programme, on the planning and conducting of an audit of the management system, as well as
on the competence and evaluation of an auditor and an audit team.
Organizations can operate more than one formal management system. To simplify the readability of
this International Standard, the singular form of “management system” is preferred, but the reader can
adapt the implementation of the guidance to their own particular situation. This also applies to the use
of “person” and “persons”, “auditor” and “auditors”.
This International Standard provides guidance on the management of audit programmes, the conduct
of internal or external audits of quality and/or environmental management systems, as well as
on the competence and evaluation of auditors. It is intended to apply to a broad range of potential
users, including auditors, organizations implementing quality and/or environmental management
systems, and organizations needing to conduct audits of quality and/or environmental management
systems for contractual reasons, and organizations involved in auditor certification or training, in
certification/registration of management systems, in accreditation or in standardization in the area of
conformity assessmentor regulatory reasons. Users of this International Standard can, however, apply
this guidance in developing their own audit-related requirements.
The guidance in this International Standard can also be used for the purpose of self-declaration, and can
be useful to organizations involved in auditor training or personnel certification.
ISO 19011:redline:2014(E)
The guidance in this International Standard is intended to be flexible. As indicated at various points in
the text, the use of these guidelines can differ according to the size,this guidance can differ depending on
the size and level of maturity of an organization’s management system and on the nature and complexity
of the organizationsorganization to be audited, as well as on the objectives and scopesscope of the
audits to be conducted. Throughout this International Standard, supplementary guidance or examples
on specific topics are provided in the form of practical help in boxed text. In some instances, this is
intended to support the use of this International Standard in small organizations.
This International Standard introduces the concept of risk to management systems auditing. The
approach adopted relates both to the risk of the audit process not achieving its objectives and to the
potential of the audit to interfere with the auditee’s activities and processes. It does not provide specific
guidance on the organization’s risk management process, but recognizes that organizations can focus
audit effort on matters of significance to the management system.
This International Standard adopts the approach that when two or more management systems of
different disciplines are audited together, this is termed a “combined audit”. Where these systems are
integrated into a single management system, the principles and processes of auditing are the same as
for a combined audit.
Clause 3 sets out the key terms and definitions used in this International Standard. All efforts have been
taken to ensure that these definitions do not conflict with definitions used in other standards.
Clause 4 describes the principles of auditingon which auditing is based. These principles help the user to
appreciateunderstand the essential nature of auditing and they are a necessary prelude toimportant in
understanding the clauses 5,guidance 6 andset out in Clauses 5 to 7.
Clause 5 provides guidance on managing audit programmes and covers such issues as assigning
responsibility for managing audit programmesestablishing and managing an audit programme,
establishing the audit programme objectives, and coordinating auditing activities and providing
sufficient audit team resources.
Clause 6 provides guidance on conducting audits of quality and/or environmental management systems,
including the selection of audit teamsplanning and conducting an audit of a management system.
Clause 7 provides guidance onrelating to the competence needed by an auditor and describes a process
for evaluating auditorsand evaluation of management system auditors and audit teams.
Where quality and environmental management systems are implemented together, it is at the
discretion of the user of this International Standard as to whether the quality management system and
environmental management system audits are conducted separately or together.
AlthoughAnnex A this International Standard is applicable to the auditing of quality and/or
environmental management systems, the user can consider adapting or extending the guidance provided
hereinillustrates the application of the guidance in Clause 7 to apply to other types of audits, including
other management system auditsdifferent disciplines.
ThisAnnex B International Standard provides only guidance, however, users can apply this to develop
their own audit-related requirementsprovides additional guidance for auditors on planning and
conducting audits.
In addition, any other individual or organization with an interest in monitoring conformance to
requirements, such as product specifications or laws and regulations, may find the guidance in this
International Standard useful.
vi © ISO 2014 – All rights reserved
INTERNATIONAL STANDARD ISO 19011:redline:2014(E)
Guidelines for auditing management systems
1 Scope
This International Standard provides guidance on auditing management systems, including the
principles of auditing, managing audit programmes, conducting quality management system audits and
environmentalan audit programme and conducting management system audits, as well as guidance on
the competence of quality and environmental management system auditorsevaluation of competence of
individuals involved in the audit process, including the person managing the audit programme, auditors
and audit teams.
It is applicable to all organizations needingthat need to conduct internal or external audits of quality
and/or environmental management systems or to manage an audit programme.
The application of this International Standard to other types of auditaudits is possible in principle,
provided that special consideration is paidgiven to identifying the competence needed by the audit team
members in such casesspecific competence needed.
2 Normative references
The following normative documents contain provisions which, through references in this text,
constitute provisions of this International Standard. For dated references, subsequent amendments to,
or revisions of, any of these publications do not apply. However, parties to agreements based on this
International Standard are encouraged to investigate the possibility of applying the most recent edition
of the normative documents indicated below. For undated references, the latest edition of the normative
document referred to apply. Members of ISO and IEC maintain registers of currently valid International
StandardsNo normative references are cited. This clause is included in order to retain clause numbering
identical with other ISO management system standards.
ISO 9000:2000, Quality management systems — Fundamentals and vocabulary
ISO 14050:2002, Environmental management — Vocabulary
3 Terms and definitions
For the purposes of this International Standard, the terms and definitions given indocument, the following
ISO 9000 and ISO 14050 apply, unless superseded by the terms and definitions given belowapply.
A term in a definition or note which is defined elsewhere in this clause is indicated by boldface followed
by its entry number in parentheses. Such a boldface term may be replaced in the definition by its
complete definition.
3.1
audit
systematic, independent and documented process for obtaining audit evidence (3.3) and evaluating it
objectively to determine the extent to which the audit criteria (3.2) are fulfilled
Note 1 to entry: Internal audits, sometimes called first- party audits, are conducted by the organization itself,
or on behalf of, the organization itself its behalf, for management review and other internal purposes, and may
(e.g. to confirm the effectiveness of the management system or to obtain information for the improvement of the
management system). Internal audits can form the basis for an organization’s organization’s self-declaration of
conformity. In many cases, particularly in smaller small organizations, independence can be demonstrated by the
freedom from responsibility for the activity being audited or freedom from bias and conflict of interest.
ISO 19011:redline:2014(E)
Note 2 to entry: External audits include those generally termed second- second and third- party audits. Second-
party audits are conducted by parties having an interest in the organization, such as customers, or by other
persons on their behalf. Third- party audits are conducted by external, independent auditing organizations, such
as regulators or those providing registration or certification of conformity to the requirements of ISO 9001 or
ISO 14001 certification.
Note 3 to entry: When a quality management system and an environmental management system two or more
management systems of different disciplines (e.g. quality, environmental, occupational health and safety) are
audited together, this is termed a combined audit.
Note 4 to entry: When two or more auditing organizations cooperate to audit a single auditee (3.7), this is termed
a joint audit.
Note 5 to entry: Adapted from ISO 9000:2005, definition 3.9.1.
3.2
audit criteria
set of policies, procedures or requirements used as a reference against which audit evidence (3.3) is compared
Note 1 to entry: Adapted from ISO 9000:2005, definition 3.9.3.
Note 2 to entry: Audit criteria are used as a reference against which If the audit criteria are legal (including
statutory or regulatory) requirements, audit evidence (3.3) is compared the terms “compliant” or “non-compliant”
are often used in an audit finding (3.4).
3.3
audit evidence
records, statements of fact or other information which are relevant to the audit criteria (3.2) and verifiable
Note 1 to entry: Audit evidence may can be qualitative or quantitative.
[SOURCE: ISO 9000:2005, definition 3.9.4]
3.4
audit findings
results of the evaluation of the collected audit evidence (3.3) against audit criteria (3.2)
Note 1 to entry: Audit findings can indicate either conformity or nonconformity with audit criteria or opportunities
for improvement .
Note 2 to entry: Audit findings can lead to the identification of opportunities for improvement or recording
good practices.
Note 3 to entry: If the audit criteria are selected from legal or other requirements, the audit finding is termed
compliance or non-compliance.
Note 4 to entry: Adapted from ISO 9000:2005, definition 3.9.5.
3.5
audit conclusion
outcome of an audit (3.1), provided by the audit team (3.9)after consideration of the audit objectives and
all audit findings (3.4)
Note 1 to entry: Adapted from ISO 9000:2005, definition 3.9.6.
3.6
audit client
organization or person requesting an audit (3.1)
Note 1 to entry: The audit client may In the case of internal audit, the audit client can also be the auditee (3.7) or
any other organization which has the regulatory or contractual right to request an audit the person managing the
audit programme. Requests for external audit can come from sources such as regulators, contracting parties or
potential clients.
2 © ISO 2014 – All rights reserved
ISO 19011:redline:2014(E)
Note 2 to entry: Adapted from ISO 9000:2005, definition 3.9.7.
3.7
auditee
organization being audited
[SOURCE: ISO 9000:2005, definition 3.9.8]
3.8
auditor
person with the who conducts competence (3.14) to conduct an audit (3.1)
3.9
audit team
one or more auditors (3.8) conducting an audit (3.1), supported if needed by technical experts (3.10)
Note 1 to entry: One auditor of the audit team is appointed as the audit team leader.
Note 2 to entry: The audit team may include auditors-in-training.
[SOURCE: ISO 9000:2005, definition 3.9.10]
3.10
technical expert
person who provides specific knowledge or expertise to the audit team (3.9)
Note 1 to entry: Specific knowledge or expertise is that which relates to the organization, the process or activity
to be audited, or language or culture.
Note 2 to entry: A technical expert does not act as an auditor (3.8) in the audit team.
[SOURCE: ISO 9000:2005, definition 3.9.11]
3.11
observer
person who accompanies the audit team (3.9) but does not audit
Note 1 to entry: An observer is not a part of the audit team (3.9) and does not influence or interfere with the
conduct of the audit (3.1).
Note 2 to entry: An observer can be from the auditee (3.7), a regulator or other interested party who witnesses
the audit (3.1).
3.12
guide
person appointed by the auditee (3.7) to assist the audit team (3.9)
3.11 3.13
audit programme
arrangements for a set of one or more audits (3.1) planned for a specific time frame and directed towards
a specific purpose
Note 1 to entry: An audit programme Adapted from ISO 9000:2005, definition 3.9.2 includes all activities necessary
for planning, organizing and conducting the audits .
3.12
audit plan
description of the activities and arrangements for an audit (3.1)
ISO 19011:redline:2014(E)
3.13 3.14
audit scope
extent and boundaries of an audit (3.1)
Note 1 to entry: The audit scope generally includes a description of the physical locations, organizational units,
activities and processes, as well as the time period covered.
[SOURCE: ISO 9000:2005, definition 3.9.13]
3.15
audit plan
description of the activities and arrangements for an audit (3.1)
[SOURCE: ISO 9000:2005, definition 3.9.12]
3.16
risk
effect of uncertainty on objectives
Note 1 to entry: Adapted from ISO Guide 73:2009, definition 1.1.
3.14 3.17
competence
demonstrated personal attributes and demonstrated ability to apply knowledge and skills to achieve
intended results
Note 1 to entry: Ability implies the appropriate application of personal behaviour during the audit process.
3.18
conformity
fulfilment of a requirement
[SOURCE: ISO 9000:2005, definition 3.6.1]
3.19
nonconformity
non-fulfilment of a requirement
[SOURCE: ISO 9000:2005, definition 3.6.2]
3.20
management system
system to establish policy and objectives and to achieve those objectives
Note 1 to entry: A management system of an organization can include different management systems, such as a
quality management system, a financial management system or an environmental management system.
[SOURCE: ISO 9000:2005, definition 3.2.2]
4 Principles of auditing
Auditing is characterized by reliance on a number of principles. These principles should help to make
the audit an effective and reliable tool in support of management policies and controls, by providing
information on which an organization can act in order to improve its performance. Adherence to
these principles is a prerequisite for providing audit conclusions that are relevant and sufficient and
for enabling auditors, working independently from one another, to reach similar conclusions in similar
circumstances.
The following principles relateguidance given in Clauses 5 to 7auditors is based on the six principles
outlined below.
a) Ethical conduct: the foundation of professionalism
4 © ISO 2014 – All rights reserved
ISO 19011:redline:2014(E)
Trust, integrity, confidentiality and discretion are essential to auditing.
b) Fair presentation: the obligation to report truthfully and accurately
Audit findings, audit conclusions and audit reports reflect truthfully and accurately the audit
activities. Significant obstacles encountered during the audit and unresolved diverging opinions
between the audit team and the auditee are reported.
c) Due professional care: the application of diligence and judgement in auditing
Auditors exercise care in accordance with the importance of the task they perform and the confidence
placed in them by audit clients and other interested parties. Having the necessary competence is an
important factor.
Further principles relate to the audit, which is by definition independent and systematic.
a) Integrity: the foundation of professionalism
Auditors and the person managing an audit programme should:
— perform their work with honesty, diligence, and responsibility;
— observe and comply with any applicable legal requirements;
— demonstrate their competence while performing their work;
— perform their work in an impartial manner, i.e. remain fair and unbiased in all their dealings;
— be sensitive to any influences that may be exerted on their judgement while carrying out an audit.
b) Fair presentation: the obligation to report truthfully and accurately
Audit findings, audit conclusions and audit reports should reflect truthfully and accurately the audit
activities. Significant obstacles encountered during the audit and unresolved diverging opinions
between the audit team and the auditee should be reported. The communication should be truthful,
accurate, objective, timely, clear and complete.
c) Due professional care: the application of diligence and judgement in auditing
Auditors should exercise due care in accordance with the importance of the task they perform
and the confidence placed in them by the audit client and other interested parties. An important
factor in carrying out their work with due professional care is having the ability to make reasoned
judgements in all audit situations.
d) Confidentiality: security of information
Auditors should exercise discretion in the use and protection of information acquired in the course
of their duties. Audit information should not be used inappropriately for personal gain by the auditor
or the audit client, or in a manner detrimental to the legitimate interests of the auditee. This concept
includes the proper handling of sensitive or confidential information.
e) Independence: the basis for the impartiality of the audit and objectivity of the audit conclusions
d
Auditors areshould be independent of the activity being audited and arewherever practicable, and
should in all cases act in a manner that is free from bias and conflict of interest. Auditors maintain
an objective state of mindFor internal audits, auditors should be independent from the operating
managers of the function being audited. Auditors should maintain objectivity throughout the audit
process to ensure that the audit findings and conclusions will beare based only on the audit evidence.
For small organizations, it may not be possible for internal auditors to be fully independent of the
activity being audited, but every effort should be made to remove bias and encourage objectivity.
ISO 19011:redline:2014(E)
e f) Evidence-based approach: the rational method for reaching reliable and reproducible audit
conclusions in a systematic audit process
Audit evidence isshould be verifiable. It iswill in general be based on samples of the information
available, since an audit is conducted during a finite period of time and with finite resources. TheAn
appropriate use of sampling should be applied, since this is closely related to the confidence that can
be placed in the audit conclusions.
The guidance given in the remaining clauses of this International Standard is based on the principles
set out above.
5 Managing an audit programme
5.1 General
An organization needing to conduct audits should establish an audit programme that contributes to
the determination of the effectiveness of the auditee’s management system. The audit programme can
include audits considering one or more management system standards, conducted either separately or
in combination.
An audit programme may includeThe top management should ensure that the audit programme objectives
are established and assign one or more audits, depending upon the size, nature and complexity of the
organizationcompetent persons to manage the audit programme. The extent of an audit programme
should be based on the size and nature of the organization being audited, as well as on the nature,
functionality, complexity and the level of maturity of the management system to be audited. These
audits may have a variety of objectives and may also include joint or combined audits (see Notes 3 and 4
to the definition of audit inPriority should be given to allocating the audit programme resources to audit
those matters of significance within the management system. These may include the key characteristics
of product quality or hazards related to health and safety, or significant 3.1)environmental aspects and
their control.
NOTE This concept is commonly known as risk-based auditing. This International Standard does not give
further guidance on risk-based auditing.
An audit programme also includes all activities necessary for planning and organizing the types and
number of audits, and for providing resources to conduct themThe audit programme should include
information and resources necessary to organize and conduct its audits effectively and efficiently within
the specified time frames. and can also include the following:
An organization may establish more than one audit programme.
The organization’s top management should grant the authority for managing the audit programme.
Those assigned the responsibility for managing the audit programme should
a) — establish, implement, monitor, review and improveobjectives for the audit programme, and and
individual audits;
— extent/number/types/duration/locations/schedule of the audits;
— audit programme procedures;
— audit criteria;
— audit methods;
— selection of audit teams;
— necessary resources, including travel and accommodation;
6 © ISO 2014 – All rights reserved
ISO 19011:redline:2014(E)
b) — identify the necessary resources and ensure they are providedprocesses for handling
confidentiality, information security, health and safety, and other similar matters.
The implementation of the audit programme should be monitored and measured to ensure its objectives
have been achieved. The audit programme should be reviewed in order to identify possible improvements.
Figure 1 illustrates the process flow for the management of an audit programme.
ISO 19011:redline:2014(E)
NOTE 1 This figure illustrates the application of the Plan-Do-Check-Act cycle in this International Standard.
NOTE 2 Clause/subclause numbering refers to the relevant clauses/subclauses of this International Standard.
Figure 1 — Illustration of the process Process flow for the management of an audit programme
NOTE 1 Figure 1 also illustrates the application of the Plan-Do-Check-Act methodology in this International
Standard.
NOTE 2 The numbers in this and all subsequent figures refer to the relevant clauses of this International Standard.
8 © ISO 2014 – All rights reserved
ISO 19011:redline:2014(E)
If an organization to be audited operates both quality management and environmental management
systems, combined audits may be included in the audit programme. In such a case, special attention
should be paid to the competence of the audit team.
Two or more auditing organizations may cooperate, as part of their audit programmes, to conduct a joint
audit. In such a case, special attention should be paid to the division of responsibilities, the provision of
any additional resources, the competence of the audit team and the appropriate procedures. Agreement
on these should be reached before the audit commences.
Practical help — Examples of audit programmes
Examples of audit programmes include the following:
a) a series of internal audits covering an organization-wide quality management system for the cur-
rent year;
b) second-party management system audits of potential suppliers of critical products to be con-
ducted within 6 months;
c) certification/registration and surveillance audits conducted by a third-party certification/reg-
istration body on an environmental management system within a time period agreed contractually
between the certification body and the client.
An audit programme also includes appropriate planning, the provision of resources and the establish-
ment of procedures to conduct audits within the programme.
5.2 Establishing the audit programme objectives
The top management should ensure that the audit programme objectives are established to direct the
planning and conduct of audits and should ensure the audit programme is implemented effectively. Audit
programme objectives should be consistent with and support management system policy and objectives.
These objectives can be based on consideration of the following:
a) management priorities;
b) commercial and other business intentions;
c) characteristics of processes, products and projects, and any changes to them;
d) management system requirements;
e) legal and contractual requirements and other requirements to which the organization is committed;
f) need for supplier evaluation;
g) needs and expectations of interested parties, including customers;
h) auditee’s level of performance, as reflected in the occurrence of failures or incidents or customer
complaints;
i) risks to the auditee;
j) results of previous audits;
k) level of maturity of the management system being audited.
Examples of audit programme objectives include the following:
— to contribute to the improvement of a management system and its performance;
— to fulfil external requirements, e.g. certification to a management system standard;
— to verify conformity with contractual requirements;
ISO 19011:redline:2014(E)
— to obtain and maintain confidence in the capability of a supplier;
— to determine the effectiveness of the management system;
— to evaluate the compatibility and alignment of the management system objectives with the
management system policy and the overall organizational objectives.
5.2 5.3 Audit programme objectives and extent Establishing the audit programme
5.3.1 Roles and responsibilities of the person managing the audit programme
The person managing the audit programme should:
— establish the extent of the audit programme;
— identify and evaluate the risks for the audit programme;
— establish audit responsibilities;
— establish procedures for audit programmes;
— determine necessary resources;
— ensure the implementation of the audit programme, including the establishment of audit objectives,
scope and criteria of the individual audits, determining audit methods and selecting the audit team
and evaluating auditors;
— ensure that appropriate audit programme records are managed and maintained;
— monitor, review and improve the audit programme.
The person managing an audit programme should inform the top management of the contents of the
audit programme and, where necessary, request its approval.
5.2.1 5.3.2 Objectives of an Competence of the person managing the audit programme
Objectives should be established for an audit programme, to direct the planning and conduct of audits.
The person managing the audit programme should have the necessary competence to manage the
programme and its associated risks effectively and efficiently, as well as knowledge and skills in the
following areas:
These objectives can be based on consideration of
a) — management priorities,audit principles, procedures and methods;
b) — commercial intentions,management system standards and reference documents;
c) — management system requirements,activities, products and processes of the auditee;
d) — statutory, regulatory and contractual requirements,applicable legal and other requirements
relevant to the activities and products of the auditee;
e) need for supplier evaluation,
f) customer requirements,
g) — needs ofcustomers, suppliers and other interested parties, and of the auditee, where applicable.
h) risks to the organization.
10 © ISO 2014 – All rights reserved
ISO 19011:redline:2014(E)
Practical help — Examples of audit programme objectives
Examples of audit programme objectives include the following:
a) to meet requirements for certification to a management system standard;
b) to verify conformance with contractual requirements;
c) to obtain and maintain confidence in the capability of a supplier;
d) to contribute to the improvement of the management system.
oorgnazina.ti
The person managing the audit programme should engage in appropriate continual professional
development activities to maintain the necessary knowledge and skills to manage the audit programme.
5.2.2 5.3.3 Extent of an Establishing the extent of the audit programme
The extent of an audit programme can vary and will be influenced by the size, nature and complexity
of the organization to be auditedperson managing the audit programme should determine the extent
of the audit programme, which can vary depending on the size and nature of the auditee, as well as
by the following:on the nature, functionality, complexity and the level of maturity of, and matters of
significance to, the management system to be audited.
NOTE In certain cases, depending on the auditee’s structure or its activities, the audit programme might only
consist of a single audit (e.g. a small project activity).
Other factors impacting the extent of an audit programme include the following:
a) — the scope, objectiveobjective, scope and duration of each audit and the number of audits to be
conducted, including audit follow up, if applicable;
b) the frequency of audits to be conducted;
c) — the number, importance, complexity, similarity and locations of the activities to be audited;
— those factors influencing the effectiveness of the management system;
d) — standards, statutory, regulatoryapplicable audit criteria, such as planned arrangements
for the relevant management standards, legal and contractual requirements and other audit
criteriarequirements to which the organization is committed;
e) — the need for accreditation or registration/certificationconclusions of previous internal or
external audits;
f) — conclusions of previo
...
NORME ISO
INTERNATIONALE 19011
Deuxième édition
2011-11-15
Lignes directrices pour l’audit des
systèmes de management
Guidelines for auditing management systems
Numéro de référence
©
ISO 2011
DOCUMENT PROTÉGÉ PAR COPYRIGHT
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l’accord écrit
de l’ISO à l’adresse ci-après ou du comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO 2011 – Tous droits réservés
Sommaire Page
Avant-propos .iv
Introduction . v
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Principes de l’audit . 4
5 Management d’un programme d’audit . 5
5.1 Généralités . 5
5.2 Détermination des objectifs du programme d’audit . 7
5.3 Établissement du programme d’audit . 8
5.4 Mise en œuvre du programme d’audit . 11
5.5 Surveillance du programme d’audit .14
5.6 Revue et amélioration du programme d’audit .15
6 Réalisation d’un audit .15
6.1 Généralités .15
6.2 Déclenchement de l’audit .16
6.3 Préparation des activités d’audit .17
6.4 Réalisation des activités d’audit .19
6.5 Préparation et diffusion du rapport d’audit .24
6.6 Clôture de l’audit .25
6.7 Réalisation du suivi d’audit .26
7 Compétence et évaluation des auditeurs .26
7.1 Généralités .26
7.2 Détermination de la compétence de l’auditeur pour répondre aux besoins du
programme d’audit .27
7.3 Déterminer les critères d’évaluation des auditeurs .31
7.4 Choisir la méthode d’évaluation des auditeurs appropriée .31
7.5 Réaliser l’évaluation du ou des auditeurs .31
7.6 Maintien et amélioration de la compétence du ou des auditeurs .32
Annexe A (informative) Lignes directrices et exemples illustratifs de connaissances et aptitudes
spécifiques à la discipline des auditeurs .33
Annexe B (informative) Lignes directrices supplémentaires destinées aux auditeurs pour la
planification et la réalisation des audits .39
Bibliographie .46
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes nationaux de
normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est en général confiée aux
comités techniques de l’ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du comité
technique créé à cet effet. Les organisations internationales, gouvernementales et non gouvernementales,
en liaison avec l’ISO participent également aux travaux. L’ISO collabore étroitement avec la Commission
électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale des comités techniques est d’élaborer les Normes internationales. Les projets de Normes
internationales adoptés par les comités techniques sont soumis aux comités membres pour vote. Leur
publication comme Normes internationales requiert l’approbation de 75 % au moins des comités membres
votants.
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet de droits
de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable de ne pas avoir
identifié de tels droits de propriété et averti de leur existence.
L’ISO 19011 a été élaborée par le comité technique ISO/TC 176, Management et assurance de la qualité,
sous-comité SC 3, Techniques de soutien.
Cette deuxième édition annule et remplace la première (ISO 19011:2002), qui a fait l’objet d’une révision
technique.
Les principales différences entre les versions de 2002 et 2011 de l’ISO 19011 sont les suivantes:
— le domaine d’application de la présente Norme internationale, qui se limitait dans la version précédente
à l’audit des systèmes de management de la qualité et de management environnemental, concerne cette
fois l’audit de tous les systèmes de management quels qu’ils soient;
— la relation entre l’ISO 19011 et l’ISO/CEI 17021 est clarifiée;
— les méthodes d’audit à distance et le concept de risque sont introduits;
— la confidentialité a été ajoutée comme nouveau principe;
— les Articles 5, 6 et 7 ont été réorganisés;
— une nouvelle Annexe B contient des informations supplémentaires, ce qui a conduit à la suppression des
textes encadrés;
— le processus de détermination et d’évaluation des compétences est renforcé;
— une nouvelle Annexe A présente des exemples illustratifs des connaissances et aptitudes spécifiques à la
discipline;
— de plus amples informations doivent être mises à disposition sur un site Web public de l’ISO (www.iso.
org/19011auditing).
iv © ISO 2011 – Tous droits réservés
Introduction
Depuis que la première édition de la présente Norme internationale a été publiée en 2002, un certain nombre
de nouvelles normes sur les systèmes de management a été publié. Le résultat est que maintenant il y a un
besoin de prendre en considération un domaine d’application plus étendu d’audit du système de management,
aussi bien que de fournir des lignes directrices, ce qui est plus général.
En 2006, l’ISO CASCO (Comité pour l’évaluation de la conformité) a élaboré l’ISO/CEI 17021 spécifiant des
exigences applicables à la certification par tierce partie des systèmes de management. Cette norme était
fondée partiellement sur les lignes directrices contenues dans la première édition de la présente Norme
internationale.
La deuxième édition de l’ISO/CEI 17021, publiée en 2011, a été étendue afin de transformer les lignes
directrices proposées dans la présente Norme internationale en exigences concernant les audits de
certification du système de management. C’est dans ce contexte que cette deuxième édition de la présente
Norme internationale fournit des lignes directrices à l’intention de tous les utilisateurs, y compris les petites
et moyennes entreprises, s’intéressant par ailleurs aux dénominations communément appliquées aux audits
internes (première partie) et aux audits réalisés par les clients portant sur leurs fournisseurs (seconde partie).
Bien que les personnes en charge des audits de certification du système de management respectent les
exigences de l’ISO/CEI 17021:2011, elles peuvent également considérer comme utiles les lignes directrices
définies dans la présente Norme internationale.
La relation entre cette deuxième édition de la présente Norme internationale et l’ISO/CEI 17021:2011 est
présentée dans le Tableau 1.
Tableau 1 — Domaine d’application de la présente Norme internationale
et sa relation avec l’ISO/CEI 17021:2011
Audit externe
Audit interne
Audit des fournisseurs Audit de tierce partie
À des fins légales, réglementaires et similaires
Parfois appelé Parfois appelé
re e Pour certification (voir également les exigences
audit de 1 partie audit de 2 partie
spécifiées dans l’ISO/CEI 17021:2011)
La présente Norme internationale ne spécifie pas d’exigences mais donne des lignes directrices sur le
management d’un programme d’audit, la planification et la réalisation d’un audit du système de management,
ainsi que sur la compétence et l’évaluation d’un auditeur et d’une équipe d’audit.
Les organismes peuvent utiliser deux systèmes de management formels ou plus. Pour une simplification de la
lisibilité de la présente Norme internationale, la forme singulière de «système de management» est préférable,
le lecteur pouvant toutefois adapter la mise en œuvre des lignes directrices à sa propre situation particulière.
La présente Norme internationale est destinée à une large gamme d’utilisateurs potentiels parmi lesquels
des auditeurs, des organismes mettant en œuvre des systèmes de management et des organismes devant
réaliser des audits de systèmes de management dans un cadre contractuel ou réglementaire. Les utilisateurs
de la présente Norme internationale peuvent cependant appliquer ces lignes directrices pour développer leurs
propres exigences en matière d’audit.
Les lignes directrices fournies dans la présente Norme internationale peuvent également être utilisées à des
fins d’autodéclaration et peuvent par ailleurs se révéler utiles aux organismes chargés de la certification du
personnel ou de la formation d’auditeurs.
Les lignes directrices fournies dans la présente Norme internationale se veulent flexibles. Comme indiqué à
différentes reprises dans le texte, l’utilisation de ces lignes directrices peut varier selon la taille, le niveau de
maturité du système de management de l’organisme, la nature et la complexité de l’organisme à auditer, ainsi
que selon les objectifs et le champ des audits à réaliser.
La présente Norme internationale introduit le concept de risque dans l’audit des systèmes de management.
L’approche adoptée se rapporte à la fois au risque que le processus d’audit n’atteint pas ses objectifs et à
l’éventualité que l’audit influe sur les activités et les processus de l’audité. Cette approche ne fournit aucune
ligne directrice spécifique concernant le processus de gestion des risques d’un organisme, mais reconnaît
que les organismes peuvent concentrer l’effort d’audit sur des questions importantes pour le système de
management.
La présente Norme internationale adopte le principe selon lequel, lorsque deux ou plusieurs systèmes de
management de disciplines différentes font l’objet d’un audit conjoint, on parle d’audit combiné. Les principes
et les processus d’audit sont identiques à ceux applicables à un audit combiné lorsque les systèmes définis
sont intégrés dans un système de management unique.
L’Article 3 établit les termes et les définitions clés utilisés dans la présente Norme internationale. Les définitions
sont données en veillant à ne pas les rendre contradictoires avec les définitions utilisées dans d’autres normes
de systèmes de management.
L’Article 4 décrit les principes de base de l’audit. Ces principes permettent à l’utilisateur de comprendre les
fondements de l’audit, de même qu’ils sont importants pour la compréhension des lignes directrices spécifiées
dans les Articles 5 à 7.
L’Article 5 donne des lignes directrices pour la détermination et le management d’un programme d’audit, y
compris l’établissement des objectifs d’un programme d’audit et la coordination des activités d’audit.
L’Article 6 donne des lignes directrices pour planifier et réaliser l’audit d’un système de management.
L’Article 7 donne des lignes directrices relatives à la compétence et à l’évaluation des auditeurs et des équipes
d’audit d’un système de management.
L’Annexe A illustre l’application des lignes directrices de l’Article 7 à différentes disciplines.
L’Annexe B fournit des lignes directrices supplémentaires destinées aux auditeurs sur la planification et la
réalisation des audits.
vi © ISO 2011 – Tous droits réservés
NORME INTERNATIONALE ISO 19011:2011(F)
Lignes directrices pour l’audit des systèmes de management
1 Domaine d’application
La présente Norme internationale fournit des lignes directrices sur l’audit de systèmes de management,
comprenant les principes de l’audit, le management d’un programme d’audit et la réalisation d’audits de
systèmes de management. Elle donne également des lignes directrices sur l’évaluation de la compétence
des personnes impliquées dans le processus d’audit, y compris le ou la responsable du management du
programme d’audit, les auditeurs et les équipes d’audit.
Elle est applicable à tous les organismes qui doivent réaliser des audits internes ou externes de systèmes de
management ou manager un programme d’audit.
La présente Norme internationale peut, en principe, s’appliquer à d’autres types d’audits, à condition toutefois
d’accorder une attention toute particulière aux compétences spécifiques requises.
2 Références normatives
Aucune référence normative n’est citée. L’inclusion du présent article permet de conserver une numérotation
des articles identique à celle utilisée dans d’autres normes de systèmes de management ISO.
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s’appliquent.
3.1
audit
processus méthodique, indépendant et documenté permettant d’obtenir des preuves d’audit (3.3) et de les
évaluer de manière objective pour déterminer dans quelle mesure les critères d’audit (3.2) sont satisfaits
NOTE 1 Les audits internes, parfois appelés audits de première partie, sont réalisés par ou pour le compte de l’organisme
lui-même, pour la revue de direction et d’autres besoins internes (par exemple pour confirmer le fonctionnement prévu du
système de management ou pour obtenir des informations permettant d’améliorer le système de management), et peuvent
servir de base à l’autodéclaration de conformité de l’organisme. Dans de nombreux cas et en particulier pour les petits
organismes, l’indépendance peut être démontrée par l’absence de responsabilité vis-à-vis de l’activité à auditer, ou de
divergence et de conflit d’intérêt.
NOTE 2 Les audits externes comprennent les audits de seconde et de tierce partie. Les audits de seconde partie
sont réalisés par des parties ayant un intérêt à l’égard de l’organisme, comme les clients ou d’autres personnes agissant
en leur nom. Les audits de tierce partie sont réalisés par des organismes d’audit indépendants, tels que les autorités de
réglementation ou les organismes qui octroient l’enregistrement ou la certification.
NOTE 3 Lorsque deux ou plusieurs systèmes de management de différentes disciplines (par exemple qualité,
environnement, santé et sécurité au travail) font l’objet d’un audit conjoint, on parle d’audit combiné.
NOTE 4 Lorsque deux ou plusieurs organismes d’audit coopèrent pour auditer un seul audité (3.7), on parle d’audit
conjoint.
NOTE 5 Adapté de l’ISO 9000:2005, définition 3.9.1.
3.2
critères d’audit
ensemble de politiques, procédures ou exigences utilisées comme référence vis-à-vis de laquelle les preuves
d’audit (3.3) sont comparées
NOTE Adapté de l’ISO 9000:2005, définition 3.9.3.
3.3
preuves d’audit
enregistrements, énoncés de faits ou d’autres informations pertinents pour les critères d’audit (3.2) et
vérifiables
NOTE Les preuves d’audit peuvent être qualitatives ou quantitatives.
[ISO 9000:2005, définition 3.9.4]
3.4
constatations d’audit
résultats de l’évaluation des preuves d’audit (3.3) par rapport aux critères d’audit (3.2)
NOTE 1 Les constatations d’audit indiquent la conformité ou la non-conformité.
NOTE 2 Les constatations d’audit peuvent conduire à l’identification des opportunités d’amélioration ou à la consignation
des bonnes pratiques.
NOTE 3 Si les critères d’audit sont choisis parmi les exigences légales ou d’autres exigences, la constatation d’audit
est qualifiée de conformité ou non conformité.
NOTE 4 Adapté de l’ISO 9000:2005, définition 3.9.5.
3.5
conclusions d’audit
résultat d’un audit (3.1), après avoir pris en considération les objectifs de l’audit et toutes les constatations
d’audit (3.4)
3.6
client de l’audit
organisme ou personne demandant un audit (3.1)
NOTE 1 Dans le cas d’un audit interne, le client de l’audit peut également être l’audité (3.7) ou la personne qui gère le
programme d’audit. Les demandes d’audit externe peuvent provenir de sources telles que des autorités de réglementation,
des parties contractantes ou des clients potentiels.
NOTE Adapté de l’ISO 9000:2005, définition 3.9.7.
3.7
audité
organisme qui est audité
[ISO 9000:2005, définition 3.9.8]
3.8
auditeur
personne qui réalise un audit (3.1)
3.9
équipe d’audit
un ou plusieurs auditeurs (3.8) réalisant un audit (3.1), assistés, si nécessaire, par des experts
techniques (3.10)
NOTE 1 Un auditeur de l’équipe d’audit est nommé responsable de l’équipe d’audit.
NOTE 2 L’équipe d’audit peut comprendre des auditeurs en formation.
[ISO 9000:2005, définition 3.9.10]
2 © ISO 2011 – Tous droits réservés
3.10
expert technique
〈audit〉 personne apportant à l’équipe d’audit (3.9) des connaissances ou une expertise spécifiques
NOTE 1 Ces connaissances ou cette expertise spécifiques sont relatives à l’organisme, au processus ou à l’activité à
auditer, ou elles consistent en une assistance linguistique ou culturelle.
NOTE 2 Au sein de l’équipe d’audit, un expert technique n’agit pas en tant qu’auditeur (3.8).
[ISO 9000:2005, définition 3.9.11]
3.11
observateur
personne qui accompagne l’équipe d’audit (3.9) mais ne réalise pas d’audit
NOTE 1 L’observateur ne fait pas partie intégrante de l’équipe d’audit et n’influence en aucune manière la réalisation
de l’audit (3.1).
NOTE 2 Un observateur peut être désigné par l’audité (3.7), des Pouvoirs Publics ou toute autre partie intéressée qui
assiste à l’audit (3.1).
3.12
guide
personne nommée par l’audité (3.7) pour assister l’équipe d’audit (3.9)
3.13
programme d’audit
dispositions relatives à un ensemble d’un ou plusieurs audits (3.1) planifié pour une durée spécifique et dirigé
dans un but spécifique
3.14
champ de l’audit
étendue et limites d’un audit (3.1)
NOTE Le champ de l’audit décrit généralement les lieux, les unités organisationnelles, les activités et les processus
ainsi que la période de temps couverte.
[ISO 9000:2005, définition 3.9.13]
3.15
plan d’audit
description des activités et des dispositions nécessaires pour réaliser un audit (3.1)
[ISO 9000:2005, définition 3.9.12]
3.16
risque
effet de l’incertitude sur les objectifs
NOTE Adapté de l’ISO Guide 73:2009, définition 1.1.
3.17
compétence
capacité à appliquer des connaissances et des aptitudes pour obtenir les résultats escomptés
NOTE La capacité implique la bonne application des comportements personnels pendant le processus d’audit.
3.18
conformité
satisfaction d’une exigence
[ISO 9000:2005, définition 3.6.1]
NOTE Si les critères d’audit (3.2) sont des exigences légales (y compris statutaires ou réglementaires), une
constatation d’audit (3.4) utilise souvent les termes «conforme à la réglementation» ou «non conforme à la réglementation».
3.19
non-conformité
non-satisfaction d’une exigence
[ISO 9000:2005, définition 3.6.2]
3.20
système de management
système permettant d’établir une politique et des objectifs et d’atteindre ces objectifs
NOTE Le système de management d’un organisme peut inclure différents systèmes de management, tels
qu’un système de management de la qualité, un système de management financier ou un système de management
environnemental.
[ISO 9000:2005, définition 3.2.2]
4 Principes de l’audit
L’audit est caractérisé par la confiance accordée à un certain nombre de principes. Il convient que ces
principes fassent de l’audit un outil efficace et fiable sur lequel la direction peut s’appuyer pour gérer ses
politiques et contrôles en fournissant des informations à partir desquelles l’organisme peut agir pour améliorer
ses performances. Le respect de ces principes est indispensable pour que les conclusions d’audit soient
pertinentes et suffisantes, et pour que des auditeurs travaillant indépendamment les uns des autres parviennent
à des conclusions similaires dans des circonstances similaires.
Les lignes directrices données dans les Articles 5 à 7 sont fondées sur les sept principes mis en évidence
ci-après.
a) Déontologie: le fondement du professionnalisme
Il convient que les auditeurs et la personne responsable du management du programme d’audit:
— réalisent leurs tâches avec honnêteté, diligence et responsabilité;
— observent et respectent toutes les exigences légales applicables;
— démontrent leur compétence technique dans l’accomplissement de leurs tâches;
— réalisent leurs tâches en toute impartialité, c’est-à-dire qu’ils restent justes et sans parti pris dans
toutes leurs actions;
— soient sensibilisés à toutes les influences que peuvent exercer d’autres parties intéressées sur leur
jugement lorsqu’ils réalisent un audit.
b) Présentation impartiale: l’obligation de rendre compte de manière honnête et précise
Il convient que les constatations, conclusions et rapports d’audit reflètent de manière honnête et précise
les activités d’audit. Il convient de consigner les obstacles importants rencontrés pendant l’audit et les
questions non résolues ou les avis divergents entre l’équipe d’audit et l’audité. La communication doit être
honnête, précise, objective, opportune, claire et complète.
4 © ISO 2011 – Tous droits réservés
c) Conscience professionnelle: l’attitude diligente et avisée au cours de l’audit
Il convient que les auditeurs agissent en accord avec l’importance des tâches qu’ils réalisent et la confiance
que leur ont accordée le client de l’audit et les autres parties intéressées. La qualité essentielle pour
réaliser leurs tâches avec conscience professionnelle réside dans la capacité à prendre des décisions
avisées dans toutes les situations d’audit.
d) Confidentialité: sûreté des informations
Il convient que les auditeurs utilisent avec précaution les informations acquises au cours de leurs missions
et respectent les règles de confidentialité. Il convient que les informations d’audit ne soient pas utilisées
de manière inappropriée au seul bénéfice de l’auditeur ou du client de l’audit ou de manière qui pourrait
porter préjudice à l’intérêt légitime de l’audité. Ce concept comprend le traitement correct des informations
sensibles ou confidentielles.
e) Indépendance: le fondement de l’impartialité de l’audit et de l’objectivité des conclusions d’audit
Il convient que les auditeurs soient indépendants de l’activité auditée et n’aient ni parti pris ni conflit
d’intérêt dans toute la mesure du possible. Pour les audits internes, il convient que les auditeurs soient
indépendants des responsables opérationnels de la fonction auditée. Il convient que les auditeurs
conservent un état d’esprit objectif tout au long du processus d’audit pour s’assurer que les constatations
et conclusions sont uniquement fondées sur les preuves d’audit.
Pour les petits organismes, il peut se révéler impossible pour les auditeurs internes d’être totalement
indépendants de l’activité auditée, mais il convient de s’efforcer d’établir des relations sans parti pris et de
créer un climat d’objectivité.
f) Approche fondée sur la preuve: la méthode rationnelle pour parvenir à des conclusions d’audit fiables
et reproductibles dans un processus d’audit systématique
Il convient que les preuves d’audit soient vérifiables. Elles s’appuient généralement sur des échantillons
des informations disponibles, dans la mesure où un audit est réalisé avec une durée et des ressources
délimitées. Il convient d’utiliser l’échantillonnage de manière appropriée, dans la mesure où cette utilisation
est étroitement liée à la confiance qui peut être accordée aux conclusions d’audit.
5 Management d’un programme d’audit
5.1 Généralités
Il convient qu’un organisme devant réaliser des audits établisse un programme d’audit qui contribue à déterminer
l’efficacité du système de management de l’audité. Le programme d’audit peut inclure des audits prenant en
compte une ou plusieurs normes de systèmes de management, réalisés de manière individuelle ou combinée.
Il convient que la direction s’assure que les objectifs d’un programme d’audit sont établis et qu’elle attribue à
une ou des personnes compétentes la responsabilité du management du programme d’audit. Il convient que
l’étendue d’un programme d’audit tienne compte de la taille et de la nature de l’organisme audité, ainsi que de
la nature, de la fonctionnalité, de la complexité et du niveau de maturité du système de management à auditer.
Il convient d’accorder la priorité aux ressources du programme d’audit à attribuer aux questions importantes
au sein du système de management. Ces éléments significatifs peuvent comprendre les caractéristiques
essentielles relevant de la qualité du produit, des dangers et risques en matière de santé et de sécurité, ou des
aspects environnementaux significatifs et leur maîtrise.
NOTE Ce concept est communément appelé audit en fonction du risque. La présente Norme internationale ne fournit
pas de lignes directrices supplémentaires concernant l’audit en fonction du risque.
Il convient que le programme d’audit comporte les informations et ressources nécessaires pour organiser et
réaliser ses audits de façon efficace et effective dans les délais spécifiés. Ce programme peut également
inclure:
— des objectifs pour le programme d’audit et les audits individuels;
— l’étendue/le nombre/les types/la durée/les lieux/le calendrier des audits;
— les procédures de programme d’audit;
— les critères d’audit;
— les méthodes d’audit;
— la constitution des équipes d’audit;
— les ressources nécessaires, y compris les déplacements et l’hébergement;
— les processus de traitement des questions relatives à la confidentialité, à la sûreté des informations, à la
santé et à la sécurité, et autres sujets similaires.
Il convient de surveiller et mesurer la mise en œuvre du programme d’audit afin de s’assurer de la réalisation
de ses objectifs. Il convient que le programme d’audit fasse l’objet d’une revue afin d’identifier les améliorations
possibles.
La Figure 1 illustre le logigramme de management d’un programme d’audit.
6 © ISO 2011 – Tous droits réservés
5.2 Détermination des objectifs du programme d’audit
5.3 Établissement du programme d’audit
PLANIFIER
5.3.1 Rôles et responsabilités de la personne
responsable du management du programme d’audit
5.3.2 Compétence de la personne responsable du
management du programme d’audit
5.3.3 Détermination de l’étendue du programme d’audit
5.3.4 Identification et évaluation des risques liés au
programme d’audit
5.3.5 Établissement des procédures du programme
d’audit
5.3.6 Identification des ressources du programme d’audit
5.4 Mise en œuvre du programme d’audit
5.4.1 Généralités
Compétence et
évaluation des
5.4.2 Définitions des objectifs, du champ et des critères
auditeurs
d’audit individuel
(Article 7)
5.4.3 Détermination des méthodes d’audit
FAIRE
5.4.4 Choix des membres de l’équipe d’audit
Réalisation d’un audit
5.4.5 Attribution de la responsabilité d’un audit individuel
(Article 6)
au responsable de l’équipe d’audit
5.4.6 Management du résultat d’un programme d’audit
5.4.7 Management et conservation des enregistrements
du programme d’audit
VÉRIFIER
5.5 Surveillance du programme d’audit
AGIR
5.6 Revue et amélioration du programme d’audit
NOTE 1 La Figure 1 illustre également l’application du cycle Plan-Do-Check-Act (Planifier-Faire-Vérifier-Agir) de la
présente Norme internationale.
NOTE 2 Les numéros d’articles/paragraphes renvoient aux articles et paragraphes correspondants de la présente
Norme internationale.
Figure 1 — Logigramme pour le management d’un programme d’audit
5.2 Détermination des objectifs du programme d’audit
Il convient que la direction s’assure de la détermination des objectifs du programme d’audit permettant le
pilotage de la planification et de la réalisation des audits, et de la mise en œuvre de manière efficace de
ce programme. Il convient que les objectifs du programme d’audit soient cohérents avec la politique et les
objectifs du système de management, et qu’ils étayent ceux-ci.
Ces objectifs peuvent prendre en compte:
a) les priorités de la direction;
b) la politique commerciale et/ou d’entreprise;
c) les caractéristiques des processus, produits et projets, ainsi que toutes modifications de ces derniers;
d) les exigences relatives au(x) système(s) de management;
e) les exigences légales et contractuelles, ainsi que les autres exigences auxquelles l’organisme doit
satisfaire;
f) la nécessité d’évaluer les fournisseurs;
g) les besoins et attentes des parties intéressées, y compris les clients;
h) le niveau de performance de l’audité, par exemple selon l’occurrence de dysfonctionnements ou d’incidents
ou de réclamations des clients;
i) les risques pour l’audité;
j) les résultats d’audits précédents;
k) le niveau de maturité du système de management audité.
Des exemples d’objectifs d’un programme d’audit comprennent les éléments suivants:
— contribuer à l’amélioration d’un système de management et ses performances;
— satisfaire aux exigences externes, par exemple une certification selon une norme de système de
management;
— vérifier la conformité à des exigences contractuelles;
— obtenir et conserver la confiance dans les capacités d’un fournisseur;
— déterminer l’efficacité du système de management;
— évaluer la compatibilité et l’alignement des objectifs du système de management à la politique du système
de management et aux objectifs généraux de l’organisme.
5.3 Établissement du programme d’audit
5.3.1 Rôles et responsabilités de la personne responsable du management du programme d’audit
Il convient que la personne responsable du management du programme d’audit:
— établisse l’étendue du programme d’audit;
— identifie et évalue les risques pour le programme d’audit;
— définisse les responsabilités pour l’audit;
— définisse des procédures pour les programmes d’audit;
— détermine les ressources nécessaires;
— assure la mise en œuvre du programme d’audit, y compris en déterminant les objectifs de l’audit, le champ
de l’audit et les critères d’audit pour chaque audit individuel, en déterminant les méthodes d’audit, en
constituant l’équipe d’audit et en évaluant les auditeurs;
8 © ISO 2011 – Tous droits réservés
— s’assure que les enregistrements appropriés concernant le programme d’audit sont gérés et conservés;
— surveille, passe en revue et améliore le programme d’audit.
Il convient que la personne responsable du management d’un programme d’audit informe la direction du
contenu du programme d’audit et, si nécessaire, demande son approbation.
5.3.2 Compétence de la personne responsable du management du programme d’audit
Il convient que la personne responsable du management du programme d’audit dispose de la compétence
nécessaire qui lui permet de manager ce programme et les risques qui lui sont associés de manière efficace
et efficiente, ainsi que des connaissances et aptitudes dans les domaines suivants:
— les principes, procédures et méthodes d’audit;
— les normes de système de management et les documents de référence;
— les activités, produits et processus de l’audité;
— les exigences légales et autres exigences appropriées, liées aux activités et produits de l’audité;
— lesclients, fournisseurs et autres parties intéressées de l’audité, le cas échéant.
Il convient que la personne responsable du management du programme d’audit participe à la formation continue
visant à maintenir les connaissances et aptitudes nécessaires pour le management du programme d’audit.
5.3.3 Détermination de l’étendue du programme d’audit
Il convient que la personne responsable du programme d’audit détermine l’étendue du programme d’audit, qui
peut dépendre de la taille et de la nature de l’audité, ainsi que de la nature, de la fonctionnalité, de la complexité
et du niveau de maturité du système de management à auditer, et des questions importantes relatives à ce
dernier.
NOTE Dans certains cas, en fonction de la structure ou des activités de l’organisme, le programme d’audit peut
consister uniquement en un audit unique (par exemple une activité de petit projet).
Les autres facteurs ayant une incidence sur l’étendue d’un programme d’audit comprennent:
— l’objectif, le champ et la durée de chaque audit, ainsi que le nombre d’audits à réaliser, y compris le suivi
d’audit, le cas échéant;
— le nombre, l’importance, la complexité, la similitude et la localisation des activités à auditer;
— les facteurs qui influent sur l’efficacité du système de management;
— les critères d’audit applicables, tels que les dispositions planifiées pertinentes aux exigences de
management, des normes, des exigences légales et contractuelles, et aux autres exigences auxquelles
doit satisfaire l’organisme;
— les conclusions des audits internes ou externes précédents;
— les résultats d’une revue de programme d’audit précédente;
— la langue, le contexte culturel et social;
— les préoccupations des parties intéressées, telles que les réclamations des clients ou la non-conformité
avec les exigences légales;
— les modifications importantes apportées à l’audité ou à son fonctionnement;
— la disponibilité des technologies d’information et de communication à l’appui des activités d’audit,
notamment l’utilisation de méthodes d’audit à distance (voir Annexe B);
— l’occurrence d’événements internes et externes tels que les défaillances de produit, les fuites d’information,
les incidents en matière de santé et de sécurité, les actes criminels ou les incidents d’ordre environnemental.
5.3.4 Identification et évaluation des risques liés au programme d’audit
Il existe un grand nombre de risques liés à l’établissement, à la mise en œuvre, à la surveillance et à la revue
d’un programme d’audit, susceptibles d’affecter la réalisation de ses objectifs. Il convient que la personne
responsable du programme prenne en compte ces risques dans le développement de ce dernier. Ces risques
peuvent être liés aux éléments suivants:
— la planification, par exemple manquements dans l’établissement d’objectifs d’audit pertinents et dans la
détermination de l’étendue du programme d’audit;
— les ressources, par exemple délai insuffisant octroyé au développement du programme d’audit ou à la
réalisation d’un audit;
— la constitution de l’équipe d’audit, par exemple l’équipe ne dispose pas de la compétence collective
suffisante pour réaliser les audits de manière efficace;
— la mise en œuvre, par exemple inefficacité de la communication du programme d’audit;
— les enregistrements et leur maîtrise, par exemple défaut de protection adéquate des enregistrements
d’audit pour démontrer l’efficacité du programme d’audit;
— la surveillance, la revue et l’amélioration du programme d’audit, par exemple surveillance inefficace des
résultats du programme d’audit.
5.3.5 Établissement des procédures du programme d’audit
Il convient que la personne responsable du programme d’audit établisse une ou plusieurs procédures
destinée(s) à réaliser les opérations suivantes, le cas échéant:
— planification et programmation des audits en tenant compte des risques liés au programme d’audit;
— garantie de la sécurité et de la confidentialité des informations;
— assurance de la compétence des auditeurs et des responsables d’équipes d’audit;
— constitution d’équipes d’audit appropriées et attribution des rôles et responsabilités;
— réalisation d’audits, comprenant l’utilisation de méthodes d’échantillonnage appropriées;
— réalisation de suivi d’audit, le cas échéant;
— compte rendu à la direction des réalisations globales du programme d’audit;
— conservation des enregistrements du programme d’audit;
— surveillance et revue du fonctionnement et des risques, et amélioration de l’efficacité du programme
d’audit.
5.3.6 Identification des ressources du programme d’audit
Lors de l’identification des ressources nécessaires pour le programme d’audit, il convient que la personne
responsable du management du programme d’audit considère:
— les ressources financières nécessaires pour développer, mettre en œuvre, manager et améliorer les
activités d’audit;
— les méthodes d’audit;
— la disponibilité des auditeurs et des experts techniques possédant les compétences appropriées pour les
objectifs particuliers du programme d’audit;
10 © ISO 2011 – Tous droits réservés
— l’étendue du programme d’audit et les risques liés au programme d’audit;
— les temps et les coûts de transport, l’hébergement et les autres besoins relatifs à l’audit;
— la disponibilité des technologies d’information et de communication.
5.4 Mise en œuvre du programme d’audit
5.4.1 Généralités
Il convient que la personne responsable du management du programme d’audit mette en œuvre le programme
d’audit en réalisant les tâches suivantes:
— communiquer les parties pertinentes du programme d’audit aux parties concernées et les informer
régulièrement de son avancement;
— définir les objectifs, le champ et les critères pour chaque audit individuel;
— coordonner et programmer les audits et les autres activités applicables au programme d’audit;
— s’assurer de la constitution d’équipes d’audit ayant la compétence nécessaire;
— fournir les ressources nécessaires aux équipes d’audit;
— s’assurer que les audits sont réalisés conformément au programme d’audit et dans le délai convenu;
— s’assurer que les activités d’audit sont enregistrées et que les enregistrements sont correctement gérés et
conservés.
5.4.2 Définition des objectifs, du champ et des critères pour chaque audit individuel
Il convient de fonder chaque audit individuel sur des objectifs, un champ et des critères d’audit documentés.
Il convient par ailleurs que ces derniers soient définis par la personne responsable du management du
programme d’audit et soient cohérents avec les objectifs globaux du programme d’audit.
Les objectifs d’audit définissent ce qui est attendu de l’audit individuel et peuvent comprendre ce qui suit:
— la détermination du degré de conformité de tout ou partie du système de management à auditer aux
critères d’audit;
— la détermination du degré de conformité des activités, processus et produits avec les exigences et
procédures du système de management;
— l’évaluation de l’aptitude du système de management à assurer la conformité aux exigences légales et
contractuelles, et aux autres exigences auxquelles l’organisme doit satisfaire;
— l’évaluation de l’efficacité du système de management à satisfaire ses objectifs spécifiés;
— l’identification des parties du système de management où il y a possibilité d’amélioration.
Il convient que le champ de l’audit soit cohérent avec le programme et les objectifs d’audit. Il comprend des
facteurs tels que les lieux, les unités organisationnelles, les activités et processus à auditer, ainsi que la durée
de l’audit.
Les critères d’audit sont utilisés comme référence vis-à-vis de laquelle la conformité est déterminée et peuvent
comprendre des politiques, des objectifs, des procédures, des normes, des exigences légales, des exigences
relatives au système de management, des exigences contractuelles, des codes de déontologie sectoriels ou
autres dispositions planifiées.
Il convient de modifier, si nécessaire, le programme d’audit, en cas de changements apportés aux objectifs, au
champ ou aux critères de l’audit.
Lorsque deux ou plusieurs systèmes de management de différentes disciplines font l’objet d’un audit conjoint
(audit combiné), il est important que les objectifs, le champ et les critères de l’audit soient cohérents avec les
objectifs des programmes d’audit appropriés.
5.4.3 Détermination des méthodes d’audit
Il convient que la personne responsable du management du programme d’audit choisisse et détermine les
méthodes d’audit à appliquer en fonction des objectifs, du champ et des critères d’audit définis permettant de
réaliser l’audit de manière efficace.
NOTE Des lignes directrices sur la manière de déterminer les méthodes d’audit sont données dans l’Annexe B.
Lorsque deux organismes d’audit ou plus réalisent un audit conjoint pour le même audité, il convient que
les personnes responsables du management des différents programmes d’audit conviennent de la méthode
d’audit et prennent en compte les implications afférentes aux ressources et à la planification de l’audit. Si un
audité met en œuvre deux systèmes de management ou plus avec différentes disciplines, les audi
...
NORMA ISO
INTERNACIONAL 19011
Traducción oficial
Segunda edición
Official translation
2011-11-15
Traduction officielle
Directrices para la auditoría de los
sistemas de gestión
Guidelines for auditing management systems
Lignes directrices pour l'audit des systèmes de management
Publicado por la Secretaría Central de ISO en Ginebra, Suiza, como
traducción oficial en español avalada por el Translation Management
Group, que ha certificado la conformidad en relación con las versiones
inglesa y francesa.
Número de referencia
(traducción oficial)
©
ISO 2011
DOCUMENTO PROTEGIDO POR COPYRIGHT
© ISO 2011
Reservados los derechos de reproducción. Salvo prescripción diferente, no podrá reproducirse ni utilizarse ninguna parte de esta
publicación bajo ninguna forma y por ningún medio, electrónico o mecánico, incluidos el fotocopiado y la microfilmación, sin la
autorización por escrito recibida de ISO en la siguiente dirección o del organismo miembro de ISO en el país solicitante.
ISO copyright office
Case postale 56 CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Versión española publicada en 2012
Publicado en Suiza
Traducción oficial/Official translation/Traduction officielle
ii © ISO 2011 — Todos los derecho reservados
Índice Página
Prólogo . iv
Prólogo de la versión en español . v
Introducción . vi
1 Objeto y campo de aplicación . 1
2 Referencias normativas . 1
3 Términos y definiciones . 1
4 Principios de auditoría . 4
5 Gestión de un programa de auditoría . 5
5.1 Generalidades . 5
5.2 Establecimiento de los objetivos del programa de auditoría . 8
5.3 Establecimiento del programa de auditoría . 8
5.4 Implementación del programa de auditoría . 11
5.5 Seguimiento del programa de auditoría . 15
5.6 Revisión y mejora del programa de auditoría . 16
6 Realización de una auditoría . 16
6.1 Generalidades . 16
6.2 Inicio de la auditoría . 17
6.3 Preparación de las actividades de auditoría . 18
6.4 Realización de las actividades de auditoría . 21
6.5 Preparación y distribución del informe de auditoría . 26
6.6 Finalización de la auditoría . 27
6.7 Realización de las actividades de seguimiento de una auditoría . 28
7 Competencia y evaluación de los auditores . 28
7.1 Generalidades . 28
7.2 Determinación de la competencia del auditor para cumplir las necesidades del programa
de auditoría . 29
7.3 Establecimiento de los criterios de evaluación del auditor . 33
7.4 Selección del método apropiado de evaluación del auditor. 33
7.5 Realización de la evaluación del auditor . 34
7.6 Mantenimiento y mejora de la competencia del auditor . 34
Anexo A (informativo) Orientación y ejemplos ilustrativos de conocimientos y habilidades de un
auditor en disciplinas específicas . 35
Anexo B (informativo) Orientación adicional destinada a los auditores para planificar y realizar
las auditorías . 42
Bibliografía . 49
Traducción oficial/Official translation/Traduction officielle
Prólogo
ISO (Organización Internacional de Normalización) es una federación mundial de organismos nacionales de
normalización (organismos miembros de ISO). El trabajo de preparación de las Normas Internacionales
normalmente se realiza a través de los comités técnicos de ISO. Cada organismo miembro interesado en una
materia para la cual se haya establecido un comité técnico, tiene el derecho de estar representado en dicho
comité. Las organizaciones internacionales, públicas y privadas, en coordinación con ISO, también participan
en el trabajo. ISO colabora estrechamente con la Comisión Electrotécnica Internacional (IEC) en todas las
materias de normalización electrotécnica.
Las normas internacionales se redactan de acuerdo con las reglas establecidas en la Parte 2 de las
Directivas ISO/IEC.
La tarea principal de los comités técnicos es preparar Normas Internacionales. Los Proyectos de Normas
Internacionales adoptados por los comités técnicos se envían a los organismos miembros para votación. La
publicación como Norma Internacional requiere la aprobación por al menos el 75% de los organismos
miembros que emiten voto.
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan estar
sujetos a derechos de patente. ISO no asume la responsabilidad por la identificación de cualquiera o todos
los derechos de patente.
La Norma ISO 19011 ha sido preparada por el Comité Técnico ISO/TC 176, Gestión y aseguramiento de la
calidad, Subcomité SC 3, Tecnologías de apoyo.
Esta segunda edición anula y sustituye a la primera edición (ISO 19011:2002), que ha sido revisada
técnicamente.
Las principales diferencias entre las versiones de 2002 y 2011 de la Norma ISO 19011 son las siguientes:
— el objeto y campo de aplicación se ha ampliado de la auditoría de los sistemas de gestión de la calidad y
del medio ambiente a las auditorías de todos los sistemas de gestión;
— se ha aclarado la relación entre las Normas ISO 19011 e ISO/IEC 17021;
— se han introducido los métodos de auditoría a distancia y el concepto de riesgo;
— se ha añadido la confidencialidad como un nuevo principio de auditoría;
— se han reorganizado los capítulos 5, 6 y 7;
— se ha incluido un nuevo Anexo B con información adicional, dando como resultado la eliminación de los
recuadros de ayuda;
— se ha fortalecido el proceso de determinación y evaluación de las competencias;
— se han incluido en un nuevo Anexo A ejemplos ilustrativos de los conocimientos y habilidades
específicos de la disciplina;
— se encuentran disponibles directrices adicionales en el siguiente sitio Web: www.iso.org/19011auditing
Traducción oficial/Official translation/Traduction officielle
iv © ISO 2011 — Todos los derechos reservados
Prólogo de la versión en español
Esta Norma Internacional ha sido traducida por el Grupo de Trabajo Spanish Translation Task Group (STTG)
del Comité Técnico ISO/TC 176, Gestión y aseguramiento de la calidad, en el que participan representantes
de los organismos nacionales de normalización y representantes del sector empresarial de los siguientes
países:
Argentina, Bolivia, Brasil, Chile, Colombia, Costa Rica, Cuba, Ecuador, España, Estados Unidos de América,
México, Perú y Uruguay.
Igualmente, en el citado Grupo de Trabajo participan representantes de COPANT (Comisión Panamericana
de Normas Técnicas) y de INLAC (Instituto Latinoamericano de la Calidad).
Esta traducción es parte del resultado del trabajo que el Grupo ISO/TC 176/STTG viene desarrollando desde
su creación en el año 1999 para lograr la unificación de la terminología en lengua española en el ámbito de la
gestión de la calidad.
Traducción oficial/Official translation/Traduction officielle
Introducción
Desde la publicación de la primera edición de esta Norma Internacional en 2002, se han publicado varias
normas nuevas de sistemas de gestión. Como resultado, ahora existe la necesidad de considerar un alcance
más amplio de la auditoría de los sistemas de gestión, así como de proporcionar una orientación más
genérica.
En 2006, el comité de ISO para la evaluación de la conformidad (CASCO) desarrolló la Norma ISO/IEC 17021,
que establece los requisitos para la certificación de tercera parte de los sistemas de gestión y que se basa
parcialmente en las directrices contenidas en la primera edición de esta Norma Internacional.
La segunda edición de la Norma ISO/IEC 17021, publicada en 2011, se amplió para transformar la
orientación ofrecida en esta Norma Internacional en requisitos para las auditorías de certificación de sistemas
de gestión. Es en este contexto que esta segunda edición de esta Norma Internacional proporciona
orientación a todos los usuarios, incluyendo las organizaciones pequeñas y medianas, y se concentra en lo
que se denomina comúnmente “auditorías internas” (de primera parte) y “auditorías realizadas por clientes a
sus proveedores” (de segunda parte). Aunque aquellos implicados en auditorías de certificación de sistemas
de gestión sigan los requisitos de la Norma ISO/IEC 17021:2011, también podrían encontrar útil la orientación
de esta Norma Internacional.
La relación entre esta segunda edición de esta Norma Internacional y la Norma ISO/IEC 17021:2011 se
muestra en la Tabla 1.
Tabla 1 – Alcance de esta Norma Internacional y su relación con la Norma ISO/IEC 17021:2011
Auditoría externa
Auditoría interna
Auditoría al proveedor Auditoría de tercera parte
Para propósitos legales,
reglamentarios y similares
A veces llamada auditoría de
A veces llamada auditoría de segunda parte
primera parte
Para certificación (Véanse también
los requisitos en la Norma
ISO/IEC 17021:2011)
Esta Norma Internacional no establece requisitos, sino que proporciona orientación sobre la gestión de un
programa de auditoría, sobre la planificación y realización de una auditoría del sistema de gestión, así como
sobre la competencia y evaluación de un auditor y un equipo auditor.
Las organizaciones pueden operar más de un sistema de gestión formal. Para simplificar la legibilidad de esta
Norma Internacional, se prefiere la forma singular de “sistema de gestión”, pero el lector puede adaptar la
implementación de la orientación a su propia situación particular. Esto también aplica al uso de “persona” y
“personas”, “auditor” y “auditores”.
Se pretende que esta Norma Internacional se aplique a un amplio rango de usuarios potenciales, incluyendo
auditores, organizaciones que implementan sistemas de gestión y organizaciones que necesitan realizar
auditorías de sistemas de gestión por razones contractuales o reglamentarias. Sin embargo, los usuarios de
esta Norma Internacional pueden aplicar esta orientación al desarrollar sus propios requisitos relacionados
con auditorías.
La orientación en esta Norma Internacional también puede usarse con el propósito de la autodeclaración, y
puede ser útil para organizaciones que participan en la formación de auditores o en la certificación de
personas.
Traducción oficial/Official translation/Traduction officielle
vi © ISO 2011 — Todos los derechos reservados
La orientación en esta Norma Internacional pretende ser flexible. Como se indica en varios puntos del texto,
el uso de esta orientación puede diferir dependiendo del tamaño y el nivel de madurez del sistema de gestión
de una organización y de la naturaleza y complejidad de la organización que se va a auditar, así como de los
objetivos y el alcance de las auditorías que se van a realizar.
Esta Norma Internacional introduce el concepto de riesgo en la auditoría de sistemas de gestión. El enfoque
adoptado se refiere tanto a los riesgos del proceso de auditoría para alcanzar sus objetivos como al riesgo
potencial de la auditoría para interferir con las actividades y procesos del auditado. No proporciona
orientación específica para los procesos de gestión del riesgo de la organización, pero reconoce que las
organizaciones pueden centrar el esfuerzo de auditoría en cuestiones de importancia para el sistema de
gestión.
Esta Norma Internacional adopta el enfoque de que cuando se auditan juntos dos o más sistemas de gestión
de distintas disciplinas, esto se denomina “auditoría combinada”. Cuando estos sistemas están integrados en
un único sistema de gestión, los principios y procesos de auditoría son los mismos que para una auditoría
combinada.
El capítulo 3 establece los términos y definiciones clave utilizados en esta Norma Internacional. Se ha hecho
un gran esfuerzo para asegurarse de que estas definiciones no estén en conflicto con las definiciones
utilizadas en otras normas.
El capítulo 4 describe los principios en los que se basa la auditoría. Estos principios ayudan al usuario a
comprender la naturaleza esencial de la auditoría y son importantes para comprender la orientación
establecida en los capítulos 5 a 7.
El capítulo 5 proporciona orientación sobre el establecimiento y la gestión de un programa de auditoría, el
establecimiento de los objetivos del programa de auditoría y la coordinación de las actividades de auditoría.
El capítulo 6 proporciona orientación sobre la planificación y realización de una auditoría de un sistema de
gestión.
El capítulo 7 proporciona orientación relativa a la competencia y la evaluación de los auditores y los equipos
auditores de sistemas de gestión.
El Anexo A ilustra la aplicación de la orientación del capítulo 7 a distintas disciplinas.
El Anexo B proporciona orientación adicional para auditores sobre la planificación y realización de auditorías.
Traducción oficial/Official translation/Traduction officielle
NORMA INTERNACIONAL ISO 19011:2011 (traducción oficial)
Directrices para la auditoría de los sistemas de gestión
1 Objeto y campo de aplicación
Esta Norma Internacional proporciona orientación sobre la auditoría de los sistemas de gestión, incluyendo
los principios de la auditoría, la gestión de un programa de auditoría y la realización de auditorías de sistemas
de gestión, así como orientación sobre la evaluación de la competencia de los individuos que participan en el
proceso de auditoría, incluyendo a la persona que gestiona el programa de auditoría, los auditores y los
equipos auditores.
Es aplicable a todas las organizaciones que necesitan realizar auditorías internas o externas de sistemas de
gestión, o gestionar un programa de auditoría.
La aplicación de esta Norma Internacional a otros tipos de auditorías es posible, siempre que se preste
especial atención a la competencia específica necesaria.
2 Referencias normativas
No se citan referencias normativas. Se incluye este capítulo para conservar una numeración de capítulos
idéntica a la utilizada en otras normas de sistemas de gestión ISO.
3 Términos y definiciones
Para el propósito de este documento, se aplican los siguientes términos y definiciones.
3.1
auditoría
proceso sistemático, independiente y documentado para obtener evidencias de la auditoría (3.3) y
evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría
(3.2).
NOTA 1 Las auditorías internas, denominadas en algunos casos auditorías de primera parte, se realizan por la propia
organización, o en su nombre, para la revisión por la dirección y para otros propósitos internos (por ejemplo, para
confirmar la eficacia del sistema de gestión o para obtener información para la mejora del sistema de gestión). Las
auditorías internas pueden formar la base para una autodeclaración de conformidad de una organización. En muchos
casos, particularmente en organizaciones pequeñas, la independencia puede demostrarse al estar libre el auditor de
responsabilidades en la actividad que se audita o al estar libre de sesgo y conflicto de intereses.
NOTA 2 Las auditorías externas incluyen auditorías de segunda y tercera parte. Las auditorías de segunda parte se
llevan a cabo por partes que tienen un interés en la organización, tal como los clientes, o por otras personas en su
nombre. Las auditorías de tercera parte se llevan a cabo por organizaciones auditoras independientes, tales como las
autoridades reglamentarias o aquellas que proporcionan la certificación.
NOTA 3 Cuando dos o más sistemas de gestión de disciplinas diferentes (por ejemplo, de la calidad, ambiental,
seguridad y salud ocupacional) se auditan juntos, se denomina auditoría combinada.
NOTA 4 Cuando dos o más organizaciones auditoras cooperan para auditar a un único auditado (3.7), se denomina
auditoría conjunta.
NOTA 5 Adaptado de la Norma ISO 9000:2005, definición 3.9.1.
Traducción oficial/Official translation/Traduction officielle
3.2
criterios de auditoria
conjunto de políticas, procedimientos o requisitos usados como referencia frente a la cual se compara la
evidencia de la auditoría (3.3)
NOTA 1 Adaptado de la Norma ISO 9000:2005, definición 3.9.3.
NOTA 2 Si los criterios de auditoría son requisitos legales (incluyendo los reglamentarios), los términos “ cumple” o no
“cumple” se utilizan a menudo en los hallazgos de auditoría (3.4).
3.3
evidencia de la auditoría
registros, declaraciones de hechos o cualquier otra información que es pertinente para los criterios de
auditoría (3.2) y que es verificable
NOTA La evidencia de la auditoría puede ser cualitativa o cuantitativa.
[ISO 9000:2005, definición 3.9.4]
3.4
hallazgos de la auditoría
resultados de la evaluación de la evidencia de la auditoría (3.3) recopilada frente a los criterios de
auditoría (3.2)
NOTA 1 Los hallazgos de la auditoría pueden indicar conformidad o no conformidad.
NOTA 2 Los hallazgos de la auditoría pueden conducir a la identificación de oportunidades para la mejora o el registro
de buenas prácticas.
NOTA 3 Si los criterios de auditoría se seleccionan de entre los requisitos legales u otros requisitos, el hallazgo de la
auditoría se denomina cumplimiento o no cumplimiento.
NOTA 4 Adaptado de la Norma ISO 9000:2005, definición 3.9.5.
3.5
conclusiones de la auditoría
resultado de una auditoría (3.1), tras considerar los objetivos de la auditoría y todos los hallazgos de la
auditoría (3.4)
NOTA Adaptado de la Norma ISO 9000:2005, definición 3.9.6.
3.6
cliente de la auditoría
organización o persona que solicita una auditoría (3.1)
NOTA 1 En el caso de una auditoría interna, el cliente de la auditoría también puede ser el auditado (3.7) o la persona
que gestiona el programa de auditoría. Las solicitudes de una auditoría externa pueden provenir de fuentes como
autoridades reglamentarias, partes contratantes o clientes potenciales.
NOTA 2 Adaptado de la Norma ISO 9000:2005, definición 3.9.7.
3.7
auditado
organización que es auditada
[ISO 9000:2005, definición 3.9.8]
3.8
auditor
persona que lleva a cabo una auditoría (3.1)
Traducción oficial/Official translation/Traduction officielle
2 © ISO 2011 — Todos los derechos reservados
3.9
equipo auditor
uno o más auditores (3.8) que llevan a cabo una auditoría (3.1), con el apoyo, si es necesario, de expertos
técnicos (3.10).
NOTA 1 A un auditor del equipo se le designa como líder del mismo.
NOTA 2 El equipo auditor puede incluir auditores en formación.
[ISO 9000:2005, definición 3.9.10]
3.10
experto técnico
persona que aporta conocimientos o experiencia específicos al equipo auditor (3.9)
NOTA 1 El conocimiento o experiencia específicos son los relacionados con la organización, el proceso o la actividad
a auditar, el idioma o la orientación cultural.
NOTA 2 Un experto técnico no actúa como un auditor (3.8) en el equipo auditor.
[ISO 9000:2005, definición 3.9.11]
3.11
observador
persona que acompaña al equipo auditor (3.9) pero que no audita.
NOTA 1 Un observador no es parte del equipo auditor (3.9) y no influye ni interfiere en la realización de la auditoría
(3.1).
NOTA 2 Un observador puede designarse por el auditado (3.7), una autoridad reglamentaria u otra parte interesada
que testifica la auditoría (3.1).
3.12
guía
persona designada por el auditado (3.7) para asistir al equipo auditor (3.9)
3.13
programa de auditoría
detalles acordados para un conjunto de una o más auditorías (3.1) planificadas para un periodo de tiempo
determinado y dirigidas hacia un propósito específico
NOTA Adaptado de la Norma ISO 9000:2005, definición 3.9.2.
3.14
alcance de la auditoría
extensión y límites de una auditoría (3.1)
NOTA El alcance de la auditoría incluye generalmente una descripción de las ubicaciones, las unidades de la
organización, las actividades y los procesos, así como el periodo de tiempo cubierto.
[ISO 9000:2005, definición 3.9.13]
3.15
plan de auditoría
descripción de las actividades y de los detalles acordados de una auditoría (3.1)
[ISO 9000:2005, definición 3.9.12]
Traducción oficial/Official translation/Traduction officielle
3.16
riesgo
efecto de la incertidumbre sobre los objetivos
NOTA Adaptado de la Guía ISO 73:2009, definición 1.1.
3.17
competencia
capacidad para aplicar conocimientos y habilidades para alcanzar los resultados pretendidos
NOTA La capacidad implica la aplicación apropiada del comportamiento personal durante el proceso de auditoría.
3.18
conformidad
cumplimiento de un requisito
[ISO 9000:2005, definición 3.6.1]
3.19
no conformidad
incumplimiento de un requisito
[ISO 9000:2005, definición 3.6.2]
3.20
sistema de gestión
sistema para establecer la política y los objetivos y para lograr dichos objetivos
NOTA Un sistema de gestión de una organización puede incluir diferentes sistemas de gestión, tales como un
sistema de gestión de la calidad, un sistema de gestión financiera o un sistema de gestión ambiental.
[ISO 9000:2005, definición 3.2.2]
4 Principios de auditoría
La auditoría se caracteriza por depender de varios principios. Estos principios deberían ayudar a hacer de la
auditoría una herramienta eficaz y fiable en apoyo de las políticas y controles de gestión, proporcionando
información sobre la cual una organización puede actuar para mejorar su desempeño. La adhesión a esos
principios es un requisito previo para proporcionar conclusiones de la auditoría que sean pertinentes y
suficientes y para permitir a los auditores, trabajando independientemente entre sí, alcanzar conclusiones
similares en circunstancias similares.
La orientación dada en los capítulos 5 a 7 se basa en los seis principios señalados a continuación.
a) Integridad: el fundamento de la profesionalidad
Los auditores y las personas que gestionan un programa de auditoría deberían:
— desempeñar su trabajo con honestidad, diligencia y responsabilidad;
— observar y cumplir todos los requisitos legales aplicables;
— demostrar su competencia al desempeñar su trabajo;
— desempeñar su trabajo de manera imparcial, es decir, permanecer ecuánime y sin sesgo en todas
sus acciones;
— ser sensible a cualquier influencia que se pueda ejercer sobre su juicio mientras lleva a cabo una
auditoría.
Traducción oficial/Official translation/Traduction officielle
4 © ISO 2011 — Todos los derechos reservados
b) Presentación imparcial: la obligación de informar con veracidad y exactitud
Los hallazgos, conclusiones e informes de la auditoría deberían reflejar con veracidad y exactitud las
actividades de auditoría. Se debería informar de los obstáculos significativos encontrados durante la
auditoría y de las opiniones divergentes sin resolver entre el equipo auditor y el auditado. La
comunicación debería ser veraz, exacta, objetiva, oportuna, clara y completa.
c) Debido cuidado profesional: la aplicación de diligencia y juicio al auditar
Los auditores deberían proceder con el debido cuidado, de acuerdo con la importancia de la tarea que
desempeñan y la confianza depositada en ellos por el cliente de la auditoría y por otras partes
interesadas. Un factor importante al realizar su trabajo con el debido cuidado profesional es tener la
capacidad de hacer juicios razonados en todas las situaciones de la auditoría.
d) Confidencialidad: seguridad de la información
Los auditores deberían proceder con discreción en el uso y la protección de la información adquirida en
el curso de sus tareas. La información de la auditoría no debería usarse inapropiadamente para
beneficio personal del auditor o del cliente de la auditoría, o de modo que perjudique el interés legítimo
del auditado. Este concepto incluye el tratamiento apropiado de la información sensible o confidencial.
e) Independencia: la base para la imparcialidad de la auditoría y la objetividad de las conclusiones de la
auditoría
Los auditores deberían ser independientes de la actividad que se audita siempre que sea posible, y en
todos los casos deberían actuar de una manera libre de sesgo y conflicto de intereses. Para las
auditorías internas, los auditores deberían ser independientes de los responsables operativos de la
función que se audita. Los auditores deberían mantener la objetividad a lo largo del proceso de auditoría
para asegurarse de que los hallazgos y conclusiones de la auditoría estarán basados sólo en la
evidencia de la auditoría.
Para las organizaciones pequeñas, puede que no sea posible que los auditores internos sean
completamente independientes de la actividad que se audita, pero deberían hacerse todos los esfuerzos
para eliminar el sesgo y fomentar la objetividad.
f) Enfoque basado en la evidencia: el método racional para alcanzar conclusiones de la auditoría fiables
y reproducibles en un proceso de auditoría sistemático
La evidencia de la auditoría debería ser verificable. En general se basará en muestras de la información
disponible, ya que una auditoría se lleva a cabo durante un periodo de tiempo delimitado y con recursos
finitos. Debería aplicarse un uso apropiado del muestreo, ya que está estrechamente relacionado con la
confianza que puede depositarse en las conclusiones de la auditoría.
5 Gestión de un programa de auditoría
5.1 Generalidades
Una organización que necesita llevar a cabo auditorías debería establecer un programa de auditoría que
contribuya a la determinación de la eficacia del sistema de gestión del auditado. El programa de auditoría
puede incluir auditorías que tengan en consideración una o más normas de sistemas de gestión, llevadas a
cabo de manera individual o combinada.
La alta dirección debería asegurarse de que los objetivos del programa de auditoría se han establecido y que se
asigna una o más personas competentes para gestionar el programa de auditoría. El alcance de un programa
de auditoría debería basarse en el tamaño y la naturaleza de la organización que se audita, así como en la
naturaleza, funcionalidad, complejidad y nivel de madurez del sistema de gestión que se va a auditar. Debería
darse prioridad a asignar los recursos del programa de auditoría para auditar los asuntos de importancia dentro
del sistema de gestión. Estos pueden incluir las características clave de la calidad de un producto o los peligros
relativos a la salud y la seguridad, o los aspectos ambientales significativos y su control.
Traducción oficial/Official translation/Traduction officielle
NOTA Este concepto se conoce comúnmente como auditoría en función del riesgo. Esta Norma Internacional no
proporciona más orientación sobre la auditoría en función del riesgo.
El programa de auditoría debería incluir la información y los recursos necesarios para organizar y llevar a
cabo sus auditorías de forma eficaz y eficiente dentro de los periodos de tiempo especificados y también
puede incluir lo siguiente:
— objetivos para el programa de auditoría y para las auditorías individuales;
— alcance/número/tipos/duración/ubicaciones/calendario de las auditorías;
— procedimientos del programa de auditoría;
— criterios de auditoría;
— métodos de auditoría;
— selección de equipos auditores;
— recursos necesarios, incluyendo viajes y alojamiento;
— procesos para tratar la confidencialidad, la seguridad de la información, la salud y la seguridad y otros
asuntos similares.
La implementación del programa de auditoría debería seguirse y medirse para asegurarse de que se han
alcanzado sus objetivos. El programa de auditoría debería revisarse para identificar posibles mejoras.
La Figura 1 ilustra el flujo del proceso para la gestión de un programa de auditoría.
Traducción oficial/Official translation/Traduction officielle
6 © ISO 2011 — Todos los derechos reservados
NOTA 1 Esta Figura ilustra la aplicación del ciclo Planificar-Hacer-Verificar-Actuar en esta Norma Internacional.
NOTA 2 La numeración de los capítulos/apartados hace referencia a los capítulos/apartados pertinentes de esta
Norma Internacional.
Figura 1 – Diagrama de flujo para la gestión de un programa de auditoría
Traducción oficial/Official translation/Traduction officielle
5.2 Establecimiento de los objetivos del programa de auditoría
La alta dirección debería asegurarse de que los objetivos del programa de auditoría se han establecido para
dirigir la planificación y realización de auditorías y debería asegurarse de que el programa de auditoría se ha
implementado eficazmente. Los objetivos del programa de auditoría deberían ser coherentes y servir de
apoyo a la política y los objetivos del sistema de gestión.
Estos objetivos pueden considerar lo siguiente:
a) prioridades de la dirección;
b) propósitos comerciales y de negocio;
c) características de procesos, productos y proyectos, y cualquier cambio en ellos;
d) requisitos del sistema de gestión;
e) requisitos legales y contractuales y otros requisitos con los que la organización está comprometida;
f) necesidad de evaluar a los proveedores;
g) necesidades y expectativas de partes interesadas, incluyendo los clientes;
h) nivel de desempeño del auditado, como se refleja en la ocurrencia de fallos o incidentes o en quejas de
clientes;
i) riesgos para el auditado;
j) resultados de auditorías previas;
k) nivel de madurez del sistema de gestión que se audita.
Ejemplos de objetivos de un programa de auditoría incluyen los siguientes:
— contribuir a la mejora del sistema de gestión y a su desempeño;
— cumplir los requisitos externos, por ejemplo, la certificación con una norma de sistemas de gestión;
— verificar la conformidad con los requisitos contractuales;
— obtener y mantener la confianza en la capacidad de un proveedor;
— determinar la eficacia del sistema de gestión;
— evaluar la compatibilidad y la alineación de los objetivos del sistema de gestión con la política del
sistema de gestión y los objetivos globales de la organización.
5.3 Establecimiento del programa de auditoría
5.3.1 Funciones y responsabilidades de la persona responsable de la gestión del programa de auditoría
La persona responsable de la gestión del programa de auditoría debería:
— establecer el alcance del programa de auditoría;
— identificar y evaluar los riesgos para el programa de auditoría;
— establecer las responsabilidades de la auditoría;
Traducción oficial/Official translation/Traduction officielle
8 © ISO 2011 — Todos los derechos reservados
— establecer procedimientos para los programas de auditoría;
— determinar los recursos necesarios;
— asegurarse de la implementación del programa de auditoría, incluyendo el establecimiento de los
objetivos, el alcance y los criterios de auditoría de las auditorías individuales, la determinación de los
métodos de auditoría y la selección del equipo auditor y la evaluación de los auditores;
— asegurarse de que se gestionan y mantienen los registros apropiados del programa de auditoría;
— seguimiento, revisión y mejora del programa de auditoría.
La persona responsable de la gestión del programa de auditoría debería informar a la alta dirección de los
contenidos del programa de auditoría y, cuando sea necesario, solicitar su aprobación.
5.3.2 Competencia de la persona responsable de la gestión del programa de auditoría
La persona responsable de la gestión del programa de auditoría debería tener la competencia necesaria para
gestionar el programa y sus riesgos asociados de forma eficaz y eficiente, así como conocimientos y
habilidades en las siguientes áreas:
— principios, procedimientos y métodos de auditoría;
— normas de sistemas de gestión y documentos de referencia;
— actividades, productos y procesos del auditado;
— requisitos legales y otros requisitos aplicables pertinentes para las actividades y productos del auditado;
— clientes, proveedores y otras partes interesadas del auditado, cuando sea aplicable.
La persona responsable de la gestión del programa de auditoría debería participar en las actividades de
desarrollo profesional continuo, apropiadas para mantener los conocimientos y las habilidades necesarios
para gestionar el programa de auditoría.
5.3.3 Determinación del alcance del programa de auditoría
La persona responsable de la gestión del programa de auditoría debería determinar el alcance del programa
de auditoría, que puede variar dependiendo del tamaño y la naturaleza del auditado, así como de la
naturaleza, funcionalidad, complejidad y el nivel de madurez del sistema de gestión que se va a auditar, y de
asuntos de importancia para el mismo.
NOTA En ciertos casos, dependiendo de la estructura o las actividades de la organización, el programa de auditoría
podría consistir únicamente en una auditoría sencilla (por ejemplo, una actividad de un proyecto pequeño).
Otros factores que tienen impacto en un programa de auditoría incluyen los siguientes:
— el objetivo, alcance y duración de cada auditoría y el número de auditorías a llevar a cabo, incluyendo el
seguimiento de la auditoría, si es aplicable;
— el número, importancia, complejidad, similitud y la ubicación de las actividades que se van a auditar;
— los factores que influyen en la eficacia del sistema de gestión;
— los criterios de auditoría aplicables, tales como los detalles acordados planificados para los requisitos
pertinentes de gestión, de normas, legales y contractuales y otros requisitos con los que la organización
está comprometida;
Traducción oficial/Official translation/Traduction officielle
— las conclusiones de auditorías internas o externas previas;
— los resultados de una revisión previa del programa de auditoría;
— el idioma, el contexto cultural y social;
— las preocupaciones de las partes interesadas, tales como quejas de clientes o incumplimiento de los
requisitos legales;
— los cambios significativos para el auditado o sus operaciones;
— la disponibilidad de las tecnologías de la información y comunicación para apoyar las actividades de
auditoría, en particular el uso de métodos de auditoría a distancia (véase el Anexo B.1);
— la ocurrencia de sucesos internos y externos, tales como fallos del producto, filtraciones en la seguridad
de la información, incidentes en materia de salud y seguridad, actos delictivos o incidentes ambientales.
5.3.4 Identificación y evaluación de los riesgos relacionados con el programa de auditoría
Hay muchos riesgos distintos asociados con el establecimiento, la implementación, el seguimiento, la revisión
y la mejora de un programa de auditoría que pueden afectar al logro de sus objetivos. La persona que
gestiona el programa debería considerar estos riesgos en su desarrollo. Estos riesgos pueden asociarse a lo
siguiente:
— la planificación, por ejemplo, fallar al establecer objetivos de la auditoría pertinentes y al determinar el
alcance del programa de auditoría;
— los recursos, por ejemplo, permitir un tiempo insuficiente para desarrollar el programa de auditoría o
llevar a cabo una auditoría;
— la selección del equipo auditor, por ejemplo, el equipo no tiene la competencia colectiva para llevar a
cabo auditorías de manera eficaz;
— la implementación, por ejemplo, la comunicación ineficaz del programa de auditoría;
— los registros y sus controles, por ejemplo, fallar al proteger adecuadamente los registros de la auditoría
para demostrar la eficacia del programa de auditoría;
— el seguimiento, la revisión y la mejora del programa de auditoría, por ejemplo, el seguimiento ineficaz de
los resultados del programa de auditoría.
5.3.5 Establecimiento de procedimientos para el programa de auditoría
La persona responsable de la gestión del programa de auditoría debería establecer uno o más
procedimientos, tratando lo siguiente, cuando sea aplicable:
— la planificación y elaboración del calendario de las auditorías considerando los riesgos relacionados con
el programa de auditoría;
— el aseguramiento de la seguridad y confidencialidad de la información;
— el aseguramiento de la competencia de los auditores y de los líderes de los equipos auditores;
— la selección de los equipos auditores apropiados y la asignación de sus funciones y responsabilidades;
— la realización de las auditorías, incluyendo el uso de métodos de muestreo apropiados;
— la realización del seguimiento de la auditoría, si es aplicable;
Traducción oficial/Official translation/Traduction officielle
10 © ISO 2011 — Todos los derechos reservados
— la comunicación a la alta dirección de los logros globales del programa de auditoría;
— la conservación de los registros del programa de auditoría;
— el seguimiento y la revisión del desempeño y de los riesgos, y la mejora de la eficacia del programa de
auditoría.
5.3.6 Identificación de los recursos del programa de auditoría
Cuando se identifican los recursos para el programa de auditoría, la persona que gestiona el programa de
auditoría debería considerar:
— los recursos financieros necesarios para desarrollar, implementar, gestionar y mejorar las actividades de
auditoría;
— los métodos de auditoría;
— la disponibilidad de auditores y expertos técnicos que tengan la competencia apropiada para los
objetivos particulares del programa de auditoría;
— el alcance del programa de auditoría y los riesgos relacionados con el programa de auditoría;
— el tiempo y costos de transporte, alojamiento y otras necesidades de la auditoría;
— la disponibilidad de tecnologías de la información y comunicación.
5.4 Implementación del programa de auditoría
5.4.1 Generalidades
La persona responsable de la gestión del programa de auditoría debería implementar el programa de
auditoría por medio de lo siguiente:
— comunicar las partes pertinentes del programa de auditoría a las partes correspondientes e informarlas
periódicamente de su progreso;
— definir los objetivos, el alcance y los criterios para cada auditoría individual;
— coordinar y programar las auditorías y otras actividades relativas al programa de auditoría;
— asegurar la selección de los equipos auditores con la competencia necesaria;
— proporcionar los recursos necesarios para los equipos auditores;
— asegurar la realización de las auditorías de acuerdo con el programa de auditoría y dentro del periodo de
tiempo acordado;
— asegurar que se registran las actividades de auditoría y que los registros se gestionan y mantienen
adecuadamente;
5.4.2 Definición de los objetivos, el alcance y los criterios para una auditoría individual
Cada auditoría individual debería basarse en unos objetivos, un alcance y unos criterios de auditoría
documentados. Estos deberían definirse por la persona que gestiona el programa de auditoría y ser
coherentes con los objetivos globales del programa de auditoría.
Traducción oficial/Official translation/Traduction officielle
Los objetivos de la auditoría definen qué es lo que se va a lograr con la auditoría individual y pueden incluir lo
siguiente:
— la determinación del grado de conformidad del sistema de gestión que se va a auditar, o de parte de él,
con los criterios de auditoría;
— la determinación del grado de conformidad de las actividades, los procesos y los productos con los
requisitos y los procedimientos del sistema de gestión;
— la evaluación de la capacidad del sistema de gestión para asegurar el cumplimiento de los requisitos
legales y contractuales y de otros requisitos con los que la organización está comprometida;
— la evaluación de la eficacia del sistema de gestión para lograr sus objetivos especificados;
— la identificación de áreas de mejora potencial del sistema de gestión.
El alcance de la auditoría debería ser coherente con el programa de auditoría y con los objetivos de la
auditoría. Incluye factores tales como la ubicación, las unidades de la organización, las actividades y los
procesos que se van a auditar, así
...
МЕЖДУНАРОДНЫЙ ISO
СТАНДАРТ 19011
Второе издание
2011-11-15
Руководящие указания по аудиту
систем менеджмента
Guidelines for auditing management systems
Ответственность за подготовку русской версии несёт GOST R
(Российская Федерация) в соответствии со статьёй 18.1 Устава ISO
Ссылочный номер
©
ISO 2011
Отказ от ответственности при работе в PDF
Настоящий файл PDF может содержать интегрированные шрифты. В соответствии с условиями лицензирования, принятыми
фирмой Adobe, этот файл можно распечатать или смотреть на экране, но его нельзя изменить, пока не будет получена
лицензия на интегрированные шрифты и они не будут установлены на компьютере, на котором ведется редактирование. В
случае загрузки настоящего файла заинтересованные стороны принимают на себя ответственность за соблюдение
лицензионных условий фирмы Adobe. Центральный секретариат ISO или IDF не несут никакой ответственности в этом
отношении.
Adobe – торговый знак фирмы Adobe Systems Incorporated.
Подробности, относящиеся к программным продуктам, использованные для создания настоящего файла PDF, можно найти в
рубрике General Info файла; параметры создания PDF были оптимизированы для печати. Были приняты во внимание все
меры предосторожности с тем, чтобы обеспечить пригодность настоящего файла для использования комитетами-членами
ISO и национальными комитетами IDF. В редких случаях возникновения проблемы, связанной со сказанным выше, просьба
проинформировать Центральный секретариат по адресу, приведенному ниже.
ДОКУМЕНТ ЗАЩИЩЕН АВТОРСКИМ ПРАВОМ
© ISO 2011
Все права сохраняются. Если не указано иное, никакую часть настоящей публикации нельзя копировать или использовать в
какой-либо форме или каким-либо электронным или механическим способом, включая фотокопии и микрофильмы, без
предварительного письменного согласия ISO, которое должно быть получено после запроса о разрешении, направленного по
адресу, приведенному ниже, или в комитет-член ISO в стране запрашивающей стороны.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Опубликовано в Швейцарии
ii © ISO 2011 – Все права сохраняются
Содержание Страница
Предисловие .iv
Введение .v
1 Область применения .1
2 Нормативные ссылки .1
3 Термины и определения .1
4 Принципы аудита .5
5 Управление программой аудита.6
5.1 Общие положения .6
5.2 Постановка целей программы аудита.8
5.3 Создание программы аудита .8
5.4 Внедрение программы аудита.11
5.5 Мониторинг программы аудита.15
5.6 Анализ и улучшение программы аудита .16
6 Проведение аудита .16
6.1 Общие положения .16
6.2 Начало аудита .17
6.3 Подготовка к проведению аудита .18
6.4 Aудиторская деятельность .21
6.5 Подготовка и рассылка отчета по аудиту.26
6.6 Завершение аудита .27
6.7 Выполнение последующих действий по результатам аудита.27
7 Компетентность и оценка аудиторов .28
7.1 Общие положения .28
7.2 Определение компетентности аудиторов для выполнения программы аудита.28
7.3 Разработка критериев оценки аудитора .33
7.4 Выбор подходящего способа оценивания аудитора.33
7.5 Проведение оценивания аудиторов.34
7.6 Поддержание и повышение компетентности аудитора.34
Приложение A (информативное) Руководство и наглядные примеры знаний в области
конкретной дисциплины и навыков аудиторов.35
Приложение B (информативное) Дополнительное руководство для аудиторов по
планированию и проведению аудитов .41
Библиография.48
Предисловие
Международная организация по стандартизации (ISO) является всемирной федерацией национальных
организаций по стандартизации (комитетов-членов ISO). Разработка международных стандартов
обычно осуществляется техническими комитетами ISO. Каждый комитет-член, заинтересованный в
деятельности, для которой был создан технический комитет, имеет право быть представленным в этом
комитете. Международные правительственные и неправительственные организации, имеющие связи с
ISO, также принимают участие в работах. Что касается стандартизации в области электротехники, то
ISO работает в тесном сотрудничестве с Международной электротехнической комиссией (IEC).
Проекты международных стандартов разрабатываются в соответствии с правилами Директив ISO/IEC,
Часть 2.
Основной задачей технических комитетов является подготовка международных стандартов. Проекты
международных стандартов, принятые техническими комитетами, рассылаются комитетам-членам на
голосование. Их опубликование в качестве международных стандартов требует одобрения не менее
75 % комитетов-членов, принимающих участие в голосовании.
Следует иметь в виду, что некоторые элементы настоящего международного стандарта могут быть
объектом патентных прав. Международная организация по стандартизации не может нести
ответственность за идентификацию какого-либо одного или всех патентных прав.
ISO 19011 был подготовлен Техническим комитетом ISO/TC 176, Менеджмент качества и
обеспечение качества, Подкомитетом SC 3, Поддерживающие технологии.
Настоящее второе издание отменяет и заменяет первое издание (ISO 19011:2002) после технического
пересмотра.
Основные различия по сравнению с первым изданием следующие:
⎯ область применения была расширена от аудита систем менеджмента качества и систем
экологического менеджмента до аудита всех систем менеджмента;
⎯ даны пояснения о взаимосвязи ISO 19011 и ISO/IEC 17021;
⎯ представлены методы дистанционного аудита и концепция риска;
⎯ добавлена конфиденциальность как новый принцип аудита;
⎯ Разделы 5, 6 и 7 перестроены;
⎯ включена дополнительная информация в новое Приложение B, в результате чего удален текст в
рамках;
⎯ уточнены определение компетентности и процесс оценивания ;
⎯ в новое Приложение А включены иллюстрации примеров знаний и навыков в определенной
области;
⎯ имеются дополнительные рекомендации на сайте: www.iso.org/19011auditing.
iv © ISO 2011 – Все права сохраняются
Введение
С момента публикации первого издания в 2002 г. был выпущен ряд новых стандартов по системам
менеджмента. В результате возникла необходимость рассмотреть более широкую область аудита
систем менеджмента, а также обеспечить более общее руководство.
В 2006 г. Комитет ISO по оценке соответствия (CASCO) разработал стандарт ISO/IEC 17021, в котором
устанавливаются требования к сертификации систем менеджмента качества третьей стороной и
который основан отчасти на руководстве, содержащемся в первом издании этого международного
стандарта.
Второе издание ISO/IEC 17021, опубликованное в 2011 г., было расширено для того, чтобы
преобразовать руководство, предложенное в этом международном стандарте, в требования к аудитам
сертификации систем менеджмента. Именно в таком контексте второе издание этого международного
стандарта обеспечивает руководство для всех пользователей, включая малые и средние предприятия,
и сосредоточивает внимание на том, что обычно называют “внутренним аудитом” (аудит первой
стороной) и “аудитами поставщиков, осуществляемыми заказчиками” (аудиты второй стороной). Так
как участвующие в аудитах сертификации систем менеджмента стороны следуют требованиям
ISO/IEC 17021:2011, они также могут найти полезным руководство, данное в настоящем
международном стандарте.
Взаимосвязь между вторым изданием настоящего международного стандарта и ISO/IEC 17021:2011
показано в Таблице 1.
Таблица 1 — Область применения настоящего международного стандарта и его взаимосвязь
с ISO/IEC 17021:2011
Внутренний аудит Внешний аудит
Аудит поставщика Аудит третьей стороной
Для юридических целей,
регулирующих и аналогичных
Иногда называют аудитом первой Иногда называют аудитом второй
целей
стороной стороной
Для сертификации (см. также
требования в ISO/IEC 17021:2011)
Настоящий международный стандарт не устанавливает требования, в нем содержится руководство по
менеджменту программ аудита, по планированию и проведению аудитов систем менеджмента, а также
по компетентности и оценке аудиторов и группы по аудиту.
В организациях могут действовать несколько официальных систем менеджмента. Для упрощения
читаемости настоящего международного стандарта предпочтительна форма “система менеджмента” в
единственном числе, но пользователь может адаптировать использование руководства к своей
собственной ситуации. Вышесказанное также применимо к терминам “лицо” и “лица”, “аудитор” и
“аудиторы”.
Настоящий международный стандарт предназначен для использования широким кругом
потенциальных пользователей, включая аудиторов; организации, внедряющие системы менеджмента,
и организации, в которых необходимо провести аудиты по системам менеджмента согласно договорам
или регламентам; Пользователи данного международного стандарта могут, в то же время, применять
это руководство для разработки своих собственных требований, касающихся аудита.
Руководство, приведенное в данном международном стандарте, также можно использовать для
самодекларации, и оно может быть полезным для организаций, занимающихся обучением аудиторов
или аттестацией персонала.
Руководство в настоящем стандарте довольно гибкое. Как несколько раз указано в тексте, его
использование может быть различным в зависимости от размера и уровня развития системы
менеджмента организации, характера и сложности организации, подлежащей аудиту, а также целей и
области аудитов.
В данный международный стандарт вводится концепция риска для аудита систем менеджмента.
Применяемый подход касается как риска, связанного с возможностью для процесса аудита не достичь
своих целей, так и с потенциальной возможностью для аудита помешать деятельности и процессам в
проверяемой организации. Стандарт не содержит конкретного руководства по процессу менеджмента
риска для организации, но признает, что организации могут сконцентрировать усилия аудита на
вопросах, значимых именно для системы менеджмента.
Настоящий международный стандарт принимает подход, который заключается в том, что, когда аудит
касается одновременно двух или более систем менеджмента в различных областях, он определяется
термином “комплексный аудит”. Там, где несколько систем менеджмента интегрированы в одну
систему, принципы и процессы аудита будут такими же, как в комплексном аудите.
В Разделе 3 устанавливаются ключевые термины и определения, используемые в настоящем
международном стандарте. Приложены все усилия, чтобы устранить противоречия между этими
определениями и определениями, используемыми в других стандартах.
Раздел 4 описывает принципы, на которых основан аудит. Эти принципы помогают пользователю
понять существенные характеристики аудита и важны для понимания руководства в Разделах 5 – 7.
Раздел 5 обеспечивает руководство по созданию и управлению программой аудита, постановке задач
программы аудита и координации деятельности в процессе аудита.
Раздел 6 обеспечивает руководство по планированию и проведению аудита системы менеджмента.
Раздел 7 обеспечивает руководство, касающееся компетентности и оценивания аудиторов системы
менеджмента и групп по аудиту.
Приложение A иллюстрирует применение руководства Раздела 7 в различных областях.
Приложение B обеспечивает дополнительное руководство для аудиторов по планированию и
проведению аудитов.
vi © ISO 2011 – Все права сохраняются
МЕЖДУНАРОДНЫЙ СТАНДАРТ ISO 19011:2011(R)
Руководство по аудиту систем менеджмента
1 Область применения
В настоящем международном стандарте представлено руководство по аудиту систем менеджмента,
включая принципы аудита, управление программой аудита и проведение аудитов систем менеджмента,
а также руководство по оценке компетентности лиц, участвующих в процессе аудита, включая лицо,
ответственное за управление программой аудита (далее — руководитель программы аудита),
аудиторов и аудиторские группы.
Настоящий международный стандарт применим ко всем организациям, которым необходимо провести
внутренний или внешний аудит систем менеджмента или управлять программой аудита.
Применение данного международного стандарта к аудитам другого типа возможно при условии
особого внимания к необходимости специального профессионального соответствия.
2 Нормативные ссылки
Нормативные ссылки не приводятся. Данный раздел включен для того, чтобы оставить нумерацию
разделов в соответствии с другими стандартами ISO на системы менеджмента.
3 Термины и определения
В настоящем стандарте используются следующие термины и определения.
3.1
аудит
audit
систематический, независимый и документированный процесс получения свидетельств аудита (3.3) и
объективного их оценивания с целью установления степени выполнения согласованных критериев
аудита (3.2)
ПРИМЕЧАНИЕ 1 Внутренние аудиты, иногда называемые “аудитами первой стороной”, проводятся обычно
самой организацией, или от ее имени для анализа менеджмента и других внутренних целей (например, чтобы
подтвердить результативность системы менеджмента или чтобы получить информацию для улучшения системы
менеджмента). Внутренние аудиты могут служить основанием для декларации о соответствии. Во многих случаях,
особенно на малых предприятиях, независимость может демонстрироваться свободой от ответственности за
деятельность, которая подвергается аудиту или свободой от предвзятости и конфликта интересов.
ПРИМЕЧАНИЕ 2 Внешние аудиты включают “аудиты второй стороной” и ” аудиты третьей стороной”. Аудиты
второй стороной проводятся сторонами, заинтересованными в деятельности организации, например
потребителями или другими лицами от их имени. Аудиты третьей стороной проводятся внешними независимыми
аудиторскими организациями, такими, как регулирующие органы или организации, которые осуществляют
сертификацию.
ПРИМЕЧАНИЕ 3 Если две или более систем менеджмента в различных областях (например, менеджмента
качества, экологического менеджмента, менеджмента безопасности и гигиены труда) вместе подвергаются аудиту,
это называется “комплексным аудитом”.
ПРИМЕЧАНИЕ 4 Если две или несколько организаций проводят совместно аудит одной проверяемой
организации (3.7), это называется “совместным аудитом”.
ПРИМЕЧАНИЕ 5 Взято из ISO 9000:2005, определение 3.9.1.
3.2
критерии аудита
audit criteria
совокупность политики, процедур или требований, используемых для сравнения при
получении свидетельства аудита (3.3)
ПРИМЕЧАНИЕ 1 Взято из ISO 9000:2005, определение 3.9.3.
ПРИМЕЧАНИЕ 2 Если критерии аудита являются законодательными (включая нормативные, или регламентные)
требованиями, термины “соответствующий” или “несоответствующий” часто используются в выводах аудита
(3.4).
3.3
свидетельство аудита
audit evidence
записи, изложение фактов или другая информация, связанные с критериями аудита (3.2), которые
могут быть перепроверены
ПРИМЕЧАНИЕ Свидетельство аудита может быть качественным или количественным.
[ISO 9000:2005, определение 3.9.4]
3.4
выводы аудита
audit findings
результат оценки собранных свидетельств аудита (3.3) в зависимости от критериев аудита (3.2)
ПРИМЕЧАНИЕ 1 Выводы аудита указывают на соответствие или несоответствие.
ПРИМЕЧАНИЕ 2 Выводы аудита могут помочь в идентификации возможностей для улучшения или записи
общепризнанной практики.
ПРИМЕЧАНИЕ 3 Если критерии аудита выбираются из законодательных или других требований, результаты
аудита сводятся к соблюдению или несоблюдению этих требований.
ПРИМЕЧАНИЕ 4 Взято из ISO 9000:2005, определение 3.9.5.
3.5
заключение аудита
audit conclusion
итоги аудита (3.1) после рассмотрения целей аудита и всех выводов аудита (3.4)
ПРИМЕЧАНИЕ Взято из ISO 9000:2005, определение 3.9.6.
3.6
заказчик аудита
audit client
организация или лицо, заказавшее аудит (3.1)
ПРИМЕЧАНИЕ 1 В случае внутреннего аудита заказчиком аудита также может быть проверяемая организация
(3.7) или лицо, несущее ответственность за управление программой аудита (руководитель программы аудита).
Запросы на внешний аудит могут поступать от таких организаций, как регулирующие органы, стороны контракта
или потенциальные заказчики.
ПРИМЕЧАНИЕ 2 Взято из ISO 9000:2005, определение 3.9.7.
2 © ISO 2011 – Все права сохраняются
3.7
проверяемая организация
auditee
организация, подвергающаяся аудиту
[ISO 9000:2005, определение 3.9.8]
3.8
аудитор
auditor
лицо, которое проводит аудит (3.1)
3.9
аудиторская группа
audit team
один или несколько аудиторов (3.8), выполняющих аудит (3.1), при необходимости, поддерживаемые
техническими экспертами (3.10)
ПРИМЕЧАНИЕ 1 Один из аудиторов аудиторской группы назначается руководителем группы.
ПРИМЕЧАНИЕ 2 Аудиторская группа может включать стажеров.
[ISO 9000:2005, определение 3.9.10]
3.10
технический эксперт
technical expert
лицо, обладающее специальными знаниями или опытом для участия в аудиторской группе (3.9)
ПРИМЕЧАНИЕ 1 Специальные знания или опыт включают знания или опыт применительно к организации,
процессам или деятельности, подвергаемым аудиту (3.1), а также знание языка и культуры страны, где
проводится аудит.
ПРИМЕЧАНИЕ 2 Технический эксперт не имеет полномочий аудитора (3.8) в аудиторской группе.
[ISO 9000:2005, определение 3.9.11]
3.11
наблюдатель
observer
лицо, сопровождающее аудиторскую группу (3.9), но не осуществляющее аудит
ПРИМЕЧАНИЕ 1 Наблюдатель не входит в аудиторскую группу (3.9), не имеет влияния на нее, а также не
вмешивается в проведение аудита (3.1).
ПРИМЕЧАНИЕ 2 Наблюдатель может выбираться из проверяемой организации (3.7), регулирующего органа
или из другой заинтересованной стороны, которая удостоверяет аудит (3.1).
3.12
сопровождающее лицо
guide
лицо, назначенное проверяемой организацией (3.7) в помощь аудиторской группе (3.9)
3.13
программа аудита
audit programme
мероприятия по проведению одного или нескольких аудитов (3.1), запланированные на конкретный
период времени и направленные на достижение конкретной цели
ПРИМЕЧАНИЕ Взято из ISO 9000:2005, определение 3.9.2.
3.14
область аудита
audit scope
глубина и границы аудита (3.1)
ПРИМЕЧАНИЕ Область аудита обычно включает описание физических мест, подразделений организации,
деятельность и процессы, а также охватываемый период времени.
[ISO 9000:2005, определение 3.9.13]
3.15
план аудита
audit plan
описание действий и мероприятий аудита (3.1)
[ISO 9000:2005, определение 3.9.12]
3.16
риск
risk
влияние неопределенности на цели
ПРИМЕЧАНИЕ Взято из ISO Guide 73:2009, определение 1.1.
3.17
компетентность
competence
способность применять знания и умения для достижения предполагаемых результатов
ПРИМЕЧАНИЕ Такая способность подразумевает соответствующее личное поведение в процессе аудита.
3.18
соответствие
conformity
соблюдение требования
[ISO 9000:2005, определение 3.6.1]
3.19
несоответствие
nonconformity
несоблюдение требования
[ISO 9000:2005, определение 3.6.2]
3.20
система менеджмента
management system
система для установления политики и целей и достижения этих целей
ПРИМЕЧАНИЕ Система менеджмента организации может включать различные системы менеджмента,
например, систему менеджмента качества, систему менеджмента финансов или экологическую систему
менеджмента.
[ISO 9000:2005, определение 3.2.2]
4 © ISO 2011 – Все права сохраняются
4 Принципы аудита
Аудит характеризуется степенью соответствия определенным принципам. Это помогает аудиту быть
результативным и надежным инструментом следования политике менеджмента и использования
средств контроля, обеспечивая информацию, на основе которой организация может улучшать свою
эффективность. Приверженность этим принципам является предпосылкой для получения заключений
аудита, соответствующих, и достаточных для того, чтобы аудиторы, работающие независимо друг от
друга, делали аналогичные заключения в аналогичных обстоятельствах.
Руководство в Разделах от 5 до 7, основано на шести принципах, приведенных ниже.
a) Честность: основа профессионализма
Аудиторам и руководителю программы аудита следует:
⎯ выполнять свою работу честно, старательно и ответственно;
⎯ соблюдать все применяемые законодательные требования;
⎯ при выполнении работы демонстрировать свою компетентность;
⎯ выполнять свою работу беспристрастно, т.е. оставаться справедливым и непредубежденным
во всех своих действиях;
⎯ чутко относиться к любым влияниям, которые могут быть оказаны на их мнения при
выполнении аудита.
b) Беспристрастное представление: обязательство представлять правдивые и точные отчеты
В выводах, заключениях и отчетах аудита следует правдиво и точно отражать действия по аудиту.
Существенные препятствия, встреченные в процессе аудита, а также неразрешенные проблемы
или разногласия между аудиторской группой и проверяемой организацией следует отражать в
отчетах. Сообщения должны быть правдивыми, точными, объективными, своевременными,
четкими и полными.
c) Должная профессиональная тщательность: прилежание и обдуманность решений при проведении аудита
Аудиторам следует проявлять должную тщательность в соответствии с важностью задачи,
которую они выполняют, и доверием, которое им оказывает заказчик аудита и другие
заинтересованные стороны. Важным фактором в выполнении их работы с должной
профессиональной тщательностью является способность принимать обдуманные решения в
любых ситуациях в процессе аудита.
d) Конфиденциальность: неразглашение информации
Аудиторам следует проявлять осторожность при использовании и защите информации,
полученной в ходе выполнения своих обязанностей. Информацию, связанную с выполняемым
аудитом, не следует использовать в корыстных целях аудитора или заказчика аудита, либо таким
образом, который нанесёт ущерб законным интересам проверяемой организации. Эта концепция
включает надлежащее обращение с конфиденциальной и требующей особого отношения
информацией.
e) Независимость: основа беспристрастности аудита и объективности заключений аудита
Аудиторам следует быть независимыми от деятельности, подлежащей аудиту всегда, где это
целесообразно, и во всех случаях действовать независимо от пристрастий и конфликта интересов.
При проведении внутренних аудитов аудиторам следует вести себя независимо от действующих
руководителей служб, подвергаемых аудиту. Аудиторам следует сохранять объективность в
процессе аудита, чтобы обеспечить обоснование выводов и заключений аудита только на
свидетельстве аудита.
Для небольших организаций внутренние аудиторы не могут быть полностью независимыми от
деятельности, подвергаемой аудиту, однако следует приложить все силы, чтобы избежать
пристрастности и соблюсти объективность.
f) Подход, основанный на свидетельстве: рациональный метод для достижения надежных и
воспроизводимых заключений аудита в систематическом процессе аудита
Свидетельство аудита должно быть проверяемым. Оно, в общем, должно быть основано на
выборках имеющейся информации, поскольку аудит проводится в течение конечного периода
времени и с ограниченными ресурсами. Такие выборки следует использовать соответствующим
образом, поскольку это тесно связано с доверием, которое вложено в заключение аудита.
5 Управление программой аудита
5.1 Общие положения
Организации, которой необходимо провести аудит, следует разработать программу аудита, которая
внесет свой вклад в определение результативности системы менеджмента проверяемой организации.
Программа аудита может включать аудиты одной или нескольких систем менеджмента, выполняемых
по отдельности или совместно.
Высшему руководству следует обеспечить установление целей программы аудита и назначение
одного или нескольких компетентных лиц для управления программой аудита. Объем программы
аудита следует рассчитывать, исходя из размера и характера проверяемой организации, а также из
характера, функциональности, сложности и уровня развития системы менеджмента, подлежащей
аудиту. Приоритет следует отдать распределению ресурсов программы аудита, чтобы провести аудит
значимых элементов системы менеджмента. Они могут включать существенные характеристики
качества продукции или опасности, связанные со здоровьем и безопасностью, или важные
экологические аспекты и контроль над ними.
ПРИМЕЧАНИЕ Такая концепция обычно известна как аудит на основе оценки рисков. Настоящий
международный стандарт не дает дополнительных указаний в отношении такого рода аудита.
Программа аудита должна включать в себя информацию и ресурсы, необходимые для организации и
эффективного и результативного проведения аудита в рамках установленного времени, и может также
включать следующее:
⎯ цели программы аудита и отдельных аудитов;
⎯ объем/количество/типы/продолжительность/место проведения/график аудитов;
⎯ процедуры программы аудита;
⎯ критерии аудита;
⎯ методы аудита;
⎯ выбор аудиторских групп;
⎯ необходимые ресурсы, включая транспорт и жилье;
⎯ процессы обращения с конфиденциальностью, защитой информации, вопросами здоровья и
безопасности, и другими аналогичными вопросами.
6 © ISO 2011 – Все права сохраняются
Выполнение программы аудита следует контролировать и измерять, чтобы обеспечить достижение ее
целей. Программу аудита следует проанализировать, чтобы идентифицировать возможные улучшения.
Рисунок 1 иллюстрирует последовательность операций для менеджмента программы аудита.
ПРИМЕЧАНИЕ 1 Этот рисунок иллюстрирует применение цикла План-Исполнение-Проверка-Действие
необходимых мер в данном международном стандарте.
ПРИМЕЧАНИЕ 2 Нумерация раздела/подраздела относится к соответствующим разделам/подразделам данного
международного стандарта.
Рисунок 1 — Схема последовательности выполнения программы аудита
5.2 Постановка целей программы аудита
Высшему руководству следует обеспечить постановку целей, чтобы определить направления
планирования и проведения аудита, а также эффективное исполнение программы. Цели программы
аудита должны согласовываться с политикой и целями системы менеджмента и их поддержки.
Эти цели могут быть основаны на рассмотрении следующих вопросов:
a) приоритетов управления;
b) коммерческих и других деловых намерений;
c) характеристик процесса, продукции и проектов, и всех изменений к ним;
d) требований систем менеджмента;
e) законодательных, договорных и других требований, предъявляемых к организации;
f) необходимости оценки поставщика;
g) потребностей и ожиданий заинтересованных сторон, включая заказчиков;
h) уровня эффективности проверяемой организации, отражаемого в случаях отказов, аварий и или
жалоб потребителей;
i) риска для проверяемой организации;
j) результатов предыдущих аудитов;
k) уровня развития системы менеджмента, подвергаемой аудиту.
Примеры целей программы аудита включают следующее:
⎯ внести вклад в улучшение системы менеджмента и ее эффективность;
⎯ выполнить внешние требования, например, сертификацию по стандарту на систему менеджмента;
⎯ проверить соответствие контрактным требованиям;
⎯ убедиться в возможностях поставщика и поддерживать доверие к нему;
⎯ определить результативность системы менеджмента;
⎯ оценить совместимость и согласованность целей системы менеджмента с политикой системы
менеджмента и с общими целями организации.
5.3 Создание программы аудита
5.3.1 Роль и обязанности руководителя программы аудита
Руководителю программы аудита следует:
⎯ установить объем программы аудита;
⎯ идентифицировать и оценить риски для программы аудита;
⎯ установить обязанности по аудиту;
⎯ создать процедуры для программы аудита;
8 © ISO 2011 – Все права сохраняются
⎯ определить необходимые ресурсы;
⎯ обеспечить исполнение программы аудита, включая постановку целей аудита, создание области
определения и критериев отдельных аудитов, определение методов аудита и выбор аудиторскиея
группы и оценивание аудиторов;
⎯ обеспечить ведение соответствующих записей по программе аудита и управление этими
записями;
⎯ отслеживать, анализировать и улучшать программу аудита.
Руководителю программы аудита следует известить высшее руководство о содержании программы
аудита и, там где требуется, запросить о ее утверждении.
5.3.2 Компетентность руководителя программы аудита
Руководителю программы аудита следует обладать необходимой компетентностью для эффективного
и результативного управления программой и связанными с нею рисками, а также знаниями и навыками
в следующих областях:
⎯ принципы, процедуры и методы аудита;
⎯ стандарты на системы менеджмента и нормативно-технические документы;
⎯ деятельность, продукция и процессы проверяемой организации;
⎯ применяемые законодательные и другие требования, имеющие отношение к деятельности и
продукции проверяемой организации;
⎯ заказчики, поставщики и другие заинтересованные стороны проверяемой организации, там где это
применимо.
Руководителю программы аудита следует участвовать в соответствующей деятельности по
постоянному профессиональному совершенствованию, чтобы поддерживать необходимые знания и
навыки для управления программой аудита.
5.3.3 Определение объема программы аудита
Руководителю программы аудита следует определить объем программы аудита, который может
меняться в зависимости от размера и типа проверяемой организации, а также от типа,
функциональности, сложности и уровня развитости, степени значимости проверяемой системы
менеджмента.
ПРИМЕЧАНИЕ В определенных случаях, в зависимости от структуры проверяемой организации или ее
деятельности, программа аудита может включать только отдельный аудит (например, деятельность по
небольшому проекту).
Другие факторы, влияющие на объем программы аудита, включают:
⎯ цель, область и продолжительность каждого аудита и количество предполагаемых аудитов,
включая действия по результатам аудита, если применяется;
⎯ количество, значимость, сложность, схожесть и места приложения видов деятельности,
подлежащей аудиту;
⎯ факторы, влияющие на результативность системы менеджмента;
⎯ применяемые критерии аудита, такие как планируемая систематизация стандартов на системы
менеджмента, законодательные и договорные требования и другие требования, предъявляемые к
организации;
⎯ заключения, сделанные в ходе предшествующих внутренних и внешних аудитов;
⎯ результаты анализа предыдущей программы аудита;
⎯ язык, вопросы культуры и социальные вопросы;
⎯ проблемы заинтересованных сторон, такие как жалобы потребителей или несоблюдение
законодательных требований;
⎯ значительные изменения в проверяемой организации или в ее деятельности;
⎯ наличие информации и технологий по обмену информацией в поддержку аудита, в частности,
использование методов дистанционного аудита (см. Раздел B.1);
⎯ внешние и внутренние события, такие как недостатки продукции, утечка информации,
происшествия, влияющие на здоровье и безопасность, криминальные действия или экологические
происшествия.
5.3.4 Идентификация и оценка рисков программы аудита
Существует множество различных рисков, связанных с установлением, исполнением, мониторингом,
анализом и улучшением программы аудита, которые могут повлиять на достижение поставленных ею
целей. Руководителю программы аудита следует учитывать эти риски в ходе действия программы.
Такие риски могут быть связаны с:
⎯ планированием, например, плохо поставленными целями аудита и плохо определенным объемом
программы аудита;
⎯ ресурсами, например, выделение на разработку программы аудита или проведение самого аудита
недостаточного времени;
⎯ выбором аудиторские группы, например, группа не обладает коллективной компетентностью для
эффективного проведения аудитов;
⎯ исполнением, например, процесс передачи информации по программе аудита является
неэффективным;
⎯ записями и их управлением, например, невозможность адекватно защитить записи по аудиту,
чтобы продемонстрировать результативность программы аудита;
⎯ мониторингом, анализом и улучшением программы аудита, например, неэффективный мониторинг
результатов программы аудита.
5.3.5 Создание процедур для программы аудита
Руководителю программы аудита следует разработать одну или несколько процедур, связанных со
следующим (в случае применения):
⎯ планированием и разработкой графика проведения аудитов с учетом рисков программы аудита;
⎯ обеспечением защиты и конфиденциальности информации;
⎯ гарантией компетентности аудиторов и руководителей групп по аудиту;
10 © ISO 2011 – Все права сохраняются
⎯ выбором соответствующих групп по аудиту и распределение ролей и обязанностей;
⎯ проведением аудитов, включая использование соответствующих методов выборки;
⎯ осуществлением действий по результатам аудита, если применяется;
⎯ отчетами перед высшим руководством обо всех достижениях программы аудита;
⎯ ведением записей по программе аудита;
⎯ мониторингом и анализом результативности и рисков и повышение эффективности программы
аудита.
5.3.6 Определение ресурсов программы аудита
При определении ресурсов для программы аудита руководителю программы следует учитывать:
⎯ денежные ресурсы, необходимые для разработки, исполнения управления и улучшения
деятельности по аудиту;
⎯ методы аудита;
⎯ наличие аудиторов и технических экспертов, обладающих компетентностью, соответствующей
конкретным целям программы аудита;
⎯ объем программы аудита и риски программы аудита;
⎯ время на перемещения и расходы, проживание и другие нужды аудиторов;
⎯ наличие информационных и коммуникационных технологий.
5.4 Внедрение программы аудита
5.4.1 Общие положения
Руководителю программы следует внедрять программу аудита посредством:
⎯ информирования сторон об относящихся к ним частях программы аудита и периодического
извещения их о ее исполнении;
⎯ определения целей, области и критериев для каждого отдельного аудита;
⎯ координации и разработки графика аудитов и другой деятельности, связанной с программой
аудита;
⎯ выбора аудиторских групп с необходимой компетентностью;
⎯ предоставления необходимых ресурсов для аудиторских групп;
⎯ обеспечения проведения аудитов в соответствии с программой аудита в пределах оговоренных
сроков;
⎯ обеспечения ведения записей в ходе деятельности по аудиту и управления записями.
5.4.2 Определение целей, области и критериев отдельного аудита
Каждый отдельный аудит следует базировать на документированных целях, области и критериях. Они
должны определяться руководителем программы и согласовываться со всеми целями программы
аудита.
Цели аудита определяют, что должно быть достигнуто с помощью отдельного аудита, и могут
включать следующее:
⎯ определение степени соответствия проверяемой системы менеджмента, или ее частей, критериям
аудита;
⎯ определение степени соответствия деятельности, процессов и продукции требованиям и
процедурам системы менеджмента;
⎯ оценка возможности системы менеджмента обеспечить соответствие законодательным и
договорным требованиям, а также другим требованиям, которые предъявляются организации;
⎯ оценка результативности системы менеджмента при достижении ее целей;
⎯ идентификация областей для потенциального улучшения системы менеджмента.
Область аудита должна соответствовать программе и целям аудита. Она включает такие факторы, как
физическое местоположение, организационные подразделения, деятельность и процессы,
подлежащие аудиту, а также сроки проведения аудита.
Критерии аудита используются как контрольный ориентир для определения соответствия и могут
включать проводимую политику, процедуры, нормы, законодательные требования, требования к
системе менеджмента, контрактные требования, правила поведения в проверяемом секторе или
другие планируемые организационные моменты.
В случае изменения целей, области и критериев аудита программу аудита следует при необходимости
модифицировать.
Если две или несколько систем менеджмента в различных областях проверяют совместно
(комплексный аудит), важно, чтобы цели, область и критерии аудита соответствовали целям
соответствующих программ аудита.
5.4.3 Выбор методов аудита
Руководителю программы аудита следует выбрать и определить методы эффективного проведения
аудита в зависимости от определенных целей, области и критериев аудита.
ПРИМЕЧАНИЕ Руководство по определению методов аудита дается в Приложении B.
Там где две или более организаций проводят совместный аудит одного и того же объекта,
руководителям разных программ аудита следует согласовать метод аудита и рассмотреть вопросы
финансирования и планирования аудита. Если в проверяемой организации действуют две или более
систем менеджмента в различных областях, то программа аудита может включать совместные аудиты.
5.4.4 Выбор членов аудиторской группы
Руководителю программы аудита следует назначить членов аудиторской группы, включая
руководителя группы и технических экспертов, необходимых для проведения конкретного аудита.
Аудиторскую группу по аудиту следует выбирать с учетом компетентности, необходимой для
достижения целей отдельного аудита в рамках определенной области применения. Если имеется
только один аудитор, ему следует исполнять все применяемые обязанности руководителя группы.
12 © ISO 2011 – Все права сохраняются
ПРИМЕЧАНИЕ Раздел 7 содержит руководство по определению компетентности, необходимой для членов
аудиторской группы, и описывает процессы оценивания аудиторов.
При принятии решения в отношении численности и состава группы для конкретного аудита, следует учесть:
a) общую компетентность аудиторской группы, необходимую для достижения целей аудита,
принимая во внимание область и критерии аудита;
b) сложность аудита и является ли аудит комплексным или совместным;
c) выбранные методы аудита;
d) законодательные и контрактные требования, а также другие требования, которые предъявляются к
организации;
e) необходимость обеспечения независимости членов аудиторской группы от проверяемой
деятельности и ухода от конфликтов интересов [см. принцип) в Разделе 4];
f) способность членов группы к эффективному взаимодействию с представителями проверяемой
организации и к совместной работе;
g) язык аудита, и социальные и культурные характеристики проверяемой организации. Эти вопросы
могут рассматриваться самим аудитором, если он обладает соответствующим умением, или
совместно с техническим экспертом.
Чтобы обеспечить общую компетентность аудиторские группы, следует:
⎯ определить знания и навыки, необходимые для достижений целей аудита;
⎯ выбрать членов аудиторской группы таким образом, чтобы в ней присутствовали все необходимые
знания и навыки.
Если вся необходимая компетентность не охвачена аудиторами в группе, в нее следует включить
дополнительно технических экспертов нужной квалификации. Технические эксперты должны работать
под руководством аудитора, но не заменять аудиторов.
В группу можно включить аудиторов-стажеров, которые должны работать под руководством аудитора.
В процессе аудита может потребоваться пересмотр состава и численности группы, например, в случае
конфликта интересов или возникновения сомнений в компетентности. Такие ситуации следует
обсудить с соответствующими сторонами (например, руководителем группы, руководителем
программы аудита, заказчиком аудита или проверяемой организацией) до внесения каких-либо
изменений.
5.4.5 Назначение руководителя аудиторской группы лицом, ответственным за отдельный
аудит
Руководителю программы аудита следует назначить руководителя аудиторской группы лицом,
ответственным за проведение отдельного аудита.
Назначение следует сделать заранее, чтобы до начала аудита оставалось достаточно времени для
эффективного планирования аудита.
Чтобы обеспечить эффективное проведение отдельных аудитов, руководителю аудиторской группы
следует предоставить информацию в отношении:
a) целей аудита;
b) критериев аудита и нормативно-технических документов;
c) области аудита, включая идентификацию организационных и функциональных подразделений и
процессов, подлежащих проверке;
d) методов и процедур аудита;
e) состава аудиторской группы;
f) деталей контактов с проверяемой организацией, местоположения, дат и продолжительности
аудита;
g) распределения необходимых ресурсов для проведения аудита;
h) информации, необходимой для оценки и рассмотрения идентифицированных рисков для
достижения целей аудита.
Информация для назначения также должна включать, в зависимости от рассматриваемого вопроса,
следующее:
⎯ рабочий язык, он же язык отчетов по аудиту, если он отличается от языка аудитора или языка
проверяемой организации, ил
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...