Iso 19011 Sept 2018

SR EN ISO 19011 :2018 ;

Preambul national Acest standard reprezintii versiunea romanii a standardului european EN ISO 19011 :2018. Standardul a lost tradus de ASRO, are acela~i statut ca ~i versiunile oliciale ~i a lost publicat cu permisiunea GEN. Acest standard reprezintii versiunea romanii a textului In limba engleza a standardului european EN ISO 19011:2018. Prezentul standard intrii In patrimoniul ASRO/CT 56, Sisteme de management fji control statistic.

~ o

Textul standardului internalional ISO 19011 :2018 a lost aprobat de CEN ca EN ISO 19011 :2018 liira nicio modilicare.

al

Aceastii a treia edilie anuleazii ~i lnlocuie~te (ISO 19011 :2011) care a lost revizuitii tehnic.

0::

Principalele dilerenle lalii de edi\ia a doua sunt urmiitoarele:

E...i '"w0::

-

< u

a doua

edilie

a standardului

internalional

adiiugarea la principiile auditului a abordiirii pe bazii de risc; extinderea lndrumiirilor releritoare la coordonarea unui program de audit, incluzandu-se riscul programului de audit;

iL

~ w u

extinderea lndrumiirilor planilicarea auditului;

Ii: w

releritoare la conducerea

unui audit, In special sectiunea privind

u

'":;;a

-

ni

'cco

E

~

-

eliminarea anexei care continea cerin\ele de competen\ii pentru auditarea domeniilor de management specilice unor sisteme de management (datoritii numiirului mare de standarde pentru anumite sisteme de management nu ar Ii lost practic sii se includii cerin\e de competenla pentru toate domeniile de management);

-

extinderea anexei A pentru a lurniza lndrumiiri releritoare la auditarea conceptelor (noi) cum ar Ii contextul organiza\iei, leadership ~i angajament, audituri virtuale, conlormitate ~i IanIde aprovizionare.

c

'0 i!:!

.~ 'E

co

'0 C

~

"co

'0

extinderea cerin\elor generale de competen\ii pentru auditori; adaptarea terminologiei pentru a reflecta procesul ~i nu obiectul ("Iucrul");

Cuvintele "standard european (international)" trebuie citite "standard roman".

:;

'g III

<

La elaborarea versiunii romane a acestui DI Nicolae George DRAGULANESCU Dna Ana ANGHEL Dna Mihaela B09GAIU Dna Herta BOBAN Dna Adriana COJOCARU Dna Eugenia DRAGOI DI Lauren\iu Aurel MIHAIL Dna Elena NECHIFOR Dna Lidia NICULITA Dna Constanta NICOLESCU Dna Isabel a NITA Dna Adriana ROTARU Dna Viorica URSULEANU

standard au participat: (Pre~edinte ASRO/CT 56) (ECOIND) (HUETTENES-ALBERTUS) (STRABAG) (QUALITAS SA) (TPA) (UTBv) (RAD GERT) (UTCB) (ANABASIS NICHOLAS SRL) (ADD Urbania) (PFA)

SR EN ISO 19011:2018

EN ISO 19011

STANDARD EUROPEAN EUROPEAN STANDARD NORME EUROPEENNE EUROPAISCHE NORM

lulie 2018 lnlocuie~te EN ISO 19011 :2011

ICS 03.100.70; 03.120.20

Versiunea romana

Linii directoare pentru auditarea sistemelor de management co C>

2l

E..i a:

'"

Guidelines lor auditing management systems (ISO 19011:2018)

Lignes directrices pour I'audit des systemes de management (ISO 19011 :2018)

Leitfaden zur Auditierung von Managementsystemen (ISO 19011 :2018)

w a:

« 0 ii:

;:: a: w

0

~ w 0

'a" ::;:

Ii

'".• E 0 a: c

'6 f!

.. .•." .!!

"E

C

til ."" :;

.•

Acest standard european a lost adoptat de CEN la 18 iunie 2018. Membrii CEN sunt obligali sa respecte Regulamentul Intern CEN/CENELEC care stipuleaza condi\iile in care acestui standard european i se atribuie statutul de standard nalional, lara nici 0 modilicare. Listele actualizate ~i relerin\ele bibliogralice releritoare la aceste standarde nalionale pot Ii obtinute pe baza de cerere catre Centrul de Management CEN·CENELEC sau orice membru CEN.'

a

Acest standard european exista in trei versiuni oliciale (engleza, Iranceza, germana). versiune in oricare alta limba, realizata prin traducere, sub responsabilitatea unui membru CEN, in limba sa nationala ~i notilicata Centrului de Management CEN·CENELEC, are acela~i statut ca ?i versiunile oliciale. Membrii CEN sunt organisme nationale de standardizare din urmatoarele \ari: Austria, Belgia, Bulgaria, Croatia, Cipru, Danemarca, Elvetia, Estonia, Finlanda, Fosta Republica lugoslava a Macedoniei, Franta, Germania, Grecia, Irlanda, Islanda, Italia, Letonia, Lituania, Luxemburg, Malta, Marea Britanie, Norvegia, Olanda, Polonia, Portugalia, Republica Ceha, Romania, Serbia, Siovacia, Slovenia, Spania, Suedia, Turcia ?i Ungaria.

'u 0

III

« -::

COMITETUL EUROPEAN DE STANDARDIZARE European Committee lor Standardization Comite Europeen de Normalisation Europaisches Komitee fOr Normung

Centrul de Management CEN-CENELEC: Rue de la Science 23, B-l040 Brussels © 2018 CEN •Toate drepturile de exploatare sub orice lorma ?i in orice mod sunt rezervate membrilor nationali ai CEN ReI.: EN ISO 19011 :2018 RO

SR EN ISO 19011 :2018

Preambul european Acest document (EN ISO 19011 :2018) a fost elaborat de comitetul tehnic ISO/PC 302 "Linii directoare pentru auditarea sistemelor de management" in colaborare cu CCMC. Acest standard european trebuie sa primeasca statutul de standard na\ional fie prin publicarea unui text identic, fie prin ratificare, pana cel tarziu in ianuarie 2019, iar standardele najionale conflictuale trebuie anulate pana cel tarziu in ianuarie 2019. Se atrage atenlia asupra faptului ca anumite elemente din prezentul document pot face obiectul unor drepturi de proprietate intelectuala. CEN nu este responsabil pentru identificarea oricaror astlel de drepturi de proprietate intelectuala. Acest document inlocuie~te EN ISO 19011 :2011. Acest document a fost elaborat in cadrul unui mandat acordat CEN de Comisia Europeana ~i Asocia\ia Europeana a Liberului Schimb. Conform Regulamentului Intern al CEN/CENELEC, institutele najionale de standardizare ale urmatoarelor jari sunt obligate sa puna in aplicare acest standard european: Austria, Belgia, Bulgaria, Cipru, Croatia, Danemarca, Elvetia, Estonia, Finlanda, Franta, Germania, Grecia, Irlanda, Islanda, Italia, Letonia, Lituania, Luxemburg, Malta, Marea Britanie, Norvegia, Olanda, PoIonia, Portugalia, Republica Ceha, Romania, Siovacia, Slovenia, Spania, Suedia ~i Ungaria. Declara\ie de ralificare Textul standardului modificare.

ISO 19011 :2018 a fost aprobat de CEN ca EN ISO 19011 :2018 fara nicio

2

SR EN 1$0 19011:2018

Cuprins Pagina Introducere

5

Domeniu de aplicare

7

2

Referin\e normative

7

3

Termeni ~i defini\ii

4

Principii de auditare

11

Coordonarea unui program de audit

12

5

:e 0

~ ~ ...i 0:

7

5.1

Generalitil\i

12

5.2

Stabilirea obiectivelor programului de audit...

15

5.3

Determinarea ~i evaluarea riscurilor ~i oporlunita\ilor programului de audit

15

5.4

Stabilirea programului de audit

16

II)


5.4.1 Roluri ~i responsabilitil\i ale persoanei (persoanelor) care coordoneazil programul de audit 16

u:

5.4.2

Competen\a persoanei (persoanelor) care coordoneaza programul de audit.

5.4.3

Stabilirea amplorii programului de audit

17

5.4.4

Determinarea resurselor programului de audit..

18

w

0: u ;: 0: w U I-

0: w

5.5 Implementarea programului de audit

U

17

18

II)

:;:

5.5.1

Generalitil\i

18

Ii

5.5.2

Definirea obiectivelor, domeniului ~i criteriilor pentru un audit individual

19

E

5.5.3

Selectarea ~i determinarea metodelor de audit...

20

0: r: :;;

5.5.4

Selec\ionarea membrilor echipei de audit

20

a

.•

'c

0

5.5.5 Alocarea responsabilita\ii pentru un audit individual catre conducatorul echipei de audit 21

e..

•1:1

.•

"E

5.5.6

Coordonarea rezultatelor programului de audit...

22

"r:

5.5.7

Coordonarea ~i pastrarea inregistrarilor programului de audit...

22

~

."•

" :; 'u0

.•


-:

6

5.6

Monitorizarea programului de audit

23

5.7

Analizarea ~i imbunata\irea programului de audit

23

Efectuarea unui audit.

24

6.1

Generalitil\i

24

6.2

Ini\ierea auditului

24

6.2.1

Generalitil\i

24

6.2.2

Stabilirea contactului cu auditatul

24

6.2.3

Determinarea fezabilita\ii auditului

25

6.3

6.4

Pregatirea activita\ilor de audit.

25

6.3.1

Efectuarea analizei informa\iilor documentate

25

6.3.2

Planificarea auditului

25

6.3.3

Alocarea activita\ilor in cadrul echipei de audit

27

6.3.4

Pregatirea informa\iilor documentate pentru audit

Efectuarea activita\ilor de audit

27 27

6.4.1

Generalita\i

27

6.4.2

Atribuirea rolurilor 1/iresponsabilita\ilor ghizilor ~i observatorilor

28

3

SR EN ISO 1 Q011 :2018 6.4.3 Efectuarea ~edin\ei de deschidere

29

6.4.5 Accesul ~i disponibilitatea informa\iilor referitoare la audit...

29

6.4.6 Analizarea informa\iilor documentate pe parcursul efectuarii auditului

30

6.4.7 Colectarea ~i verificarea informa\iilor

30

6.4.8 Generarea constatarilor auditului

31

6.4.9 Determinarea concluziilor auditului

32

6.4.1 0 Desfa~urarea ~edin\ei de lnchidere

32

6.5 Pregatirea ~i difuzarea raportului de audit

33

6.5.1 Pregatirea raportului de audit

33

6.5.2 Difuzarea raportului de audit

34

6.6 incheierea auditului

7

28

6.4.4 Comunicarea pe parcursul auditului

34

6.7 Efectuarea urmaririi auditului

34

Competen\a ~i evaluarea auditorilor

35

7.1 Generalita\i

35

7.2 Determinarea competen\ei Iluditorilor

35

7.2.1 Generalita\i

35

7.2.2 Comportament personal

36

7.2.3 Cuno~tin\e ~i abilita\i

36

7.2.4 Dobandirea competen\ei de catre auditori. .........................................•.................... 39 7.2.5 Dobandirea competen\ei de catre conducatorul echipei de audit

39

7.3 Stabilirea criteriilor de evaluare a auditorilor.

39

7.4 Selectarea metodei corespunzatoare pentru evaluarea auditorilor

.40

7.5 Efectuarea evaluarii auditorului

.40

7.6 Men\inerea ~i imbunata\irea competen\ei auditorilor.

.40

Anexa A (informativa) indrumari suplimentare destinate auditorilor pentru planificarea ~i efectuarea aUdituriior .42 Bibliografie

52

4

Introducere De la a doua edijie a acestui standard internajional, care a fost publicata in 2011, au mai fost publicate standarde de sisteme de management, multe dintre ele avand 0 structura comuna, cerinje de baza identice, precum ~i principalii termeni ~i definijii comune. Ga atare, exista acum nevoia de a lua in considerare un domeniu mai larg de aplicare a auditarii sistemelor de management precum ~i de a furniza indrumari mai generale. Rezultatele auditului pot sa furnizeze elemente de intrare pentru aspectul de analizare a planificarii afacerii ~i pot sa contribuie la identilicarea necesitajilor ~i activitajilor de imbunatajire. Un audit poate fi realizat pe baza unui set de criterii de audit, abordate separat sau in combinajie, inclusiv dar fara a se limita la: cerinje definite in unul sau mai multe standarde de sisteme de management; politici ~i cerinje specifice ale parjilor interesate relevante; ...i 0: III

cerinje legale ~i reglementate;

~

unul sau mai multe procese de sisteme de management definite de organizajie sau de alte parji;

U

u:

~ w u

Ii: w U III

~ co-

'"

plan (plan uri) al (ale) sistemului de management referitor la furnizarea de rezultate specifice unui sistem de management (de exemplu plan al calitajii, plan al proiectului). Prezentul document furnizeaza indrumari pentru toate diferite domenii de activitate ~i la scari diferite, inclusiv caracteristice organizajiilor mai mari, dar ~i pentru organizajii mari sau mici. Aceste indrumari ar trebui complexitajii ~i amplorii programului de audit.

tipurile ~i marimile de organizajii ~i audituri, in pentru cele efectuate de echipe mari de audit, audituri efectuate de un singur auditor, in adaptate, dupa caz, domeniului de activitate,

CO

E o

0: c

'6

e ~ CO N

CO "tJ

Prezentul document se concentreaza pe audituri interne (de prima parte) ~i pe audituri efectuate de organizajii la furnizorii lor externi ~i la alte parti interesate externe (de secunda parte). Acest document poate fi util de asemenea pentru audituri externe efectuate pentru alte scopuri decat certificarea de terja parte a sistemelor de management. Standardul ISOIIEG 17021-1 furnizeaza cerinje pentru auditarea sistemelor de management pentru certificarea de ter\a parte; prezentul document poate sa furnizeze indrumari suplimentare utile (a se vedea tabeluI1).

C

.l!

Tabelul1

•.

III

- Diferite tlpuri de audituri

"tJ

CO

i

Audit de prima parte

Audit de secunda parte

Audit de terta parte

Audit intern

Audit efectuat la furnizorul extern

Audit de certificare ~i/sau de acreditare

Audit efectuat la alte parji externe interesate

Audit in scopuri legale, de reglementare sau similare

'u

., o

.0:

Pentru a simplifica citirea acestui document, este preferata forma la singular "sistem de management" dar cititorul poate adapta implementarea indrumarilor la propria sa situajie. Aceasta alegere se aplica ~i la utilizarea cuvintelor "persoana" in loc de "persoane", "auditor" in loc de "auditori". Prezentul document este destinat a fi aplicat unui spectru larg de poten\iali utilizatori, inclusiv auditori, organiza\ii care i~i implementeaza sisteme de management ~i organiza\ii care au nevoie sa efectueze audituri ale sistemelor de management din motive contractuale sau reglementate. Utilizatorii acestui document pot, totu~i, sa aplice aceste indrumari in elaborarea propriilor cerinje referitoare la audit. lndrumarile din acest document pot fi utilizate de asemenea in scopul declarajiei pe propria raspundere ~i pot Ii utile organiza\iilor implicate in instruirea auditorilor sau certificarea persoanelor. S-a urmarit ca indrumarile din acest document sa fie flexibile. A~a cum este indicat in diferite puncte din text, utilizarea acestor indrumari poate diferi in funcjie de marimea ~i nivelul de maturitate al

5

SR EN ISO , 19011 :2018 sistemului de management al organiza\iei. Ar trebui linut cant de asemenea ~i de natura ~i complexitatea organiza\iei care va Ii auditata, precum ~i de obiectivele ~i domeniul auditului care va fi efectuat. Prezentul document adopta abordarea de audit combinat atunci cand sunt auditate 1mpreuna doua sau mai multe sisteme de management din domenii de managementN1) diferite. Atunci cand aceste sisteme sunt integrate 1ntr-un singur sistem de management, principii Ie ~i procesele de auditare sunt acelea~i ca la un audit combinat (uneori acest audit se nume~te audit integrat). Prezentul document furnizeaza 1ndrumari referitoare la coordonarea unui program de audit, la planificarea ~i efectuarea auditurilor sistemelor de management, precum ~i la competen\a ~i evaluarea unui auditor ~i a unei echipe de audit.

~ ~ C>

§ ...i

a::

'a::" w

~ ~ w u:

o

Ii: w o

':a";;

ni ·2 co

E

,l! c

'S i!!

.~ "E co

"c ;j

" ." !l! 10 ·u o

..

«

NorA NATIONALA - Expresia "domeniude management"reprezintatraducereatermenuluidin limba engleza "discipline"~i din limbafranceza "discipline".

N1)

6

SR EN I

ci

,. 0

Domeniu de aplicare Acest document furnizeaza lndrumari pentru auditarea sistemelor de management, inclusiv pentru principiile de auditare, coordonarea unui program de audit ~i efectuarea auditurilor sistemului de management, precum ~i lndrumari pentru evaluarea competen\ei persoanelor implicate In procesul de audit. Aceste activita\i includ persoana (persoanele) care coordoneaza programul de audit, auditorii ~i echipele de audit. Standardul este aplicabil tuturor organiza\iilor care au nevoie sa planifice ~i sa efectueze audituri interne sau externe ale sistemelor de management sau sa coordoneze un program de audit.

co

Aplicarea acestui document altor tipuri de audituri este posibila, cu condi\ia sa se acorde 0 aten\ie special a competen\ei specifice necesare.

C>

~ C>

§ ..i

Referinte normative

2

~ w ~
Nu exista reterin\e normative In prezentul document.

u::

3

0)

u

;: w

~ U

~ w U

Termeni ~i definitii

Pentru scopurile prezentului document, se aplica termenii ~i defini\iile care urmeaza. ISO ~i lEG men\in actualizate bazele de date terminologice urmatoarele adrese:

pentru utilizare In standardizare

la

0)

== C1

platforma ISO de navigare online: disponibila la adresa https:llwww.iso.org/obp

'"'"

lEG Electropedia: disponibila la adresa http://www.electropedia.org/

.; E

~ 0

c

:;; f

'"

.!:!

"E

..,'c"

.l!

0)

..,"

'" ~ 'u 0

'"


~

3.1 audit proces sistematic, independent ~i documentat In scopul ob\inerii de dovezi obiective (3.8.) ~i evaluarea lor cu obiectivitate pentru a determina masura In care sunt lndeplinite criteriile de audit (3.7) NOTA 1 la termen • Auditurile

interne, uneori denumite

audituri de prima parte, sunt electuate

de organizatie

sau

in numele acesteia. NOTA 21a termen - Auditurile externe Ie includ pe cele denumite in general audituri de secunda ~i de terta parte. Auditurile de secunda parte sunt electuate de parti care au un interes lata de organizatie, cum ar Ii clientii, sau de catre alte persoane in numele acestor partL Auditurile de tertii parte sunt electuate de organiza\ii de auditare independente, cum ar Ii cele care lurnizeaza certilicarealinregistrarea conformnatii sau agentiile guvernamentale. [SURSA: ISO 9000:2015,

3.13.1 modilicat - Notele la acest termen au lost modilicate]

3.2 audit combinat audit (3.1) etectuat la un singur auditat (3.13) pentru doua sau mai multe sisteme de management (3.18) lmpreuna NOTA la termen - Atunci cand doua sau mal multe sistema de management specifice anumitor domenii de management sunt integrate management integrat. [SURSA: ISO 9000:2015,

intr-un singur sistem

de management,

aeesta

esta cunoscut ca sistem

3.13.2 modilicat]

3.3 audit comun audit (3.1) efectuat la un singur auditat (3.13) de doua sau mai multe organiza\ii de auditare [SURSA:

ISO 9000:2015,

3.13.3]

7

de

SR EN ISO 19011:2018

,

3.4 program acorduri orientate

de audit referitoare la unul sau spre un scop anume

[SURSA: ISO 9000:2015,

mai

3.13.4 modilical

multe

audituri

-Ia delinilie

(3.1)

planificate

pe un anumit

interval

de timp

9i

au 1051 adaugate cuvinte]

3.5 domeniul amploarea

auditului 9i limitele

unui audit (3.1)

NOTA 1 la termen ~ in general. domeniul auditului include unitalilor organiza\ionale,

a activita\ilor 9i proceselor,

0 descriere a locatiilor fizice !?i virtu ale, precum 9i a perioadei de timp acoperite.

a functiilor, a

NOTA 2 la termen - 0 Iccatie virtual£rl este acolo unde a organizatie executa lucrari sau furnizeaza un serviciu utilizand un mediu on-line, care permite unor persoane sa execute procese, fara a tine cant de locul in care ei se gasesc fizic. [SURSA: ISO 9000:2015, adaugata]

3.13.5

modilicat

-

Nota 1 la termen

a lost modilicata

9i nota 2 la termen

a lost

3.6 plan de audit descriere a activita\ilor

9i a acordurilor

[SURSA: ISO 9000:2015,

3.13.6]

Pentru

un audit

(3.1 )

3.7 criterii

de audit

ansamblu

de cerinte

(3.23)

utilizate

ca referinla

fala de care este comparata

dovada

NOTA 1 la termen - Atunci cAnd criteriile de audit sunt cerinle legale (inclusiv "conlormare" sau "neconlormare" sunl adesea utiliza\i in constatadle de audit (3.10). NOTA

2 la termen

-

Cerinlele

pot include

politici,

proceduri,

instrucliuni

ob[ectiv8

reglementate),

de lucru, cerinle

legale,

(3.8) termenii

obligalii

contractuale, etc. [SURSA: ISO 9000:20t5,

3.13.7, modilicat -delini\ia

a lost schimbata

9i au lost adaugate Notele 1 9i 2]

3.8 dovezi obiective date care sus\in

existenla

sau veridicitatea

unui lucru

NOTA 1 - Dovezile obiective pol Ii oblinute prin observalie,

masurare, incercare

sau prin alte mijloace.

NOTA 2 - Dovezile obiective pentru audit (3.1) constau in general din inregistrari, alte inlorma~i care sunt relevante pentru criteriile de audit (3.7) 9i verilicabile . . [SURSA: ISO 9000:2015,

declara\ii despre fapte sau din

3.8.3]

3.9 dovadii

de audit

inregistrari, declara\ii ale faptelor (3.7) 9i sunt verificabile [SURSA: ISO 9000:2015,

sau alte informa\ii

care

sunt

relevante

in raport

cu criteriile

de audit

3.13.8]

3.10 constatiiri rezultatele

ale auditului evaluarii dovezilor

de audit

(3.9) colectate

in raport

NOTA 1 la termen - Constatarile

auditului indica conformitatea

NOTA 2 la termen "Constatarile

auditului pot conduce la identilicarea

sau la 'inregistrarea bunelor practici.

8

cu criteriile

de audit

(3.20) sau neconformitatea

(3.7) (3.21).

riscurilor, oportunita\ilor

pentru imbunala\ire

/,,, 1~ %\

4~:~ ,~\ SR EN ~19~tf~;~ ,

NOTA 3 la termen - In limba engleza,

daca criteriile

8 "'·.I!A "",

de audit sunt selectate

dintre cerinlele

legale sau cerinle

reglementate, constatarea auditului este denumita conform are sau neconformare. [SURSA:

ISO 9000:2015,

3.13.9, modificat-

Notele 2 ~i 31a termen au fast modificateJ

3.11 concluzle a auditulul rezullal al unui audit (3.1) dupa

luarea

in considerare

a obieclivelor

de audil

~i a luluror

constatari/or

auditului (3.10) [SURSA:

ISO 9000:2015,

3.13.10J

3.12 client al audltulul organiza\ie sau persoana

care solicila

un

audit (3.1)

clientul auditului poate fi, de asemenea, auditatu! (3.13) sau persoana (persoanele) care coordoneaza programul de audit. Solicitari pentru audit extern pot veni din surse cum NOTA

1 la termen

• In cazul auditului

ar Ii autorita\i de reglementare, [SURSA:

ISO 9000:2015,

intern,

parji contractante,

clienli existenli sau potenliali.

3.13.11, modilicat - Nota 1 la termen a fast adaugataJ

3.13 auditat organiza\ie [SURSA:

care esle audilala, ISO 9000:2015,

in inlregime

sau doar par\i din aceasla

3.13.12, modificatJ

3.14 echlpa de audit una sau rnai mulle

persoane

care

eleclueaza

un

audit (3.1) susjinuji

daca

esle

nevoie

de

experti

tehnici (3.16) NOTA 1 la termen·

Un

auditor(3.15) din echipa de audit (3.14) este desemnat conducator al echipei de audit.

NOTA 2 la termen . Echipa de audit poate include auditori in formare. [SURSA:

ISO 9000:2015,

3.13.14J

3.15 auditor persoana

care efeclueaza

[SURSA: ISO 9000:2015,

un

audit (3.1 )

3.13.15J

3.16 expert

tehnic



persoana

care lurnizeaza

expertiza

sau cuno~linje

specilice

echipei de audit (3.14)

NOTA 1 la termen • Expertiza sau cuno~tinlele specifice se refera la organizalia, serviciul, domeniul de management care se auditeaza, ori la cultura sau limb,!. NOTA 2 la termen . Un expert tehnic nu actioneaza [SURSA:

ISO 9000:2015,

3.13.16 modificat.

ca

activitatea,

auditor (3.15) in echipa de audit (3.14).

Notele 1 ~i 2 la termen au fost modificateJ

3.17 observator persoana

care insojelile

[SURSA:

ISO 9000:2015,

echipa de audit (3.14) dar nu aCjioneaza 3.13.17, modificatJ

9

ca

auditor (3.15)

procesul,

pradusul,

SR EN I~O 19011:2018 3.16 slstem de management ansamblu de elemente corelate sau In interac\iune ale unei organiza\ii prin care se stabilesc politicile ~i obiectivele, precum ~i procesele (3.24) prin care se realizeaza acele obiective NOTA 1 la termen - Un sistem de management poate sa trateze un singur domeniu de management sau mai multe domenii de management, de exemplu managementul ca1ita~ii, managementul financiar sau managementul de mediu. NOTA

2

la termen

-

Elementele

sistemului

de

management

al ealit~\ii

stabilese

struetura,

rolurile

~i

responsabilitatile organizatiei, planificarea, functionarea. politicile. practicile, regulile, convingerile, objective Ie !?i procesele prin care S8 realizeaza aeele objective. 00 CO

~ >::: :::

..i a: til

w

!.i u ii:

~ w u

Ii: w

NOTA 3 la termen

- Domeniul

de aplicare

al unui sistem de management

poate include intreaga

organiza\ie,

functiuni specifice ~i identificate ale organizatiei, sectiuni specifice ~i identificate ale organizatiei sau una sau mai multe funC1iuniin cadrul unui grup de organiza1ii. [SURSA: ISO 9000:2015,

3.5.3, modificat - Nota 4 la termen a fast eliminat~]

3.19 rise efect al incertitudinii NOTA 1 la termen - Un efeet este a abatere, pozitiva sau negativ~, de la a a~teptare. - Incertitudinea este starea, chiar pal"\iala, de insuficien\a de informatii (3.B.2) legate de in1elegerea sau cunoa~tereaunui eveniment, a consecin~elorsau plauzibilita1iiacestuia. NOTA 2 la termen

U

til

:;;

NOTA 3 la termen - Riseul este caracterizat adesea prin referire la evenimente poten\iale (a~a cum sunt definite in Ghidul ISO 73:2009, 3.5.1.3) ~i consecin\ele lor (a~a cum sunt definite in Ghidul ISO 73:2009, 3.6.1.3) sau a

cO

combina1ie a acestora.

a 'cco

E

~

NOTA 4 - Riscul este adesea definit ca a combina1ie a consecintelor unui eveniment (inclusiv schimbarea circumstan\elor)

~i plauzibilit~\ii

asociate de apari~e (a~a cum sunt definite in Ghidul ISO 73:2009, 3.6.1.1).

c

'5 i!! co .!:!

"l! co

."C

~

.""co

~ 'u ~

[SURSA: ISO 9000:2015,

3.7.9, modificat - Notele 5 ~i 6 la termen au fast eliminate]

3.20 eonformitate lndeplinirea unei cerinte (3.23) [SURSA: ISO 9000:2015,

3.6.11, modificat - Nota 1 la termen a fast eliminata]

3.21 neeonformitate neindeplinirea unei cerinte (3.23) [SURSA: ISO 9000:2015,

3.6.9, modificat - Nota 1 la termen a fast eliminat~]

3.22 eompetenta capacitate de a aplica cuno~tin\e ~i abilita\i pentru a ob\ine rezultate inten\ionate [SURSA: ISO 9000:2015,

3.10.4, modificat - Notele la termen au fast eliminate]

3.23 eerlnta nevoie sau a~teptare care este declarata, In general implicita sau·obligatorie NOTA

1 la termen

- "in general

implicit"

inseamn~

c~ reprezint~

a practica

interna sau 0 obi~nuin\8

pentru

organizatie ~i pentru p~rlile interesate ca nevoia sau a~teptarealuata in considerare sa fie implicit~. NOTA 2 la termen -

0 eerin\~ speeificata este aceea care este declarat~, de exemplu, in informa~i documentate.

[SURSA: ISO 9000:2015,

3.6.4, modifieat - Notele la termen 3, 4, 5 ~i 6 au fost eliminate]

10

SR EN 1$0 19011 :2018 3.24 proces ansamblu de activitali corel ate sau in interactiune care utilizeaza elemente de intrare pentru a livra un rezultat intentionat [SURSA: ISO 9000:2015,

3.4.1, modificat - Notele la termen au fast eliminate]

3.25 performanja rezultat masurabil NOTA 1 la termen - Performan\a NOTA 2 la termen - Performan\a

se poate raporta atat la parametri

cantitativi, cat ~i la parametri calitativi.

se poate raporta la managementul

activitatilor,

proceselor (3.24), prod use lor,

servicHlor, sistemelor sau organiza1iilor. [SURSA: ISO 9000:2015,

J a:

3.7.8, modificat - Nota 3 la termen a fast eliminata]

'"

3.26 eficacitate gradul in care activita\ile planificate sunt realizate ~i rezultatele planificate sunt ob\inute

ii:

[SURSA: ISO 9000:2015,

w

~ u ~ w

3.7.11, modificat - Nota 1 la termen a fast eliminata]

u

Ii: w

4

'a"

Auditarea se caracterizeaza prin faptul ca se bazeaza pe un numar de principii. Aceste principii ar trebui sa fie de ajutor astfel incat auditul sa fie un instrument eficace 9i de incredere In sus\inerea politicilor ~i a contrcalelor exercitate de management prin furnizarea informatiilor pe baza carora 0 organizalie poate acjiona pentru a-~i imbunataji performanla. Aderarea la aceste principii este 0 condilie prealabila pentru a furniza concluzii ale auditului care sa fie relevante ~i suficiente, precum ~i pentru a da posibilitatea auditorilor care lucreaza independent unul de altul, sa ajunga la concluzii similare, In circumstanje similare.

Principiide auditare

u :il

.;

'c., E

~ c '6

e., N

E., ""c £5 GO ""., :;

lndrumarile precizate la articolele de la 5 pana la 7 se bazeaza pe cele ~apte principii prezentate In continuare . a)

Integritate: baza profesionalismului Auditorii ~i persoana (persoanele) care coordoneaza un prcgram de audit ar trebui:

'u

-

sa i~i efectueze activitatea In mod etic, cu onestitate 9i responsabilitate;

~

-

sa efectueze activitalile de audit numai daca sunt competenti sa Ie realizeze;

-

sa 19i efectueze activitatea lntr-un mod imparjial, adica sa ramana cinstili ~i neinfluenlali In toate acliunile lor;

-

sa fie atenli la orice influenle care ar putea fi exercitate asupra judecalii lor in timpul realizarii auditului.

o

b)

Prezentare corecta: obligalia de a raporta veridic ~i exact Constatarile auditului, concluziile auditului ~i rapoartele de audit ar !rebui sa reflecte In mod veridic ~i exact activitalile de audit. Obstacolele semnificative intalnite pe parcursul auditului ~i opiniile divergente nerezolvate dintre echipa de audit 9i auditat ar trebui raportate. Comunicarea ar trebui sa fie veridica, exacta, obiectiva, la momentul oportun, clara ~i completa.

c)

Con~tiinta profesionala adecvata: atitudine ralionala ~i perseverenta In auditare Auditorii ar trebui sa acorde atenlia cuvenita In concordanla cu importanla sarcinii pe care 0 efectueaza ~i cu increderea acordata de clientul auditului ~i de alte parji interesate. Un factor

11

SR EN ISO 19011:2018 important in desla~urarea activita\ii acestora cu preocuparea prolesionala corespunzatoare este sa aiba capacitatea de a electua ra\ionamente rezonabile in toate situa\iile de audit. d)

Conliden\ialitate: securitatea inlorma\iei Auditorii ar trebui sa manileste discre\ie in utilizarea ~i protejarea inlorma\iilor ob\inute in cursul electuarii sarcinilor lor. Inlorma\iile releritoare la audit ar trebui sa nu lie utilizate necorespunzator in lolosul personal al auditorului sau al clientului auditului sau in detrimentul intereselor legitime ale auditatului. Acest concept include tratarea adecvata a inlorma\iilor sensibile sau confiden\iale.

e)

Independen\a: baza pentru impartialitatea auditului ~i obiectivitatea concluziilor auditului Auditorii ar trebui sa lie independen\i de activitatea pe care 0 auditeaza ori de cate ori este posibil ~i ar trebui c~ in toate cazurile sa ac\ioneze astlel incat sa nu lie partinitori ~i supu~i unor conllicte de interese. In cazul auditurilor interne, auditorii ar trebui sa lie independen\i de luncjia auditata, daca este posibil. Auditorii ar trebui sa i~i menjina obiectivitatea pe intreg parcursul procesului de audit pentru a se asigura ca se bazeaza numai pe dovezi de audit in stabilirea constatarilor ~i concluziilor auditului. in cazul organiza\iilor mici, s-ar putea sa nu lie posibil ca auditorii interni sa lie total independen\i de activitatea auditata, dar ar trebui lacut orice elort pentru a Ii nepartinitori ~i a incuraja obiectivitatea.

I)

Abordare bazata pe dovezi: metoda rajionala prin care intr-un proces sistematic de audit se ajunge la concluzii de incredere ~i reproductibile Dovezile auditului ar trebui sa lie verilicabile. Acestea ar trebui sa se bazeze in general pe e~antioane ale inlorma\iei disponibile, din moment ce un audit este desla~urat intr-o perioada linita de timp ~i cu resurse limitate. Utilizarea corespunzatoare a e~antionarii ar trebui aplicata, din moment ce aceasta este strans legata de increderea care poate Ii acordata concluziilor auditului.

g)

Abordare bazata pe risc: 0 abordare a auditului care ia in considerare riscurile ~i oportunitajile Abordarea bazata pe risc ar trebui sa influen\eze considerabil planilicarea, electuarea ~i raportarea auditurilor, in scopul de a se asigura ca auditurile se concentreaza pe probleme care sunt semnilicative pentru clientul auditului ~i pentru a se indeplini obiectivele programului de audit.

5

Coordonareaunui program de audit

5.1

Generalitati

Ar trebui stabilit un program de audit care poate include audituri care se relera la unul sau mai multe standarde pentru sisteme de management sau la alte cerinje, electuate lie separat lie in combinajie (audit combinat). Amploarea unui program de audit ar trebui sa se bazeze pe marimea ~i natura auditatului, precum ~i pe natura, lunc\ionalitatea, complexitatea, tipurile de riscuri ~i oportunita\i ~i nivelul de maturitate ale sistemului (sistemelor) de management care va (vor) Ii auditat (autidate). Func\ionalitatea sistemului de management poate Ii chiar mai complexa atunci cand cele mai multe dintre luncjiunile importante sunt externalizate ~i gestionate sub leadershipul altor organizalii. Ar trebui sa se acorde 0 atenjie speciala, in cadrul sistemului de management, acolo unde sunt luate cele mai importante decizii, precum ~i componenjei managementului de la cel mai inalt nivel. 1n cazul loca\iilor/amplasamentelor multiple (de exemplu in dilerite jari) sau atunci cand lunc\iuni importante sunt externalizate ~i gestio nate sub leadershipul unei alte organiza\ii, ar trebui acordata 0 atenlie deosebita proiectarii, planilicarii ~i validarii programului de audit. in cazul unor organiza\ii mai mici sau mai pu\in complexe, programul de audit ar trebui dimensionat in mod adecvat.

12

Pentru a in\elege contextul auditatului, programul de audit ar trebui sa tina cont de urmatoarele aspecte ale auditatului: obiectivele organiza\ionale; aspectele externe ~i interne relevante; necesita\ile ~i a~teptarile par\ilor interesate relevante; cerintele referitoare la confiden\ialitatea ~i securitatea informatiilor. Planilicarea programelor de audit intern ~i, in unele cazuri, a programelor pentru auditarea furnizorilor externi poate Ii lacuta astlel incat sa contribuie la realizarea altor obiective ale organiza\iei. Persoana (persoanele) care coordoneaza programul de audit ar trebui sa se asigure ca integritatea auditului este men\inuta ~i ca nu exista 0 influenla improprie exercitata pe parcursul auditului. Ar trebui sa se acorde prioritate alocarii resurselor ~i metodelor pentru asp~ctele care, intr-un sistem de management, prezinta un risc inerent mai ridicat ~i un nivel mai scazut al performanlei. Ar trebui desemnate persoane competente care sa coordoneze programul de audit. Programul de audit ar trebui sa includa informaliile ~i sa identifice resursele necesare pentru ca auditurile sa poata fi efectuate in mod eficace ~i elicient in cadrul intervalelor de timp specificate. Informaliile ar trebui sa includa: a)

obiectivele programului de audit;

b)

riscurile ~i oportunitalile asociate programului de audit (a se vedea 5.3) ~i actiunile pentru tratarea acestora;

c)

domeniul (amploarea, limitele, localiile) fiecarui audit in cadrul programului de audit;

d)

programarea (numarul/duratalfrecvenla)

auditurilor;

e)

tipurile de audit, cum ar fi interne sau externe;

f)

criteriile de audit;

g)

metodele de audit care urmeaza sa fie utilizate;

h)

criteriile pentru seleclionarea membrilor echipei de audit;

i)

informa\iile documentate relevante.

Unele dintre aceste informalii pot sa nu fie disponibile pan a cand nu este finalizata planificarea mai detaliata a auditului. Implementarea programului de audit ar trebui monitorizata ~i masurata continuu (a se vedea 5.6) pentru a se asigura ca obiectivele sale au fost realizate. Programul de audit ar trebui analizat pentru a identifica necesitalile de modificare ~i posibilele oportunitali de imbunataliri (a se vedea 5.7). Figura 1 ilustreaza fluxul procesului pentru managementul unui program de audit.

13

SR EN ISO 19011:2018 PLANIFICA

EFECTUEAZA

VERIFICA

ACTIONEAZA

5.2 Stabilirea obiectivelor programului de audit

5.3 Determinarea !fi evaluarea riscurilor !fi oportunitali1or programului de audit

5.7 Analizarea !}i imbunata~rea programului de audit

5.4 Stabilirea programului de audit

I

5.6 Monitorizarea programului de audit

~ Articolul5

···············································f····

.

l

Articolul6

..------1

6.2 Ini~erea auditului

1 1 r - - 1 I I

6.4 Efectuarea activiU\tilor de audit

6.3 Pregatirea activitatilor de audit

1

_1-

6.7 Efectuarea unna.ririiauditului

,

!... - - - - - - - __

I

1 I I 1 I

1 6.5 Pregatirea !?i difuzarea raportului de audit

PLANIFICA

EFECTUEAZA

NOTA 1 - Aceasta figura ilustreaza (PDCA)N2) in acest document. NOTA 2 - Numerotarea

1

--+ 6.61:i~~I~rea

aplicarea

articolelor/paragrafelor

ciclului

VERI FICA Planifica

- Efectueaza

se refera la articolele/paragrafele

I

ACTIONEAZA - Verifica - Ac\ioneaza.

relevante din acest document.

Figura 1 - Fluxul procesului pentru managementul unui program de audit

N2)

NOTA NATIONALA

- Acronimul

PDCA provine din ini\ialele din limba engleza Plan - Do - Check - Act.

14

PEVA.

SR EN ISO 19011 :2018

5.2

Stabilirea obiectivelor programului de audit

Clientul auditului ar trebui sa se asigure ca obiectivele programului de audit sunt stabilite pentru a orienta planilicarea ~i electuarea auditurilor ~i ar trebui sa se asigure ca programul de audit este implementat in mod elicace. Obiectivele programului de audit ar trebui sa lie consecvente cu direc\ia strategica a clientului auditului ~i sa sus\ina politica ~i obiectivele sistemului de management. Aceste obiective se pot baza pe luarea in considerare a urmatoarelor:

ii

a)

necesita\ile ~i a~teptarile par\ilor interesate relevante, atat interne cat ~i externe;

b)

caracteristicile ~i cerin\ele pentru procese, prod use, servicii ~i proiecte ~i crice modilicari ale acestora;

c)

cerin\ele sistemului de management;

d)

necesitatea de evaluare a lurnizorilor externi;

e)

nivelul de performan\a al auditatului ~i nivelul de maturitate al sistemului (sistemelor) de management, a~a cum sunt reflectate de indicatorii de performan\a relevan\i (de exemplu KPI - indicatori cheie de perfcrman\a), apari\ia neconlormita\ilor, incidentelor sau reclama\iilor de la par\ile interesate;

':l!" ;'l ii:

~ w

I)

riscurile ~i oportunita\ile pentru auditat, identilicate;

~ w

g)

rezultatele auditurilor anterioare.

(,)

(,)

'a"

Exemple de obiective ale programului de audit pot include urmatoarele:

:;; identilicarea oportunita\ilor pentru imbunata\irea sistemului de management ~i a performan\ei acestuia;

ni

.•

'c

~

evaluarea capabilita\ii auditatului de a determina contextul propriu;

'6

evaluarea capabilita\ii auditatului de a determina riscurile ~i oportunita\ile ~i de a identilica ~i implementa ac\iuni elicace pentru tratarea acest6ra;

c

e.. ~ .".• N

conlormarea cu toate cerin\ele relevante, de exemplu cerin\e legale ~i reglementate, angajamente de conlormare, cerin\e de certilicare la\a de un standard de sistem de management;

C

;i!l

."".•

ob\inerea ~i men\inerea increderii in capabilitatea unui lurnizor extern;

i

'u

determinarea adecvarii, pertinen\ei ~i elicacita\ii continue, ale sistemului de management al auditatului;

o

.::!

evaluarea compatibilita\ii strategica a organiza\iei.

5.3

~i a alinierii obiectivelor

sistemului de management cu direc\ia

Determinarea ljOievaluarea riscurilor ljOioportunitiililor

programului de audit

Exista riscuri ~i oportunita\i releritoare la contextul auditatului, care pot Ii asociate cu un program de audit ~i care pot sa influen\eze indeplinirea obiectivelor auditului. Persoana (persoanele) care coordoneaza programul de audit ar trebui sa identilice ~i sa prezinte clientului auditului riscurile ~i oportunita\ile luate in considerare atunci cand se dezvolta programul de audit ~i cerin\ele de resurse, astfelincat acestea sa lie tratate in mod adecvat. Pot exista riscuri asociate cu urmatoarele: a)

planilicarea, de exemplu e~ec in stabilirea obiectivelor de audit relevante ~i in determinarea amplorii, numarului, duratei, loca\iilor ~i a planilicarii auditurilor;

b)

resursele, de exemplu alocarea de timp, echipamente ~i/sau instruire insuliciente dezvoltarea programului de audit sau pentru electuarea unui audit; 15

pentru

SR EN ISO 19011 :2018 c)

selec\ionarea echipei de audit, de exemplu competen\a globala insuficienta pentru a efectua auditurile in mod eficace;

d)

comunicarea, de exemplu procese/canale de comunicare interne/externe ineficace;

e)

implementarea, de exemplu coordonarea ineficace a auditurilor in cadrul programului de audit, sau fara lua in considerare confiden\ialitatea ~i securitatea informa\iilor;

f)

controlul informa\iilor documentate, de exemplu determinarea ineficace a necesarului de inform alii documentate cerute de auditori ~i de parjile interesate relevante, e~ec in protejarea adecvata a inregistrarilor de audit care sa demonstreze eficacitatea programului de audit;

g)

monitorizarea, analizarea ~i imbunata\irea programului de audit, de exemplu monitorizarea ineficace a rezultatelor programului de audit;

h)

disponibilitatea ~i cooperarea auditatului ~i disponibilitatea dovezilor care sa fie e~antionate.

Oportunita\ile pentru imbunata\irea programului de audit pot include: posibilitatea de a efectua audituri multiple in cadrul unei singure vizite; minimizarea timpului ~i a distan\elor de calatorie la locul auditului; adecvarea nivelului de competen\a al echipei de audit cu nivelul de competen\a necesar pentru a indeplini obiectivele de 'audit; alinierea datelor de audit cu disponibilitatea persoanelor cu func\ii cheie ale auditatului.

5.4

Stabilirea

5.4.1 audit

Roluri ~i responsabilitati ale persoanei (persoanelor) care coordoneaza'programul

programului

de audit de

Persoana (persoanele) care coordoneaza programul de audit ar trebui: a)

sa stabileasca amploarea programului de audit in conformitate cu obiectivele relevante (a se vedea 5.2) ~i cu orice alte constrangeri cunoscute;

b)

sa determine aspectele interne ~i externe, precum ~i riscurile ~i oportunita\ile care pot influen\a programul de audit ~i sa implementeze ac\iuni pentru tratarea acestora, integrand aceste acliuni in toate activita\ile de auditare relevante, dupa cum este cazul;

c)

sa asigure seleclionarea echipelor de audit ~i competen\a globala pentru activita\ile de audit, repartizand roluri, responsabilita\i ~i autorita\i ~i sus\in':md leadershipul, dupa cum este cazul;

d)

sa stabileasca toate procesele relevante, inclusiv procese pentru: coordonarea ~i planificarea tuturor auditurilor in cadrul programului de audit; stabilirea obiectivelor, domeniului (domeniilor) metodelor de audit ~i selectarea echipei de audit;

~i criteriilor

de audit, determinarea

evaluarea auditorilor; stabilirea proceselor de comunicare interne '1i externe, dupa cum este cazul; rezolvarea disputelor ~i tratarea reclama\ii1or; audit de urmarire, daca este cazul; raportarea catre clientul auditului 9i catre par\ile interesate relevante, dupa cum este cazul. e)

sa determine ~i sa asigure furnizarea tuturor resurselor necesare;

16

SR EN 1$0 19011 :2018 f)

sa se asigure ca informa\iile documentate corespunzatoare programului pregatite ~i men\inute, inclusiv lnregistrari ale programului de audit;

de audit sunt

g)

sa monitorizeze, sa analizeze ~i sa 1mbunata\easca programul de audit;

h)

sa comunice programul de audit clientului auditului ~i, dupa cum este cazul, parjilor interesate relevante,

Persoana (persoanele) care coordoneaza programul de audit ar trebui sa ceara aprobarea acestui program de catre clientul auditului. 5.4.2

Competenta

persoanel (persoanelor)

care coordoneaza

programul

de audit

Persoana (persoanele) care coordoneaza programul de audit ar trebui sa aiba competen\a necesara pentru a coordona In mod eficace 9i eficient programul 9i riscurile 9i oportunitalile asociate acestuia, precum ~i aspectele interne 9i externe, avand inclusiv cuno~tin\e despre: a)

principii de audit (a se vedea articolul 4), procese 9i metode (a se vedea A.1 9i A.2) de audit;

b)

standarde pentru sisteme de management, referin\a! de lndrumare;

c)

informa\ii referitoare la auditat ~i contextul sau (de exemplu aspecte externe/interne, parji interesate relevante 9i necesita\ile 9i a~teptarile acestora, activita\i de afaceri, produse, servicii 9i procese ale auditatului);

d)

cerin\e legale 9i reglementate aplicabile, precum 9i alte cerin\e relevante pentru activita\ile de afaceri ale auditatului.

alte standarde

relevante 9i documente

de

Dupa caz, pot fi luate In considerare cuno9tin\e referitoare la managementul riscului, .managementul proiectelor ~i proceselor, precum ~i la tehnologia informaliei 9i a comunica\iilor (TIC). Persoana (persoanele) care coordoneaza programul de audit ar trebui sa se implice In activitali corespunzatoare de dezvoltare profesionala continua pentru a-~i menline competen\a necesara pentru a coordona programul de audit. 5.4.3

Stabilirea amplorii programului

de audit

Persoana (persoanele) care coordoneaza programul de audit ar trebui sa determine amploarea programului de audit. Aceasta poate varia In func\ie de informa\iile furnizate de auditat referitoare la contextul sau (a se vedea 5.3). NOTA - in unele cazuri, in func\ie de structura auditatului sau de activita\ile acestuia, programul de audit poate consta numai dintr-un singur audit (de exemplu un proiect mic sau 0 organiza\ie mica). AlIi factori care au impact asupra amplorii unui program de audit pot Ii urmatorii: a)

obiectivul, domeniul ~i durata liecarui audit, numarul de audituri de electuat, metoda de raportare ~i, daca este cazul, auditul de urmarire;

b)

standardele de sistem de management sau alte criterii aplicabile;

c)

numarul, importan\a, complexitatea, auditate;

similaritatea ~i loca\iile activita\i1or care urmeaza a Ii

d)

acei lactori care inlluen\eaza elicacitatea sistemului de management;

e)

criteriile de audit aplicabile, cum ar Ii acorduri planilicate pentru standardele de sistem management relevante, cerinle legale 9i reglementate 9i alte cerinle la care organiza\ia s-a angajat;

I)

rezultatele auditurilor interne ~i externe precedente precum ~i ale analizelor electuate de management, daca este cazul;

g)

rezultatele analizei unui program de audit anterior;

17

SR EN ISO , 19011:2018 h)

Iimba, aspectele culturale ~i socia Ie; preocuparile parjilor interesate, cum ar Ii reclama\iile clien\ilor, neconlormarea cu cerin\ele legale ~i reglementate ~i cu alte cerin\e la care organiza\ia s-a angajat, sau aspecte legate de lan\ul de lurnizare;

j)

schimbarile semnilicative releritoare riscurile ~i oportunita\ile asociate;

la contextul auditatului sau la lunc\ionarea

sa ~i la

k)

disponibilitatea tehnologiilor inlorma\iei ~i a comunica\iilor care sprijina activit!i\ile de audit, in special utilizarea metodelor de audit la distan!a (a se vedea A.16); apari\ia evenimentelor interne ~i externe, cum ar Ii neconlormita!i ale produselor sau serviciilor, vulnerabilita\i in securitatea inlorma\iilor, incidente de sanatate ~i securitate, acte criminale sau incidente de mediu;

m)

riscuri ~i oportunita!i ale alacerii, inclusiv ac\iuni de tratare a acestora.

5.4.4

Determinarea

resurselor

programulul

de audit

Atunci cand se determina resursele programului de audit, persoana (persoanele) care coordoneaza programul de audit ar trebui sa ia in considerare: a)

resursele linanciare ~i de timp necesare pentru a dezvolta, a implementa, a coordona ~i a imbunata\i activita\ile de audit; .

b)

metodele de audit (a se vedea A.1);

c)

disponibilitatea individuala ~i globala a auditorilor ~i a exper\ilor tehnici care au competen\a corespunzatoare pentru obiectivele specilice ale unui program de audit;

d)

amploarea programului de audit (a se vedea 5.4.3) ~i riscurile ~i oportunita\ile programului de audit;

e)

durata ~i costul calatoriei, cazarea ~i alte necesita\i pentru auditare;

I)

impactul dileritelor luse orare;

g)

disponibilitatea tehnologiilor inlorma\iei ~i a comunica\iilor (de exemplu resurse tehnice necesare pentru electuarea unui audit la distan\a utilizand tehnologii care laciliteaza colaborarea la distan\a);

h)

disponibilitatea oricaror instrumente, tehnologii ~i echipamente cerute;

i)

disponibilitatea de inlorma\ii documentate necesare, a~a cum au lost determinate pe parcursul stabilirii programului de audit (a se vedea A.5);

j)

cerin\e legate de lacilita\i, inclusiv orice cerin\e releritoare la autorizalii ~i echipamente de securitate (de exemplu verilicilri de lond, echipament individual de protec\ie, aptitudinea de a purta 0 \inuta specilica pentru cam ere curate).

5.5

Implementarea programului de audit

5.5.1

Generalltiiti

Odata ce programul de audit a lost stabilit (a se vedea 5.4.3) ~i au lost determinate resursele corespunzatoare (a se vedea 5.4.4) este necesar sa se implementeze planilicarea opera\ionala ~i coordonarea tuturor activita\ilor in cadrul programului. Persoanaipersoanele care coordoneaza programul de audit ar trebui: a)

sa comunice elementele pertinente din programul de audit, inclusiv riscurile ~i oportunitalile implicate, catre parjile interesate relevante ~i sa Ie inlormeze periodic des pre progresul program ului, utilizand canalele de comunicare externe ~i interne stabilite;

18

SR EN ISO 19011 :2018 b) c)

sa selecteze metodele de audit (a se vedea A.I);

d)

sa coordoneze ~i sa programeze auditurile 9i alte activitali relevante pentru programul de audit;

e)

sa asigurare seleclionarea echipelor de audit care delin competenla necesara (a se vedea 5.5.4);

I)

sa lurnizeze echipelor de audit resursele necesare, individuale 9i globale;

g)

sa asigure electuarea auditurilor in concordanla cu programul auditului administrand toate riscurile, oportunita\ile 9i aspectele operalionale (adica evenimentele neprevazute), a9a cum apar pe parcursul desla~urarii programului;

h)

sa se asigure ca inlormaliile documentate relevante releritoare la activitajile de audit sunt administrate 9i men\inute in mod corespunzator (a se vedea 5.5.7);

i)

sa delineasca 9i sa implementeze controalele opera\ionale (a se vedea 5.6) necesare pentru monitorizarea programului de audit;

j)

sa analizeze programul de audit in scopul identilicarii oportunita\ilor pentru imbunata\irea acestuia (a se vedea 5.7).

5.5.2

Oefinirea oblectlvelor, domeniului ,i criteriilor pentru un audit individual

co o

~

:: ..i

0: Vl

w

0:

~ ii: ~ w

o

Ii:

w

o Vl

:;

a

,;

sa delineasca obiectivele, domeniul ~i criteriile pentru liecare audit individual;

Fiecare audit individual ar trebui sa se bazeze pe obiective, domeniu 9i criterii de audit documentate. Acestea ar trebui sa lie consecvente cu obiectivele generale ale programului de audit.

.•

Obiectivele auditului stabilesc ceea ce urmeaza a Ii realizat la auditul individual'9i urmatoarele:

~

a)

determinarea amplorii conlormitalii sistemului de management care urmeaza a Ii auditat sau a parjilor din acesta, cu criteriile de audit;

b)

evaluarea capabilita\ii sistemului de management de a sprijini organiza\ia in lndeplinirea cerinlelor legale 9i reglementate relevante 9i a altor cerin\e la care organiza\ia s-a angajat;

c)

evaluarea eficacitalii sistemului de management in oblinerea rezultatelor inten\ionate;

'c

pot include

E c

:;;

.. .• !! N

=e

"c £l "".•

i

'u

d)

identificarea oportunita\ilor pentru potenliala imbunatalire a sistemului de management;

e)

evaluarea potrivirii 9i adecvarii sistemului strategica ale auditatului;

I)

evaluarea capabilitalii sistemului de management de a stabili 9i a realiza obiective ~i de a tratata in mod elicace riscuri ~i oportunita\i, intr-un context schimbator, inclusiv implementarea ac\iunilor conexe.

o

~

de management

lala de contextul 9i direclia

Domeniul auditului ar trebui sa fie consecvent cu programul de audit 9i obiectivele auditului. Domeniul include lactori cum sunt localiile, luncliile, activitalile 9i procesele care urmeaza sa fie auditate, precum 9i intervalul de timp alocat pentru audit. Criteriile de audit sunt utilizate ca relerinja lala de care este determinata conlormitatea. Acestea pot include una sau mai multe dintre urmatoarele: politici, procese, proceduri, criterii de performanla aplicabile inclusiv obiective, cerin\e legale 9i reglementate, cerinle ale sistemului de management, inlormalii releritoare la context 9i la riscurile 9i oportunita\ile a9a cum au lost determinate de auditat (inclusiv cerin\ele parjilor interesate interneiexterne relevante), coduri de conduita sectoriale sau alte aranjamente planificate. 1n cazul oricaror modificari ale obiectivelor, domeniului sau criteriilor auditului, programul de audit ar trebui modificat daca este necesar ~i comunicat parjilor interesate, pentru aprobare daca este cazul.

19

SR EN ISO. 19011 :2018 Atunci cand se auditeaza in acela~i timp mai mult de un domeniu de management, este important ca obiectivele, scopul ~i criteriile auditului sa fie consecvente cu programele de audit relevante pentru fiecare domeniu de management. Unele domenii de management pot avea un domeniu care se refera la intreaga organizalie iar altele pot avea un domeniu care se refera numai la 0 parte a unei organiza\ii. 5.5.3

Selectarea !?ideterminarea metodelor de audit

Persoana (persoanele) care coordoneaza programul de audit ar trebui sa selecteze ~i sa determine metodele pentru efectuarea in mod eficace ~i eficient a unui audit, in funclie de obiectivele, domeniul ~i criteriile definite ale auditului. Auditurile pot fi efectuate la fala locului, la distanla sau ca 0 combinalie a acestora. Utilizarea acestor metode ar trebui sa fie echilibrata adecvat, fiind bazata, printre altele, pe luarea in considerare a riscurilor ~i oportunitalilor asociate. Atunci cand doua sau mai multe organizalii efectueaza un audit comun la acela~i auditat, persoanele care coordoneaza programele de audit diferite ar trebui sa convina asupra metodelor de audit ~i sa ia in considerare implicaliile acestora in alocarea resurselor ~i planificarea auditului. Oaca un auditat utilizeaza doua sau mai multe sisteme de management cu domenii de management diferite, auditurile combinate pot fi incluse in programul de audit. 5.5.4

Selectionarea membrilor eC"ip.ei de audit

Persoana (persoanele) care coordoneaza programul de audit ar trebui sa numeasca membrii echipei de audit, inclusiv conducatorul echipei de audit ~i arice experji tehnici necesari pentru un anume audit.

o

echipa de audit ar trebui seleclionata linand cont de competenla necesara pentru a realiza obiectivele unui audit individual in cadrul domeniului definit. Oaca exista un singur auditor, auditorul ar trebui sa efectueze toate sarcinile aplicabile unui conducator al echipei de audit. . NOTA - Articolul 7 conIine indrumari pentru determinarea competenlei cerute pentru membrii echipei de audit ~i descrie procesele pentru evaluarea auditorilor. Pentru a se asigura competenla globala a echipei de audit, ar trebui parcurse urmatoarele etape: identificarea competenlei necesare pentru a realiza obiectivele auditului; seleclionarea membrilar echipei de audit astlel incat la nivelul echipei de audit sa existe competenla necesara. La stabilirea marimii ~i componenlei considerare urmatoarele:

echipei de audit pentru un audit specific, ar trebui luate in

a)

competenla globala a echipei de audit, necesara pentru realizarea obiectivelor auditului, linand cont de domeniul ~i criteriile auditului;

b)

complexitatea auditului;

c)

daca auditul este combinat sau comun;

d)

metodele de audit selectate;

e)

asigurarea obiectivitalii ~i imparjialitalii pentru a evita arice conflict de interese in procesul de audit;

f)

capabilitatea membrilar echipei de audit de a lucra ~i interacliona eficace cu reprezentanlii auditatului ~i cu parlile interesate relevante;

g)

aspectele externeiinterne relevante, cum ar fi limba in care se desfa~oara auditul, caracteristicile sociale ~i culturale ale auditatului. Aceste aspecte pot fi tratate fie prin calificarile proprii ale auditorilor, fie cu sprijinul unui expert tehnic, luand in considerare de asemenea necesitatea de interpreli;

20

g~\ SR

~}S~?f~;\~;2018 -Jii""'\

h)

tipul ~i complexitatea proceselor care vor fi audita.te:

Atunci cand este cazul, persoana (persoanele) care coordoneaza programul de audit ar trebui sa iI consulte pe conducatorul echipei de audit despre componenla echipei de audit. Daca nu este acoperita competenla necesara de catre auditorii echipei de audit, ar trebui sa fie disponibili experji tehnici cu competenle suplimentare, pentru sprijinirea echipei de audit. Auditorii in form are pot fi inclu~i in echipa de audit, dar ar trebui sa participe sub conduce rea ~i indrumarea unui auditor. Pe parcursul auditului pot fi necesare modificari ale componenlei echipei de audit, de exemplu atunci cand apar conflicte de interese sau aspecte referitoare la competenla. Daca astfel de situalii apar, ele ar trebui solulionate impreuna cu parjile adecvate [de exemplu conducatorul echipei de audit, persoana (persoanele) care coordoneaza programul de audit, clientul auditului sau auditatul] inainte sa fie facute crice modificari. 5.5.5

Alocarea responsabilitalii

pentru un audit individual

catre conducatorul

echipel de audit

Persoana (persoanele) care coordoneaza programul de audit ar trebui sa aloce responsabilitatea pentru efectuarea auditului individual unui conducator al echipei de audit. Alocarea ar trebui realizata cu suficient timp inainte de data planificata a auditului, pentru a se asigura planificarea eficace a auditului. Pentru a se asigura realizarea eficace a auditurilor furnizate conducatcrului echipei de audit:

individuale, informaliile

urmatoare ar trebui

a)

obiectivele auditului;

b)

criteriile auditului ~i crice informalii documentate relevante;

c)

domeniul auditului inclusiv identificarea organizaliei ~i a funcliilor ~i proceselor acesteia, care urmeaza a fi auditate;

d)

procesele de audit ~i metodele asociate;

e)

componenla echipei de audit;

f)

detaliile de contact ale auditatului, loca\iile, intervalul de timp ~i durata activita\ilcr de audit care vor fi electuate;

g)

resursele necesare pentru a electua auditul;

h)

inlormaliile necesare pentru evaluarea ~i tratarea riscurilor ~i oportunita\ilor identilicate pentru realizarea obiectivelor auditului;

i)

inlorma\iile care sprijina conducatorul (conducatorii) audita\ii pentru elicacitatea programului de audit.

echipei de audit in interacliunile

cu

Inlcrma\iile ar trebui de asemenea sa acopere urmatoarele, dupa cum este cazul: limba de comunicare ~i de raportare a auditului, atunci cand aceasta este dilerita de limba auditorului sau a auditatului sau a ambilor; raportarea rezultatelor auditului a~a cum este cerut ~i catre cine urmeaza sa lie distribuite; aspectele referitoare la conliden\ialitate programul auditului;

~i securitatea inlorma\iilor, a~a cum este cerut in

crice aranjamente pentru auditori, releritoare la sanatate, securitate ~i mediu; cerin\ele pentru deplasare sau acces la amplasamente allate la distan\a; crice cerin\e de securitate ~i autorizare;

21

SR EN ISO 19011 :2018 orice ac!iuni care urmeaza a Ii analizate, de exemplu aC\iunile de urmarire de la un audit anterior; coordonarea cu alte activitali de audit, de exemplu atunci ciind echipe dilerite auditeaza procese similare sau conexe la dilerite localii sau in cazul unui audit comun. Atunci ciind este electual un audit com un, este important sa se ajunga la un acord intre organiza\iile care electueaza auditul, inainte ca auditul sa inceapa, releritor la responsabilita\ile liecarei par!i, in special releritor la autoritatea conducatorului echipei de audit numit pentru audit. 5.5.6

Coordonarea

rezultatelor

programului

de audit

Persoana (persoanele) care coordoneaza programul de audit ar trebui sa se asigure ca sunt realizate urmatoarele activitali: a)

evaluarea realizarii obiectivelor pentru liecare audit din cadrul programului de audit;

b)

analizarea ~i aprobarea rapoartelar de audit releritoare la indeplinirea domeniului auditului ~i a obiectivelor;

c)

analizarea elicacitalii ac!iunilor intreprinse pentru tratarea constatarilor de audit;

d)

diluzarea rapoartelor de audit pariilor interesate relevante;

e)

determinarea necesitalii pentru arice audit de urmarire.

Persoana care coordoneaza programul de audit ar trebui sa ia in considerare, atunci ciind este cazul: comunicarea rezultatelor auditului ~i a celor mai bune practici catre alte zone ale organizaliei, ~i implicaliile pentru alte procese. 5.5.7

Coordonarea

,i pastrarea inregistrarilor

programului

de audit

Persoana (persoanele) care coordoneaza programul de audit ar trebui sa se asigure ca inregistrarile auditului sunt generate, gestionate ~i menlinute pentru a demonstra implementarea programului de audit. Ar trebui stabilite procese pentru a se asigura ca sunt tratate arice necesita\i de securitate a inlorma\iilor sau de conliden!ialitate, asociate cu inregistrarile auditului. inregistrarile pot include urmatoarele: a)

inregistrari releritoare la programul de audit, cum ar Ii: calendarul auditurilor; obiectivele ~i amploarea programului de audit; inregistrari care trateaza riscurile ~i oportunita\ile interne ~i externe relevante;

programului de audit ~i aspectele

analize ale elicacita!ii programului de audit; b)

inregistrari releritoare la liecare audit, cum ar Ii: planuri de audit ~i rapoarte de audit; constatari ~i dovezi obiective de audit; rapoarte de neconlormitate; rapoarte cu corec!ii ~i acliuni corective; rapoarte ale auditurilor de urmarire;

c)

inregistrari releritoare la echipa de audit, care acopera subiecte cum ar Ii: 22

SR EN 1$0 19011:2018 evaluarea competen\ei ~i a performan\ei membrilor echipei de audit; criteriile pentru selec\ionarea formarea echipelor de audit;

echipelor de audit ~i a membrilor echipelor ~i pentru

men\inerea ~i imbunata\irea competenlei. Forma ~i nivelul de detaliere ale inregistrarilor ar trebui sa demonstreze ca obiectivele programului de audit au fost realizate.

5.6

Monitorizarea programului de audit

Persoana (persoanele) care coordoneaza programul de audit ar trebui sa se asigure de evaluarea: a)

faptului ca sunt respectate calendarele ~i sunt realizate obiectivele programului de audit;

b)

performanlei tehnici;

c)

capabilitalii echipelor de audit de a implementa planul de audit;

d)

feedback·ului de la clien\ii auditului, auditali, auditori, experli tehnici ~i alte parli relevante;

e)

faptului ca informaliile documen\ate sunt suficiente ~i adecvate pe parcursul intregului proces de audit.

membrilor echipei de audit inclusiv conducatorul echipei de audit ~i experlii

Unii factori pot indica necesitatea de a modifica programul de audit. Ace~tia pot include modificari ale: constatarilor auditului; nivelului demonstrat al eficacitalii ~i maturitalii sistemului de management al auoitatului; eficacitalii programului de audit; domeniului auditului ~i domeniului programului de audit; sistemului de management al auditatului; standardelor ~i altor cerin\e la care organiza\ia s·a angajat; furnizorilor externi; conflictelor de interese identificate; cerin\elor clientului auditului.

5.7

Analizarea ~i imbuniitiitirea programului de audit

Persoana (persoanele) care coordoneaza programul de audit ar trebui sa analizeze programul de audit pentru a evalua daca obiectivele sale au fost realizate. Lecliile inva\ate din analizarea programului de audit ar trebui utilizate ca elemente de intrare pentru imbunata\irea programului. Persoana (persoanele) care coordoneaza programul de audit ar trebui sa se asigure de urmatoarele: analizarea implementarii globale a programului de audit; identificarea zonelor ~i oportunitiililor de imbunatalire; aplicarea modificarilor in programul de audit, daca este necesar; analizarea dezvoltarii profesionale continue a auditorilor, in conformitate cu 7.6; raportarea rezultatelor programului de audit ~i analizarea impreuna cu clientul auditului ~i parlile interesate relevante, dupa caz.

23

SR EN ISO 19011:2018 Analizarea programului de audit ar trebui sa ia in considerare urmatoarele: a)

rezultatele ~i tendinlele din monitorizarea programului de audit;

b)

conformitatea cu procesele programului de audit ~i informaliile documentate relevante;

c)

evolulia necesitalilor ~i a~teptarilor parlilor interesate relevante;

d)

inregistrarile programului de audit;

e)

metodele de auditare alternative sau noi;

f)

metodele alternative sau noi pentru a evalua auditorii;

g)

eficacitatea acliunilor care trateaza riscuri ~i oportunitali, precum ~i aspecte interne ~i externe asociate cu programul de audit;

h)

aspectele care lin de confidenlialitate audit.

6

Efectuarea unui audit

6.1

Generalitati

if

~i securitatea informaliilor referitoare la programul de

(/)

W II:

« ..., u::

~ w ...,

~ w ..., (/)

::Iii

Acest articol conIine indrumari referitoare la pregatirea ~i efectuarea unui audit specific ca parte a unui program de audit. Figura 2 furnizeaza 0 privire de ansamblu a activitalilor desfa~urate intr-un audit tipic. Masura in care sunt aplicabile prevederile prezentului articol, depinde de obiectivele ~i domeniul auditului specific.

a .~

6.2

Initierea

6.2.1

Generaliliiti

auditului

co

Ii II:

~

eco

.~ ~

Responsabilitatea pentru efectuarea auditului ar trebui sa ramana conducatorului de audit (a se vedea 5.5.5) pana cand auditul este incheiat (a se vedea 6.6).

desemnat al echipei

~

Pentru a inilia un audit ar trebui luate in considerare etapele din figura 1; cu toate acestea, succesiunea acestora poate diferi in funclie de auditat, de procesele ~i de circumstanlele specifice auditului.

-8

6.2.2

-g

Siabilirea conlaclului

cu audilalul

Conducatorul echipei de audit ar trebui sa se asigure ca este stabilit contactul cu auditatul, pentru a)

a confirma canalele de comunicare cu reprezentanlii auditatului;

b)

a confirm a autoritatea de a efectua auditul;

c)

a furniza informalii relevante referitoare la obiectivele, domeniul, criteriile ~i metodele auditului, precum ~i la componenla echipei de audit, inclusiv experjii tehnici;

d)

a solicita acces la informalii relevante in scopul planificarii, inclusiv informalii referitoare la riscurile ~i oportunitalile pe care organizalia le-a identificat ~i modul in care acestea sunt tratate;

e)

a determina cerinlele legale ~i reglementate aplicabile activitalile, procesele, produsele ~i serviciile auditatului;

f)

a confirm a acordul cu auditatul referitor la masura in care pot fi dezvaluite confiden\iale ~i modul de tratare a acestora;

g)

a stabili aranjamentele pentru audit inclusiv calendarul acestuia;

24

~i alte cerin\e relevante

pentru

informaliile

d.~' SR~!I~~~~2018 h)

a stabili aranjamentele specilice conlidenjialitate sau altele,

locajiei

pe~tr~' acces, sanatate ~i securitate,

siguranja,

a conveni cu privire la participarea observatorilor ~i necesitatea unor ghizi sau interpreji pentru echipa de audit; j)

a determina arice zone de interes, preocupare sau riscuri pentru auditat in legatura cu un audit specilic;

k)

a soluliona impreuna cu auditatul sau clientul auditului problemele releritoare la componenja echipei de audi!.

6.2.3

Determinarea fezabilitiitii auditului

Fezabilitatea auditului ar trebui determinata obiectivele auditului pot Ii realizate.

astlel incat sa lurnizeze

increderea

rezonabila

ca

Determinarea lezabilita\ii ar trebui sa ia in considerare lactori cum ar Ii disponibilitatea urmatoarelor: a)

inlormajii suliciente ~i adecvate pentru planilicarea ~i electuarea auditului;

b)

cooperare adecvata din partea auditatului;

c)

timp ~i resurse adecvate pentru electuarea auditului.

NOTA - Resurseleineludaeeesulia tehnologia informaliei ~i a eomuniealiiloradeevata~i eorespunzatoare. Atunci cand auditul nu este lezabil, ar trebui prop usa 0 alternativa pentru clientul auditului, cu acordul auditatului. 6.3

Pregatirea

activitatilor

de audit

6.3.1

Efectuarea analizei informatillor documentate

Informaliile documentate relevante pentru sistemul de management al auditatului ar trebui analizate cu scopul de: a colecta informalii pentru a in\elege operajiunile auditatului ~i a pregati activitalile de audit ~i documentele de lucru aplicabile (a se vedea 6.3.4), de exemplu, referitoare la procese, func\ii; a stabili 0 imagine de ansamblu a amplorii informa\iilor documentate pentru a determina posibila conformitate cu criteriile de audit ~i a detecta posibile aspecte de ingrijorare, cum ar fi deficien\e, omisiuni sau conflicte. Informa\iile documentate ar trebui sa includa, dar fara a se limita la acestea: documente ~i inregistrari ale sistemului de management, precum ~i rapoartele de audit anterioare. Analizarea ar trebui sa ia in considerare contextul organiza\iei auditatului, inclusiv dimensiunea, natura ~i complexitatea acesteia, precum ~i riscurile ~i oportunitalile asociate. Ar trebui, de asemenea, sa lina cont de domeniul, criteriile ~i obiectivele auditului. NOTA -lndruman referitoarela modul de verifiearea informaliilor sunt preeizatein A.5. 6.3.2

Planificarea audltulu!

6.3.2.1 Abordarea bazata pe risc a planificarii Conducatorul echipei de audit ar trebui sa adopte 0 abordare bazata pe risc pentru planificarea auditului, pornind de la informajiile din programul de audit ~i informa\iile documentate furnizate de audita!. Planificarea auditului ar trebui sa ia in considerare riscurile activitali10r de audit asupra proceselor auditatului ~i sa furnizeze baza pentru acordul intre clientul auditului, echipa de audit ~i auditat, referitor la efectuarea auditului. Planificarea ar trebui sa faciliteze 0 programare ~i 0 coordonare eficiente ale activita\ilor de audit, in scopul de a realiza obiectivele in mod eficace.

25

SR EN ISO 19011 :2018 Gradul de detaliere in planul de audit ar trebui sa reflecte domeniul ~i complexitatea auditului, precum ~i riscul de a nu realiza obiectivele auditului. La planificarea auditului, conducatorul echipei de audit ar trebui sa ia in considerare urmatoarele: a)

componen\a echipei de audit ~i competen\a ei globala;

b)

tehnicile de e~antionare corespunzatoare (a se vedea A.6);

c)

oportunita\ile de imbunata\ire a eficacita\ii ~i eficien\ei activita\ilor de audit;

d)

riscurile pentru realizarea obiectivelor de audit generate de planificarea ineficace a auditului;

e)

riscurile pentru auditat, generate de efectuarea auditului.

Riscurile pentru auditat pot rezulta din prezen\a membrilor echipei de audit care influen\eaza in mod negativ aranjamentele auditatului referitoare la sanatate ~i securitate, mediu ~i calitate, precum ~i prod use Ie, serviciile, personalul sau infrastructura (de exemplu, contaminarea facilita\ilor de tip cam ere curate). Pentru audituri combinate, 0 aten\ie deosebita ar trebui acordata interac\iunilor dintre procesele opera\ionale 9i arice alte obiective ~i prioritali concurente ale diferitelor sisteme de management. 6.3.2.2

Delalii ale planificarii audilului

Amploarea 9i conlinutul planificarii auditului pot dileri, de exemplu, intre auditurile iniliale 9i cele ulterioare, precum ~i intre audituri interne ~i externe. Planificarea auditului ar !rebui sa fie suficient de flexibila pentru a permite modilicari care pot deveni necesare pe masura ce activitalile de audit progreseaza. Planificarea auditului ar trebui sa trateze sau sa faca relerire la urmatoarele: a)

obiectivele auditului;

b)

domeniul auditului, inclusiv identificarea organizaliei ~i a funcliilor sale, precum !i procesele care vor Ii auditate;

c)

criteriile de audit ~i arice inlormalii documentate de referinla;

d)

loca\iile (Iizice ~i virtuale), datele, timpul estimat ~i durata activitalilor de audit care urmeaza sa se desla~oare, inclusiv intalniri cu managementul auditatului;

e)

necesitatea ca echipa de audit sa se familiarizeze cu facilitalile 9i procesele auditatului (de exemplu, prin efectuarea unui tur prin localia (Iocaliile) fizice sau prin analizarea tehnologiei inlorma\iei ~i a comunica\iilor);

I)

metodele de audit care urmeaza sa fie utilizate, inclusiv masura in care pentru audit este necesara e~antionarea, pentru a obline suficiente dovezi de audit;

g)

rolurile 9i responsabilitalile membrilor echipei de audit, precum ~i ale ghizilor ~i observatorilor sau interpre\ilor;

h)

alocarea de resurse adecvate, bazate pe luarea in considerare a riscurilor ~i oportunita\ilor releritoare la activita\ile care urmeaza sa lie auditate.

Planificarea auditului ar trebui sa lina seama de, dupa cum este cazul: identificarea reprezentantului (reprezentan\ilor) auditatului pentru audit; limba in care se electueaza auditul ~i se fac rapoartele de audit in cazul in care aceasta este diferita de limba auditorului, auditatului sau a ambilor; subiectele raportului de audit; aranjamentele referitoare la logistica ~i comunicare, inclusiv aranjamentele specifice pentru localiile care vor fi auditate;

26

SR EN 1$0 19011 :2018 orice acliuni specifice care vor fi intreprinse pentru tratarea riscurilor care apar in realizarea obiectivelor ~i in valorificarea oportunitalilor de audit; aspectele legate de confidenlialitate ~i securitatea informaliilor; orice acliuni de urmarire de la un audit anterior sau alte surse, de exemplu, leclii invalate, analize de proiect; orice activitali de urmarire referitoare la auditul planificat; coordonarea cu alte activitali de audit, in cazul unui audit comun. Planurile de audit ar trebui sa fie prezentate auditatului. Orice aspecte in legatura cu planurile de audit ar !rebui rezolvate intre conducatorul echipei de audit, auditat ~i, daca este necesar, persoana (persoanele) care coordoneaza programul de audit. 6.3.3

Alocarea actlvita\lIor

in cadrul echipei de audit

Conducatorul echipei de audit, consultandu·se cu echipa de audit, ar trebui sa aloce fiecarui membru al echipei responsabilitate pentru auditarea proceselor, activitalilor, funcliilor sau localiilor specifice ~i, daca este cazul, autoritate pentru luarea deciziei. Astfel de alocari ar trebui sa lina seama de imparlialitatea, obiectivitatea ~i competenla auditorilor ~i de utilizarea eficace a resurselor, precum ~i de diferitele raluri ~i responsabilitali ale auditorilor, auditorilor in form are ~i experlilor tehnici. Ar trebui sa aiba loc reuniuni ale echipei de audit, dupa cum este cazul, organizate de conducatorul echipei de audit, pentru a se aloca sarcini de lucru ~i a se decide posibile modificari. Pentru a se asigura realizarea obiectivelor auditului, pot fi facute modificari ale sarcinilor de lucru, pe masura ce auditul progreseaza. 6.3.4

Pregatirea informa\iilor

documentate

pentru audit

Membrii echipei de audit ar trebui sa colecteze ~i sa analizeze informaliile relevante pentru sarcinile lor de audit ~i sa pregateasca informaliile documentate pentru audit, utilizand orice mijloace de informare adecvate. Informaliile documentate pentru audit pot include, dar nu se limiteaza la: a)

liste de verificare fizice sau digitale;

b)

detalii referitoare la e9antionare, in cadrul auditului;

c)

informalii audio vizuale.

Utilizarea acestor mijloace de colectare a informaliilor nu ar trebui sa restriclioneze amploarea activttalilor de audit, care se pot modijica in urma informaliilor colectate pe parcursul auditului. NOTA· indrumari referitoarela pregatireadocumentelorde lucru pentru audit sunt precizatein A.13. Informaliile documentate pregatite pentru audit ~i cele rezultate din audit, ar trebui pastrate cel pulin pan a la finalizarea auditului sau a~a cum este specificat in programul de audit. Pastrarea informaliilor documentate dupa finalizarea auditului este descrisa la 6.6. Informaliile documentate create in timpul procesului de audit care implica inform alii confidenliale sau aflate in praprietatea auditatului, ar trebui protejate corespunzator, in orice moment, de catre membrii echipei de audit. 6.4

Efectuarea activitatilor de audit

6.4.1

Generallta\i

Activitalile de audit se efectueaza in mod normal intr-o succesiune definita a~a cum este indicata in figura 1. Aceasta succesiune poate varia pentru a se potrivi circumstanlelor auditurilor specifice.

27

S.R EN I~O 19011 :2018 6.4.2

Alribuirea

rolurilor ~i responsabililiitilor

ghizilor ~i observalorilor

Ghizii ~i observatorii pot inso!i echipa de audit cu auditului ~i/sau auditatului, daca este necesar. Ei desla~urarea auditului. Daca acest lucru nu poate sa aiba dreptul sa reluze prezen\a observatorilor in

aprobari de la conducatorul echipei audit, clientul nu ar trebui sa inlluen!eze sau sa interfereze cu Ii asigurat, conducatorul echipei de audit ar trebui timpul anumitor activitali de audit.

Pentru observatori, orice aranjamente releritoare la acces, sanatate ~i securitate, mediu, siguran\a ~i conlidenlialitate, ar trebui convenite intre clientul auditului ~i auditat. Ghizii, numi!i de auditat, ar trebui sa ajute echipa de audit ~i sa actioneze la cererea conducatorului echipei de audit sau a auditorului caruia Ie-au lost desemna\i. Responsabilita\ile lor ar trebui sa includa urmatoarele: a)

asistarea auditorilor in identificarea persoanelor care vor participa la interviuri ~i conlirmarea programarii ~i loca\iei;

b)

asigurarea accesului in anumite loca\ii ale auditatului;

c)

asigurarea ca regulile releritoare la aranjamentele specilice localiei pentru acces, sanatate ~i securitate, mediu, siguran\a, conliden\ialitate ~i alte aspecte: sunt cunoscute ~i respectate de catre membrii echipelor de audit ~i de caire observatori ~i sunt tratate arice riscuri;

d)

participarea ca martori la audit, in numele auditatului, atunci cand este cazul;

e)

lurnizarea de clarilicari sau asistarea in colectarea inlarma\iilor, atunci cand este necesar.

6.4.3

Efecluarea ~edin\ei de deschidere

Scopul ~edinlei de deschidere este: a)

conlirmarea acardului tuturor parlilor (de exemplu audita\i, echipa de audit) pentru planul de audit;

b)

prezentarea echipei de audit ~i a rolurilor membrilor acesteia;

c)

asigurarea ca toate activitalile de audit planilicate pot Ii electuate.

o ~edinla de deschidere

ar trebui \inuta cu managementul auditatului ~i, atunci cand este cazul, cu cei responsabili pentru lunc\iile sau procesele care urmeaza a Ii auditate. Pe durata ~edin\ei ar trebui asigurata oportunitatea de a pune intrebari.

Gradul de detaliere ar trebui sa lie in concordan\a cu masura in care auditatul este lamiliarizat cu procesul de audit. in multe cazuri, de exemplu auditurile interne intr-o organiza\ie mica, ~edin\a de deschidere poate consta pur ~i simplu in comunicarea ca se efectueaza auditul ~i explicarea naturii acestuia. Pentru alte situalii de audit, ~edin\a ar putea Ii formala ~i ar trebui pastrate inregislrari ale participarii. gedin\a ar trebui prezidata de conducatorul echipei de audit. Ar trebui luata In considerare, dupa cum este cazul, introducerea urmatoarelor aspecte: al\i participanti, inclusiv observatori, ghizi ~i interpreli ~i a prezentare a rolurilor acestora; metodele de audit pentru gestionarea riscurilor organizaliei care ar putea rezulta din prezenla membrilor echipei de audit. Ar trebui luata in considerare, dupa cum este cazul, confirm area urmatoarelar aspecte: obiectivele, domeniul ~i criteriile auditului;

28

~~

,,~\

~.. SR EN I~O

0'

:.:.\

~~.1 :~~ ~

planul de audit ~i a alte acorduri relevante cu au'di!~m ar fi data ~i ora ~edinlei de inchidere. orice ~edinle intermediare intre echipa de audit ~i managementul auditatului. precum ~i orice schimbare (schimbari) necesara (necesare); canale Ie oficiale de comunicare intre echipa de audit ~i auditat; limba care va Ii utilizata pe parcursul auditului; faptul ca auditatul va fi informat pe parcursul auditului despre progresele inregistrate de audit; disponibilitatea resurselor ~i facilitalilor necesare echipei de audit; aspecte referitoare la confidenlialitate ~i securitatea informaliei; aranjamente referitoare la acces. sanatate ~i securitate. siguranla. situalii de urgenla ~i altele. pentru echipa de audit; activita\i la fala locului care pot avea impact asupra desfa~urarii auditului. Ar trebui luati! in considerare. dupa cum este cazul. prezentarea urmatoarelor aspecte: metoda de raportare a constatarilor de audit. inclusiv criteriile de clasificare. daca exista; condiliile in care auditul poate fi incheiat; modul in care se trateaza posibilele constatari pe parcursul auditului; orice sistem pentru oblinerea feedbackului de la auditat. referitor la constatarile ~i concluziile auditului. inclusiv reclamalii sau apeluri. 6.4.4

Comunicarea

pe parcursul

auditului

Pe parcursul auditului. poate fi necesar sa se faca aranjamente oficiale referitoare la comunicarea in cadrul echipei de audit. precum ~i cu auditatul. clientul auditului ~i eventual cu parjile externe (de exemplu autoritali de reglementare). in mod special atunci cand cerinlele legale l/i reglementate solicita raportarea obligatorie a neconformitalilor. Echipa de audit ar trebui sa se consulte periodic pentru a lace schimb de informalii. a evalua progresul auditului l/i a realoca activitalile intre membrii echipei de audit. dupa cum este necesar. Pe parcursul auditului. conducatorul echipei de audit ar trebui sa comunice periodic progresul. orice constatari semnificative. precum l/i orice preocupari. auditatului l/i clientului auditului. dupa cum este cazul. Dovezile colectate in timpul auditului. care sugereaza un risc imediat l/i semnificativ. ar trebui raportate fara intarziere auditatului l/i. dupa caz. clientului auditului. Orice preocupare referitoare la un aspect in afara domeniului auditului ar trebui notata ~i raportata conducatorului echipei de audit. in scopul unei posibile comunicari catre clientului auditului ~i catre audita!. Atunci cand dovezile de audit disponibile indica faptul ca obiectivele auditului sunt de nerealizat. conducatorul echipei de audit ar trebui sa raporteze clientului auditului ~i auditatului motivele. pentru a determina acliunile corespunzatoare. Astlel de ac\iuni pot include modificarea planului de audit. a obiectivelor auditului. a domeniului auditului sau incetarea auditului. Orice nevoie de modificari ale planului de audit. care poate deveni evidenta pe masura ce activita\ile de audit avanseaza. ar trebui analizata l/i acceptata. dupa cum este cazul. atat de persoana care coordoneaza programul de audit cat ~i de clientul auditului. ~i ar trebui prezentata auditatului. 6.4.5

Accesul ~i disponlbilitatea

Informaliilor

referitoare

la audit

Metodele de audit alese pentru un audit depind de obiectivele. domeniul ~i criteriile auditului. definite. precum ~i de durata ~i localie. Localia este acolo unde sunt disponibile echipei de audit informaliile necesare pentru activitatea specifica de audit. Aceasta poate include localii fizice l/i virtuale.

29

SR EN ISO 19011 :2018 Unde, cand ~i cum se acceseaza inlorma\iile releritoare la audit este decisiv pentru audit. Acest lucru este independent de locul in care sunt create, utilizate ~iJsau stocate inlorma\iile. Este necesar ca metodele de audit sa lie stabilite pe baza acestor aspecte (a se vedea tabelul A.1). Auditul poate utiliza un amestec de metode. De asemenea, circumstan\ele de audit pot conduce la necesitatea de a schimba metodele in timpul auditului. 6.4.6

Analizarea informa\iilor documentate pe parcursul efectuarii auditului

Inlormaliile documentate relevante ale aUditatului ar trebui analizate pentru: determinarea conlormita\ii sistemului, atat cat a lost documentat, cu criteriile de audit; colectarea inlorma\iilor in scopul sprijinirii activita\ilor de audit. NOTA· indrum~ri referitoarela modul de verificare a informa\iilorsunt precizatein A.S. Analiza poate fi combinata cu alte activita\i de audit ~i poate continua pe parcursul auditului, cu condi\ia ca acest lucru sa nu fie in detrimentul eficacitalii efectuarii auditului. Daca informaliile documentate adecvate nu pot fi furnizate in limitele intervalului de timp stabilit in planul de audit, conducatorul echipei de audit ar trebui sa informeze atat persoana care coordoneaza programul de audit cat ~i auditatul. in func\ie de obiectivele ~i domeniul auditului, ar trebui luata 0 decizie daca auditul ar trebui continuat sau ar trebui suspendat pana cand sunt solulionate preocuparile referitoare la informa\iile documentate. 6.4.7

Colectarea ~i verlficarea informa\iilor

Pe parcursul auditului, informaliile relevante pentru obiectivele, domeniul ~i criteriile auditului, inclusiv informaliile referitoare la interfe\ele dintre func\ii, activita\i ~i procese, ar trebui colectate prin intermediul unei e~antionari corespunzatoare ~i ar trebui verificate, in masura in care este practicabil. NOTA

1 - Pentru verificarea

informa\iilor

a se vedea A.5.

NOTA 2 - indrum~ri referitoarela e~antionaresunt precizate in A.S. Numai informaliile care sunt verificabile intr·o anumita masura ar trebui acceptate ca dovezi de audit. Atunci cand gradul de verificare este scazut, auditorul ar trebui sa foloseasca ra\ionamentul profesional pentru a determina gradul de incredere pe care· I poate avea acea informalie ca dovada de audit. Dovezile de audit care conduc la constatari de audit ar trebui inregistrate. Daca, pe durata colectarii dovezilor obiective, echipa de audit con~tientizeaza orice circumstan\e, riscuri sau oportunita\i noi sau modificate, acestea ar trebui tratate corespunzator de catre echipa. Figura 2 ofera 0 imagine de ansamblu a unui proces tipic, de la colectarea de inform alii pan a la concluziile auditului.

30

Sursa de informatii

Colectare prin miiloace de esantionare corespunzatoare

Evaluare fata de criteriile de audit

.. co

Constatiiri ale auditului

11l

§

rlIn !l! ~ u:: ~ w ()

Concluzii ale auditului Figura 2 - Prezentare generalii a unui proces tlpic de colectare ~i veriflcare a Informatlilor Metodele de colectare a informaliilor includ, dar nu se limiteaza la:

~ w

interviuri;

()

In

observari;

~

'c••

.• E

analizarea informaliilor documentate.

~

NOTA 3 - indrumari referitoarela selectarea surselor de informalii $i observa!iisunl precizale in A.14.

.~ "l!

NOTA 5 - indrumari referitoarela conducereainlerviurilor sunl precizate in A.l?

"c

6.4.8

c '6

.• &l .. ".• :; 'uo

~

NOTA 4 - indrumari referitoarela vizilarea loca!iei audilalului sunl precizate in A.15.

Generarea constatarilor

audltului

Dovezile de audit ar trebui evaluate fala de criteriile de audit pentru a determina constatarile auditului. Constatarile auditului pot indica conformitatea sau neconformitatea cu criteriile de audit. Atunci cand este specificat in planul de audit, constatarile fiecarui audit ar trebui sa includa conformitatea ~i bunele practici impreuna cu dovezile care Ie suslin, oportunitalile de imbunatalire ~i orice recomandari catre auditat. Neconformitalile ~i dovezile de audit care Ie suslin ar trebui inregistrate. Neconformitalile pot fi clasificate in funclie de contextul organizaliei ~i riscurile acesteia. Aceasta clasificare poate fi cantitativa (de exemplu de la 1 pan a la 5) ~i calitativa (de exemplu minora, majora). Neconformita\ile ar trebui analizate impreuna cu auditatul pentru a obline confirm area ca dovada de audit este exacta ~i ca neconformita\ile sunt inlelese. Ar trebui facute toate eforturile pentru a rezolva orice opinii divergente referitoare la dovezile sau constatarile auditului. Aspectele nerezolvate ar trebui inregistrate in raportul de audit. Echipa de audit ar trebui sa se intruneasca pe parcursul auditului, in etapele corespunzatoare, dupa cum este necesar, pentru a analiza constatarile auditului. NOTA I - indrumari suplimenlare referitoare la idenlificarea $i evaluarea constatarilor audilului sunl precizale in A.IB.

NOTA 2 - Conformilalea sau nonconformitalea cu crileriile de audil referitoare la cerinlele legale sau de reglementare sau alta carinte, este uneori mentionata ca fiind conformare sau neconformare.

31

SR J;:N ISO 19011 :2018 6.4.9

Delerminarea

concluziilor ..audilului

6.4.9.1 Pregallrea penlru ,?edinta de fnchidere Membri echipei de audit ar trebui sa se consulte inainte de ~edinla de lnchidere, In scopul de: a)

a analiza constatarile auditului ~i crice alte inlormalii corespunzatoare colectate pe parcursul auditului, lala de obiectivele auditului;

b)

a se pune de acord asupra concluziilor auditului, lufmd In considerare incertitudinea inerenta a procesului de audit;

c)

a pregati recomandarile, daca este specilicat In planul de audit;

d)

a discuta auditul de urmarire, dupa cum este aplicabil.

6.4.9.2 Conlinulul ...i

'"

III W

5'u::" ~ w u

~ w U III

:IE

concluziilor

audilului

Concluziile auditului ar trebui sa trateze aspecte cum ar Ii urmatoarele: a)

gradul de conlormitate cu criteriile de audit ~i robustelea sistemului de management, inclusiv elicacitatea sistemului de management In a obline rezultatele intenlionate, identilicarea riscurilor ~i elicacitatea actiunilor intreprinse de auditat pentru a trata riscurile;

b)

implementarea, menlinerea ~i imbunatalirea elicace ale sistemului de management;

c)

realizarea obiectivelor de audit, acoperirea domeniului de audit ~i lndeplinirea criteriilcr de audit;

d)

constatari similare lacute In dilerite zone care au lost aUditate sau dintr·un audit comun sau anterior, In scopul identilicarii tendinlelor.

(]

Ii

'cco

E

Daca a~a este specilicat In planul de audit, concluziile auditului pot duce la recomandari pentru 1mbunatalire sau la activitali de auditare viitoare.

c

6.4.10

& '6

~

.~

Desla,?urarea ,?edinlei de fnchidere

o ~edinta de lnchidere

ar trebui sa lie realizata pentru a prezenta constatarile ~i concluziile auditului.

"E

co

."C

lii

..

."co

$edinta de inchidere ar trebui prezidata de conducatorul echipei de audit in prezenta managementului auditatului ~i dupa caz: a persoanelor responsabile pentru luncliile sau procesele care au lost auditate;

~ 'u

a clientului auditului;

~

a altor membri ai echipei de audit;

o

a altor parli interesate relevante determinate de clientul auditului ~i/sau audita!. Daca este aplicabil, conducatorul echipei de audit ar trebui sa ln~tiinleze auditatul despre acele situaliile identilicate pe parcursul auditului, care ar putea scadea increderea acordata concluziilcr auditului. Daca este delinit astlel In sistemul de management sau s·a convenit astlel cu clientul auditului, participantii ar trebui sa convina un interval de timp pentru un plan de actiune care sa trateze constatarile auditului. Nivelul de detaliere ar trebui sa lina cont de elicacitatea sistemului de management In realizarea obiectivelor auditatului, inclusiv luarea In considerare a contextului organizaliei auditatului, a riscurilor ~i oportunitalilor. Familiarizarea auditatului cu procesul de audit ar trebui, de asemenea, luata In considerare in cadrul ~edinlei de lnchidere pentru a se asigura ca participanlilor Ie este lurnizat nivelul corect de detaliere. Pentru unele situalii de audi!, ~edinla poate Ii oliciala ~i ar trebui pastrata 0 minuta a acesteia, inclusiv lnregistrarea participanlilor. In alte situalii, de exemplu auditul intern, ~edinla de lnchidere poate Ii mai pulin oliciala ,?ipoate consta numai in comunicarea constatarilor ~i concluziilor auditului.

32

4 ~:v~) SR EN

I~O~P1f'~W1~\

Dupa cum este cazul, la ~edin1ade inchidere ar trebui explica~~itatului

urmatoarele:

a)

in~tiin'area ca dovezile de audit colectate s-au bazat pe e~antioane din inlorma\iile disponibile ~i nu sunt in mod necesar pe deplin reprezentative pentru elicacitatea globala a proceselor auditatului;

b)

metoda de raportare;

c)

modul in care ar trebui tratate constatarile auditului pe baza unui proces convenit;

d)

consecin\ele posibile ale tratarii inadecvate a constatarilor auditului;

e)

prezentarea constatarilor ~i concluziilor auditului Intr-o asemenea maniera Incat sa lie In\elese ~i acceptate de managementul auditatului;

I)

orice activita\i releritoare la post-audit (de exemplu implementarea ~i analizarea ac\iunilor corective, tratarea reclama\iilor releritoare la audit, procesul de apel).

Orice opinii divergente releritoare la constatarile sau concluziile auditului ar !rebui discutate Intre echipa de audit ~i auditat ~i, daca este posibil, solu\ionate. Daca nu sunt solu\ionate, acestea ar trebui Inregistrate. Daca este specilicat in obiectivele auditului, ar putea Ii prezentate recomandari pentru oportunita\i de Imbunata\ire. Ar trebui subliniat ca recomandarile nu sunt obligatorii. 6.5

Pregatirea

~i difuzarea

raportului

6.5.1

Pregatirea raportulul de audit

de audit

Conducatorul echipei de audit ar trebui sa raporteze rezultatele auditului In concordan\a cu programul de audit. Raportul de audit ar trebui sa lurnizeze 0 Inregistrare completa, exacta, concisa ~i clara a auditului ~i ar trebui sa includa sau sa se refere la urmatoarele: a)

obiectivele auditului;

b)

domeniul auditului, In mod special identilicarea organiza\iei (auditatului) ~i a lunc\iilor sau a proceselor auditate;

c)

identilicarea clientului auditului;

d)

identilicarea echipei de audit ~i a participan\ilor din partea auditatului;

e)

datele ~i loca\iile unde s-au electuat activita\ile de audit;

I)

criteriile de audit;

g)

constatarile auditului ~i dovezile alerente;

h)

concluziile auditului;

j)

orice opinie divergenta nesolu\ionata Intre echipa de audit ~i auditat;

k)

auditurile prin natura lor sunt un exerci\iu de e~antionareN3); ca atare, exista riscul ca dovezile de audit examinate sa nu lie reprezentative.

o declara\ie a gradului In care au lost Indeplinite criteriile de audit;

Raportul de audit poate include, de asemenea, sau poate sa se relere la urmatoarele, dupa cum este cazul: planul de audit inclusiv programarea In timp;

N3)NOTA NATIONALA - Auditurilesunt procese care se bazeaza pe e~antionare.

33

SR EN ISO 19011 :2018 un rezumat al procesului de audit, inclusiv orice obstacole intalnite care ar putea scildea increderea in concluziile auditului; confirmarea ca obiectivele auditului au fost realizate in cadrul domeniului concordanla cu planul de audit;

auditului in

orice zona din domeniului auditului care nu a fost acoperita, inclusiv orice aspecte referitoare la disponibilitatea dovezilor de audit, a resurselor sau la confiden\ialitate cu justificarile conexe; un rezumat care cuprinde concluziile auditului ~i principalele constatari de audit care Ie sus\in; bunele practici identificate; planul de acliuni ulterioare convenite, daca exista; o declaralie a caracterului confidenlial al conlinutului; orice implicalii pentru programul de audit sau auditurile ulterioare. 6.5.2

Difuzarea raportului de audit

Raportul de audit ar trebui emis in perioada de timp convenita. Daca se intarzie, motivele ar trebui comunicate auditatului ~i persoaneiipersoanelor care coordoneaza programul de audit. Raportul de audit ar trebui datat, analizat ~i acceptat, dupa cum este cazul, in conformitate programul de audit.

cu

Raportul de audit ar trebui difuzat parlilor interesate relevante definite in programul de audit sau in planul de audit. Atunci cand se difuzeaza raportul de audit, ar trebui luate in considerare masuri adecvate pentru a se asigura confidenlialitatea.

6.6

incheierea auditului

Auditul este incheiat atunci cand toate activita\ile de audit planificate au fost realizate sau daca s-a convenit altlel cu clientul auditului (de exemplu ar putea exista 0 situalie nea~teptata care impiedica incheierea auditul conform planului). Informaliile documentate referitoare la audit ar trebui pastrate sau distruse printr-un acord intre par\ile participante ~i in conformitate cu cerin\ele programului de audit ~i cu cele aplicabile. Cu exceplia cazului in care este cerut prin lege, echipa de audit ~i persoanalpersoanele care coordoneaza programul de audit ar trebui sa nu divulge nicio informa\ie ob\inuta pe parcursul auditului ~i nici raportul de audit, catre oricare alta parte, fara aprobarea explicita a clientului auditului ~i, atunci cand este cazul, aprobarea auditatului. Daca este solicitata divulgarea conlinutului unui document referitor la audit, clientul auditului ~i auditatul ar trebui informali cat mai repede posibil. Lec\iile inva\ate din audit pot identifica riscuri ~i oportunita\i pentru programul de audit ~i auditat.

6.7

Efectuarea auditul de urmiirire

Rezultatele auditului pot indica, in func\ie de obiectivele auditului, necesitatea de coreclii sau ac\iuni corective, sau oportunita\i de imbunata\ire. Astlel de ac\iuni sunt de obicei decise ~i intreprinse de catre auditat intr-un interval de timp convenit. Dupa cum este cazul, auditatul ar trebui sa informeze persoanalpersoanele care coordoneaza programul de audit ~iisau echipa de audit despre stadiul acestor acliuni. Finalizarea ~i eficacitatea acestor acliuni ar trebui verificate. Aceasta verificare ar putea face parte dintr-un audit ulterior. Rezultatele ar trebui raportate persoanei care coordoneaza programul de audit ~i clientului auditului pentru analiza efectuata de management.

34

~~ SR EN

1~~90~'?l~8 _L.

7

Competenta ~i evaluarea auditorilorClJ,'

7.1

Generalitati

'1l:

,0

increderea in procesul de audit ~i capacitatea de a-~i realiza obiectivele depind de competen\a acelor persoane care sunt implicate in planilicarea ~i electuarea auditurilor, inclusiv auditori ~i conducatorul echipei de audit. Competen\a ar trebui evaluata in mod regulat printr-un proces care sa ia in considerare comportamentul personal ~i capacitatea de a aplica cuno'1tin\ele ~i abilita\ile ca~tigate prin educa\ie, experien\a prolesionala, instruire ca auditor ~i experien\a de audit. Acest proces ar trebui sa ia in considerare necesita\ile ~i obiectivele programului de audit. Unele dintre cuno'?tin\ele ,?i abilita\ile descrise la 7.2.3 sunt comune auditorilor pentru oricare dintre domeniile de management .ale sistemelor de management; altele sunt specilice unui anumit domeniu de management al sistemului de management. Nu este necesar ca to\i auditorii din echipa de audit sa aiba acelea~i competen\e; totu,?i, competen\a globala a echipei de audit este necesar sa lie sulicienta pentru a realiza obiectivele auditului. Evaluarea competen\ei auditorului ar trebui planilicata, implementata ~i documentata pentru a lurniza un rezultat obiectiv, coerent, corect ~i de incredere. Procesul de evaluare ar trebui sa includa patru etape principale, dupa cum urmeaza: a)

determinarea competen\ei cerulli pentru a indeplini necesita\ile programului de audit;

b)

stabilirea criteriilor de evaluare;

c)

selectarea metodei corespunzatoare de evaluare;

d)

electuarea evaluarii.

Rezultatul procesului de evaluare ar trebui sa lurnizeze 0 baza pentru urmatoarele: selectarea membrilor echipei de audit (a~a cum se descrie la 5.5.4); determinarea necesita\ii de imbunata\ire a competen\ei (de exemplu instruiri suplimentare); evaluarea continua a performan\ei auditorilor. Auditorii ar trebui sa i~i dezvolte, sa i~i men\ina ~i sa i'1i imbunata\easca competen\a prin dezvoltarea prolesionala continua '1i prin participarea periodica la audituri (a se vedea 7.6). Un proces pentru evaluarea auditorilor '1i a conducatorilor echipei de audit este descris la 7.3, 7.4 '1i 7.5. Auditorii '1i conducatorii echipei de audit ar trebui evalua\i atat la\a de criteriile stabilite la 7.2.2 ,?i7.2.3 cat '1ila\a de criteriile stabilite la 7.1. Competen\a ceruta pentru persoanaipersoanele la 5.4.2.

care coordoneaza programul de audit este descrisa

7.2

Determinarea competentei auditorilor

7.2.1

Generalita\i

Pentru a decide competen\a necesara pentru un audit, ar trebui luate in considerare cuno'1tin\ele ~i abilita\ile auditorului, in legatura cu urmatoarele: a)

marimea, natura, complexitatea, produsele, serviciile '1i procesele audita\ilor;

b)

metodele de auditare;

c)

domeniile de management ale sistemelor de management care vor Ii auditate;

d)

complexitatea ~i procesele sistemului de management care va Ii auditat;

35

SR EN ISO 19011:2018 e)

tipurile ~i nivelurile de riscuri ~i oportunitali tratate de sistemul de management;

f)

obiectivele ~i amploarea programului de audit;

g)

incertitudinea in realizarea obiectivelor auditului;

h)

alte cerinle, cum ar fi cele impuse de clientul auditului sau alte parli interesate relevante, atunci cand este cazul.

Aceste inform alii ar trebui sa corespunda cu cele listate la 7.2.3. 7.2.2

Comportament personal

Auditorii ar trebui sa aiba calitalile necesare care sa Ie permita sa aclioneze in concordanla cu principiile de auditare descrise la articolul 4. Auditorii ar trebui sa manifeste un comportament profesional pe parcursul indeplinirii activitalilor de audit. Comportamentele profesionale dorite constau in a fi: a)

etic, adica cinstit, corect, sincer, onest ~i discret;

b)

deschis la minte, adica dornic sa ia in considerare idei sau puncte de vedere alternative;

c)

diplomat, adica sa aiba tact atunci cand lucreaza cu oamenii;

d)

bun observator, adica sa urmareasca in mod activ mediul fizic inconjurator ~i activitalile;

e)

perspicace, adica sa fie con~tient de situalii ~i capabil sa inleleaga situaliile;

f)

adaptabil, adica sa fie capabil sa se adapteze u~or la diferite situajii;

g)

tenace, adica perseverent ~i concentrat pe realizareaobiectivelor;

h)

capabil sa ia decizii, adica sa poata sa ajunga in timp utilla concluzii bazate pe ralionamente ~i analize logice;

i)

sigur pe sine, adica sa fie capabil sa aclioneze ~i sa func\ioneze independent in timp ce interaclioneaza eficace cu allii;

j)

sa aclioneze cu curaj, adica sa fie capabil sa aclioneze responsabil ~i atic chiar daca aceste ac\iuni pot sa nu fie intotdeauna populare ~i pot uneori sa conduca la dezacorduri sau confruntari;

k)

deschis catre imbunatalire, adica dornic sa invele din diferite situalii;

I)

sensibilia aspectele culturale, adica sa observe ~i sa respecte cultura auditatului;

m)

cooperant, adica sa interaclioneze eficace cu ceil alIi, inclusiv cu membrii echipei de audit ~i cu personalul auditatului.

7.2.3

Cuno~tin\e ~i abilitii\i

7.2.3.1 Generalita\i Auditorii ar trebui sa delina: a)

cuno~tinle ~i abilitali necesare pentru a obline rezultatele inten\ionate ale auditurilor pe care este de a~teptat sa Ie efectueze;

b)

competenle generale ~i un nivel de cuno~tinle ~i abilitali specifice domeniului de management ~i sectorului.

Conducatorii echipelor de audit ar trebui sa aiba in plus cuno~tinlele ~i abilitalile necesare pentru a asigura leadershipul echipei de audit.

36

SR EN ISO 19011 :2018 7.2.3.2 Cuno~tinte ~I abilitatl generale ale audltorllor slstemelor de management Auditorii ar trebui sa aiba cuno~tinle ~i abilitali in domeniile prezentate mai jos. a)

Principii, proceduri ~i metode de audit: cuno~tinlele ~i abilitalile de acest tip permit auditorului sa se asigure ca auditurile sunt desfa~urate intr-o maniera consecventa ~i sistematica. Un auditor ar trebui sa fie capabil: sa inleleaga tipurile de riscuri ~i oportunitali asociate cu auditarea ~i principii Ie abordarii bazate pe risc pentru auditare; sa planifice ~i sa organizeze activitatea in mod eficace;

co

sa efectueze auditul in limitele de timp ale programului agreat;

0

!::! 0

;:::

sa prioritizeze ~i sa se concentreze pe problemele semnificative;

J

sa comunice eficace, oral ~i in scris (fie direct, fie prin intermediul interprelilor);

a::

'"wa::

sa colecteze informalii prin intervievare eficace, ascuitare, informaliilor documentate, inclusiv a inregistrarilor ~i a datelor;

« 0 u:

observare

~i analizarea

;::

sa inleleaga adecvarea ~i consecinlele utilizarii tehnicilor de e~antionare, pentru auditare;

w 0

sa inleleaga ~i sa ia in considerare opiniile experlilor tehnici;

a::

I-

a::

w 0

:E

sa auditeze un proces de la inceput pan a la sfar~it, inclusiv relaliile cu alte procese ~i funclii diferite, daca este cazul;

.;

sa verifice relevanla ~i exactitatea informaliilor colectate;

E

sa confirme ca dovezile de audit sunt suficiente ~i adecvate pentru a susline constatarile ~i concluziile auditului;

'"a

'".. 0

a:: c:

'5

.. ..,..

e ~

sa evalueze acei factori care pot afecta credibilitatea constatarilor ~i concluziilor auditului;

c:

sa menlina confidenlialitatea ~i securitatea informaliilor.

N

sa documenteze activitalile ~i constatarile auditului ~i sa pregateasca rapoartele de audit;

~

..," ..

b)

~ 'u

Standarde reierltoare la sisteme de management ~I alte documente de reierinta: cuno~tinlele ~i abilitalile de acest tip permit auditorului sa inleleaga domeniul auditului ~i sa aplice criteriile de audit ~i ar trebui sa cuprinda urmatoarele:

0

III

«

standardele sistemelor de management sau alte documente normative sau documente de indrumare/suport utilizate pentru stabilirea criteriilor de audit sau a metodelor; aplicarea standardelor organizalii;

referitoare

la sisteme de management,

de catre auditat ~i alte

relaliile si interacliunile dintre procesele sistemului (sistemelor) de management; inlelegerea referinla;

importanlei ~i a prioritalii in cazul mai multor standarde sau documente de

aplicarea standardelor sau a documentelor de referinla pentru diferite situ alii de audit. c)

Organizatia ~i contextul ei: cuno~tinlele ~i abilitalile de acest tip permit auditorilor sa inleleaga structura, scopul ~i practicile de management ale auditatului ~i ar trebui sa cuprinda urmatoarele: necesitalile ~i a~teptarile parjilor interesate relevante, care au impact asupra sistemului de management; tipul organizaliei, guvernanla, marimea, structura, funcliile ~i relaliile organizaliei;

37

SR EN ISO 19011 :2018 conceptele generale de afaceri ~i de management, procesele ~i terminologia inclusiv planificarea, bugetarea ~i managementul personalului;

conexa,

aspectele culturale ~i sociale ale auditatului. d)

Cerinte legale !1i reglementate aplicabile!1i alte cerinte: cuno~tinjele ~i abilitajile de acest tip permit auditorului sa fie con~tient de cerinlele organizajiei ~i sa lucreze cu acestea. Cuno~tinjele ~i abilita\ile specifice jurisdicliei sau care se aplica activitalilor, proceselor, produselor ~i serviciilor aUditatului ar trebui sa cuprinda: legi ~i cerinle reglementate ~i autorita\ile de administrare asociate; terminologia legal a de baza;

:!!

o

contractare ~i raspundere juridica.

a

§

NOTA - Con~tientizareacerinjelor legale ~i reglementate nu implici! expertizi! juridici! ~i un audit de sistem de management

...i

a:: rJl

w

a::

< c.> iL

~ w c.>

Ii: w

7.2.3.3 Competenta

nu ar trebui tratat ca un audit de conformare

auditorilor,

specifica domeniului

legal~.

de management!1i

sectorului

de activitate

Echipa de audit ar trebui sa de\ina competenla colectiva specifica domeniului de management ~i sectorului de activitate, adecvata pentru auditarea unui anumit tip de sistem de management ~i sector de activitate. Competen\a auditorilor, specifica domeniului urmatoarele:

de management

~i sectorului de activitate, include

c.> rJl

:;;

a)

cerinle ~i principii ale sistemului de management ~i aplicarea acestora;

b)

concepte fundamentale ale domeniului de management (domeniilor de management) ~i sectorului (sectoarelor) de activitate referitoare la standardele de sistem de management, aplicate de auditat;

;;

c)

aplicarea metodelor, tehnicilor, proceselor ~i practicilor, specifice domeniului de management ~i sectorului de activitate pentru a permite echipei de audit sa evalueze conformitatea in cadrul domeniului de audit definit ~i sa genereze constatarile ~i concluziile de audit corespunzatoare;

c

d)

principii, metode ~i tehnici relevante pentru domeniul de management ~i sectorul de activitate, astlel incat auditorul sa poata determina ~i evalua riscurile ~i oportunita\ile asociate cu obiectivele auditului.

7.2.3.4

Competenta

a 'c

iii

.. E

,l1 c

e ill ~ .g .l!!

.. .. ~

rJl

."

generala a conducatorului

echipei de audit

'u

o

.:l!

in scopul de a facilita efectuarea eficace ~i eficienta a auditului, un conducator de echipa de audit ar trebui sa aiba competenla pentru: a)

planificarea auditului ~i atribuirea de sarcini de audit in funclie de competenja specifica a fiecarui membru al echipei de audit;

b)

discutarea aspectelor strategice cu managementul de la cel mai inalt nivel al auditatului pentru a stabili daca au fost luate in considerare aceste aspecte atunci cand au fost evaluate riscurile ~i oportunitalile;

c)

dezvoltarea ~i men\inerea unei rela\ii de lucru prin colaborare intre membrii echipei de audit;

d)

gestionarea procesului de audit, inclusiv: utilizarea eficace a resurselor pe parcursul auditului; gestionarea incertitudinii de realizare a obiectivelor de audit; protejarea sanatalii ~i securita\ii membrilor echipei de audit in timpul auditului, inclusiv asigurarea conformarii auditorilor cu aranjamentele relevante referitoare la sanatate, siguranla ~i securitate;

38

A\

~)19~f.'f~-;>~8

SR EN

---.; ..-

coordonarea membrilor echipei de audit;

.diA

«(<

'-

direc\ionarea ~i indrumarea auditorilor in lormare; prevenirea ~i solu\ionarea conflictelor ~i a problemelor care pot aparea in timpul auditului, inciusiv a celor din cadrul echipei de audit, dupa cum este necesar.

.. co

~ ;:::

e)

reprezentarea echipei de audit in comunicarile cu persoana care coordoneaza programul de audit, clientul auditului ~i auditatul;

I)

conducerea echipei de audit pentru a ajunge la concluziile auditului;

g)

pregatirea ~i linalizarea raportului de audit.

7.2.3.5 Cuno~tin\e ~i abilita\i pentru auditarea domeniilor

de management

multiple

Tn cazul in care se auditeaza sisteme de management care trateaza mai multe domenii de management, membrii echipei de audit ar trebui sa in\eleaga interac\iunile ~i sinergia dintre dileritele sisteme de management. Conducatorii echipelor de audit ar trebui sa in\eleaga cerin\ele liecarui standard de sistem de management care va Ii auditat ~i sa recunoasca limitele propriei competen\e in liecare dintre domeniile de management. NOTA - Auditurile mai multor domenii de management,efectuate simultan, se pot face ca un audit combinat sau ca un audit al unui sistem de management integrat. care acoper~mai multe domenii de management. 7.2.4

Dobandirea competen\ei

de catre auditori

Competen\a auditorilor poate Ii ob\inuta prin utilizarea unei combina\ii intre: a)

linalizarea cu succes a programelor generale ale auditorilor;

b)

experien\a in pozi\ii tehnice, manageriale sau prolesionale relevante, care implica exersarea ra\ionamentului logic, luarea deciziilor, rezolvarea problemelor ~i comunicarea cu managerii, expertii, omologiN4), clien\ii ~i alte parti interesate relevante;

c)

educa\ieiinstruire ~i experien\a intr-un anumit domeniu de management al sistemului de management ~i intr-un anumit sector de activitate, care contribuie la dezvoltarea competen\ei globale;

d)

experien\a de audit ob\inuta sub supravegherea unui auditor competent in acela~i domeniu de management.

de instruire care acopera cuno~tin\ele ~i abilita\ile

NOTA. - Parcurgerea cu succes a unui curs de instruire va depinde de tipul de curs. Pentru cursurile care includ examinare,

poate insemna

trecerea

cu succes a examenului. Pentru alte cursuri, aeeasta

poate insemna

participarea la curs ~i finalizarea cursului. 7.2.5

Dobandirea competen\el

de catre conducatorul

echlpei de audit

Un conducator al echipei de audit ar trebui sa dobandeasca 0 experien\a de audit suplimentara pentru a dezvolta competen\a descrisa la 7.2.3.4. Aceasta experien\a suplimentara ar trebui dobandita lucrand sub conducerea ~i indrumarea unui alt conducator de echipa de audit. 7.3

Stabilirea

criteriilor

de evaluare

a auditorilor

Criteriile ar trebui sa lie calitative (cum ar Ii demonstrarea in timpul instruirii sau la locul de munca, a comportamentului dorit, a cuno~tin\elor sau a utilizarii abilita\ilor) ~i cantitative (cum ar Ii anii de experien\a in munca ~i de studii, numarul de audituri electuate, ore de instruire ca auditor).

NOTA NATIONALiI - Termenul "omologi" reprezinta traducerea termenului din limba engleza "peers" ~i din limba franceza "des pairs". N4)

39

SR EN ISO 19011:2018

7.4

Selectarea metodei corespunziitoare pentru evaluarea auditorilor

Evaluarea ar trebui electuata utilizand doua sau mai multe dintre metodele prezentate in tabelul 2. La utilizarea tabelului 2, ar trebui avute in vedere urmatoarele: metodele indicate reprezinta 0 gama de op\iuni ~i s-ar putea sa nu se aplice in toate situa\ii1e; diversele metode indicate pot dileri din punct de vedere alincrederii; ar trebui utilizata 0 combinalie de metode pentru a se asigura un rezultat obiectiv, coerent, corect ~i de incredere. Tabelul 2 - Metode de evaluare a auditorilor Metode de evaluare Analizarea inregistrarilor

Obiectlve Pentru a verifica

Exemple Examinareadetaliataa lnregistrarilor

pregatirea

prolesionalaa auditorului

referitoare la studii, instruire, munca, calificari profesionale

locuri de

!?i experien~a

de audit. Feedback

Pentru a furniza

informa~ii despre

cum

este perceputa performanla auditorului

Supravegheri, chestionare, referinte personale, marturii, reclamatii, aprecieri

ale

oerformanlei,analize efectuatede omoloai Pentru a evalua comportamentul prolesional ~i abilitaplede comunicare

Intervievare

Observare

defite, pentru a verifica informaliile, a testa cuno~tin1ele !?i a obtine informatii suplimentare Pentru a evalua comportamentul

Testare

prolesionaldorit ~i capacitateade a aolica cunostinte si abilita\i Pentrua evalua comportamentul profesional

dorit ~i capacitatea

de a

Interviuri

personale

Jocuri de roluri, audituri supravegheate,

activitateala locul de munca Examene orale psihometrice

~iscrise, testari

aolica cunostintesi abilitali Analizare post audit

Pentru a furniza

informa,ii

despre

performanjaauditorului pe parcursul activitalilor de audit ~i a identifica puncteletari ~i oportunita\ilede 1mbunatatire

7.5

Analizarea

raportului

de audit, interviuri

cu

conducatorulechipei de audit, cu echipa de audit ~i, daca este cazul, feedback de la audital.

Efectuarea evaluiirii auditorului

Inlormaliile la 7.2.3.

colectate despre auditorii allali in evaluare ar trebui comparate cu criteriile stabilite

Atunci cand un auditor allat in evaluare care urmeaza sa participe intr·un program de audit nu indepline~te criteriile, ar trebui electuate activita\i suplimentare de instruire, de dobandire a experienlei de lucru sau de audit, ~i ar trebui electuata 0 reevaluare ulterioara.

7.6

Mentinerea ~i imbuniitiitirea competentei auditorilor

Auditorii ~i conducatorii echipelor de audit ar trebui sa i~i imbunata\easca continuu competen\a. Auditorii ar trebui sa i~i men\ina competen\a de audit prin participarea cu regularitate la audituri ale sistemelor de management ~i prin dezvoltare prolesionala continua. Aceasta poate Ii realizata prin mijloace ca experien\a de lucru suplimentara, instruire, studiu privat, mentorat, participare la intalniri, seminarii ~i conferin\e sau la alte activita\i relevante. PersoanaJpersoanele care coordoneaza programul de audit ar trebui sa stabileasca mecanisme adecvate pentru evaluarea continua a performan\elor auditorilor ~i ale conducatorilor echipelor de audit. Activita\ile de dezvoltare prolesionala continua ar trebui sa ia in considerare urmatoarele: a)

schimbari auditului;

ale necesita\ilor

persoanei

~i ale organizaliei

b)

evolulia practicii de audit inclusiv lolosirea tehnologiei;

40

responsabile

pentru electuarea

SR EN ISO 19011:2018 c)

standardele relevante inclusiv documente de indrumare/suport ~i alte cerin!e;

d)

schimbari ale sectorului de activitate sau ale domeniilor de management.

co C>

1S

:!:

::: ..,j

0:: I/)

~ u u:

~ w u

Ii:

w u I/) ::;;

a 'c

•• .• E

~ c

'6 i!!

.~

.• .. .".• :; "E

."C

.l!

I/)

'u

o

~

41

SR EN ISO 19011 :2018

Anexa A (informativa) indrumari

suplimentare

destinate

auditorilor auditurilor

pentru planificarea

lili efectuarea

A.1 Aplicarea metodelor de auditare Un audit poate Ii electuat utilizilnd 0 serie de metode de auditare. in aceasta anexa poate Ii gasita 0 explicare a metodelor de auditare utilizate In mod obi~nuit. Metodele de auditare alese pentru un audit depind de obiectivele, domeniul ~i criteriile de audit delinite, precum ~i de durata ~i de localie. Ar trebui luate In considerare, de asemenea, competenla auditorului disponibil ~i oricare incertitudine care decurge din aplicarea metodelor de auditare. Aplicarea unei varietali ~i combinalii de dilerite metode de auditare poate duce la optimizarea elicienlei ~i elicacit!ilii procesului de audit ~i a rezultatelor acestuia. Electuarea unui audit implica 0 interacliune lntre persoanele din cadrul sistemului de management auditat ~i tehnologia utilizata pentru a se electua auditul. Tabelul A.l lurnizeaza exemple de metode de auditare care pot Ii utilizate, singure sau In combinalie, pentru a se lndeplini obiectivele auditului. Daca un audit implica utilizarea unei echipe de audit cu mai mulli membri, pot Ii utilizate simultan metode de auditare la lala locului ~i metode de auditare la distanla. NOTA -Informalii

suplimentare

referitoare

la vizitarea localiilor sunt precizate In articolul A.1S.

Tabelul A.1 - Metode de auditare

,I

Amploarea interaeliunii dintre auditor auditat Interaeliune

umana

Loeatia

auditorului

La lata loeului

La distanji Prin mijloace de comunicare

Efectuarea interviurilor

Efectuarea participarea

analizei documentelor, auditatului

- efectuarea

Efectuarea analizei documentelor exemplu lnregistrari, analiza datelor) Observarea

interviurilor;

observarea activitalii, ghid la distanta;

efectuate

cu

listelor de verificare

!jii a

- efectuarea analizei documentelor participarea auditatului.

cu

cu

- completarea chestionarelor;

E~antionarea

Far. interaeliune umana

interactiva,

inseamna:

Completarea listelor de verificare ~i a chestionarelor, cu participarea auditatului

(de

activitatii efectuate

Electuarea analizei documentelor (de exemplu lnregistrari, analiza datelor)

Completarea

listelor de verificare

Observarea activitalii efectuate, prin mijloace de supraveghere, luand In considerare cerin~ele sociale, legale ~i reglementate

E~antionarea

(de exemplu a produselor)

Analizarea

Efectuarea vizitei la fata locului

Activitalile de audit la fata locului sunt efectuate la loca~a auditatului. efectuate In orice alt loc decat localia auditatului, indiferent de distanta.

datelor

ActiviUitile

de audit la distanla

sunt

Activitatile de audit interactive implica 0 interac1iune intre personalul auditatului ~i echipa de audit. Activita~ile de audit neinteractive nu implica interactiuni umane cu persoanele care reprezinta auditatul, dar implica interac~iunea cu echipamentele, facilitati1e ~i documentatia.

Responsabilitatea pentru aplicarea elicace a metodelor de auditare pentru orice audit In stadiul de planilicare, revine persoanei care coordoneaza programul de audit sau conducatorului echipei de audit. Conducatorul echipei de audit are aceasta responsabilitate de a conduce activitalile de audit. Fezabilitatea activitalilor de audit la distanla poate sa depinda de mai mulJi lactori (de exemplu nivelul riscului pentru realizarea obiectivelor auditului, nivelul de lncredere dintre auditor ~i personalul auditatului ~i cerinlele de reglementare).

42

~

<:l'<.-~ ",::::'?-

SR EN 1$0 1 ~)

~.~

~1·1~tS~~. ;;\

La nivelul programului de audit, ar trebui sa se asigure ca utili~Plicarii metodelor de auditare la distanja ~i la laja locului este adecvata ~i echilibrata, astfel incat sa se asigure realizarea satislacatoare a obiectivelor programului de audit. A.2 Abordarea

pe baza de proces a auditului

Utilizarea "abordarii pe baza de proces" este a cerinja pentru toate standardele ISO ale sistemelor de management, in conlormitate cu Directivele ISO/IEG, Partea I, Anexa SL. Auditorii ar trebui sa injeleaga ca auditarea unui sistem de management inseamna auditarea proceselor organiza\iei ~i a interacjiunilor acestora cu unul sau mai mulle standarde de sistem de management. Se ob\in rezultate consecvente ~i predictibile intr-un mod mai elicient ~i elicace, atunci cand activitatile sunt injelese ~i gestio nate ca procese interdependente care luncjioneaza ca un sistem coerent. A.3 Judecata

profesionalii

Auditorii ar trebui sa aplice judecata prolesionala in timpul procesului de audit ~i sa evite sa se concentreze asupra cerinjelor specilice liecarui articol din standard, in detrimentul obtinerii rezultatului dorit al sistemului de management. Unele articole din standardullSO de sistem de management nu se preteaza cu u~urinta la audit in ceea ce priv'!:~te compararea unui set de criterii cu conjinutul unei proceduri sau al unei instrucjiuni de lucru. In aceste situajii, auditorii ar trebui sa-~i loloseasca judecata prolesionala pentru a determina daca inten\ia articolului a lost indeplinita. A.4 Rezultate

referitoare

la performantii

Auditorii ar trebui sa se concentreze asupra rezultatului intenjionat al sistemului de management pe tot parcursul procesului de audit. De~i procesele ~i ceea ce realizeaza acestea sunt importante, rezultatul sistemului de management ~i performan\a acestuia sunt ceea ce conteaza. De asemenea, este important sa se ia in considerare nivelul de integrare a dileritelor sisteme de management ~i rezultatele intenjionate ale acestora. Absenta unui proces sau a documentajiei poate Ii importanta lntr-o organizajie cu risc sporit sau complex a, dar nu atat de semnilicativa in alte organizajii. A.5 Verificarea

informatiilor

1n masura in care acest lucru este posibil, auditorii ar trebui sa ia in considerare daca inlormajiile lurnizeaza suliciente dovezi obiective pentru a demonstra ca cerinjele sunt indeplinite, cum ar Ii daca inlormajiile sun!: a)

complete (inlormatiile documentate conjin tot ceea ce era de a~teptat);

b)

corecte (conjinutul reglementarile);

c)

consecvente conexe);

d)

actuale (con\inutul este actualizat).

este conlorm

cu alte surse de lncredere,

cum ar Ii standardele

~i

(inlorma\iile documentate sunt consecvente cu ele inse~i ~i cu documentele

De asemenea, ar trebui sa se ia in considerare dacil inlormajiile verilicate olera suliciente dovezi obiective pentru a demonstra ca cerinjele sunt indeplinite. Daca inlorma\iile sunt lurnizate intr-un mod dilerit de cel a~teptat (de exemplu, de catre persoane dilerite, medii alternative), ar trebui evaluata integritatea dovezilor. Este necesara a atenjie speciala pentru securitatea inlormajiilor, din cauza reglementarilor aplicabile privind protectia datelor (in special pentru inlormajiile din alara domeniului auditului, dar care ligureaza ~i in document). A.S

El?antionarea

A.S.l

Generalitii\i

in

cadrul auditului, e~antionarea are lac atunci cand nu este posibil sau nu este elicient din punct de vedere al costurilor, ca in timpul unui audit sa se examineze toate inlormajiile disponibile, de exemplu inregistrarile sunt prea numeroase sau prea dispersate geogralic pentru a se justilica examinarea

43

SR EN I~O 19011:2018 fiecarui element din popula\ia respectiva. E~antionarea unei popula\ii mari, In cadrul auditului, este procesul de selectare a mai pu\in de 100 % elemente din totalul ansamblului de date disponibile (popula\ie) pentru a ob\ine ~i a evalua dovezi despre unele caracteristici ale acelei popula\ii, cu scopul de formula 0 concluzie releritoare la popula\ie. Obiectivul e~antionarii, in cadrul auditului, este de a furniza informalii, astlel Incat auditorul sa aibii Incredere ca obiectivele auditului pot sa fie sau vor fi indeplinite. Riscul asociat e~antionarii este acela ca e~antioanele pot sa nu fie reprezentative pentru populalia din care sunt selectate. Astlel, concluzia auditorului poate fi influenlata ~i poate fi diferita de cea la care ar fi ajuns daca Intreaga populalie ar fi fost examinata. Pot fi ~i alte riscuri, In funclie de variabilitatea din cadrul popula\iei care va fi e~antionata ~i de metoda aleasa. E~antionarea In cadrul auditului implica, de regula, urmatoarele etape:

~ o ~

a)

stabilirea obiectivelor e~antionarii;

b)

selectarea amplerii ~i componen\ei popula\iei care urmeaza a Ii e~antionata;

...i 0::

c)

selectarea unei metode de e~antionare;

d)

determinarea marimii e~antionului care urmeaza sa fie prelevat;

§

III W

0::

;3 u:

~ w (.)

~ w (.)

III

:;;

a

e)

efectuarea activita\ii de e~antionare;

f)

colectarea, evaluarea, raportarea ~i documentarea rezultatelor.

Atunci cand se e~antioneaza ar trebui acordata aten\ie calita\ii datelor disponibile, deoarece prin e~antionarea unor date insuficiente sau inexacte nu se va ob\ine un rezultat util. Selec\ia unui e~antion adecvat ar trebui sa se bazeze atat pe metoda de e~antionare, cat ~i pe tipul de date cerute, de exemplu deducerea unui anumit model de comportament sau concluzionarea pentru 0 Intreaga popula\ie.

.u .~ eo

Raportarea la e~antionul ales ar putea sa tina cont de marimea e~antionului, de metoda de selec\ie ~i de estimarile facute pe baza e~antionului ~i a nivelul de incredere.

c

Auditurile pot sa utilizeze e~antionarea bazata pe ra\ionament (a se vedea A.6.2) sau e~antionarea statistica (a se vedea A.6.3).

0::

:0 i!!

.. ..

.!!

A.S.2

'C C

E~antionarea bazata pe ra\ionament se sprijina pe competen\a ~i experien\a echipei de audit (a se vedea articolul 7).

'E .l2

III

"..

'C

~ 'u ril <0:

E~antionarea bazata pe ralionament

Pentru e~antionarea bazata pe ra\ionament pot fi luate in considerare urmatoarele: a)

experien\a anterioara de audit In domeniul auditului;

b)

complexitatea cerin\elor obiectivele auditului;

c)

complexitatea management;

d)

gradul de schimbare In tehnologie, factori umani sau In sistemul de management;

(inclusiv

~i interac\iunea

cerin\ele

proceselor

legale

~i reglementate)

organiza\iei

pentru

~i ale elementelor

a indeplini

sistemului

e)

riscuri semnificative ~i oportunita\i de imbunata\ire care au fost identificate anterior;

I)

elemente de ie~ire rezultate din monitorizarea sistemelor de management.

de

Un dezavantaj al e~antionarii bazate pe ra\ionament este acela ca, In acest caz, nu poate Ii estimat statistic efectul incertitudinii in ceea ce prive~te constatarile auditului ~i concluziile la care s-a ajuns.

A.S.3

E~antionarea statistica

Daca s-a luat decizia sa se utilizeze e~antionarea statistica, planul de e~antionare ar trebui sa se bazeze pe obiectivele auditului ~i pe ceea ce se ~tie despre caracteristicile ansamblului popula\iei din care urmeaza a Ii luate e~antioanele.

44

SR EN I~O 19011:2018 Proiectul de e9antionare statistica utilizeaza un proces de selec\ie a e9antionului bazat pe teoria probabilita\ii. E9antionarea bazata pe atribute este utilizata atunci cand exista numai doua rezultate posibile la e9antionare, pentru liecare e9antion (de exemplu corecVincorect sau admis/respins). E9antionarea bazata pe variabile este utilizata atunci cand rezultatele e9antionarii apar in 9ir continuu. Planul de e9antionare ar trebui sa ia in considerare daca rezultatele care sunt examinate par a Ii bazate pe atribute sau bazate pe variabile. De exemplu, cand se evalueaza conlormitatea lormularelor completate cu cerin\ele precizate intr-o procedura, ar putea Ii utilizata 0 abordare bazata pe atribute. Cand se examineaza apari\ia incidentelor pentru siguran\a alimentelor sau numarul de incalcari ale securita\ii, 0 abordare bazata pe variabile ar putea Ii mai adecvata. Elementele esen\iale care vor inlluen\a planul de e9antionare in cadrul auditului sunt: a)

contextul, marimea, natura activita\ii 9i complexitatea organiza\iei;

b)

numarul de auditori competen\i;

c)

Irecven\a auditurilor;

d)

timpul de audit al liecarui audit;

e)

orice nivel de incredere cerut din alara;

I)

apari\ia unor evenimente nedorite 9i/sau nea9teptate.

Atunci cand este elaborat un plan de 89antionare statistica, nivelul de risc la e9antionare pe care auditorul este dispus sa-I accepte constituie un considerent important. Acesta este adesea denumit nivel de incredere acceptabil. De exemplu, un risc de e9antionare de 5 % corespunde unui nivel de incredere acceptabil de 95 %. Un risc de e9antionare de 5 % inseamna ca auditorul este dispus sa accepte riscul ca 5 din 100 (sau 1 din 20) dintre e9antioanele examinate nu vor rellecta valorile reale care ar Ii lost ob\inute daca ar Ii lost examinata intreaga popula\ie. Atunci cand se utilizeaza e9antionarea statistica, auditorii ar activitatea electuata. Aceasta ar trebui sa includa 0 descriere a e9antionata, criteriile de e9antionare utilizate pentru evaluare (de acceptabil), parametrii statistici 9i metodele care au lost utilizate, rezultatele ob\inute.

trebui sa documenteze adecvat popula\iei care s-a inten\ionat a Ii exemplu in ce consta un e9antion numarul de e9antioane evaluate 9i

A.7 Auditarea conformarii in cadrul sistemului de management Echipa de audit trebuie sa ia in considerare daca auditatul are procese eliciente pentru: a)

identilicarea cerin\elor sale legale 9i reglementate 9i a altor cerin\e la care s-a angajat;

b)

gestionarea activita\ilor, produselor 9i serviciilor sale pentru a realiza conlormarea cu aceste cerin\e;

c)

evaluarea stadiului sau de conlormare.

in plus la\a de indrumarile generale lurnizate in acest document, atunci cand evalueaza procesele pe care auditatulle-a implementat pentru a asigura conlormitatea cu cerin\ele relevante, echipa de audit trebuie sa aiba in vedere daca auditatul: 1)

are un proces elicace de identilicare a modilicarilor cerin\elor de conlormare 9i de luare in considerare a acestora ca parte a managementului schimbarii;

2)

are persoane competente sa gestioneze procesele sale de conlormare;

3)

men\ine 9i lurnizeaza inlorma\ii documentate adecvate releritoare la stadiul de conlormare a acestora, conlorm cerin\elor autorita\ilor de reglementare sau ale altor par\i interesate;

4)

include cerin\ele de conlormare in cadrul programului sau de audit intern;

5)

trateaza orice caz de neconlormare;

6)

ia in considerare performan\a releritoare la conlormare, in cadrul analizelor sale electuate de management. .

45

SR EN ISO 19011 :2018 A.S Contextul

auditului

Multe standarde de sisteme de management solicita unei organiza\ii sa-~i determine contextul, inclusiv necesita\ile ~i a~teptarile par\ilor interesate relevante ~i aspectele interne ~i externe. Pentru a lace acest lucru, 0 organiza\ie poate lolosi dilerite tehnici pentru analiza ~i planilicarea strategica. Auditorii ar trebui sa conlirme ca au lost dezvoltate procese adecvate pentru aceasta ~i ca acestea sunt utilizate in mod elicace, astlelincat rezultatele sa olere 0 baza de incredere pentru determinarea domeniului de aplicare ~i a dezvoltarii sistemului de management. Pentru a lace acest lucru, auditorii ar trebui sa ia in considerare dovezi obiective releritoare la urmatoarele: a)

procesul (procesele) sau metoda (metodele) utilizate;

b)

adecvarea ~i competen\a persoanelor care contribuie la proces (procese);

c)

rezultatele procesului (proceselor);

d)

aplicarea rezultatelor pentru a determina domeniul de aplicare ~i dezvoltarea sistemului de management;

e)

analizele periodice ale contextului, dupa caz.

Auditorii ar trebui sa aiba cuno~tin\e specilice sectoriale ~i sa in\eleaga instrumentele de management pe care organiza\ii1e Ie pot utiliza pentru a judeca elicacitatea proceselor utilizate in determinarea contextului. A.9 Auditarea

leadership-ului

~i a angajamentului

Multe standarde de sisteme de management conlin cerin\e sporite pentru managementul de la cel mai inalt nivel. Aceste cerin\e includ demonstrarea angajamentului ~i a leadership-ului prin asumaiea raspunderii pentru elicacitatea sistemului de management ~i prin indeplinirea unui numar de responsabilita\i. Acestea includ sarcini pe care managementul de la cel mai inalt nivel ar trebui sa Ie intreprinda ~i altele care pot Ii delegate. Auditorii trebuie sa ob\ina dovezi obiective releritoare la gradul in care managementul de la eel mai inalt nivel este implicat in luarea deciziei legate de sistemul de management ~i modulin care acesta demonstreaza angajamentul de a-~i asigura elicacitatea. Acest lucru poate Ii realizat prin analiza rezultatelor proceselor relevante (de exemplu, politici, obiective, resurse disponibile, comunicari de la managementul de la eel mai inalt nivel) ~i prin intervievarea personalului pentru a determina gradul de angajament al managementului de la eel mai inalt nivel. Auditorii ar trebui, de asemenea, sa aiba ca scop intervievarea managementului de la eel mai inalt nivel pentru a conlirma ca acesta are 0 in\elegere adecvata a aspectelor specilice domeniului de management, relevante pentru propriul sistem de management, impreuna cu contextul in care lunc\ioneaza organiza\ia, astlel incat sa se asigure ca sistemul de management ob\ine rezultatele inten\ionate. Auditorii ar trebui sa se concentreze nu numai managementul de la eel mai inalt nivel, ci ar trebui, de asemenea, sa auditeze leadership-ul ~i angajamentul de la alte niveluri de management, dupa caz. A.10 Auditarea

riscurilor

~i oportunitiitilor

Ca parte a unui audit individual se poate include determinarea ~i managementul oportunita\i1or organiza\iei. Obiectivele principale pentru un astlel de audit sunt:

riscurilor ~i

asigurarea credibilita\ii procesului (proceselor) de identilicare a riscurilor ~i a oportunita\ilor; asigurarea ca riscurile ~i oportunita\ile sunt corect determinate ~i gestionate; analizarea modului in care organiza\ia trateaza riscurile ~i oportunita\i1e determinate.

46

SR EN 1$0 19011 :2018 Un audit al abordarii unei organizalii in ceea ce prive~te determinarea riscurilor ~i a oportunitalilor nu ar trebui efectuat ca activitate autonoma. Ar trebui sa fie implicit in timpul intregului audit al unui sistem de management, inclusiv atunci cand se intervieveaza managementul de la cel mai inalt nivel. Un auditor ar trebui sa ac\ioneze in conformitate cu urmatoarele etape ~i sa colecteze dovezi obiective dupa cum urmeaza: a)

elemente de intrare utilizate de organizalie sale, care pot include:

pentru determinarea riscurilor ~i oportunitalilor

analiza aspectelor interne ~i externe; direclia strategica a organiza\iei; par\ile interesate, legate de sistemul sau de management management ~i cerin\ele acestuia;

specific domeniului

de

sursele poten\iale de risc, cum ar fi aspectele de mediu ~i pericolele referitoare la securitate etc. b)

metoda prin care se evalueaza riscurile ~i oportunita\ile, care poate sa difere intre domenii de management ~i sectoare.

Tratarea de catre organizalie a riscurilor ~i oportunitalilor sale, inclusiv a nivelului de risc pe care dore~te sa il accepte ~i a modului in care este control at, va cere aplicarea unei judeca\i profesionale de catre auditor.

A.11 Ciclu de viata Unele sisteme de management specifice unui domeniu de management necesita aplicarea in perspectiva a ciclului de via\a al produselor ~i serviciilor. Auditorii nu ar trebui sa considere acest lucru drept 0 cerin\a de a adopta 0 abordare bazata pe ciclul de via\a. 0 perspectiva a clclului de via\a presupune luarea in considerare a controlului ~i a influen\ei pe care Ie are organiza\ia asupra etapelor ciclului de via\a al produselor ~i serviciilor. Etapele intr-un ciclu de via\a includ achizi\ia de materii prime, proiectarea, produc\ia, transportui/livrarea, utilizarea, tratamentul la sfar~itul ciclului de via\a ~i eliminarea finala. Aceasta abordare permite organiza\iei sa identifice domeniile in care, luand in considerare domeniul sau de aplicare, poate reduce la minim impactul sau asupra mediului, adaugand valoare organiza\iei. Auditorul ar trebui sa utilizeze judecata profesionala proprie referitoare la modul in care organiza\ia a aplicat perspectiva ciclului de via\a in ceea ce prive~te strategia sa ~i: a)

durata de via\a a produsului sau serviciului;

b)

influen\a organiza\iei asupra lan\ului de aprovizionare;

c)

lungimea lan\ului de aprovizionare;

d)

complexitatea tehnologica a produsului.

Daca 0 organiza\ie a combinat mai multe sisteme de management intr-un singur sistem de management pentru a-~i satisface propriile necesita\i, auditorul ar trebui sa analizeze cu aten\ie orice suprapunere in ceea ce prive~te luarea in considerare a ciclului de via\a.

A.12 Auditarea lantului de aprovizionare Este posibil sa se impuna auditarea lan\ului de aprovizionare fala de cerin\e specifice. Programul de audit al furnizorului ar trebui elaborat cu criterii de audit aplicabile pentru tipul de furnizori ~i prestatori externi. Domeniul auditului lan\ului de aprovizionare poate fi diferit, de exemplu, audit complet al sistemului de management, audit al unui singur proces, audit de produs, audit de configuralie.

A.13 Pregatirea documentelor de lucru ale auditului La pregatirea documentelor de lucru, echipa de audit ar trebui sa ia in considerare, pentru fiecare document, intrebarile de mai jos: a)

Ce inregistrare de audit va fi creata utilizand acest document de lucru?

b)

Ce activitate de audit este legata de acest document de lucru particular?

47

SR.EN ISO 19011:2018 c)

Cine va Ii utilizatorul acestui document de lucru?

d)

Ce inlorma\ii sunt necesare pentru a pregati acest document de lucru?

Pentru auditurile combinate, ar trebui dezvoltate documente de lucru pentru a se evita dublarea activita\ilor de audit, prin: cumularea unor cerin\e similare din criterii dilerite; coordonarea con\inutului listelor de verilicare ~i chestionarelor conexe. Documentele de lucru ar trebui sa lie adecvate, astlel incat sa trateze toate elementele sistemului de management din cadrul domeniului auditului ~i ele pot sa lie lurnizate pe orice suport. A.14 Selectarea

surselor de informalii

Sursele de inlorma\ii selectate pot sa dilere in lunc\ie de domeniul ~i complexitatea auditului ~i pot sa includa urmatoarele: a)

interviuri cu angaja\ii ~i cu alte persoane;

b)

observari ale activita\ilor, ale condi\iilor ~i ale mediului de lucru inconjuratoare;

c)

inlorma\ii documentate, cum ar Ii: politici, obiective, planuri, proceduri, standarde, instruc\iuni, autoriza\ii ~i permise, specilica\ii, desene, contracte ~i comenzi;

d)

inregistrari, cum ar Ii: inregistrari ale inspec\iilor, minute ale ~edin\elor, rapoarte de audit, inregistrari ale programului de monitorizare ~i rezultate ale masurarilor;

e)

rezumate ale datelor, analize ~i indicatori de performan\a;

I)

inlorma\ii despre planurile de e~antionare ale auditatului ~i despre procedurile pentru controlul e~antionarii ~i procesele de masurare;

g)

rapoarte din alte surse, de exemplu leedback de la clien\i, sondaje ~i masurari externe, alte inlorma\ii relevante de la parti externe ~i clasilicarea lurnizorilor externi;

h)

baze de date ~i pagini de web;

i)

simulare ~i modelare.

A.15 Vizitarea

localiei auditatului

Pentru a diminua interferen\a dintre activita\ile de audit ~i procesele de lucru ale auditatului ~i pentru a se asigura sanatatea ~i securitatea echipei de audit pe timpul unei vizite, ar trebui luate in considerare urmatoarele: a)

planilicarea vizitei: sa se asigure permisiunea ~i accesul in acele parti ale loca\iei auditatului care urmeaza a Ii vizitate in conlormitate cu domeniul auditului; sa se lurnizeze auditorilor inlorma\ii adecvate (de exemplu 0 scurta instruire) releritoare la securitate, sanatate (de exemplu carantina), aspecte de sanatate ~i securitate in munca ~i norme culturale pentru vizita, inclusiv vaccinari ~i activita\i de cura\are necesare ~i recomandate, daca este cazul; sa se conlirme aranjamentele incheiate cu auditatul releritoare la utilizarea dispozitivelor ~i a camerelor mobile, inclusiv inregistrarea inlorma\iilor, cum ar Ii lotograliile loca\iilor ~i echipamentelor, copiile de pe ecran sau lotocopiile documentelor, inregistrarile video ale activita\ilor ~i interviurilor, luand in considerare aspectele legate de conliden\ialitate ~i securitate; cu excep\ia unor audituri neprogramate, sa se asigure ca personalul vizitat va Ii inlormat cu privire la obiectivele ~i domeniul de aplicare al auditului.

b)

activita\i la la\a locului: sa se evite orice perturbare inutila a proceselor opera\ionale;

48

~ L m t~"~~ '4\

SR EN ISO

1

~} .'=~~ <-0.

sa se asigure ca echipa de audit utilizeaza echipamentele individuale de protec\ie in mod adecvat; sa se asigure ca procedurile pentru situa\ii de urgen\a sunt comunicate (de exemplu ie~irile de urgen\a, punctele de adunare); sa se planilice comunicarea pentru a se reduce la minimum intreruperile; sa se adapteze marimea echipei de audit ~i numarul de ghizi ~i de observatori in concordan\a cu domeniul auditului, pentru a se evita, pe cat posibil, interferen\a cu procesele opera\ionale; sa nu se atinga sau manipuleze niciun echipament, in alara de cazul in care este permis in mod explicit, chiar daca este vorba de persoane competente sau care poseda autoriza\ii; daca apare un incident in timpul vizitei la la\a locului, conducatorul echipei de audit ar trebui sa analizeze situa\ia impreuna cu auditatul ~i, daca este necesar, cu clientul auditului ~i sa ajunga la 0 in\elegere daca auditul ar trebui intrerupt, reprogramat sau continuat; atunci cand se lac copii ale documentelor de orice tip, se va solicita in avans permisiunea ~i se vor avea in vedere problemele de conliden\ialitate ~i de securitate; atunci cand se iau noti\e, se va evita colectarea inlorma\iilor personale, daca nu este necesar pentru obiectivele sau criteriile auditului. c)

activita\i de audit virtu ale: se va asigura ca echipa de audit utilizeaza protocoale de acces la distan\a convenite, inclusiv dispozitivele solicitate, software-ul etc.; daca se copiaza de pe ecran un document de orice lei, se cere permisiunea in prealabil ~i se iau in considerare aspectele legate de conliden\ialitate ~i securitate ~i se evita inregistrarea persoanelor lara permisiunea acestora; in cazul in care apare un incident in timpul accesului la distan\a, conducatorul echipei de audit ar trebui sa analizeze situa\ia cu auditatul ~i, daca este necesar, cu clientul de audit ~i sa ajunga la un acord privind intreruperea, reprogramarea sau continuarea auditului; se vor utiliza planuri I diagrame ale loca\iei la distan\a, pentru relerin\a; se va respecta intimitatea in timpul pauzelor de audit.

Este necesar sa se ia in considerare disponibilitatea inlorma\iilor ~i a dovezilor de audit, indilerent de tipul de mediu suport, la 0 data ulterioara, odata ce nevoia de pastrare a acestora a expirat. A.16 Auditarea

activitali10r

,i locatiilor

virtuale

Auditurile virtuale sunt electuate atunci cand 0 organiza\ie realizeaza 0 activitate sau olera un serviciu care utilizeaza un mediu on-line, permi\and persoanelor indilerent de loca\iile liz ice sa execute procese (de exemplu, intranet al companiei, un "cloud computing"). Auditarea unei loca\ii virtuale este denumita uneori auditare virtuala. Auditurile la distan\a se relera la utilizarea tehnologiei pentru colectarea de inlormalii, intervievarea unui auditat etc. atunci cand metodele "Ia\a in la\a" nu sunt posibile sau dorite. Un audit virtual urmare~te procesul standard de audit in timp ce utilizeaza tehnologia pentru a verilica dovezile obiective. Auditatul ~i echipa de audit ar trebui sa asigure cerin\ele tehnologice adecvate pentru auditurile virtu ale, care pot include: asigurarea laptului ca echipa de audit utilizeaza protocoalele de acces la distan\a convenite, inclusiv dispozitivele solicitate, soltware-ul etc.;

49

SR EN ISO 19011 :2018 electuarea de verilicari tehnice inainte de audit pentru rezolvarea problemelor tehnice; asigurarsa disponibilita\ii ~i comunicarii planurilor de urgen\a (de exemplu intreruperea accesului, utilizarea tehnologiilor alternative), inclusiv lurnizarea unui timp suplimentar de audit, daca este necesar. Competen\a auditorului ar trebui sa includa: abilita\i tehnice pentru utilizarea echipamentelor electronice ~i a altor tehnologii adecvate in timpul auditarii; experien\a de a lacilita intalnirile in mod virtual pentru electuarea auditului de la distan\a. Atunci cand conduce ~edin\a de deschidere considerare ~i urmatoarele elemente:

sau auditeaza virtual, auditorul ar trebui sa ia in

riscurile asociate auditurilor virtuale sau la distan\a; utilizarea planurilor/diagramelor inlorma\iilor electronice;

loca\iilor

la distan\a

pentru

relerin\a

sau cartogralierea

lacilitarea prevenirii perturbarilor datorate zgomotului de lond ~i intreruperilor; solicitarea permisiunii in avans de a lace copii ale documentelor sau ale oricarui tip de inregistrari, luand in considerareaspectele de conliden\ialitate ~i securitate; asigurarea conliden\ialita\ii ~i intimita\ii in timpul pauzelor de audit, de exemplu prin mutarea microloanelor, oprirea camerelor. A.17 Efectuarea

interviurilor

Interviurile constituie unul dintre cele mai importante mijloace de colectare a inlorma\iilor ~i ar trebui realizate intr-un mod adaptat situaliei ~i persoanei intervievate, ori lala in lala, ori prin alte mijloace de comunicare. Totu~i, auditorul ar trebui sa ia in considerare urmatoarele: a)

interviurile ar trebui sa lie electuate cu persoane de la niveluri ~i lunc\ii adecvate, care realizeaza activita\i sau sarcini din domeniul auditului;

b)

interviurile ar trebui, in mod normal, sa fie electuate in cadrul ore lor normale de lucru ~i, daca este posibil, la locul obi~nuit de lucru al persoanei intervievate;

c)

ar trebui Sa se incerce sa se laca persoana intervievata sa se simta in largul ei, inaintea ~i in timpul interviului;

d)

ar trebui explicat motivul interviului ~i al oricarei noti\e care se ia;

e)

interviurile pot Ii initiate cerand persoanelor sa-~i descrie activitatea;

I)

se selecteaza cu grija tipul de intrebare utilizat (de exemplu intrebari deschise, inchise, intrebari conducatoare, intrebari apreciative);

g)

con~tientizarea laptului ca in setarile virtu ale comunicarea non-verbale ests limitata; in schimb, ar trebui sa se puna accentul pe tipul de intrebari care trebuie utilizate pentru a gasi dovezi obiective;

h)

rezultatele interviurilor ar trebui sintetizate ~i analizate cu persoana intervievata; ar trebui sa Ii se mul\umeasca persoanelor intervievate pentru participarea ~i cooperarea lor.

A.18 Constatarile

auditului

A.18.1 Determinarea

constatarilor

auditului

Atunci cand se determina constatarile auditului, ar trebui luate in considerare urmatoarele: a)

urmarirea inregistrarilor ~i concluziilor de la auditurile precedente;

50

SR EN 1$0 19011 :2018 b)

cerin\ele clientului auditului;

c)

acuratelea, suficienla ~i adecvarea dovezilor obiective pentru a susline constatarile auditului;

d)

masura in care sunt realizate activitalile de audit planificate ~i sunt oblinute rezultatele planificate;

e)

constatarile care depa~esc practica obi~nuita sau oportunita\ile de imbunata\ire;

f)

marimea e~antionului;

g)

clasificarea constatarilor auditului (daca este cazul).

A.1B.2 inregistrarea conformitii1i1or Pentru inregistrari ale conformitalii ar trebui luate in considerare urmatoarele: a)

identificarea criteriilor de audit fala de care se constata conformitatea;

b)

dovezile de audit care suslin conformitatea ~i eficacitatea, dadl este aplicabil;

J 0::

c)

declaralia de conformitate (daca este cazul).

0::

A.1B.3 inregistrarea neconformitii1ilor

rJ) W

< o u::

~ w

o

Ii: w o rJ)

:!i

a ni 'c

'"E

& :cc

~ liI ~ ."'" '" iii C

•. ." :;'"

'u o

.'l!

Pentru inregistrari ale neconformitalii ar trebui luate in considerare urmatoarele: a)

descrierea sau referinla la criteriile de audit;

b)

declara\ia de neconformitate;

c)

dovezile de audit;

d)

constatarile de audit conexe, daca este cazul.

A.1B.4 Tratarea constatiirilor referitoare la criterii multiple Pe parcursul unui audit, este posibil sa se identifice constatari legate de criterii multiple. Atunci cand un auditor identifica 0 constatare in legatura cu un criteriu de la un audit combinat, auditorul ar trebui sa ia in considerare impactul posibil asupra criteriilor corespunzatoare sau similare de la alte sisteme de management. In func\ie de aranjamentele cu clientul auditului, auditorul poate sa redacteze: constatari separate pentru fiecare criteriu; sau o singura constatare, combinand referin\ele la criterii multiple. In funclie de aranjamentele cu clientul auditului, auditorul poate indruma auditatul cum sa raspunda acestor constatari.

51

SR EN ISO 19011 :2018

Bibliografie [1]

ISO 9000:2015, Quality management systems -

Fundamentals and vocabulary

[2]

ISO 9001, Quality management systems -

[3]

ISO Guide 73:2009, Risk management -

Requirements1)

[4]

ISO/IEG 17021-1, Conformity assessment - Requirements for bodies providing audit and certification of management systems - Part 1: Requirements

Vocabulary

~ '~" ~ ..i 0

a:

'a:" w

« u::

0

;:: a: w

0 f-

a: w

0

~ 'a" .!f

c co E 0

a: c '6

e

co .!:!

"E co

"0

C

~•. "0

co

:; 'u 0

«'"

1)

A se vedea www.iso.org/tc176/IS09001AuditingPracticesGroup

52