"СМ N 04.1-1.0020. Руководство по применению информационно-коммуникационных технологий в целях аудита/оценки (IAF MD 4:2023, IDT). Версия 01. Август 2023 г."
Утверждаю
Руководитель
Федеральной службы по аккредитации
Н.В.СКРЫПНИК
14 августа 2023 г.
СМ N 04.1-1.0020
ВЕРСИЯ 01. АВГУСТ 2023 Г.
РУКОВОДСТВО
ПО ПРИМЕНЕНИЮ ИНФОРМАЦИОННО-КОММУНИКАЦИОННЫХ ТЕХНОЛОГИЙ
В ЦЕЛЯХ АУДИТА/ОЦЕНКИ
(IAF MD 4:2023, IDT)
ПРЕДИСЛОВИЕ
Настоящее руководство разработано Федеральной службой по аккредитации с учетом требований документа IAF MD 4:2023 и стандарта ГОСТ ISO/IEC 17011-2018 и вводится впервые. Настоящее руководство вводится в действие по истечении десяти рабочих дней со дня его утверждения.
1. Область применения
1.1. Настоящее руководство предусматривает последовательное применение в аудите/оценке использование ИКТ в рамках методологии. Настоящее руководство предназначено для аудита/оценки систем менеджмента, персонала и продукции и применим к ООС и ОА. Использование ИКТ не является обязательным и может использоваться для других видов деятельности по оценке соответствия, но, если оно используется в качестве части методологии аудита/оценки, оно обязательно должно соответствовать настоящему руководству.
2. Нормативные ссылки
2.1. В настоящем руководстве использованы ссылки на следующие документы в зависимости от деятельности по оценке соответствия <12>:
--------------------------------
<1> Настоящее руководство может также применяться в сочетании использования со следующими стандартами оценки соответствия: ГОСТ Р ИСО 14065-2022, ГОСТ Р ИСО/МЭК 17020-2012, ГОСТ ISO/IEC 17025-2019.
<2> Кроме того, инструкции по применению ИКТ в процессе аудита/оценки содержатся в следующих документах: ГОСТ Р ИСО/МЭК 17020-2012, ГОСТ ISO/IEC 17025-2019, Системы электронного документирования данных, IAF ID 12:2023, ГОСТ Р ИСО 19011-2021.
СМ N 04.1-1.0012
Документ СМ N 04.1-1.0012 "Руководство по определению продолжительности аудита системы менеджмента качества, системы экологического менеджмента и системы менеджмента охраны здоровья и безопасности труда" (IAF MD 5:2023, IDT)
ГОСТ Р ИСО 14065-2022
Национальный стандарт ГОСТ Р ИСО 14065-2022 (ISO 14065:2020, IDT) "Общие принципы и требования к органам по валидации и верификации экологической информации"
ГОСТ ISO/IEC 17011-2018
Межгосударственный стандарт ГОСТ ISO/IEC 17011-2018 (ISO/IEC 17011:2017, IDT) "Оценка соответствия. Требования к органам по аккредитации, аккредитующим органы по оценке соответствия"
ГОСТ Р ИСО/МЭК 17020-2012
Национальный стандарт ГОСТ Р ИСО/МЭК 17020-2012 (ISO/IEC 17020:2012, IDT) "Оценка соответствия, требования к работе различных типов органов инспекции"
ГОСТ Р ИСО/МЭК 17021-1-2017
Национальный стандарт ГОСТ Р ИСО/МЭК 17021-1-2017 (ISO/IEC 17021-1:2015, IDT) "Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 1. Требования"
ГОСТ Р ИСО/МЭК 17024-2017
Национальный стандарт ГОСТ Р ИСО/МЭК 17024-2017 (ISO/IEC 17024:2012, IDT) "Оценка соответствия. Общие требования к органам, проводящим сертификацию персонала"
ГОСТ ISO/IEC 17025-2019
Межгосударственный стандарт ГОСТ ISO/IEC 17025-2019 (ISO/IEC 17025:2017, IDT) "Общие требования к компетентности испытательных и калибровочных лабораторий"
ГОСТ Р ИСО/МЭК 17065-2012
Национальный стандарт ГОСТ Р ИСО/МЭК 17065-2012 (ISO/IEC 17065:2012, IDT) "Оценка соответствия. Требования к органам по сертификации продукции, процессов и услуг"
ГОСТ Р ИСО 19011-2021
Национальный стандарт ГОСТ Р ИСО 19011-2021 (ISO 19011:2018, IDT) "Оценка соответствия. Руководящие указания по проведению аудита систем менеджмента"
IAF ID 12:2023
Документ Международного форума по аккредитации IAF ID 12:2023 "Принципы удаленной оценки" (IAF ID 12:2023 "Principles on Remote Assessment")
IAF MD 4:2023
Документ Международного форума по аккредитации IAF MD 4:2023 "Обязательный документ IAF по применению информационных и коммуникационных технологий в целях аудита/оценки" (IAF MD 4:2023 "IAF Mandatory Document for the Use of Information and Communication Technology (ICT) for Auditing/Assessment Purposes")
Системы электронного документирования данных
Международный документ группы ISO/IAF по практике проведения аудита "Системы электронного документирования данных" (ISO/IAF Auditing Practices Group - "Electronic documented information systems")
3. Термины и определения
3.1. В настоящем руководстве применяются следующие термины:
виртуальный объект - виртуальное местонахождение, в котором организация клиента выполняет работу или предоставляет услугу с использованием интерактивной среды, позволяющую лицам, независимо от физического местоположения, выполнять процессы <1>
--------------------------------
<1> Виртуальный объект не может рассматриваться, там, где процессы должны выполняться в физической среде, например, складирование, производство, физические испытательные лаборатории, установка или ремонт физической продукции. Виртуальный объект (например, внутренняя сеть компании) считается единым объектом для расчета времени аудита/оценки.
3.2. В настоящем руководстве применяются следующие сокращения:
ИКТ
-
информационные и коммуникационные технологии
ООС
-
орган по оценке соответствия
ОА
-
орган по аккредитации
4. Общие положения
4.1. Поскольку ИКТ становятся совершеннее, очень важно иметь возможность использовать ИКТ для оптимизации эффективности и результативности аудита/оценки, а также для поддержки и поддержания целостности процесса аудита/оценки.
4.2. ИКТ предполагают использование технологий для сбора, хранения, извлечения, обработки, анализа и передачи информации. Сюда относится программное и аппаратное обеспечение и аппаратные средства, такие как смартфоны, карманные устройства, портативные компьютеры, настольные компьютеры, дроны, видеокамеры, переносные электронные устройства, искусственный интеллект и другие. Использование ИКТ может быть целесообразно для аудита/оценки как на месте, так и в дистанционном формате.
4.3. Примеры использования ИКТ в процессе аудита/оценки могут включать, в частности:
- совещания с использованием средств телеконференции, включая передачу аудио- и видеосвязь, и обмен данными;
- аудит/оценку документов и записей посредством удаленного доступа либо синхронно (в режиме реального времени), либо асинхронно (если применимо);
- запись информации и материалов посредством still-видео, видео- или аудиозаписи;
- обеспечение визуального/звукового доступа к удаленным или потенциально опасным местам.
4.4. Цели для эффективного применения ИКТ в целях аудита/оценки:
1) Разработка достаточно гибкой и ненормативной методологии использования ИКТ, для оптимизации обычного процесса аудита/оценки;
2) Обеспечение наличия надлежащих механизмов контроля во избежание злоупотреблений, которые могут поставить под угрозу целостность процесса аудита/оценки;
3) Соблюдение принципов безопасности и устойчивости.
Также необходимо принять меры для обеспечения безопасности и конфиденциальности в ходе мероприятий по аудиту/оценки.
4.5. Другие схемы, нормативные документы и стандарты оценки соответствия могут накладывать ограничения на использование ИКТ при проведении аудита/оценки и могут преобладать над настоящим руководством.
5. Требования
5.1. Безопасность и конфиденциальность
5.1.1. Безопасность и конфиденциальность электронной или электронно-передаваемой информации особенно важны при применении ИКТ в целях аудита/оценки.
5.1.2. Применение ИКТ в целях аудита/оценки должно быть согласовано между проверяемым/оцениваемым органом и органом, проводящим аудит/оценку, в соответствии с мерами и положениями по информационной безопасности и защите данных до применения ИКТ в целях аудита/оценки.
5.1.3. В случае невыполнения указанных мер или несогласованности мер информационной безопасности и защиты данных орган, проводящий аудит/оценку, должен использовать другие методы проведения аудита/оценки.
5.1.4. Если не достигнуто соглашение относительно применения ИКТ для аудита/оценке, то для выполнения задач аудита/оценки необходимо использовать другие методы.
5.2. Требования к процессу
5.2.1. Орган должен идентифицировать и документировать риски и возможности, которые могут повлиять на эффективность аудита/оценки в каждом случае применения ИКТ в одинаковых условиях, включая выбор технологий и порядок управления ими.
5.2.2. Если ИКТ предлагается для проведения аудита/оценки, рассмотрение заявки должно включать проверку наличия у клиента и органа, проводящего аудит/оценку, необходимой инфраструктуры для обеспечения применения предлагаемых ИКТ.
5.2.3. С учетом рисков и возможностей, указанные в пункте 5.2.1. настоящего руководства, план аудита/оценки должен определять, порядок и масштаб применения ИКТ в целях аудита/оценки, для оптимизации эффективности и продуктивности аудита/оценки при обеспечении целостности процесса аудита/оценки.
5.2.4. При использовании ИКТ аудиторы/оценщики и другие привлеченные лица (например, пилоты дронов, технические специалисты) должны обладать компетенцией и способностью понимать и использовать ИКТ, используемые для достижения желаемых результатов аудита(ов)/оценки (оценок). Аудитор/оценщик должен также знать о рисках и возможностях применяемых ИКТ, а также о влиянии, которое они могут оказать на достоверность и объективность собранной информации.
5.2.5. Если ИКТ применяются в целях аудита/оценки, они увеличивают общее время аудита/оценки, поскольку может потребоваться дополнительное планирование, которое может повлиять на продолжительность аудита/оценки <1>.
--------------------------------
<1> При определении времени и продолжительности аудита/оценки см. раздел 2 настоящего руководства для дополнительных требований, которые могут повлиять на применение ИКТ. Влияние на продолжительность аудита/оценки с использованием ИКТ не ограничивается настоящим руководством.
5.2.6. В отчетах об аудите/оценке и соответствующих записях указывается степень использования ИКТ при проведении аудита/оценки и эффективности ИКТ для достижения целей аудита/оценки.
5.2.7. Если виртуальные объекты включены в область действия, документация по сертификации/аккредитации должна учитывать, наличие виртуальных объектов, и определена деятельность, осуществляемая на виртуальных объектах.