Iso 19011 - 2018 (En - VN)

TÀI LIỆU ĐÀO TẠO
ISO 19011:2018
BẢN DỊCH THAM KHẢO
B
U
R
EA
U
VE
R
IT
A
S
Bản dịch tham khảo – Sử dụng cho đào tạo

ISO 19011:2018 BẢN DỊCH THAM KHẢO
Introduction Lời giới thiệu
Since the second edition of this document was Từ khi phiên bản thứ hai của tiêu chuẩn này được
published in 2011, a number of new management công bố vào năm 2013, một số tiêu chuẩn hệ thống
system standards have been published, many of quản lý mới cũng đã được công bố, nhiều tiêu chuẩn
which have a common structure, identical core có cấu trúc chung, yêu cầu cốt lõi giống nhau và các
requirements and common terms and core thuật ngữ và định nghĩa cốt lõi chung. Vì vậy, cần
definitions. As a result, there is a need to consider a xem xét một cách tiếp cận rộng hơn đối với việc
broader approach to management system auditing, đánh giá hệ thống quản lý, cũng như đưa ra hướng
as well as providing guidance that is more generic. dẫn khái quát hơn. Kết quả đánh giá có thể cung cấp
Audit results can provide input to the analysis aspect đầu vào cho khía cạnh phân tích hoạch định kinh
of business planning, and can contribute to the doanh và có thể góp phần nhận biết các nhu cầu và
identification of improvement needs and activities. hoạt động cải tiến.
An audit can be conducted against a range of audit Đánh giá có thể được thực hiện theo một loạt các
criteria, separately or in combination, including but chuẩn mực đánh giá, riêng biệt hoặc kết hợp, bao
not limited to: gồm nhưng không giới hạn ở:
  các yêu cầu được xác định trong một hay

B
requirements defined in one or more

management system standards; nhiều tiêu chuẩn về hệ thống quản lý;
U
 policies and requirements specified by  các chính sách và yêu cầu theo quy định của
R
relevant interested parties; các bên quan tâm có liên quan;

 Statutory and regulatory requirements;  các yêu cầu của luật định và chế định;
EA
 one or more management system processes  một hoặc nhiều quá trình của hệ thống quản
defined by the organization or other parties; lý được xác định bởi tổ chức hoặc các bên
U
 management system plan(s) relating to the khác;

provision of specific outputs of a  (các) kế hoạch hệ thống quản lý liên quan
VE
management system (e.g. quality plan, đến việc cung cấp các đầu ra cụ thể của một
project plan). hệ thống quản lý (ví dụ kế hoạch chất lượng,
kế hoạch dự án).
R
Tiêu chuẩn này đưa ra hướng dẫn cho tất cả các loại
IT
This document provides guidance for all sizes and

types of organizations and audits of varying scopes hình và quy mô của tổ chức và các cuộc đánh giá
A
and scales, including those conducted by large audit với phạm vi và quy mô khác nhau, bao gồm cả các
teams, typically of larger organizations, and those by cuộc đánh giá được tiến hành bởi các đoàn đánh giá
S
single auditors, whether in large or small lớn, các cuộc đánh giá được tiến hành bởi các
organizations. This guidance should be adapted as chuyên gia đánh giá đơn lẻ, ở các tổ chức lớn hay
appropriate to the scope, complexity and scale of the nhỏ. Hướng dẫn này cần được điều chỉnh thích hợp
audit programme. với phạm vi, mức độ phức tạp và quy mô của
chương trình đánh giá.
This document concentrates on internal audits (first Tiêu chuẩn này tập trung vào đánh giá nội bộ (bên
party) and audits conducted by organizations on their thứ nhất) và các cuộc đánh giá được tổ chức tiến
external providers and other external interested hành với các nhà cung cấp bên ngoài của mình và
parties (second party). This document can also be các bên quan tâm bên ngoài khác (bên thứ hai). Tiêu
useful for external audits conducted for purposes chuẩn này cũng có thể hữu ích đối với các cuộc
other than third party management system đánh giá bên ngoài được tiến hành với mục đích
certification. ISO/IEC 17021-1 provides khác ngoài chứng nhận hệ thống quản lý của bên
requirements for auditing management systems for thứ ba. TCVN ISO/IEC 17021-1 đưa ra các yêu cầu
third party certification; this document can provide đối với đánh giá các hệ thống quản lý cho chứng
nhận của bên thứ ba; tiêu chuẩn này có thể cung cấp
Page 1 of 76
useful additional guidance (see Table 1). hướng dẫn bổ sung hữu ích (xem Bảng 1).
Table 1 — Different types of audits
Bảng 1 - Các loại hình đánh giá khác nhau

B
U
R
EA
To simplify the readability of this document, the Để đơn giản việc đọc hiểu tiêu chuẩn này, từ “hệ
singular form of “management system” is preferred, thống quản lý” ở số ít được ưu tiên, nhưng người
U
but the reader can adapt the implementation of the dùng có thể thích ứng với việc áp dụng hướng dẫn
guidance to their own situation. This also applies to cho trường hợp của mình. Điều này cũng áp dụng
VE
the use of “individual” and “individuals”, “auditor” and đối với việc sử dụng từ “cá nhân” và “các cá nhân”,
“auditors”. “chuyên gia đánh giá” và “các chuyên gia đánh giá”.
R
This document is intended to apply to a broad range Tiêu chuẩn này nhằm áp dụng cho phạm vi rộng
người dùng tiềm năng, bao gồm chuyên gia đánh
IT
of potential users, including auditors, organizations

implementing management systems and giá, tổ chức áp dụng hệ thống quản lý và tổ chức cần
A
organizations needing to conduct management thực hiện đánh giá hệ thống quản lý vì lý do hợp
đồng hoặc pháp lý. Tuy nhiên, người dùng tiêu chuẩn
S
system audits for contractual or regulatory reasons.

Users of this document can, however, apply this có thể áp dụng hướng dẫn này trong việc xây dựng
guidance in developing their own audit-related các yêu cầu liên quan đến đánh giá của riêng mình.
requirements. The guidance in this document can Hướng dẫn trong tiêu chuẩn này cũng có thể được
also be used for the purpose of self-declaration and sử dụng cho mục đích tự công bố và có thể hữu ích
can be useful to organizations involved in auditor cho các tổ chức tham gia đào tạo chuyên gia đánh
training or personnel certification. giá hoặc chứng nhận năng lực cá nhân
The guidance in this document is intended to be Hướng dẫn trong tiêu chuẩn này hướng tới sự linh
flexible. As indicated at various points in the text, the hoạt. Như được thể hiện ở nhiều chỗ khác nhau
use of this guidance can differ depending on the size trong nội dung, việc sử dụng hướng dẫn này có thể
and level of maturity of an organization’s khác nhau tùy thuộc vào quy mô và mức độ nhuần
management system. The nature and complexity of nhuyễn của hệ thống quản lý của tổ chức. Bản chất
the organization to be audited, as well as the và sự phức tạp của tổ chức được đánh giá, cũng
objectives and scope of the audits to be conducted, như mục tiêu và phạm vi của các cuộc đánh giá
should also be considered. được tiến hành, cũng cần được xem xét.
Page 2 of 76
This document adopts the combined audit approach Tiêu chuẩn này chấp nhận cách tiếp cận đánh giá kết
when two or more management systems of different hợp khi hai hoặc nhiều hệ thống quản lý ở về lĩnh
disciplines are audited together. Where these vực khác nhau cùng được đánh giá. Khi các hệ
systems are integrated into a single management thống này được tích hợp thành một hệ thống quản lý,
system, the principles and processes of auditing are thì các nguyên tắc và quá trình đánh giá giống như
the same as for a combined audit (sometimes known đối với đánh giá kết hợp (đôi khi được gọi là đánh giá
as an integrated audit). tích hợp).
This document provides guidance on the Tiêu chuẩn này đưa ra hướng dẫn về quản lý một
management of an audit programme, on the chương trình đánh giá, hoạch định và tiến hành các
planning and conducting of management system cuộc đánh giá hệ thống quản lý, cũng như về năng
audits, as well as on the competence and evaluation lực và đánh giá năng lực của chuyên gia đánh giá và
of an auditor and an audit team đoàn đánh giá
Guidelines for auditing management systems Hướng dẫn đánh giá hệ thống quản lý
1 Scope 1 Phạm vi áp dụng
This document provides guidance on auditing Tiêu chuẩn này đưa ra hướng dẫn đánh giá các hệ
B
management systems, including the principles of thống quản lý, bao gồm các nguyên tắc đánh giá,
U
auditing, managing an audit programme and quản lý chương trình đánh giá và tiến hành các cuộc
conducting management system audits, as well as đánh giá hệ thống quản lý, cũng như hướng dẫn về
R
guidance on the evaluation of competence of đánh giá năng lực của các cá nhân tham gia vào quá
EA
individuals involved in the audit process. These trình đánh giá. Các hoạt động này liên quan (các) cá
activities include the individual(s) managing the audit nhân quản lý chương trình đánh giá, chuyên gia
programme, auditors and audit teams. đánh giá và đoàn đánh giá. Tiêu chuẩn này có thể áp
U
It is applicable to all organizations that need to plan dụng cho tất cả các tổ chức cần hoạch định và tiến
and conduct internal or external audits of hành các cuộc đánh giá nội bộ hoặc bên ngoài đối
VE
management systems or manage an audit với các hệ thống quản lý hoặc để quản lý chương
programme. trình đánh giá.
R
The application of this document to other types of Cũng có thể áp dụng tiêu chuẩn này cho các loại
IT
audits is possible, provided that special hình đánh giá khác, miễn là các xem xét đặc biệt
consideration is given to the specific competence được đưa ra đối với năng lực cần thiết cụ thể.
A
needed.
S
2 Normative references 2 Tài liệu viện dẫn
There are no normative references in this document. Không có tài liệu viện dẫn
3 Terms and definitions 3 Thuật ngữ và định nghĩa
For the purposes of this document, the following Tiêu chuẩn này sử dụng các thuật ngữ và định nghĩa
terms and definitions apply. dưới đây.
ISO and IEC maintain terminological databases for ISO và IEC cũng duy trì cơ sở dữ liệu về các thuật
use in standardization at the following addresses: ngữ được sử dụng trong lĩnh vực tiêu chuẩn hóa
theo các địa chỉ sau:
— ISO Online browsing platform: available at https:
//www .iso .org/obp - Nền trình duyệt trực tuyến của ISO: có tại
http://www.iso.org/obp
— IEC Electropedia: available at http: //www
- Từ điển trực tuyến về điện, điện tử của IEC: có tại
Page 3 of 76
.electropedia .org/ http://www.electropedia.org/
3.1 3.1
audit Đánh giá
systematic, independent and documented process
for obtaining objective evidence (3.8) and evaluating Quá trình có hệ thống, độc lập và được lập thành văn
it objectively to determine the extent to which the bản để thu được bằng chứng khách quan (3.8) và
audit criteria (3.7) are fulfilled xem xét đánh giá chúng một cách khách quan để xác
định mức độ thực hiện các chuẩn mực đánh giá
Note 1 to entry: Internal audits, sometimes called (3.7).
first party audits, are conducted by, or on behalf of,
the organization itself. CHÚ THÍCH 1: Đánh giá nội bộ thường được gọi là
đánh giá của bên thứ nhất, do tổ chức (3.2.1) tự thực
Note 2 to entry: External audits include those hiện hoặc thực hiện với danh nghĩa của tổ chức.
generally called second and third party audits.
Second party audits are conducted by parties having CHÚ THÍCH 2: Đánh giá bên ngoài bao gồm đánh
an interest in the organization, such as customers, giá của bên thứ hai và bên thứ ba. Đánh giá của bên
or by other individuals on their behalf. Third party thứ hai được tiến hành bởi các bên quan tâm tới tổ
B
audits are conducted by independent auditing chức, như khách hàng hoặc người khác với danh
nghĩa của khách hàng. Đánh giá bên thứ ba được
U
organizations, such as those providing

certification/registration of conformity or tiến hành bởi tổ chức đánh giá độc lập, như tổ chức
R
governmental agencies. cấp chứng nhận/đăng ký sự phù hợp hoặc cơ quan

EA
quản lý
[SOURCE: ISO 9000:2015, 3.13.1, modified —
Notes to entry have been modified] [NGUỒN: TCVN ISO 9000:2015, 3.13.1, được sửa
U
đổi – CHÚ THÍCH được sửa đổi]
3.2 3.2
VE
combined audit Đánh giá kết hợp

R
audit (3.1) carried out together at a single auditee Đánh giá (3.1) được thực hiện đồng thời trên hai hay
IT
(3.13) on two or more management systems (3.18) nhiều hệ thống quản lý (3.18) cho chỉ một bên được
đánh giá (3.13).
A
Note 1 to entry: When two or more discipline-

specific management systems are integrated into a CHÚ THÍCH 1: Khi hai hay nhiều hệ thống quản lý
S
single management system this is known as an cho lĩnh vực cụ thể được tích hợp vào một hệ thống
integrated management system. quản lý thì được gọi là hệ thống quản lý tích hợp.
[SOURCE: ISO 9000:2015, 3.13.2, modified] [NGUỒN: ISO 9000:2015, 3.13.2, được sửa đổi]
3.3 3.3
joint audit Đồng đánh giá
audit (3.1) carried out at a single auditee (3.13) by Đánh giá (3.1) được thực hiện cho chỉ một bên được
two or more auditing organizations đánh giá (3.13) bởi hai hay nhiều tổ chức đánh giá.
[SOURCE: ISO 9000:2015, 3.13.3] [NGUỒN: ISO 9000:2015, 3.13.3]
Page 4 of 76
3.4 3.4
audit programme Chương trình đánh giá
arrangements for a set of one or more audits (3.1) Các sắp đặt cho tập hợp một hay nhiều cuộc đánh
planned for a specific time frame and directed giá (3.1) được hoạch định cho một khoảng thời gian
towards a specific purpose cụ thể và nhằm mục đích cụ thể.
[SOURCE: ISO 9000:2015, 3.13.4, modified — [NGUỒN: ISO 9000:2015, 3.13.4, được sửa đổi - từ
wording has been added to the definition] ngữ được bổ sung vào định nghĩa]
3.5 3.5
audit scope Phạm vi đánh giá
extent and boundaries of an audit (3.1) Mức độ và ranh giới của một cuộc đánh giá (3.1).
Note 1 to entry: The audit scope generally includes CHÚ THÍCH 1: Phạm vi đánh giá thường bao gồm
a description of the physical and virtual-locations, mô tả về các địa điểm thực và ảo, các chức năng,
functions, organizational units, activities and các đơn vị thuộc tổ chức, các hoạt động và quá trình,
B
processes, as well as the time period covered. cũng như khoảng thời gian tiến hành.
U
Note 2 to entry: A virtual location is where an CHÚ THÍCH 2: Địa điểm ảo là nơi tổ chức thực hiện
R
organization performs work or provides a service công việc hoặc cung cấp dịch vụ bằng môi trường
EA
using an on-line environment allowing individuals trực tuyến cho phép các nhân sự ở địa điểm thực bất
irrespective of physical locations to execute kỳ thực thực thi các quá trình.
processes.
U
[NGUỒN: ISO 9000:2015, 3.13.5, được sửa đổi –

[SOURCE: ISO 9000:2015, 3.13.5, modified — Note CHÚ THÍCH 1 đã được sửa đổi, CHÚ THÍCH 2 được
VE
1 to entry has been modified, Note 2 to entry has bổ sung]

been added]
R
3.6 3.6
IT
audit plan Kế hoạch đánh giá

A
description of the activities and arrangements for an Sự mô tả các hoạt động và sắp xếp cho một cuộc
S
audit (3.1) đánh giá (3.1)
3.7 3.7
audit criteria Chuẩn mực đánh giá
set of requirements (3.23) used as a reference Tập hợp các yêu cầu (3.23) được sử dụng làm
against which objective evidence (3.8) is compared chuẩn theo đó so sánh các bằng chứng khách quan
(3.8).
Note 1 to entry: If the audit criteria are legal
(including statutory or regulatory) requirements, the CHÚ THÍCH 1: Khi chuẩn mực đánh giá là các yêu
words “compliance” or “non-compliance” are often cầu pháp lý (gồm luật định và chế định), thì các từ
used in an audit finding (3.10). "tuân thủ" hoặc “không tuân thủ" thường được sử
dụng trong phát hiện đánh giá (3.10).
Page 5 of 76
Note 2 to entry: Requirements may include policies, CHÚ THÍCH 2: Yêu cầu có thể bao gồm các chính
procedures, work instructions, legal requirements, sách, thủ tục, hướng dẫn công việc, yêu cầu pháp lý,
contractual obligations, etc. nghĩa vụ hợp đồng,…
[SOURCE: ISO 9000:2015, 3.13.7, modified — the [NGUỒN: ISO 9000:2015, 3.13.7, được sửa đổi -
definition has been changed and Notes to entry 1 định nghĩa được thay đổi và bổ sung chú thích 1 và
and 2 have been added] 2]
3.8 3.8
objective evidence Bằng chứng khách quan
data supporting the existence or verity of something Dữ liệu chứng minh sự tồn tại hay sự thật của một
điều nào đó.
Note 1 to entry: Objective evidence can be
obtained through observation, measurement, test or CHÚ THÍCH 1: Bằng chứng khách quan có thể thu
by other means. được thông qua quan sát, đo lường, thử nghiệm
hoặc cách thức khác.
Note 2 to entry: Objective evidence for the purpose
CHÚ THÍCH 2: Với mục đích đánh giá bằng chứng
B
of the audit (3.1) generally consists of records,

statements of fact, or other information which are khách quan thường bao gồm hồ sơ, tuyên bố về sự
U
relevant to the audit criteria (3.7) and verifiable. kiện hoặc thông tin khác liên quan đến chuẩn mực
R
đánh giá và có thể kiểm tra xác nhận.

[SOURCE: ISO 9000:2015, 3.8.3]
EA
[NGUỒN: ISO 9000:2015, 3.8.3]
3.9 3.9
U
audit evidence Bằng chứng đánh giá

VE
records, statements of fact or other information, Hồ sơ, trình bày về sự kiện hoặc các thông tin khác
which are relevant to the audit criteria (3.7) and liên quan tới chuẩn mực đánh giá (3.7) và và có thể
R
verifiable kiểm tra xác nhận.

IT

A
3.10 3.10
S
audit findings Phát hiện đánh giá
results of the evaluation of the collected audit Kết quả của việc xem xét đánh giá các bằng chứng
evidence (3.9) against audit criteria (3.7) đánh giá (3.9) thu thập được so với chuẩn mực đánh
giá (3.7).
Note 1 to entry: Audit findings indicate conformity
(3.20) or nonconformity (3.21). CHÚ THÍCH 1: Phát hiện đánh giá chỉ ra sự phù hợp
(3.20) hoặc không phù hợp (3.21).
Note 2 to entry: Audit findings can lead to the
identification of risks, opportunities for improvement CHÚ THÍCH 2: Phát hiện đánh giá có thể dẫn đến
or recording good practices. việc nhận diện các rủi ro và cơ hội cải tiến hoặc ghi
nhận việc thực hiện tốt.
Note 3 to entry: In English if the audit criteria are
selected from statutory requirements or regulatory CHÚ THÍCH 3: Khi các chuẩn mực đánh giá được
requirements, the audit finding is termed compliance lựa chọn từ các yêu cầu luật định hoặc yêu cầu chế
or non-compliance. định, thì phát hiện đánh giá có thể được gọi là sự
Page 6 of 76
[SOURCE: ISO 9000:2015, 3.13.9, modified — tuân thủ hoặc không tuân thủ.
Notes to entry 2 and 3 have been modified]
[NGUỒN: ISO 9000:2015, 3.13.9, được sửa đổi - các
chú thích 2 và 3 được sửa đổi]
3.11 3.11
audit conclusion Kết luận đánh giá
outcome of an audit (3.1), after consideration of the Kết quả đầu ra của một cuộc đánh giá (3.1), sau khi
audit objectives and all audit findings (3.10) xem xét các mục tiêu đánh giá và mọi phát hiện đánh
giá (3.10)
[SOURCE: ISO 9000:2015, 3.13.10]
[NGUỒN: ISO 9000:2015, 3.13.10]
3.12 3.12
audit client Khách hàng đánh giá
organization or person requesting an audit (3.1) Tổ chức hoặc cá nhân yêu cầu đánh giá (3.1).
B
Note 1 to entry: In the case of internal audit, the CHÚ THÍCH 1: Trong trường hợp đánh giá nội bộ,
audit client can also be the auditee (3.13) or the khách hàng đánh giá cũng có thể là bên được đánh
U
individual(s) managing the audit programme. giá (3.13) hoặc (các) cá nhân quản lý chương trình
R
Requests for external audit can come from sources đánh giá. Yêu cầu đánh giá từ bên ngoài có thể từ
EA
such as regulators, contracting parties or potential or các nguồn như cơ quan quản lý, bên ký kết hợp
existing clients. đồng hoặc khách hàng tiềm năng hay khách hàng
hiện tại.
U

Note 1 to entry has been added] [NGUỒN: ISO 9000:2015, 3.13.11, được sửa đổi -
VE
CHÚ THÍCH 1 được bổ sung]
3.13 3. 13
R
auditee Bên được đánh giá

IT
organization as a whole or parts thereof being Toàn bộ tổ chức hoặc các bộ phận của tổ chức được
A
audited đánh giá.

S
[SOURCE: ISO 9000:2015, 3.13.12, modified] [NGUỒN: ISO 9000:2015, 3.13.12, được sửa đổi]
3.14 3.14
audit team Đoàn đánh giá
one or more persons conducting an audit (3.1), Một hay nhiều cá nhân tiến hành cuộc đánh giá (3.1),
supported if needed by technical experts (3.16) với sự hỗ trợ của các chuyên gia kỹ thuật (3.16) khi
cần.
Note 1 to entry: One auditor (3.15) of the audit
team (3.14) is appointed as the audit team leader. CHÚ THÍCH 1: Một chuyên gia đánh giá (3.15) trong
đoàn đánh giá (3.14) được chỉ định làm trưởng đoàn
Note 2 to entry: The audit team can include đánh giá.
auditors-in-training.
CHÚ THÍCH 2: Đoàn đánh giá có thể bao gồm
[SOURCE: ISO 9000:2015, 3.13.14] chuyên gia đánh giá tập sự.
Page 7 of 76
[NGUỒN: ISO 9000:2015, 3.13.14]
3.15 3.15
auditor Chuyên gia đánh giá
person who conducts an audit (3.1) Người tiến hành cuộc đánh giá (3.1)
3.16 3.16
technical expert Chuyên gia kỹ thuật
<audit> person who provides specific knowledge or <đánh giá> người cung cấp kiến thức hay kinh
expertise to the audit team (3.14) nghiệm chuyên sâu cho đoàn đánh giá (3.14)
Note 1 to entry: Specific knowledge or expertise CHÚ THÍCH 1: Kiến thức và kinh nghiệm chuyên sâu
relates to the organization, the activity, process, liên quan đến tổ chức, hoạt động, quá trình, sản
product, service, discipline to be audited, or phẩm, dịch vụ, lĩnh vực được đánh giá hoặc ngôn
B
language or culture. ngữ hay văn hóa.

U
Note 2 to entry: A technical expert to the audit team CHÚ THÍCH 2: Chuyên gia kỹ thuật cho đoàn đánh
R
(3.14) does not act as an auditor (3.15). giá (3.14) không hành động như một chuyên gia
đánh giá (3.15).
EA

Notes to entry 1 and 2 have been modified] [NGUỒN: ISO 9000:2015, 3.13.16, được sửa đổi –
CHÚ THÍCH 1 và 2 được sửa đổi]
U
3.17 3.17
VE
Observer Quan sát viên

R
individual who accompanies the audit team (3.14) Cá nhân tham gia cùng đoàn đánh giá (3.14) nhưng
IT
but does not act as an auditor (3.15) không hành động như chuyên gia đánh giá (3.15)
[NGUỒN: ISO 9000:2015, 3.13.17, được sửa đổi]
A
[SOURCE: ISO 9000:2015, 3.13.17, modified]

S
3.18 3.18
management system Hệ thống quản lý
set of interrelated or interacting elements of an Tập hợp các yếu tố có liên quan hoặc tương tác lẫn
organization to establish policies and objectives, and nhau của tổ chức để thiết lập chính sách, mục tiêu và
processes (3.24) to achieve those objectives các quá trình (3.24) để đạt được các mục tiêu đó
Note 1 to entry: A management system can CHÚ THÍCH 1: Một hệ thống quản lý có thể giải
address a single discipline or several disciplines, quyết một hay nhiều lĩnh vực, ví dụ quản lý chất
e.g. quality management, financial management or lượng, quản lý tài chính hoặc quản lý môi trường.
environmental management.
CHÚ THÍCH 2: Các yếu tố của hệ thống quản lý chất
Note 2 to entry: The management system elements lượng thiết lập cơ cấu, vai trò và trách nhiệm, việc
establish the organization’s structure, roles and hoạch định, vận hành, chính sách, thực hành, quy
responsibilities, planning, operation, policies, tắc, niềm tin, mục tiêu của tổ chức và các quá trình
practices, rules, beliefs, objectives and processes to
Page 8 of 76
achieve those objectives. để đạt được những mục tiêu đó
Note 3 to entry: The scope of a management CHÚ THÍCH 3: Phạm vi của hệ thống quản lý có thể
system can include the whole of the organization, bao gồm toàn bộ tổ chức, các chức năng cụ thể
specific and identified functions of the organization, được nhận biết trong tổ chức, các bộ phận cụ thể
specific and identified sections of the organization, được nhận biết của tổ chức, hoặc một hay nhiều
or one or more functions across a group of chức năng xuyên suốt một nhóm tổ chức.
organizations.
[NGUỒN: ISO 9000:2015, 3.5.3, được sửa đổi – bỏ
[SOURCE: ISO 9000:2015, 3.5.3, modified — Note chú thích 4)
4 to entry has been deleted]
3.19 3.19
Risk Rủi ro
effect of uncertainty Tác động của sự không chắc chắn.
Note 1 to entry: An effect is a deviation from the CHÚ THÍCH 1: Tác động là một sai lệch so với dự
B
expected – positive or negative. kiến - tích cực hoặc tiêu cực.

U
Note 2 to entry: Uncertainty is the state, even CHÚ THÍCH 2: Sự không chắc chắn là tình trạng,
R
partial, of deficiency of information related to, thậm chí là một phần, thiếu hụt thông tin liên quan tới
understanding or knowledge of, an event, its việc hiểu hoặc nhận thức về một sự kiện, hệ quả của
EA
consequence and likelihood sự kiện đó, hoặc khả năng xảy ra của nó.
Note 3 to entry: Risk is often characterized by CHÚ THÍCH 3: Rủi ro thường đặc trưng bởi sự dẫn
U
reference to potential events (as defined in ISO chiếu đến các sự kiện (được định nghĩa tại 3.5.1.3,
TCVN 9788:2013) và hệ quả (được định nghĩa tại
VE
Guide 73:2009, 3.5.1.3) and consequences (as

defined in ISO Guide 73:2009, 3.6.1.3), or a 3.6.1.3, TCVN 9788:2013) tiềm ẩn, hoặc sự kết hợp
combination of these. giữa chúng.
R
Note 4 to entry: Risk is often expressed in terms of CHÚ THÍCH 4: Rủi ro thường thể hiện theo cách kết
IT
a combination of the consequences of an event hợp các hệ quả của một sự kiện (bao gồm cả những
(including changes in circumstances) and the thay đổi về hoàn cảnh) và khả năng xảy ra (được
A
associated likelihood (as defined in ISO Guide định nghĩa tại 3.6.1.1, TCVN 9788:2013) kèm theo.
S
73:2009, 3.6.1.1) of occurrence.

[NGUỒN: ISO 9000:2015, 3.7.9, được sửa đổi – bỏ
[SOURCE: ISO 9000:2015, 3.7.9, modified — Notes chú thích 5 và 6]
to entry 5 and 6 have been deleted]
3.20 3.20
Conformity Sự phù hợp
Fulfilment of a requirement (3.23) Việc đáp ứng một yêu cầu (3.23).
[SOURCE: ISO 9000:2015, 3.6.11, modified — Note [NGUỒN: TCVN ISO 9000:2015, 3.6.11, được sửa
1 to entry has been deleted] đổi – bỏ chú thích 1]
Page 9 of 76
3.21 3.21
Nonconformity Sự không phù hợp
non-fulfilment of a requirement (3.23) Sự không đáp ứng một yêu cầu (3.23)
[SOURCE: ISO 9000:2015, 3.6.9, modified — Note [NGUỒN: TCVN ISO 9000:2015, 3.6.9, được sửa đổi
1 to entry has been deleted] – bỏ chú thích]
3.22 3.22
Competence Năng lực
ability to apply knowledge and skills to achieve Khả năng áp dụng kiến thức và kỹ năng để đạt được
intended results kết quả dự kiến
[SOURCE: ISO 9000:2015, 3.10.4, modified — [NGUỒN: ISO 9000:2015, 3.10.4, được sửa đổi – bỏ
Notes to entry have been deleted] các chú thích]
3.23 3.23
B
Requirement Yêu cầu

U
need or expectation that is stated, generally implied Nhu cầu hoặc mong đợi được tuyên bố, ngầm hiểu
R
or obligatory chung hoặc bắt buộc.

EA
Note 1 to entry: “Generally implied” means that it is CHÚ THÍCH 1: “Ngầm hiểu chung” nghĩa là đối với tổ
custom or common practice for the organization and chức và các bên quan tâm, nhu cầu hoặc mong đợi
U
interested parties that the need or expectation under được coi là ngầm hiểu mang tính thông lệ hoặc thực
consideration is implied. hành chung.
VE
Note 2 to entry: A specified requirement is one that CHÚ THÍCH 2: Yêu cầu được quy định là yêu cầu đã
is stated, for example in documented information. được công bố, ví dụ trong thông tin dạng văn bản.
R
[SOURCE: ISO 9000:2015, 3.6.4, modified — Notes [NGUỒN: ISO 9000:2015, 3.6.4, được sửa đổi – bỏ
IT
to entry 3, 4, 5 and 6 have been deleted] chú thích 3, 4, 5 và 6]

A
3.24 3.24
S
Process Quá trình
set of interrelated or interacting activities that use Tập hợp các hoạt động có liên quan hoặc tương tác
inputs to deliver an intended result lẫn nhau, sử dụng đầu vào để cho ra kết quả dự
kiến.
[SOURCE: ISO 9000:2015, 3.4.1, modified — Notes
to entry have been deleted] [NGUỒN: ISO 9000:2015, 3.4.1, được sửa đổi – bỏ
các chú thích].
3.25 3.25
performance Kết quả thực hiện
measurable result Kết quả có thể đo được.
Note 1 to entry: Performance can relate either to CHÚ THÍCH 1: Kết quả thực hiện có thể liên quan
quantitative or qualitative findings. đến cả các phát hiện định lượng hoặc định tính
Page 10 of 76
Note 2 to entry: Performance can relate to the CHÚ THÍCH 2: Kết quả thực hiện có thể liên quan
management of activities, processes (3.24), đến việc quản lý các hoạt động, quá trình (3.24), sản
products, services, systems or organizations. phẩm, dịch vụ, hệ thống hoặc tổ chức.
[SOURCE: ISO 9000:2015, 3.7.8, modified — Note [NGUỒN: ISO 9000:2015, 3.7.8, được sửa đổi – bỏ
3 to entry has been deleted] chú thích 3]
3.26 3.26
Effectiveness Hiệu lực
extent to which planned activities are realized and Mức độ theo đó các hoạt động đã hoạch định được
planned results achieved thực hiện và đạt được các kết quả đã hoạch định.
[SOURCE: ISO 9000:2015, 3.7.11, modified — Note NGUỒN: ISO 9000:2015, 3.7.11, được sửa đổi – bỏ
1 to entry has been deleted] chú thích 1]
4 Principles of auditing 4 Các nguyên tắc đánh giá
Auditing is characterized by reliance on a number of Việc đánh giá được thực hiện trên cơ sở một số
B
principles. These principles should help to make the nguyên tắc. Những nguyên tắc này cần giúp cuộc
đánh giá trở thành một công cụ hiệu lực và tin cậy,
U
audit an effective and reliable tool in support of

management policies and controls, by providing hỗ trợ cho các chính sách và việc kiểm soát của lãnh
R
information on which an organization can act in đạo thông qua việc cung cấp thông tin theo đó tổ
EA
order to improve its performance. Adherence to chức có thể hành động để cải tiến kết quả thực hiện
these principles is a prerequisite for providing audit của mình. Việc tuân thủ chặt chẽ những nguyên tắc
conclusions that are relevant and sufficient, and for này là tiền đề để đưa ra các kết luận đánh giá thích
U
enabling auditors, working independently from one hợp và đầy đủ, cho phép các chuyên gia đánh giá
another, to reach similar conclusions in similar làm việc độc lập với nhau mà vẫn đạt được những
VE
circumstances. kết luận như nhau trong những tình huống đánh giá
giống nhau.
R
The guidance given in Clauses 5 to 7 is based on Các hướng dẫn nêu ra ở Điều 5 đến Điều 7 dựa trên
IT
the seven principles outlined below. bảy nguyên tắc dưới đây
A
a) Integrity: the foundation of professionalis a) Toàn vẹn: nền tảng của sự chuyên nghiệp
S
Auditors and the individual(s) managing an audit Chuyên gia đánh giá và (những) người quản lý
programme should: chương trình đánh giá cần:
 thực hiện công việc của mình một cách có đạo

 perform their work ethically, with honesty and
đức, trung thực và trách nhiệm;
responsibility
 chỉ thực hiện hoạt động đánh giá khi mình có
 only undertake audit activities if competent to do năng lực để thực hiện;
so;  thực hiện công việc của mình một cách khách
 perform their work in an impartial manner, i.e. quan, nghĩa là duy trì sự công bằng, không thiên
remain fair and unbiased in all their dealings; lệch trong tất cả các xử lý của mình;
 be sensitive to any influences that may be  nhạy cảm với mọi ảnh hưởng có thể tác động tới
suy xét của mình trong khi thực hiện đánh giá.
exerted on their judgement while carrying out an
audit.
Page 11 of 76
b) Fair presentation: the obligation to report b) Phản ánh công bằng: nghĩa vụ báo cáo trung
truthfully and accurately. thực và chính xác.
Audit findings, audit conclusions and audit reports Các phát hiện đánh giá, kết luận đánh giá và báo
cáo đánh giá phản ánh một cách trung thực và
should reflect truthfully and accurately the audit
chính xác hoạt động đánh giá. Cần báo cáo những
activities. Significant obstacles encountered during trở ngại đáng kể gặp phải trong quá trình đánh giá
the audit and unresolved diverging opinions between và những quan điểm khác biệt chưa được giải
the audit team and the auditee should be reported. quyết giữa đoàn đánh giá và bên được đánh giá.
The communication should be truthful, accurate, Việc trao đổi thông tin cần trung thực, chính xác,
objective, timely, clear and complete. khách quan, kịp thời, rõ ràng và đầy đủ
c) Due professional care: the application of c) Thận trọng nghề nghiệp: vận dụng sự chuyên
diligence and judgement in auditing. cần và suy xét trong đánh giá.
Auditors should exercise due care in accordance Chuyên gia đánh giá cần có sự thận trọng phù hợp
với tầm quan trọng của nhiệm vụ họ thực hiện, với
with the importance of the task they perform and the
sự tin cậy của khách hàng đánh giá và các bên
confidence placed in them by the audit client and quan tâm khác với họ. Yếu tố quan trọng khi thực
other interested parties. An important factor in hiện công việc với sự thận trọng nghề nghiệp là có
carrying out their work with due professional care is khả năng đưa ra các suy xét hợp lý trong mọi tình
B
having the ability to make reasoned judgements in huống đánh giá.

U
all audit situations.

R
d) Confidentiality: security of information d) Bảo mật: an ninh thông tin

EA
Auditors should exercise discretion in the use and Chuyên gia đánh giá cần thận trọng trong việc sử
protection of information acquired in the course of dụng và bảo vệ thông tin thu được trong quá trình
U
their duties. Audit information should not be used thực hiện nhiệm vụ của mình. Không nên sử dụng
inappropriately for personal gain by the auditor or thông tin đánh giá một cách không thích hợp vì lợi
VE
the audit client, or in a manner detrimental to the ích cá nhân của chuyên gia đánh giá hoặc khách
legitimate interests of the auditee. This concept hàng đánh giá, hay theo cách làm tổn hại đến lợi ích
includes the proper handling of sensitive or hợp pháp của bên được đánh giá. Khái niệm này bao
R
confidential information. gồm việc xử lý thích hợp các thông tin nhạy cảm
IT
hoặc bí mật
A
e) Independence: the basis for the impartiality of e) Độc lập: cơ sở cho tính khách quan của cuộc
the audit and objectivity of the audit conclusion đánh giá và tính vô tư của các kết luận đánh giá.
S
Auditors should be independent of the activity being Các chuyên gia đánh giá cần độc lập với hoạt động
được đánh giá nếu thực hiện được và trong mọi
audited wherever practicable, and should in all
trường hợp cần hành động không thiên vị và không
cases act in a manner that is free from bias and có xung đột về lợi ích. Đối với các cuộc đánh giá nội
conflict of interest. For internal audits, auditors bộ, chuyên gia đánh giá cần độc lập với chức năng
should be independent from the function being được đánh giá nếu có thể thực hiện được. Chuyên
audited if practicable. Auditors should maintain gia đánh giá cần duy trì sự vô tư trong suốt quá trình
objectivity throughout the audit process to ensure đánh giá để đảm bảo rằng các phát hiện đánh giá và
that the audit findings and conclusions are based kết luận đánh giá chỉ dựa vào bằng chứng đánh giá.
only on the audit evidence.
Đối với các tổ chức nhỏ, chuyên gia đánh giá nội bộ
For small organizations, it may not be possible for
có thể không có khả năng độc lập hoàn toàn với
internal auditors to be fully independent of the
hoạt động được đánh giá, nhưng cần thực hiện mọi
activity being audited, but every effort should be
nỗ lực để loại bỏ sự thiên lệch và thúc đẩy tính vô
made to remove bias and encourage objectivity.
tư.
Page 12 of 76
e) Evidence-based approach: the rational f) Tiếp cận dựa vào bằng chứng: phương pháp
method for reaching reliable and reproducible hợp lý để đạt được kết luận đánh giá tin cậy và
audit conclusions in a systematic audit có khả năng tái lập trong quá trình đánh giá có
hệ thống Bằng chứng đánh giá cần có thể kiểm
process. Audit evidence should be verifiable.
tra xác nhận được. Bằng chứng đánh giá
It should in general be based on samples of thường dựa trên các mẫu thông tin sẵn có, do
the information available, since an audit is cuộc đánh giá được tiến hành trong một khoảng
conducted during a finite period of time and thời gian giới hạn với những nguồn lực giới hạn.
with finite resources. An appropriate use of Cần vận dụng việc lấy mẫu một cách thích hợp
sampling should be applied, since this is vì điều này liên quan chặt chẽ tới sự tin cậy của
closely related to the confidence that can be kết luận đánh giá.
placed in the audit conclusions.
f) Risk-based approach: an audit approach that g) Cách tiếp cận dựa trên rủi ro: Một cách tiếp cận
considers risks and opportunities đánh giá có xem xét đến các rủi ro và cơ hội
The risk-based approach should substantively Cách tiếp cận dựa trên rủi ro cần ảnh hưởng cơ
bản đến việc hoạch định, tiến hành và báo cáo
influence the planning, conducting and
đánh giá nhằm đảm bảo rằng các cuộc đánh giá
reporting of audits in order to ensure that tập trung vào các vấn đề quan trọng đối với
audits are focused on matters that are khách hàng đánh giá và đạt được các mục tiêu
significant for the audit client, and for của chương trình đánh giá.
B
achieving the audit programme objectives.

U
5 Quản lý chương trình đánh giá

R
5 Managing an audit programme

EA
5.1 General 5.1 Khái quát
An audit programme should be established which Chương trình đánh giá cần được thiết lập để có thể
U
can include audits addressing one or more bao gồm các cuộc đánh giá về một hoặc nhiều tiêu
management system standards or other chuẩn hệ thống quản lý hoặc các yêu cầu khác,
VE
requirements, conducted either separately or in được tiến hành riêng lẻ hoặc kết hợp (đánh giá kết
combination (combined audit). hợp).
R
The extent of an audit programme should be based Mức độ của một chương trình đánh giá cần dựa trên
quy mô và tính chất của bên được đánh giá, cũng
IT
on the size and nature of the auditee, as well as on

the nature, functionality, complexity, the type of risks như tính chất, chức năng, sự phức tạp, loại các rủi ro
A
and opportunities, and the level of maturity of the và cơ hội và mức độ thuần thục của (các) hệ thống
management system(s) to be audited. quản lý được đánh giá.
S
The functionality of the management system can be Việc vận hành của hệ thống quản lý có thể còn phức
even more complex when most of the important tạp hơn khi hầu hết các chức năng quan trọng được
functions are outsourced and managed under the thuê ngoài và được quản lý bởi lãnh đạo của các tổ
leadership of other organizations. Particular attention chức khác. Cần đặc biệt chú ý tới những khâu tại đó
needs to be paid to where the most important những quyết định quan trọng nhất được đưa ra và
decisions are made and what constitutes the top điều gì là đòi hỏi chính yếu đối với người lãnh đạo
management of the management system. cao nhất của hệ thống quản lý.
Page 13 of 76
In the case of multiple locations/sites (e.g. different Trong trường hợp có nhiều vị trí/địa điểm (ví dụ như
countries), or where important functions are các quốc gia khác nhau), hoặc khi các chức năng
outsourced and managed under the leadership of quan trọng được thuê ngoài và được quản lý bởi lãnh
another organization, particular attention should be đạo của một tổ chức khác, cần đặc biệt chú ý tới việc
paid to the design, planning and validation of the thiết kế, hoạch định và xác nhận giá trị sử dụng của
audit programme. chương trình đánh giá.
In the case of smaller or less complex organizations Trong trường hợp các tổ chức nhỏ hoặc ít phức tạp
the audit programme can be scaled appropriately. hơn, chương trình đánh giá có thể được thu hẹp một
cách thích hợp.
In order to understand the context of the auditee, the
audit programme should take into account the Để hiểu được bối cảnh của bên được đánh giá,
auditee’s: chương trình đánh giá cần tính đến:
 organizational objectives;  các mục tiêu của tổ chức;

 relevant external and internal issues;  các vấn đề nội bộ và bên ngoài có liên quan;
 the needs and expectations of relevant  nhu cầu và mong đợi của các bên quan tâm
interested parties; có liên quan;
 
B
information security and confidentiality các yêu cầu về bảo mật và an toàn thông tin
requirements. của bên được đánh giá.
U
Khi hoạch định các chương trình đánh giá nội bộ và

R
The planning of internal audit programmes and, in

some cases programmes for auditing external trong một số trường hợp, các chương trình đánh giá
EA
providers, can be arranged to contribute to other nhà cung cấp bên ngoài, có thể được sắp xếp để
objectives of the organization. phục vụ cho các mục tiêu khác của tổ chức.
U
The individual(s) managing the audit programme (Các) cá nhân quản lý chương trình đánh giá cần
should ensure the integrity of the audit is maintained đảm bảo duy trì tính toàn vẹn của cuộc đánh giá và
VE
and that there is not undue influence exerted over không gây ảnh hưởng quá mức đối với việc đánh
the audit. giá.
R
Audit priority should be given to allocating resources Cần đưa ra thứ tự ưu tiên trong đánh giá để phân bổ
IT
and methods to matters in a management system nguồn lực và các phương pháp cho các vấn đề trong
with higher inherent risk and lower level of hệ thống quản lý vốn có rủi ro cao và mức kết quả
A
performance. đạt thực hiện thấp hơn.

S
Competent individuals should be assigned to Cần phân công các cá nhân có năng lực để quản lý
manage the audit programme. chương trình đánh giá.
The audit programme should include information and Chương trình đánh giá cần bao gồm thông tin và
identify resources to enable the audits to be nhận biết nguồn lực để giúp các cuộc đánh giá được
conducted effectively and efficiently within the tiến hành một cách hiệu lực và hiệu quả trong khuôn
specified time frames. The information should khổ thời gian đã xác định. Thông tin cần bao gồm:
include:
a) mục tiêu đối với chương trình đánh giá;
a) objectives for the audit programme; b) các rủi ro và cơ hội liên quan đến chương
b) risks and opportunities associated with the trình đánh giá (xem 5.3) và các hành động để
audit programme (see 5.3) and the actions to giải quyết rủi ro và cơ hội;
address them; c) phạm vi (mức độ, ranh giới, địa điểm) của
c) scope (extent, boundaries, locations) of each từng cuộc đánh giá trong chương trình đánh
Page 14 of 76
audit within the audit programme; giá;
d) schedule (number/duration/frequency) of the d) lịch trình (số lượng/thời lượng/tần suất) của
audits; các cuộc đánh giá;
e) audit types, such as internal or external; e) loại hình đánh giá, chẳng hạn như nội bộ
f) audit criteria; hoặc bên ngoài;
g) audit methods to be employed; f) chuẩn mực đánh giá;
h) criteria for selecting audit team members g) phương pháp đánh giá được sử dụng;
i) relevant documented information. h) tiêu chí lựa chọn thành viên đoàn đánh giá ;
i) thông tin dạng văn bản có liên quan.
Some of this information may not be available until Một số thông tin này có thể không sẵn có cho đến khi
more detailed audit planning is complete. hoàn thành kế hoạch đánh giá chi tiết hơn.
The implementation of the audit programme should Việc thực hiện chương trình đánh giá cần được theo
be monitored and measured on an ongoing basis dõi và đo lường một cách liên tục (xem 5.6) để đảm
bảo đạt được các mục tiêu của chương trình.
B
(see 5.6) to ensure its objectives have been

achieved. The audit programme should be reviewed Chương trình đánh giá cần được xem xét để nhận
U
in order to identify needs for changes and possible biết nhu cầu thay đổi và cơ hội cải tiến (xem 5.7).
R
opportunities for improvements (see 5.7).

Hình 1 minh họa lưu đồ quá trình để quản lý một
EA
Figure 1 illustrates the process flow for the chương trình đánh giá.
management of an audit programme.
U
VE
R
IT
A
S
Page 15 of 76
B
U
R
EA
U
VE
R
IT
A
S
Page 16 of 76
B
U
R
EA
U
VE
R
IT
A
S
Page 17 of 76
NOTE 1 This Figure illustrates the application of the CHÚ THÍCH 1: Hình này minh họa việc áp dụng chu
Plan-Do-Check-Act cycle in this document. trình Hoạch định - Thực hiện- Kiểm tra- Hành động
trong tiêu chuẩn này;
NOTE 2 Clause/subclause numbering refers to the
relevant clauses/subclauses of this document. CHÚ THÍCH 2: Số điều đề cập đến các điều liên quan
trong tiêu chuẩn.
Figure 1 — Process flow for the management of
an audit programme Hình 1 – Lưu đồ quá trình quản lý chương trình
đánh giá
5.2 Establishing audit programme objectives 5.2 Thiết lập các mục tiêu của chương trình đánh
giá
The audit client should ensure that the audit
programme objectives are established to direct the Khách hàng đánh giá cần đảm bảo rằng các mục tiêu
planning and conducting of audits and should của chương trình đánh giá được thiết lập để định
ensure the audit programme is implemented hướng việc hoạch định và tiến hành các cuộc đánh
effectively. Audit programme objectives should be giá và cần đảm bảo chương trình đánh giá được triển
consistent with the audit client’s strategic direction khai một cách hiệu lực. Các mục tiêu của chương
and support management system policy and trình đánh giá cần nhất quán với định hướng chiến
B
objectives lược của khách hàng và hỗ trợ chính sách và mục

U
tiêu của hệ thống quản lý.

These objectives can be based on consideration of
R
the following: Những mục tiêu này có thể dựa trên việc xem xét
những nội dung sau:
EA
a) needs and expectations of relevant interested a) nhu cầu và mong đợi của các bên quan tâm có
liên quan, cả nội bộ và bên ngoài;
U
parties, both external and internal;

b) characteristics of and requirements for b) đặc điểm và các yêu cầu đối với các quá trình,
VE
processes, products, services and projects, and sản phẩm, dịch vụ và dự án và bất kỳ sự thay đổi
any changes to them; nào đối với chúng;
c) management system requirements; c) các yêu cầu của hệ thống quản lý;
R
d) need for evaluation of external providers; d) nhu cầu xem xét đánh giá nhà cung cấp bên
IT
e) auditee’s level of performance and level of ngoài;

maturity of the management system(s), as e) mức độ về kết quả thực hiện của bên được đánh
A
reflected in relevant performance indicators (e.g. giá và mức độ nhuần nhuyễn (các) hệ thống quản
lý như được thể hiện qua các chỉ số kết quả thực
S
KPIs), the occurrence of nonconformities or

incidents or complaints from interested parties; hiện có liên quan (ví dụ KPI), việc xảy ra sự
f) identified risks and opportunities to the auditee; không phù hợp hoặc sự cố hay khiếu nại của các
g) results of previous audits. bên quan tâm;
f) các rủi ro và cơ hội được nhận diện đối với bên
được đánh giá;
g) kết quả của các cuộc đánh giá trước đó.
Examples of audit programme objectives can Ví dụ về các mục tiêu của chương trình đánh giá có
include the following: thể gồm:
 identify opportunities for the improvement of a  xác định các cơ hội cải tiến hệ thống quản lý và
management system and its performance; kết quả thực hiện hệ thống quản lý;
 valuate the capability of the auditee to determine  đánh giá khả năng của bên được đánh giá trong
its context việc xác định bối cảnh của mình;
Page 18 of 76
 evaluate the capability of the auditee to  đánh giá khả năng của bên được đánh giá trong
determine risks and opportunities and to identify việc xác định rủi ro và cơ hội và nhận biết, thực
and implement effective actions to address hiện các hành động có hiệu lực để giải quyết rủi
them; ro và cơ hội;
 conform to all relevant requirements, e.g.  tuân thủ tất cả các yêu cầu có liên quan, ví dụ
statutory and regulatory requirements, yêu cầu luật định và chế định, các cam kết tuân
compliance commitments, requirements for thủ, các yêu cầu đối với việc chứng nhận theo
certification to a management system standard; một tiêu chuẩn hệ thống quản lý;
 obtain and maintain confidence in the capability  đạt được và duy trì sự tin cậy vào khả năng của
of an external provider; nhà cung cấp bên ngoài;
 determine the continuing suitability, adequacy  xác định sự thích hợp, thỏa đáng và hiệu lực liên
and effectiveness of the auditee’s management tục của hệ thống quản lý của bên được đánh giá;
system;  đánh giá tính tương thích và sự thống nhất của
 evaluate the compatibility and alignment of the các mục tiêu của hệ thống quản lý với định
management system objectives with the hướng chiến lược của tổ chức.
strategic direction of the organization.
B
5.3 Determining and evaluating audit 5.3 Xác định và định mức các rủi ro và cơ hội của
U
programme risks and opportunities chương trình đánh giá

R
There are risks and opportunities related to the Có những rủi ro và cơ hội liên quan đến bối cảnh của
bên được đánh giá và có thể liên quan đến chương
EA
context of the auditee that can be associated with

an audit programme and can affect the achievement trình đánh giá và có thể ảnh hưởng đến việc đạt
of its objectives. The individual(s) managing the được các mục tiêu của chương trình. (Các) cá nhân
U
audit programme should identify and present to the quản lý chương trình đánh giá cần nhận diện và thể
audit client the risks and opportunities considered hiện cho khách hàng đánh giá những rủi ro và cơ hội
VE
when developing the audit programme and resource được xem xét khi xây dựng chương trình đánh giá và
requirements, so that they can be addressed các yêu cầu về nguồn lực, sao cho những rủi ro và cơ
appropriately. hội đó có thể được giải quyết một cách thích hợp.
R
IT
There can be risks associated with the following: Có thể có những rủi ro liên quan đến:
a) việc hoạch định, ví dụ lập sai mục tiêu liên quan

A
a) planning, e.g. failure to set relevant audit

objectives and determine the extent, number, đến đánh giá, xác định sai mức độ, số lượng, thời
S
duration, locations and schedule of the audits; lượng, địa điểm và lịch trình đánh giá;
b) resources, e.g. allowing insufficient time,
equipment and/or training for developing the b) nguồn lực: ví dụ cho phép không đủ thời gian, thiết
audit programme or conducting an audit; bị và/hoặc việc đào tạo để xây dựng chương trình
c) selection of the audit team, e.g. insufficient đánh giá hoặc tiến hành đánh giá;
overall competence to conduct audits c) lựa chọn đoàn đánh giá, ví dụ không đủ năng lực
effectively; tổng thể để tiến hành đánh giá một cách hiệu lực;
d) communication, e.g. ineffective external/internal
communication processes/channels; d) trao đổi thông tin, ví dụ các quá trình/kênh trao đổi
e) implementation, e.g. ineffective coordination of thông tin bên ngoài/nội bộ không có hiệu lực;
the audits within the audit programme, or not
considering information security and e) thực hiện, ví dụ việc điều phối không có hiệu lực
confidentiality; các cuộc đánh giá trong một chương trình đánh giá
hoặc không xem xét tính an toàn và bảo mật của
thông tin;
Page 19 of 76
f) control of documented information, e.g. f) kiểm soát thông tin dạng văn bản, ví dụ xác định
ineffective determination of the necessary không có hiệu lực các thông tin dạng văn bản theo
documented information required by auditors yêu cầu của các chuyên gia đánh giá và các bên
and relevant interested parties, failure to quan tâm cói liên quan yêu cầu, không bảo vệ thỏa
adequately protect audit records to demonstrate đáng hồ sơ đánh giá để chứng tỏ tính hiệu lực của
audit programme effectiveness; chương trình đánh giá;
g) monitoring, reviewing and improving the audit
programme, e.g. ineffective monitoring of audit g) theo dõi, xem xét và cải tiến chương trình đánh
programme outcomes; giá, ví dụ theo dõi không có hiệu lực các kết quả đầu
h) availability and cooperation of auditee and ra của chương trình đánh giá;
availability of evidence to be sampled. h) sự sẵn sàng và hợp tác của bên được đánh giá và
sự sẵn có bằng chứng được lấy mẫu.
Opportunities for improving the audit programme Cơ hội để cải tiến chương trình đánh giá có thể gồm:
can include:
 cho phép nhiều cuộc đánh giá được tiến hành
 allowing multiple audits to be conducted in a trong một lần tới cơ sở;
single visit;  giảm thiểu thời gian và khoảng cách di chuyển đến
B
 minimizing time and distances travelling to site; địa điểm;

U
 matching the level of competence of the audit  đưa mức năng lực của đoàn đánh giá tới mức
team to the level of competence needed to năng lực cần thiết để đạt được các mục tiêu đánh
R
achieve the audit objectives; giá;

EA
 aligning audit dates with the availability of  điều chỉnh ngày đánh giá thích hợp với thời gian
auditee’s key staff có thể làm việc của nhân viên chủ chốt của bên
được đánh giá.
U
5.4 Establishing the audit programme 5.4 Thiết lập chương trình đánh giá
VE
5.4.1 Roles and responsibilities of the 5.4.1 Vai trò và trách nhiệm của (các) cá nhân
individual(s) managing the audit programme quản lý chương trình đánh giá
R
(Các) cá nhân quản lý chương trình đánh giá cần:

IT
The individual(s) managing the audit programme

should:
A
a) establish the extent of the audit programme a) thiết lập phạm vi của chương trình đánh giá theo
S
according to the relevant objectives (see 5.2) các mục tiêu liên quan (xem 5.2) và mọi ràng
and any known constraints; buộc đã biết;
b) determine the external and internal issues, and b) xác định các vấn đề bên ngoài và nội bộ, các rủi
risks and opportunities that can affect the audit ro và cơ hội có thể ảnh hưởng đến chương trình
programme, and implement actions to address đánh giá và thực hiện các hành động để giải
them, integrating these actions in all relevant quyết rủi ro và cơ hội, tích hợp các hành động này
auditing activities, as appropriate; vào tất cả các hoạt động đánh giá có liên quan,
c) ensuring the selection of audit teams and the khi thích hợp
overall competence for the auditing activities by c) dảm bảo việc lựa chọn đoàn đánh giá và năng lực
assigning roles, responsibilities and authorities, tổng thể cho các hoạt động đánh giá thông qua
and supporting leadership, as appropriate; phân công vai trò, trách nhiệm và quyền hạn và
d) establish all relevant processes including sự hỗ trợ vai trò lãnh đạo, khi thích hợp;
processes for: d) thiết lập tất cả các quá trình liên quan bao gồm
các quá trình đối với việc:
Page 20 of 76
 the coordination and scheduling of all audits  điều phối và lập lịch trình của tất cả các cuộc
within the audit programme; đánh giá thuộc chương trình đánh giá ;
 the establishment of audit objectives, scope(s)  thiết lập các mục tiêu đánh giá, phạm vi và
and criteria of the audits, determining audit chuẩn mực đánh giá, xác định các phương
methods and selecting the audit team; pháp đánh giá và lựa chọn đoàn đánh giá;
 evaluating auditors;  đánh giá chuyên gia đánh giá;
 the establishment of external and internal  thiết lập các quá trình trao đổi thông tin nội bộ
communication processes, as appropriate; và bên ngoài, khi thích hợp;
 the resolutions of disputes and handling of  giải quyết tranh chấp và xử lý khiếu nại ;
complaints;  hoạt động sau đánh giá, nếu có;
 audit follow-up if applicable;  báo cáo cho khách hàng đánh giá và các bên
 reporting to the audit client and relevant quan tâm có liên quan, khi thích hợp;
interested parties, as appropriate
e) determine and ensure provision of all necessary e) xác định và đảm bảo cung cấp tất cả các nguồn
resources; lực cần thiết;
f) ensure that appropriate documented information
is prepared and maintained, including audit f) đảm bảo rằng các thông tin dạng văn bản thích hợp
được chuẩn bị và duy trì, bao gồm cả hồ sơ về
B
programme record
g) monitor, review and improve the audit chương trình đánh giá;
U
programme; g) theo dõi, xem xét và cải tiến chương trình đánh
R
h) communicate the audit programme to the audit giá;

EA
client and, as appropriate, relevant interested

parties. h) trao đổi thông tin về chương trình đánh giá với
khách hàng đánh giá và khi thích hợp, với các bên
U
quan tâm có liên quan;

VE
The individual(s) managing the audit programme (Các) cá nhân quản lý chương trình đánh giá cần yêu
should request its approval by the audit client. cầu sự phê duyệt chương trình của khách hàng đánh
giá.
R
5.4.2 Competence of individual(s) managing 5.4.2 Năng lực của (các) cá nhân quản lý chương
IT
audit programme trình đánh giá

A
The individual(s) managing the audit programme (Các) cá nhân quản lý chương trình đánh giá cần có
S
should have the necessary competence to manage năng lực cần thiết để quản lý chương trình và các rủi
the programme and its associated risks and ro, cơ hội kèm theo, các vấn đề bên ngoài và nội bộ
opportunities and external and internal issues một cách hiệu lực và hiệu quả, bao gồm kiến thức về
effectively and efficiently, including knowledge of:
a) audit principles (see Clause 4), methods and a) các nguyên tắc đánh giá (xem điều 4), các
processes (see A.1 and A.2); phương pháp và quá trình (xem A.1 và A.2);
b) management system standards, other relevant b) các tiêu chuẩn hệ thống quản lý, các tiêu chuẩn
standards and reference/guidance documents; và các tài liệu hướng dẫn/quy chiếu khác có liên
c) information regarding the auditee and its context quan;
(e.g. external/internal issues, relevant interested c) thông tin liên quan đến bên được đánh giá và bối
parties and their needs and expectations, cảnh của nó (ví dụ các vấn đề bên ngoài/nội bộ,
business activities, products, services and các bên quan tâm có liên quan, nhu cầu và mong
processes of the auditee); đợi của họ, hoạt động kinh doanh, sản phẩm, dịch
d) applicable statutory and regulatory requirements vụ và các quá trình của bên được đánh giá);
and other requirements relevant to the business d) các yêu cầu pháp lý và chế định hiện hành và các
Page 21 of 76
activities of the auditee yêu cầu khác liên quan đến các hoạt động kinh
doanh của bên được đánh giá;
As appropriate, knowledge of risk management, Khi thích hợp, có thể cần xem xét kiến thức về quản
project and process management, and information lý rủi ro, quản lý dự án và quá trình, công nghệ thông
and communications technology (ICT) may be tin và truyền thông (ICT).
considered.
should engage in appropriate continual tham gia vào các hoạt động phát triển thường xuyên
development activities to maintain the necessary thích hợp để duy trì năng lực cần thiết cho việc quản
competence to manage the audit programme lý chương trình đánh giá
5.4.3 Establishing extent of audit programme 5.4.3 Thiết lập mức độ chương trình đánh giá
The individual(s) managing the audit programme (Các) cá nhân quản lý chương trình đánh giá cần xác
should determine the extent of the audit định mức độ của chương trình đánh giá. Mức độ này
programme. This can vary depending on the có thể khác nhau tùy thuộc vào thông tin liên quan
information provided by the auditee regarding its đến bối cảnh (xem 5.3) được bên được đánh giá
context (see 5.3). cung cấp
B
U
NOTE In certain cases, depending on the auditee's CHÚ THÍCH: Trong một số trường hợp, tùy vào cơ
structure or its activities, the audit programme might cấu của bên được đánh giá hoặc các hoạt động của
R
only consist of a single audit (e.g. a small project or họ, mà chương trình đánh giá có thể chỉ bao gồm một
EA
organization). cuộc đánh giá duy nhất (ví dụ một dự án hoặc tổ

chức nhỏ).
Other factors impacting the extent of an audit
U
programme can include the following: Các yếu tố khác ảnh hưởng đến mức độ của một
chương trình đánh giá, có thể gồm:
VE
a) the objective, scope and duration of each audit a) mục tiêu, phạm vi và thời lượng của từng cuộc
and the number of audits to be conducted, đánh giá và số cuộc đánh giá được tiến hành,
R
reporting method and, if applicable, audit follow phương pháp báo cáo và hoạt động sau đánh giá,
IT
up; nếu có;

b) the management system standards or other b) các tiêu chuẩn hệ thống quản lý hoặc chuẩn mực
A
applicable criteria; khác được áp dụng;

c) số lượng, tầm quan trọng, độ phức tạp, tính
S
c) the number, importance, complexity, similarity

and locations of the activities to be audited; tương đồng và các vị trí của các hoạt động được
d) those factors influencing the effectiveness of the đánh giá;
management system; d) các yếu tố có ảnh hưởng đến hiệu lực của hệ
e) applicable audit criteria, such as planned thống quản lý;
arrangements for the relevant management e) các chuẩn mực đánh giá được áp dụng, chẳng
system standards, statutory and regulatory hạn như những sắp đặt theo hoạch định cho các
requirements and other requirements to which yêu cầu của tiêu chuẩn về hệ thống quản lý liên
the organization is committed; quan, các yêu cầu luật định và chế định và các
f) results of previous internal or external audits and yêu cầu khác do tổ chức cam kết;
management reviews, if appropriate; f) kết quả của các cuộc đánh giá nội bộ hoặc bên
g) results of a previous audit programme review; ngoài trước đó và các cuộc xem xét của lãnh đạo,
h) language, cultural and social issues; nếu thích hợp;
i) the concerns of interested parties, such as g) kết quả của việc xem xét chương trình đánh giá
customer complaints, non-compliance with trước đó;
statutory and regulatory requirements and other h) các vấn đề về ngôn ngữ, văn hóa và xã hội;
Page 22 of 76
requirements to which the organization is i) các quan ngại của các bên quan tâm, như khiếu
committed, or supply chain issues nại của khách hàng, việc không tuân thủ các yêu
j) significant changes to the auditee’s context or its cầu luật định và chế định và các yêu cầu khác do
operations and related risks and opportunities; tổ chức cam kết hoặc các vấn đề của chuỗi cung
k) availability of information and communication ứng;
technologies to support audit activities, in j) những thay đổi đáng kể đối với bối cảnh của bên
particular the use of remote audit methods (see được đánh giá hoặc các hoạt động của họ và các
A.16); rủi ro và cơ hội liên quan;
l) the occurrence of internal and external events, k) sự sẵn có của công nghệ thông tin và truyền
such as nonconformities of products or service, thông để hỗ trợ các hoạt động đánh giá, cụ thể là
information security leaks, health and safety việc sử dụng các phương pháp đánh giá từ xa
incidents, criminal acts or environmental (xem A.16);
incidents; l) việc diễn ra các sự kiện nội bộ và bên ngoài,
m) business risks and opportunities, including chẳng hạn như sự không phù hợp của sản phẩm
actions to address them hoặc dịch vụ, rò rỉ an ninh thông tin, sự cố an toàn
và sức khỏe, hành vi phạm tội hoặc các sự cố môi
trường;
m) rủi ro và cơ hội trong kinh doanh, bao gồm cả các
B
hành động để giải quyết chúng

U
5.4.4 Determining audit programme resources 5.4.4 Xác định nguồn lực cho chương trình đánh
R
giá
EA
When determining resources for the audit

programme, the individual(s) managing the audit Khi xác định các nguồn lực cho chương trình đánh
programme should consider giá, (các) cá nhân quản lý chương trình đánh giá cần
U
xem xét
các nguồn lực tài chính và thời gian cần thiết

VE
a) the financial and time resources necessary to a)

develop, implement, manage and improve audit cho việc xây dựng, thực hiện, quản lý và cải
activities; tiến các hoạt động đánh giá;
R
b) audit methods (see A.1); b) các phương pháp đánh giá (xem A.1);
sự sẵn có chuyên gia đánh giá và chuyên gia
IT
c) the individual and overall availability of auditors c)

and technical experts having competence kỹ thuật có năng lực, riêng lẻ hoặc tổng thể,
A
appropriate to the particular audit programme thích hợp với các mục tiêu cụ thể của chương
objectives; trình đánh giá;
S
d) the extent of the audit programme (see 5.4.3) d) mức độ của chương trình đánh giá (xem
and audit programme risks and opportunities 5.4.3) và các rủi ro, cơ hội của chương trình
(see 5.3); đánh giá (xem 5.3);
e) travel time and cost, accommodation and other e) thời gian và chi phí đi lại, chỗ ăn ở và các nhu
auditing needs; cầu khác liên quan đến đánh giá;
f) the impact of different time zones; f) ảnh hưởng của việc khác biệt múi giờ;
g) the availability of information and communication g) sự sẵn có của công nghệ thông tin và truyền
technologies (e.g. technical resources required thông (ví dụ các nguồn lực kỹ thuật cần thiết
to set up a remote audit using technologies that để thiết lập cuộc đánh giá từ xa sử dụng các
support remote collaboration); công nghệ hỗ trợ sự cộng tác từ xa);
h) the availability of any tools, technology and h) sự sẵn có bất kỳ công cụ, công nghệ và thiết
equipment required; bị cần thiết nào;
i) the availability of necessary documented i) sự sẵn có của thông tin dạng văn bản cần
information, as determined during the thiết, được xác định trong quá trình lập
establishment of the audit programme (see A.5); chương trình đánh giá (xem A.5);
Page 23 of 76
j) requirements related to the facility, including any j) các yêu cầu liên quan đến cơ sở vật chất, bao
security clearances and equipment (e.g. gồm cả thủ tục và thiết bị an ninh (ví dụ các
background checks, personal protective kiểm tra cơ bản về an toàn, thiết bị bảo hộ cá
equipment, ability to wear clean room attire). nhân, có thể mặc trang phục phòng sạch).
5.5 Implementing audit programme 5.5 Thực hiện chương trình đánh giá
5.5.1 General 5.5.1 Khái quát
Once the audit programme has been established Khi chương trình đánh giá được thiết lập (xem 5.4.3)
(see 5.4.3) and related resources have been và các nguồn lực liên quan được xác định (xem
determined (see 5.4.4) it is necessary to implement 5.4.4), cần thực hiện việc hoạch định triển khai và
the operational planning and the coordination of all điều phối tất cả các hoạt động của chương trình
the activities within the programme.
(Các) cá nhân quản lý chương trình đánh giá cần
should:
a) communicate the relevant parts of the audit a) trao đổi thông tin về các phần liên quan của
B
programme, including the risks and chương trình đánh giá, kể cả các rủi ro và cơ
opportunities involved, to relevant interested hội liên quan, với các bên quan tâm có liên
U
parties and inform them periodically of its quan và định kỳ thông báo cho họ về sự tiến
R
progress, using established external and triển của những nội dung này thông qua việc sử
dụng các kênh trao đổi thông tin nội bộ và bên
EA
internal communication channels;

b) define objectives, scope and criteria for each ngoài đã được thiết lập;
individual audit; b) xác định mục tiêu, phạm vi và chuẩn mực cho
U
c) select audit methods (see A.1); từng cuộc đánh giá riêng lẻ;
d) coordinate and schedule audits and other c) lựa chọn các phương pháp đánh giá (xem A.1);
VE
activities relevant to the audit programme; d) điều phối và lập lịch trình các cuộc đánh giá và
e) ensure the audit teams have the necessary các hoạt động khác liên quan đến chương trình
competence (see 5.5.4); đánh giá;
R
f) provide necessary individual and overall e) đảm bảo các đoàn đánh giá có năng lực cần
IT
resources to the audit teams (see 5.4.4); thiết (xem 5.5.4);

g) ensure the conduct of audits in accordance with f) cung cấp các nguồn lực cần thiết, riêng lẻ và
A
the audit programme, managing all operational toàn bộ, cho đoàn đánh giá (xem 5.4.4);
S
risks, opportunities and issues (i.e. unexpected g) đảm bảo tiến hành các cuộc đánh giá theo
events), as they arise during the deployment of chương trình đánh giá, quản lý tất cả các rủi ro,
the programme; cơ hội và các vấn đề (nghĩa là các sự kiện
h) ensure relevant documented information ngoài dự kiến) về tác nghiệp, khi chúng nảy
regarding the auditing activities is properly sinh trong quá trình triển khai chương trình;
managed and maintained (see 5.5.7); h) đảm bảo thông tin dạng văn bản liên quan đến
i) define and implement the operational controls hoạt động đánh giá được quản lý và duy trì một
(see 5.6) necessary for audit programme cách thích hợp (xem 5.5.7);
monitoring; i) xác định và thực hiện các kiểm soát về tác
j) review the audit programme in order to identify nghiệp (xem 5.6) cần thiết để theo dõi chương
opportunities for its improvement (see 5.7). trình đánh giá;
j) xem xét chương trình đánh giá để nhận biết các
cơ hội cải tiến (xem 5.7).
Page 24 of 76
5.5.2 Defining the objectives, scope and criteria 5.5.2 Xác định mục tiêu, phạm vi và chuẩn mực
for an individual audit đối với các cuộc đánh giá riêng lẻ
Each individual audit should be based on defined Từng cuộc đánh giá riêng lẻ cần dựa trên cơ sở các
audit objectives, scope and criteria. These should mục tiêu, phạm vi, chuẩn mực đánh giá xác định.
be consistent with the overall audit programme Những nội dung này cần nhất quán với các mục tiêu
objectives. tổng thể của chương trình đánh giá.
The audit objectives define what is to be Các mục tiêu đánh giá sẽ xác định những gì cuộc
accomplished by the individual audit and may đánh giá riêng lẻ cần thực hiện và có thể bao gồm:
include the following:
a) determination of the extent of conformity of the a) xác định mức độ phù hợp của hệ thống được
management system to be audited, or parts of it, đánh giá, hoặc sự phù hợp của các phần của hệ
with audit criteria; thống, với chuẩn mực đánh giá;
b) evaluation of the capability of the management b) đánh giá khả năng của hệ thống quản lý trong
system to assist the organization in meeting việc hỗ trợ tổ chức đáp ứng các yêu cầu luật định
relevant statutory and regulatory requirements và chế định liên quan và các yêu cầu khác mà tổ
and other requirements to which the chức cam kết;
B
organization is committed; c) đánh giá hiệu lực của hệ thống quản lý trong việc
U
c) evaluation of the effectiveness of the đạt được các kết quả dự kiến;
R
management system in meeting its intended d) nhận biết các cơ hội để có thể cải tiến hệ thống
results; quản lý;
EA
d) identification of opportunities for potential e) đánh giá sự phù hợp và thỏa đáng của hệ thống
improvement of the management system; quản lý đối với bối cảnh và định hướng chiến lược
của bên được đánh giá;
U
e) evaluation of the suitability and adequacy of the

management system with respect to the context f) đánh giá khả năng của hệ thống quản lý trong
việc thiết lập và đạt được các mục tiêu và giải
VE
and strategic direction of the auditee;

f) evaluation of the capability of the management quyết một cách hiệu lực các rủi ro và cơ hội, trong
system to establish and achieve objectives and bối cảnh luôn thay đổi, bao gồm cả việc thực hiện
R
effectively address risks and opportunities, in a các hành động có liên quan.
IT
changing context, including the implementation

of the related actions.
A
The audit scope should be consistent with the audit Phạm vi đánh giá cần nhất quán với chương trình và
programme and audit objectives. It includes such mục tiêu đánh giá. Phạm vi này bao gồm các yếu tố
S
factors as locations, functions, activities and như địa điểm, chức năng, hoạt động và các quá trình
processes to be audited, as well as the time period được đánh giá, cũng như khoảng thời gian đánh giá
covered by the audit.
Các chuẩn mực đánh giá được sử dụng làm chuẩn
The audit criteria are used as a reference against theo đó xác định sự phù hợp. Chuẩn mực đánh giá
which conformity is determined. These may include có thể bao gồm một hoặc nhiều điều sau: các chính
one or more of the following: applicable policies, sách, quá trình, thủ tục hiện hành, tiêu chí về kết quả
processes, procedures, performance criteria thực hiện, gồm cả các mục tiêu, các yêu cầu luật định
including objectives, statutory and regulatory và chế định, các yêu cầu về hệ thống quản lý, thông
requirements, management system requirements, tin liên quan đến bối cảnh, các rủi ro và cơ hội do bên
information regarding the context and the risks and được đánh giá xác định (bao gồm cả các yêu cầu có
opportunities as determined by the auditee liên quan của các bên quan tâm nội bộ/bên ngoài),
(including relevant external/internal interested quy tắc ứng xử trong lĩnh vực ngành nghề hoặc các
parties requirements), sector codes of conduct or sắp đặt khác theo kế hoạch.
other planned arrangements.
Page 25 of 76
In the event of any changes to the audit objectives, Trong trường hợp có bất kỳ thay đổi nào đối với các
scope or criteria, the audit programme should be mục tiêu, phạm vi hoặc chuẩm mực đánh giá, thì
modified if necessary and communicated to chương trình đánh giá cần đươc điều chỉnh khi cần
interested parties, for approval if appropriate. và được trao đổi với các bên quan tâm để phê duyệt
nếu thích hợp.
When more than one discipline is being audited at
the same time it is important that the audit Khi có nhiều hơn một lĩnh vực được đánh giá tại cùng
objectives, scope and criteria are consistent with the một thời điểm, thì điều quan trọng là các mục tiêu,
relevant audit programmes for each discipline. phạm vi và chuẩn mực đánh giá cần nhất quán với
Some disciplines can have a scope that reflects the các chương trình đánh giá có liên quan cho từng lĩnh
whole organization and others can have a scope vực đó. Một số lĩnh vực có thể có phạm vi phản ánh
that reflects a subset of the whole organization. toàn bộ tổ chức và một số lĩnh vực khác có thể có
phạm vi chỉ phản ánh một phần của toàn bộ tổ chức.
5.5.3 Selecting and determining audit methods 5.5.3 Lựa chọn và xác định phương pháp đánh
giá
should select and determine the methods for (Các) cá nhân quản lý chương trình đánh giá cần lựa
effectively and efficiently conducting an audit, chọn và xác định các phương pháp để tiến hành đánh
B
depending on the defined audit objectives, scope giá một cách hiệu lực và hiệu quả, tùy theo mục tiêu,
U
and criteria. phạm vi và chuẩn mực đánh giá.

R
Audits can be performed on-site, remotely or as a Các cuộc đánh giá có thể được thực hiện tại chỗ, từ
EA
combination. The use of these methods should be xa hoặc kết hợp cả hai. Việc sử dụng các phương
suitably balanced, based on, among others, pháp này cần cân bằng một cách thích hợp, dựa trên
consideration of associated risks and opportunities. việc xem xét các rủi ro và cơ hội liên quan trong số
U
các xem xét khác

VE
Where two or more auditing organizations conduct a Trường hợp có từ hai tổ chức đánh giá trở lên tiến
joint audit of the same auditee, the individuals hành đồng đánh giá cho cùng một bên được đánh
R
managing the different audit programmes should giá, thì những người quản lý các chương trình đánh
agree on the audit methods and consider giá khác nhau cần thống nhất về phương pháp đánh
IT
implications for resourcing and planning the audit. If giá và xem xét việc phân bổ nguồn lực và hoạch định
A
an auditee operates two or more management đánh giá. Khi bên được đánh giá đang vận hành hai
systems of different disciplines, combined audits hay nhiều hệ thống quản lý về các lĩnh vực khác
S
may be included in the audit programme. nhau, có thể đưa đánh giá kết hợp vào chương trình
đánh giá
5.5.4 Selecting audit team members 5.5.4 Lựa chọn thành viên đoàn đánh giá
The individual(s) managing the audit programme (Các) cá nhân quản lý chương trình đánh giá cần chỉ
should appoint the members of the audit team, định các thành viên của đoàn đánh giá, bao gồm cả
including the team leader and any technical experts trưởng đoàn và các chuyên gia kỹ thuật cần thiết cho
needed for the specific audit. một cuộc đánh giá cụ thể.
An audit team should be selected, taking into Đoàn đánh giá cần được lựa chọn, có tính đến năng
account the competence needed to achieve the lực cần thiết để đạt được các mục tiêu đánh giá của
objectives of the individual audit within the defined cuộc đánh giá riêng lẻ trong phạm vi xác định. Khi chỉ
scope. If there is only one auditor, the auditor có một chuyên gia đánh giá, thì chuyên gia đó cần
should perform all applicable duties of an audit team thực hiện tất cả các nhiệm vụ liên quan của trưởng
leader. đoàn đánh giá.
Page 26 of 76
NOTE Clause 7 contains guidance on determining CHÚ THÍCH: Điều 7 bao gồm hướng dẫn về việc xác
the competence required for the audit team định năng lực cần thiết đối với thành viên đoàn đánh
members and describes the processes for giá và quy định quá trình đánh giá năng lực của
evaluating auditors. chuyên gia đánh giá.
To assure the overall competence of the audit team, Để đảm bảo năng lực tổng thể của đoàn đánh giá,
the following steps should be performed: cần thực hiện các bước sau:
 identification of the competence needed to  xác định năng lực cần thiết để đạt được các mục
achieve the objectives of the audit; tiêu đánh giá;
 selection of the audit team members so that the  lựa chọn các thành viên đoàn đánh giá sao cho
necessary competence is present in the audit đoàn đánh giá có năng lực cần thiết.
team.
In deciding the size and composition of the audit Khi quyết định số lượng và thành phần của đoàn
team for the specific audit, consideration should be đánh giá cho một cuộc đánh giá cụ thể, cần xem xét:
given to the following
a) the overall competence of the audit team a) năng lực tổng thể của đoàn đánh giá cần để
B
needed to achieve audit objectives, taking into đạt được các mục tiêu đánh giá, có tính đến
U
account audit scope and criteria; phạm vi và chuẩn mực đánh giá;
b) complexity of the audit; b) mức độ phức tạp của cuộc đánh giá;
R
c) whether the audit is a combined or joint audit; c) cuộc đánh giá kết hợp hay đồng đánh giá;
EA
d) the selected audit methods; d) các phương pháp đánh giá được lựa chọn;
e) ensuring objectivity and impartiality to avoid any e) đảm bảo tính vô tư và khách quan để tránh
conflict of interest of the audit process; xung đột lợi ích trong quá trình đánh giá;
U
f) the ability of the audit team members to work f) khả năng các thành viên trong đoàn đánh giá
and interact effectively with the representatives làm việc và tương tác có hiệu lực với đại diện
VE
of the auditee and relevant interested parties; của bên được đánh giá và các bên quan tâm
g) the relevant external/internal issues, such as the có liên quan;
R
language of the audit, and the auditee’s social g) các vấn đề bên ngoài/nội bộ có liên quan, như
and cultural characteristics. These issues may ngôn ngữ đánh giá và các đặc điểm văn hóa
IT
be addressed either by the auditor's own skills và xã hội của bên được đánh giá. Những vấn
A
or through the support of a technical expert, also đề này có thể được giải quyết bằng kỹ năng
considering the need for interpreters; của chính chuyên gia đánh giá hoặc thông
S
h) type and complexity of the processes to be qua sự hỗ trợ của chuyên gia kỹ thuật, cũng
audited. cần xem xét nhu cầu về người phiên dịch;
h) h) loại hình và mức độ phức tạp của các quá
trình được đánh giá
Where appropriate, the individual(s) managing the Khi thích hợp, (các) cá nhân quản lý chương trình
audit programme should consult the team leader on đánh giá cần tham vấn trưởng đoàn về thành phần
the composition of the audit team. của đoàn đánh giá.
If the necessary competence is not covered by the Khi các chuyên gia đánh giá trong đoàn đánh giá
auditors in the audit team, technical experts with không có đủ năng lực cần thiết, cần có các chuyên
additional competence should be made available to gia kỹ thuật có năng lực bổ sung để hỗ trợ cho đoàn.
support the team.
Chuyên gia đánh giá tập sự có thể được đưa vào
Auditors-in-training may be included in the audit đoàn đánh giá, nhưng nên tham gia dưới sự chỉ đạo
team, but should participate under the direction and và hướng dẫn của một chuyên gia đánh giá.
Page 27 of 76
guidance of an auditor. Những thay đổi về thành phần của đoàn đánh giá có
thể cần thiết trong quá trình đánh giá, ví dụ khi xảy ra
Changes to the composition of the audit team may xung đột lợi ích hay có vấn đề về năng lực. Nếu phát
be necessary during the audit, e.g. if a conflict of sinh các trường hợp này, cần giải quyết với các bên
interest or competence issue arises. If such a thích hợp (ví dụ trưởng đoàn đánh giá, (các) cá nhân
situation arises, it should be resolved with the quản lý chương trình đánh giá, khách hàng đánh giá
appropriate parties (e.g. audit team leader, the hoặc bên được đánh giá) trước khi thực hiện bất kỳ
individual(s) managing the audit programme, audit thay đổi nào
client or auditee) before any changes are made
5.5.5 Assigning responsibility for an individual 5.5.5 Phân công trách nhiệm về cuộc đánh giá
audit to the audit team leader riêng lẻ cho trưởng đoàn đánh giá
should assign the responsibility for conducting the phân công trách nhiệm tiến hành cuộc đánh giá riêng
individual audit to an audit team leader. lẻ cho trưởng đoàn đánh giá.
The assignment should be made in sufficient time Việc phân công này cần được thực hiện đủ sớm
before the scheduled date of the audit, in order to trước ngày dự kiến đánh giá, để đảm bảo việc lập kế
B
ensure the effective planning of the audit. hoạch đánh giá có hiệu lực.
U
To ensure effective conduct of the individual audits, Để đảm bảo thực hiện có hiệu lực các cuộc đánh giá
R
the following information should be provided to the riêng lẻ, các thông tin sau cần được cung cấp cho
trưởng đoàn đánh giá:
EA
audit team leader
a) audit objectives; a) mục tiêu đánh giá;

b) chuẩn mực đánh giá và mọi thông tin dạng văn
U
b) audit criteria and any relevant documented

information; bản liên quan;
VE
c) audit scope, including identification of the c) phạm vi đánh giá, bao gồm việc nhận diện tổ
organization and its functions and processes to chức, các chức năng và quá trình của tổ chức
be audited; được đánh giá;
R
d) audit processes and associated methods; d) quá trình đánh giá và các phương pháp liên quan;
IT
e) composition of the audit team; e) thành phần của đoàn đánh giá;
f) contact details of the auditee, the locations, time f) thông tin liên hệ của bên được đánh giá, địa điểm,
A
frame and duration of the audit activities to be khuôn khổ thời gian và thời lượng tiến hành các
hoạt động đánh giá;
S
conducted;
g) resources necessary to conduct the audit; g) các nguồn lực cần thiết để tiến hành đánh giá;
h) information needed for evaluating and h) thông tin cần thiết cho việc định mức và giải quyết
addressing identified risks and opportunities to các rủi ro, cơ hội được nhận diện nhằm đạt được
the achievement of the audit objectives; các mục tiêu đánh giá;
information which supports the audit team leader(s) thông tin hỗ trợ (các) trưởng đoàn đánh giá trong việc
in their interactions with the auditee for the tương tác với bên được đánh giá để đạt được hiệu
effectiveness of the audit programme. lực của chương trình đánh giá.
The assignment information should also cover the Khi thích hợp, thông tin về việc phân công cũng cần
following, as appropriate: bao trùm các nội dung sau
Page 28 of 76
 working and reporting language of the audit  ngôn ngữ làm việc và ngôn ngữ báo cáo đánh giá,
where this is different from the language of the trong các trường hợp ngôn ngữ này khác với ngôn
auditor or the auditee, or both; ngữ của chuyên gia đánh giá hoặc bên được đánh
 audit reporting output as required and to whom it giá, hoặc cả hai;
is to be distributed;  đầu ra báo cáo đánh giá theo yêu cầu và được
 matters related to confidentiality and information chuyển tới ai;
security, as required by the audit programme;  các vấn đề liên quan đến bảo mật và an toàn
 any health, safety and environmental thông tin, theo yêu cầu của chương trình đánh giá;
arrangements for the auditors;  các sắp đặt liên quan đến sức khỏe, an toàn và
 requirements for travel or access to remote môi trường cho chuyên gia đánh giá;
sites;  các yêu cầu về đi lại và cách tiếp cận với các địa
 any security and authorization requirements; điểm ở xa;
 any actions to be reviewed, e.g. follow-up  các yêu cầu về an toàn và trao quyền;
actions from a previous audit;  mọi hành động phải xem xét, ví dụ các hành động
 coordination with other audit activities, e.g. when sau đánh giá của lần đánh giá trước;
different teams are auditing similar or related  việc điều phối với các hoạt động đánh giá khác, ví
processes at different locations or in the case of dụ khi có các đoàn khác nhau cùng đánh giá các
B
a joint audit. quá trình tương tự hoặc có liên quan tại các địa
điểm khác hoặc trong trường hợp đồng đánh giá.
U
R
Where a joint audit is conducted, it is important to Trường hợp thực hiện đồng đánh giá, thì quan trọng
reach agreement among the organizations là trước khi bắt đầu đánh giá, cần đạt được sự thống
EA
conducting the audits, before the audit commences, nhất giữa các tổ chức tiến hành đánh giá về các trách
on the specific responsibilities of each party, nhiệm cụ thể của từng bên, đặc biệt liên quan đến
quyền hạn của trưởng đoàn được chỉ định cho cuộc
U
particularly with regard to the authority of the team

leader appointed for the audit. đánh giá đó
VE
5.5.6 Managing audit programme results 5.5.6 Quản lý kết quả của chương trình đánh giá
R
should ensure that the following activities are đảm bảo rằng các hoạt động sau được thực hiện:
IT
performed:
a) đánh giá mức độ đạt được các mục tiêu cho từng
A
a) evaluation of the achievement of the cuộc đánh giá trong chương trình đánh giá;
b) xem xét và phê duyệt báo cáo đánh giá liên quan
S
objectives for each audit within the audit

programme; việc thực hiện đầy đủ phạm vi và mục tiêu đánh
b) review and approval of audit reports regarding giá;
the fulfilment of the audit scope and c) xem xét hiệu lực của các hành động được thực
objectives; hiện để giải quyết các phát hiện đánh giá;
c) review of the effectiveness of actions taken to d) gửi báo cáo đánh giá cho các bên quan tâm có
address audit findings; liên quan;
d) distribution of audit reports to relevant e) e) xác định sự cần thiết đối với bất kỳ cuộc đánh
interested parties; giá tiếp theo nào.
e) e) determination of the necessity for any
follow-up audit.
Page 29 of 76
The individual managing the audit programme Khi thích hợp, cá nhân quản lý chương trình đánh giá
should consider, where appropriate: cần xem xét:
— communicating audit results and best practices to - việc trao đổi thông tin về kết quả đánh giá và các
other areas of the organization, and thực hành tốt nhất với các lĩnh vực khác trong tổ
chức, và
— the implications for other processes
- sự liên quan/các hàm ý đối với các quá trình khác
5.5.7 Managing and maintaining audit 5.5.7 Quản lý và duy trì hồ sơ chương trình đánh
programme records giá
should ensure that audit records are generated, đảm bảo rằng các hồ sơ đánh giá được tạo lập, quản
managed and maintained to demonstrate the lý và duy trì để chứng tỏ việc thực hiện chương trình
implementation of the audit programme. đánh giá.
Processes should be established to ensure that any Các quá trình cần được thiết lập để đảm bảo rằng
information security and confidentiality needs mọi nhu cầu về an toàn và bảo mật thông tin có liên
B
associated with the audit records are addressed. quan đến hồ sơ đánh giá đều được giải quyết
U
Records can include the following: Hồ sơ có thể bao gồm:

R
a) Hồ sơ liên quan đến chương trình đánh giá, như:

a) Records related to the audit programme, such - lịch trình các cuộc đánh giá;
EA
as: - các mục tiêu và mức độ của chương trình đánh

— schedule of audits; giá;
— audit programme objectives and extent; - hồ sơ liên quan đến việc giải quyết các rủi ro và
U
— those addressing audit programme risks and cơ hội của chương trình đánh giá, các vấn đề nội
opportunities, and relevant external and internal
VE
bộ và bên ngoài có liên quan;

issues; - xem xét hiệu lực của chương trình đánh giá
— reviews of the audit programme b) Hồ sơ liên quan đến từng cuộc đánh giá, như:
R
effectiveness. - kế hoạch đánh giá và báo cáo đánh giá;

b) Records related to each audit, such as:
IT
- bằng chứng đánh giá khách quan và các phát

— audit plans and audit reports; hiện đánh giá;
— objective audit evidence and findings;
A
- các báo cáo không phù hợp;

— nonconformity reports; - việc khắc phục và báo cáo hành động khắc
S
— corrections and corrective action reports; phục;

— audit follow-up reports. - các báo cáo về cuộc đánh giá tiếp theo.
c) Records related to the audit team covering c) Hồ sơ liên quan đến đoàn đánh giá bao gồm các
topics such as: nội dung như:
— competence and performance evaluation of - năng lực và đánh giá kết quả thực hiện của các
the audit team members; thành viên đoàn đánh giá;
— criteria for the selection of audit teams and - tiêu chí lựa chọn đoàn đánh giá và các thành
team members and formation of audit teams; viên trong đoàn và việc thành lập đoàn đánh giá;
— maintenance and improvement of - việc duy trì và nâng cao năng lực.
competence.
The form and level of detail of the records should Hình thức và mức độ chi tiết của các hồ sơ cần
demonstrate that the objectives of the audit chứng tỏ rằng các mục tiêu của chương trình đánh
programme have been achieved. giá đã đạt được
Page 30 of 76
5.6 Monitoring audit programme 5.6 Theo dõi chương trình đánh giá
should ensure the evaluation of: đảm bảo đánh giá được:
a) whether schedules are being met and audit a) việc lịch trình có được đáp ứng và các mục tiêu
programme objectives are being achieved; của chương trình đánh giá có đạt được hay
b) the performance of the audit team members không;
including the audit team leader and the technical b) kết quả thực hiện của các thành viên trong đoàn
experts; đánh giá, kể cả trưởng đoàn và các chuyên gia kỹ
c) the ability of the audit teams to implement the thuật;
audit plan; c) khả năng của đoàn đánh giá trong việc thực hiện
d) feedback from audit clients, auditees, auditors, kế hoạch đánh giá;
technical experts and other relevant parties; d) phản hồi từ khách hàng đánh giá, bên được đánh
e) sufficiency and adequacy of documented giá, chuyên gia đánh giá, chuyên gia kỹ thuật và
information in the whole audit process. các bên có liên quan khác;
e) tính đầy đủ và thỏa đáng của thông tin dạng văn
bản trong toàn bộ quá trình đánh giá.
B
Some factors can indicate the need to modify the Một số yếu tố có thể cho thấy cần sửa đổi chương
U
audit programme. These can include changes to: trình đánh giá. Các yếu tố này có thể bao gồm những
R
thay đổi đối với:

 audit findings;
EA
 demonstrated level of auditee’s management  các phát hiện đánh giá;

system effectiveness and maturity;  mức độ hiệu lực và thuần thục hệ thống quản lý
 effectiveness of the audit programme; của bên được đánh giá đã chứng tỏ được;
U
 audit scope or audit programme scope;  hiệu lực của chương trình đánh giá;
 the auditee’s management system;  phạm vi đánh giá hoặc phạm vi chương trình
VE
 standards, and other requirements to which the đánh giá;

organization is committed;  hệ thống quản lý của bên được đánh giá;
R
 external providers;  tiêu chuẩn và các yêu cầu khác mà tổ chức cam
 kết;
IT
identified conflicts of interest;

 the audit client’s requirements.  nhà cung cấp bên ngoài;
A
 các xung đột lợi ích được nhận biết;

 các yêu cầu của khách hàng đánh giá
S
7 Reviewing and improving audit programme 5.7 Xem xét và cải tiến chương trình đánh giá
The individual(s) managing the audit programme (Các) cá nhân quản lý chương trình đánh giá và
and the audit client should review the audit khách hàng đánh giá cần xem xét chương trình đánh
programme to assess whether its objectives have giá để đánh giá xem các mục tiêu của chương trình
been achieved. Lessons learned from the audit có đạt được hay không. Các bài học rút ra từ việc
programme review should be used as inputs for the xem xét chương trình đánh giá cần được sử dụng
improvement of the programme. làm đầu vào cho việc cải tiến chương trình.
should ensure the following: đảm bảo những điều sau:
 review of the overall implementation of the audit  xem xét việc thực hiện tổng thể chương trình
programme; đánh giá;
 identification of areas and opportunities for  nhận biết các khu vực và các cơ hội cải tiến;
Page 31 of 76
improvement;  áp dụng các thay đổi đối với chương trình đánh
 application of changes to the audit programme if giá, nếu cần;
necessary;  xem xét việc phát triển liên tục về chuyên môn
 review of the continual professional của chuyên gia đánh giá theo 7.6;
development of auditors, in accordance with 7.6;  báo cáo kết quả của chương trình đánh giá và
 reporting of the results of the audit programme xem xét với khách hàng đánh giá và các bên
and review with the audit client and relevant quan tâm có liên quan, nếu thích hợp
interested parties, as appropriate.
The audit programme review should consider the Việc xem xét chương trình đánh giá cần cân nhắc:
following:
a) các kết quả và xu hướng thu được từ việc theo
a) results and trends from audit programme dõi chương trình đánh giá;
monitoring; b) sự phù hợp với các quá trình của chương trình
b) conformity with audit programme processes and đánh giá và thông tin dạng văn bản có liên quan;
relevant documented information; c) nhu cầu và mong đợi mới hình thành của các bên
c) evolving needs and expectations of relevant quan tâm có liên quan;
interested parties; d) hồ sơ chương trình đánh giá;
B
d) audit programme records; e) các phương pháp đánh giá thay thế hoặc phương
pháp mới;
U
e) alternative or new auditing methods;

f) alternative or new methods to evaluate auditors; f) các phương pháp thay thế hoặc phương pháp
R
g) effectiveness of the actions to address the risks mới để đánh giá năng lực chuyên gia đánh giá;
EA
and opportunities, and internal and external g) hiệu lực của các hành động để giải quyết các rủi
issues associated with the audit programme; ro và cơ hội và các vấn đề nội bộ và bên ngoài
h) h) confidentiality and information security issues liên quan đến chương trình đánh giá;
U
relating to the audit programme. h) h) các vấn đề an toàn và bảo mật thông tin liên
quan đến chương trình đánh giá
VE
6 Conducting an audit 6 Tiến hành đánh giá

R
6.1 General 6.1 Khái quát

IT
This clause contains guidance on preparing and Điều này bao gồm hướng dẫn chuẩn bị và tiến hành
conducting a specific audit as part of an audit một cuộc đánh giá cụ thể là một phần trong chương
A
programme. Figure 2 provides an overview of the trình đánh giá. Hình 2 nêu tổng quan về các hoạt
S
activities performed in a typical audit. The extent to động được thực hiện trong một cuộc đánh giá điển
which the provisions of this clause are applicable hình. Mức độ mà theo đó các quy định của điều này
depends on the objectives and scope of the specific được áp dụng tùy thuộc vào các mục tiêu và phạm vi
audit. của cuộc đánh giá cụ thể
6.2 Initiating audit 6.2 Đánh giá lần đầu
The responsibility for conducting the audit should Trách nhiệm tiến hành đánh giá cần được duy trì với
remain with the assigned audit team leader (see trưởng đoàn đánh giá được phân công (xem 5.5.5)
5.5.5) until the audit is completed (see 6.6). cho đến khi hoàn thành cuộc đánh giá (xem 6.6).
To initiate an audit, the steps in Figure 1 should be Để bắt đầu đánh giá, các bước trong Hình 1 cần
considered; however, the sequence can differ được xem xét; tuy nhiên, trình tự có thể khác nhau
depending on the auditee, processes and specific tùy thuộc vào bên được đánh giá, các quá trình và
circumstances of the audit hoàn cảnh cụ thể của cuộc đánh giá
Page 32 of 76
6.2.2 Establishing contact with auditee 6.2.2 Thiết lập liên hệ với bên được đánh giá
The audit team leader should ensure that contact is Trưởng đoàn đánh giá cần đảm bảo thực hiện việc
made with the auditee to: trao đổi với bên được đánh giá để:
a) confirm communication channels with the a) xác nhận các kênh trao đổi thông tin với các đại
auditee’s representatives; diện của bên được đánh giá;
b) confirm the authority to conduct the audit; b) xác nhận quyền thực hiện cuộc đánh giá;
c) provide relevant information on the audit c) cung cấp thông tin liên quan về mục tiêu, phạm vi,
objectives, scope, criteria, methods and audit chuẩn mực, phương pháp đánh giá và thành
team composition, including any technical phần đoàn đánh giá, gồm cả chuyên gia kỹ thuật;
experts; d) yêu cầu tiếp cận thông tin liên quan cho việc
d) request access to relevant information for hoạch định, gồm cả thông tin về các rủi ro và cơ
planning purposes including information on the hội mà tổ chức đã nhận diện và cách thức giải
risks and opportunities the organization has quyết rủi ro và cơ hội đó;
identified and how they are addressed; e) xác định các yêu cầu luật định và chế định hiện
e) determine applicable statutory and regulatory hành và các yêu cầu khác liên quan đến các hoạt
requirements and other requirements relevant to động, quá trình, sản phẩm và dịch vụ của bên
B
the activities, processes, products and services được đánh giá;

of the auditee; f) xác nhận thỏa thuận với bên được đánh giá về
U
f) confirm the agreement with the auditee mức độ công khai và xử lý thông tin bí mật;
R
regarding the extent of the disclosure and the g) thực hiện các sắp đặt cho việc đánh giá bao gồm
cả lịch trình;
EA
treatment of confidential information;

g) make arrangements for the audit including the h) xác định các sắp đặt với địa điểm cụ thể cho việc
schedule; tiếp cận, sức khỏe, an toàn, bảo mật hoặc các
U
h) determine any location-specific arrangements vấn đề khác;

for access, health and safety, security, i) thống nhất về sự tham dự của các quan sát viên
VE
confidentiality or other; và nhu cầu về người hướng dẫn hoặc phiên dịch
i) agree on the attendance of observers and the cho đoàn đánh giá;
need for guides or interpreters for the audit j) xác định các khu vực quan tâm, lo ngại hoặc rủi
R
team; ro đối với bên được đánh giá liên quan đến cuộc
IT
j) determine any areas of interest, concern or risks đánh giá cụ thể;

to the auditee in relation to the specific audit; k) giải quyết các vấn đề liên quan đến thành phần
A
k) resolve issues regarding composition of the của đoàn đánh giá với bên được đánh giá hoặc
S
audit team with the auditee or audit client. khách hàng đánh giá.
6.2.3 Determining feasibility of audit 6.2.3 Xác định tính khả thi của cuộc đánh giá
The feasibility of the audit should be determined to Tính khả thi của cuộc đánh giá cần được xác định để
provide reasonable confidence that the audit mang lại sự tin cậy hợp lý rằng các mục tiêu đánh giá
objectives can be achieved. có thể đạt được.
The determination of feasibility should take into Việc xác định tính khả thi cần đưa vào xem xét các
consideration factors such as the availability of the yếu tố như sự sẵn có của:
following:
a) thông tin đầy đủ và thích hợp cho việc hoạch định
a) sufficient and appropriate information for và tiến hành cuộc đánh giá;
planning and conducting the audit; b) sự hợp tác đầy đủ của bên được đánh giá;
b) adequate cooperation from the auditee; c) đủ thời gian và nguồn lực để tiến hành cuộc đánh
c) adequate time and resources for conducting the giá.
audit.
Page 33 of 76
NOTE Resources include access to adequate and CHÚ THÍCH: Các nguồn lực bao gồm việc tiếp cận
appropriate information and communication công nghệ thông tin và truyền thông thỏa đáng và
technology. thích hợp.
Where the audit is not feasible, an alternative hi cuộc đánh giá không khả thi, cần đề xuất cho
should be proposed to the audit client, in agreement khách hàng đánh giá một cuộc đánh giá khác theo sự
with the auditee. thống nhất với bên được đánh giá
6.3 Preparing audit activities 6.3 Chuẩn bị hoạt động đánh giá
6.3.1 Performing review of documented 6.3.1 Thực hiện xem xét thông tin dạng văn bản
information
Thông tin dạng văn bản của hệ thống quản lý liên
The relevant management system documented quan của bên được đánh giá cần được xem xét
information of the auditee should be reviewed in nhằm:
order to:
 thu thập thông tin để hiểu các hoạt động của bên
 gather information to understand the auditee’s được đánh giá và chuẩn bị các hoạt động đánh
operations and to prepare audit activities and giá, các tài liệu có thể sử dụng cho công việc đánh
B
applicable audit work documents (see 6.3.4), giá (xem 6.3.4), ví dụ về các quá trình, chức năng;
 hình thành tổng quan về mức độ thông tin dạng
U
e.g. on processes, functions;

 establish an overview of the extent of the văn bản để xác định sự phù hợp có thể có với
R
documented information to determine possible chuẩn mực đánh giá và phát hiện các khu vực có
EA
conformity to the audit criteria and detect thể cần quan tâm, chẳng hạn như các thiếu sót,
possible areas of concern, such as deficiencies, những nội dung bị bỏ qua hoặc các mâu thuẫn
omissions or conflicts.
U
Thông tin dạng văn bản cần bao gồm, nhưng không
The documented information should include, but not giới hạn ở: các tài liệu và hồ sơ hệ thống quản lý,
VE
be limited to: management system documents and cũng như các báo cáo của cuộc đánh giá trước đó.
records, as well as previous audit reports. The Việc xem xét cần tính đến bối cảnh tổ chức của bên
review should take into account the context of the được đánh giá, bao gồm quy mô, tính chất và mức độ
R
auditee’s organization, including its size, nature and phức tạp cũng như các rủi ro và cơ hội liên quan của
IT
complexity, and its related risks and opportunities. It nó. Cũng cần tính đến phạm vi, chuẩn mực và các
should also take into account the audit scope, mục tiêu đánh giá.
A
criteria and objectives.

CHÚ THÍCH: Hướng dẫn về cách thức kiểm tra xác
S
NOTE Guidance on how to verify information is nhận thông tin được nêu ở A.5
provided in A.5.
6.3.2 Audit planning 6.3.2 Lập kế hoạch đánh giá
6.3.2.1 Risk-based approach to planning 6.3.2.1 Cách tiếp cận dựa trên rủi ro khi lập kế
hoạch
The audit team leader should adopt a risk-based
approach to planning the audit based on the Trưởng đoàn đánh giá cần chấp nhận cách tiếp cận
information in the audit programme and the dựa trên rủi ro khi lập kế hoạch đánh giá dựa trên
documented information provided by the auditee. thông tin trong chương trình đánh giá và thông tin
Audit planning should consider the risks of the audit dạng văn bản do bên được đánh giá cung cấp.
activities on the auditee’s processes and provide the Việc lập kế hoạch đánh giá cần xem xét các rủi ro của
basis for the agreement among the audit client, hoạt động đánh giá các quá trình của bên được đánh
audit team and the auditee regarding the conduct of giá và đưa ra cơ sở cho việc thống nhất giữa khách
the audit. Planning should facilitate the efficient hàng đánh giá, đoàn đánh giá và bên được đánh giá
Page 34 of 76
scheduling and coordination of the audit activities in về việc tiến hành đánh giá. Việc lập kế hoạch cần tạo
order to achieve the objectives effectively. thuận lợi cho việc lập lịch trình và sự phối hợp hiệu
quả các hoạt động đánh giá nhằm đạt được các mục
The amount of detail provided in the audit plan tiêu một cách hiệu lực.
should reflect the scope and complexity of the audit,
as well as the risk of not achieving the audit Mức độ chi tiết nêu trong kế hoạch đánh giá cần phản
objectives. In planning the audit, the audit team ánh phạm vi và tính phức tạp của cuộc đánh giá,
leader should consider the following: cũng như rủi ro do không đạt được các mục tiêu đánh
giá. Khi lập kế hoạch đánh giá, trưởng đoàn đánh giá
cần xem xét:
a) the composition of the audit team and its overall a) thành phần của đoàn đánh giá và năng lực tổng
competence; thể của đoàn;
b) the appropriate sampling techniques (see A.6); b) các kỹ thuật lấy mẫu thích hợp (xem A.6);
c) opportunities to improve the effectiveness and c) các cơ hội cải tiến hiệu lực và hiệu quả của hoạt
efficiency of the audit activities; động đánh giá;
d) the risks to achieving the audit objectives d) các rủi ro đối với việc đạt được mục tiêu đánh giá
created by ineffective audit planning; do việc lập kế hoạch đánh giá kém hiệu lực;
B
e) the risks to the auditee created by performing e) các rủi ro với bên được đánh giá do việc thực
the audit. hiện đánh giá
U
R
Risks to the auditee can result from the presence of Các rủi ro với bên được đánh giá có thể nảy sinh do
the audit team members adversely influencing the sự có mặt của các thành viên đoàn đánh giá gây ảnh
EA
auditee’s arrangements for health and safety, hưởng bất lợi tới các sắp xếp của bên được đánh giá
environment and quality, and its products, services, đối với sức khỏe, an toàn, môi trường và chất lượng,
sản phẩm, dịch vụ, nhân sự hoặc cơ sở hạ tầng của
U
personnel or infrastructure (e.g. contamination in

clean room facilities). bên được đánh giá (ví dụ ô nhiễm cơ sở vật chất
phòng sạch).
VE
For combined audits, particular attention should be Đối với các cuộc đánh giá kết hợp, cần đặc biệt chú ý
R
given to the interactions between operational đến sự tương tác giữa các quá trình tác nghiệp và bất
processes and any competing objectives and kỳ mục tiêu mang tính cạnh tranh và thứ tự ưu tiên
IT
priorities of the different management systems. của các hệ thống quản lý khác nhau
A
6.3.2.2 Audit planning details 6.3.2.2 Nội dung chi tiết trong lập kế hoạch đánh
S
giá
The scale and content of the audit planning can
differ, for example, between initial and subsequent Quy mô và nội dung khi lập kế hoạch đánh giá có thể
audits, as well as between internal and external khác nhau, ví dụ, giữa các cuộc đánh giá ban đầu và
audits. Audit planning should be sufficiently flexible đánh giá tiếp theo, cũng như giữa đánh giá nội bộ và
to permit changes which can become necessary as bên ngoài. Việc lập kế hoạch đánh giá cần đủ linh
the audit activities progress. hoạt để cho phép các thay đổi khi chúng trở nên cần
thiết theo tiến triển của hoạt động đánh giá.
Audit planning should address or reference the Việc lập kế hoạch đánh giá cần đề cập hoặc viện dẫn
following: đến:
a) the audit objectives; a) mục tiêu đánh giá;

b) the audit scope, including identification of the b) phạm vi đánh giá, kể cả việc nhận biết tổ chức
organization and its functions, as well as và các chức năng của tổ chức, cũng như các
processes to be audited; quá trình được đánh giá;
c) the audit criteria and any reference c) chuẩn mực đánh giá và tất cả thông tin dạng văn
Page 35 of 76
documented information; bản dùng làm quy chiếu;
d) the locations (physical and virtual), dates, d) các địa điểm (thực và ảo), ngày, thời gian dự
expected time and duration of audit activities to kiến và thời lượng của các hoạt động đánh giá
be conducted, including meetings with the được tiến hành, bao gồm cả các cuộc họp với
auditee’s management; lãnh đạo của bên được đánh giá;
e) the need for the audit team to familiarize e) nhu cầu đối với việc đoàn đánh giá làm quen với
themselves with auditee’s facilities and cơ sở vật chất và các quá trình của bên được
processes (e.g. by conducting a tour of physical đánh giá (ví dụ xuống (các) địa điểm thực tế
location(s), or reviewing information and hoặc xem xét công nghệ thông tin và truyền
communication technology); thông);
f) the audit methods to be used, including the f) phương pháp đánh giá được sử dụng, bao gồm
extent to which audit sampling is needed to cả mức độ theo đó cần lấy mẫu đánh giá để thu
obtain sufficient audit evidence; được đủ bằng chứng đánh giá;
g) the roles and responsibilities of the audit team g) vai trò và trách nhiệm của các thành viên trong
members, as well as guides and observers or đoàn đánh giá, cũng như của người hướng dẫn,
interpreters; quan sát viên hoặc phiên dịch;
h) the allocation of appropriate resources based h) phân bổ các nguồn lực thích hợp dựa trên việc
upon consideration of the risks and xem xét các rủi ro và cơ hội liên quan đến các
B
opportunities related to the activities that are to hoạt động được đánh giá.
U
be audited.
R
Audit planning should take into account, as Khi thích hợp, việc lập kế hoạch đánh giá cần tính
EA
appropriate: đến:
 identification of the auditee’s  việc xác định (các) đại diện của bên được
U
representative(s) for the audit; đánh giá cho cuộc đánh giá này;
 the working and reporting language of the  ngôn ngữ làm việc và ngôn ngữ báo cáo của
VE
audit where this is different from the cuộc đánh giá, khi ngôn ngữ này khác với
language of the auditor or the auditee or ngôn ngữ của chuyên gia đánh giá hoặc của
both; bên được đánh giá hoặc cả hai;
R
 the audit report topics;  các nội dung của báo cáo đánh giá
IT
 logistics and communications arrangements,  các sắp đặt về logistic và trao đổi thông tin,
including specific arrangements for the bao gồm cả các sắp đặt cụ thể cho các địa
A
locations to be audited; điểm được đánh giá;

S
 any specific actions to be taken to address  mọi hành động cụ thể được thực hiện để giải
risks to achieving the audit objectives and quyết rủi ro trong việc đạt được các mục tiêu
opportunities arising; đánh giá và cơ hội nảy sinh;
 matters related to confidentiality and  các vấn đề liên quan đến bảo mật và an toàn
information security; thông tin;
 any follow-up actions from a previous audit  mọi hành động tiếp theo từ lần dánh giá trước
or other source(s) e.g. lessons learned, đó hoặc (các) nguồn khác, ví dụ các bài học
project reviews; kinh nghiệm, xem xét dự án;
 any follow-up activities to the planned audit;  các hoạt động tiếp theo đối với cuộc đánh giá
 coordination with other audit activities, in đã được lập kế hoạch;
case of a joint audit  việc điều phối các hoạt động đánh giá khác,
trong trường hợp đồng đánh giá.
Page 36 of 76
Audit plans should be presented to the auditee. Any Các kế hoạch đánh giá cần được thể hiện cho bên
issues with the audit plans should be resolved được đánh giá. Mọi vấn đề với kế hoạch đánh giá
between the audit team leader, the auditee and, if đều cần được giải quyết giữa trưởng đoàn đánh giá,
necessary, the individual(s) managing the audit bên được đánh giá và, nếu cần, (các) cá nhân quản
programme. lý chương trình đánh giá
6.3.3 Assigning work to audit team 6.3.3 Phân công công việc cho đoàn đánh giá
The audit team leader, in consultation with the audit Trưởng đoàn đánh giá, thông qua tham vấn với đoàn
team, should assign to each team member đánh giá, cần phân công cho từng thành viên trong
responsibility for auditing specific processes, đoàn trách nhiệm đánh giá các quá trình, hoạt động,
activities, functions or locations and, as appropriate, chức năng hoặc địa điểm cụ thể và khi thích hợp,
authority for decision-making. Such assignments giao quyền ra quyết định. Việc phân công này cần
should take into account the impartiality and tính đến tính khách quan và vô tư và năng lực của
objectivity and competence of auditors and the chuyên gia đánh giá, việc sử dụng hiệu quả các
effective use of resources, as well as different roles nguồn lực, cũng như các vai trò và trách nhiệm khác
and responsibilities of auditors, auditors-in-training nhau của các chuyên gia đánh giá, chuyên gia đánh
and technical experts. giá tập sự và chuyên gia kỹ thuật.
B
Audit team meetings should be held, as appropriate, Khi thích hợp, trưởng đoàn cần tổ chức họp đoàn
U
by the audit team leader in order to allocate work đánh giá để phân bổ các công việc được chỉ định và
R
assignments and decide possible changes. quyết định về những thay đổi có thể có. Các thay đổi
Changes to the work assignments can be made as đối với việc phân công công việc có thể được thực
EA
the audit progresses in order to ensure the hiện theo tiến triển của cuộc đánh giá để đảm bảo đạt
achievement of the audit objectives. được các mục tiêu đánh giá
U
6.3.4 Preparing documented information for 6.3.4 Chuẩn bị thông tin dạng văn bản cho cuộc
audit đánh giá
VE
The audit team members should collect and review Các thành viên của đoàn đánh giá cần thu thập và
the information relevant to their audit assignments xem xét thông tin liên quan đến công việc đánh giá
R
and prepare documented information for the audit, được phân công của mình và chuẩn bị thông tin dạng
IT
using any appropriate media. The documented văn bản cho cuộc đánh giá, bằng việc sử dụng bất kỳ
information for the audit can include but is not phương tiện truyền thông thích hợp nào. Thông tin
A
limited to: dạng văn bản cho cuộc đánh giá có thể bao gồm,
S
nhưng không giới hạn ở:

a) physical or digital checklists;
b) audit sampling details; a) danh mục kiểm tra thực hoặc dạng số;
c) c) audio visual information. b) thông tin chi tiết về lấy mẫu đánh giá;
c) thông tin dạng âm thanh, hình ảnh.
The use of these media should not restrict the Việc sử dụng các phương tiện truyền thông này
extent of audit activities, which can change as a không nên hạn chế mức độ của các hoạt động đánh
result of information collected during the audit. giá vốn có thể thay đổi do các thông tin thu thập được
trong quá trình đánh giá.
NOTE Guidance on preparing audit work
documents is given in A.13. CHÚ THÍCH: Hướng dẫn chuẩn bị tài liệu phục vụ
việc đánh giá được nêu ở A.13.
Page 37 of 76
Documented information prepared for, and resulting Thông tin dạng văn bản được chuẩn bị cho cuộc
from, the audit should be retained at least until audit đánh giá và có được từ đánh giá cần được lưu giữ ít
completion, or as specified in the audit programme. nhất cho đến khi hoàn thành cuộc đánh giá, hoặc
Retention of documented information after audit theo quy định của chương trình đánh giá. Việc lưu
completion is described in 6.6. Documented giữ thông tin dạng văn bản sau khi hoàn thành việc
information created during the audit process đánh giá được nêu ở 6.6. Các thông tin dạng văn bản
involving confidential or proprietary information được tạo ra trong quá trình đánh giá có liên quan đến
should be suitably safeguarded at all times by the thông tin bí mật hay độc quyền cần luôn được bảo vệ
audit team members. một cách thích hợp bởi các thành viên đoàn đánh giá
6.4 Conducting audit activities 6.4 Tiến hành hoạt động đánh giá
Audit activities are normally conducted in a defined Các hoạt động đánh giá thường được tiến hành theo
sequence as indicated in Figure 1. This sequence một trình tự xác định như nêu trong Hình 1. Trình tự
may be varied to suit the circumstances of specific này có thể khác nhau cho phù hợp với hoàn cảnh của
audits. các cuộc đánh giá cụ thể.
B
6.4.2 Assigning roles and responsibilities of 6.4.2 Phân công vai trò và trách nhiệm của người
U
guides and observers hướng dẫn và quan sát viên

R
Guides and observers may accompany the audit Người hướng dẫn và quan sát viên có thể đi cùng với
đoàn đánh giá khi có sự chấp thuận của trưởng đoàn
EA
team with approvals from the audit team leader,

audit client and/or auditee, if required. They should đánh giá, khách hàng đánh giá và/hoặc bên được
not influence or interfere with the conduct of the đánh giá, nếu cần. Họ không nên can thiệp hoặc gây
U
audit. If this cannot be assured, the audit team ảnh hưởng tới việc thực hiện đánh giá. Nếu điều này
leader should have the right to deny observers from không thể được đảm bảo, trưởng đoàn đánh giá cần
VE
being present during certain audit activities. có quyền từ chối việc các quan sát viên có mặt trong
For observers, any arrangements for access, health các hoạt động đánh giá nhất định. Đối với các quan
and safety, environmental, security and sát viên, mọi sắp xếp liên quan đến việc tiếp cận, sức
R
confidentiality should be managed between the khỏe, an toàn, môi trường, an ninh và bảo mật cần
IT
audit client and the auditee. được quản lý giữa khách hàng đánh giá và bên được
đánh giá.
A
Người hướng dẫn, do bên được đánh giá chỉ định,

S
Guides, appointed by the auditee, should assist the

audit team and act on the request of the audit team cần hỗ trợ đoàn đánh giá và hành động theo yêu cầu
leader or the auditor to which they have been của trưởng đoàn đánh giá hoặc của chuyên gia đánh
assigned. Their responsibilities should include the giá mà họ đã được phân công hỗ trợ. Trách nhiệm
following: của họ cần bao gồm:
a) assisting the auditors in identifying individuals to a) hỗ trợ các chuyên gia đánh giá nhận biết các cá
participate in interviews and confirming timings nhân tham gia phỏng vấn và xác nhận thời gian
and locations; và địa điểm;
b) arranging access to specific locations of the b) thu xếp việc tiếp cận các địa điểm cụ thể của bên
auditee; được đánh giá;
c) ensuring that rules concerning location-specific c) đảm bảo rằng các quy tắc liên quan đến các sắp
arrangements for access, health and safety, đặt tại địa điểm cụ thể với tiếp cận, sức khỏe và
environmental, security, confidentiality and other an toàn, môi trường, an ninh, bảo mật và các vấn
issues are known and respected by the audit đề khác đều được cho biết và được các thành
team members and observers and any risks are viên trong đoàn đánh giá, các quan sát viên tôn
addressed; trọng, mọi rủi ro được giải quyết;
Page 38 of 76
d) witnessing the audit on behalf of the auditee, d) chứng kiến việc đánh giá với tư cách của bên
when appropriate; được đánh giá, khi thích hợp;
e) providing clarification or assisting in collecting e) làm rõ hoặc hỗ trợ việc thu thập thông tin, khi cần
information, when needed.
6.4.3 Conducting opening meeting 6.4.3 Tiến hành cuộc họp khai mạc
The purpose of the opening meeting is to: Mục đích của cuộc họp khai mạc là:
a) confirm the agreement of all participants (e.g. a) xác nhận sự thống nhất của tất cả những người
auditee, audit team) to the audit plan; tham gia (ví dụ bên được đánh giá, đoàn đánh
b) introduce the audit team and their roles; giá) đối với kế hoạch đánh giá;
c) ensure that all planned audit activities can be b) giới thiệu đoàn đánh giá và vai trò của họ;
performed. c) đảm bảo rằng tất cả các hoạt động đánh giá được
lên kế hoạch đều có thể được thực hiện.
An opening meeting should be held with the Một cuộc họp khai mạc cần được tổ chức với lãnh
auditee’s management and, where appropriate, đạo của bên được đánh giá và khi thích hợp, những
those responsible for the functions or processes to người chịu trách nhiệm về các chức năng hoặc các
B
be audited. During the meeting, an opportunity to quá trình được đánh giá. Trong cuộc họp, cần đưa ra
U
ask questions should be provided. cơ hội để nêu các câu hỏi.

R
The degree of detail should be consistent with the Mức độ chi tiết cần tương ứng với sự quen thuộc của
EA
familiarity of the auditee with the audit process. In bên được đánh giá với quá trình đánh giá. Trong
many instances, e.g. internal audits in a small nhiều trường hợp, ví dụ các cuộc đánh giá nội bộ
organization, the opening meeting may simply trong một tổ chức nhỏ, cuộc họp khai mạc có thể
U
consist of communicating that an audit is being đơn giản chỉ bao gồm việc thông báo rằng cuộc đánh
conducted and explaining the nature of the audit.\ giá được tiến hành và giải thích bản chất của hoạt
VE
động đánh giá.

For other audit situations, the meeting may be
formal and records of attendance should be Đối với các tình huống đánh giá khác, cuộc họp này
R
retained. The meeting should be chaired by the có thể mang tính chính thức và cần lưu giữ hồ sơ về
IT
audit team leader. những người tham dự. Cuộc họp cần do trưởng đoàn
đánh giá chủ trì.
A
Khi thích hợp, cần xem xét giới thiệu các nội dung
S
Introduction of the following should be considered,

as appropriate: sau:
 other participants, including observers and  những người tham gia khác, kể cả quan sát viên
guides, interpreters and an outline of their roles; và người hướng dẫn, phiên dịch và tóm tắt vai trò
 the audit methods to manage risks to the của họ;
organization which may result from the presence  các phương pháp đánh giá để quản lý các rủi ro
of the audit team members. cho tổ chức do sự hiện diện của các thành viên
đoàn đánh giá gây ra
Confirmation of the following items should be Khi thích hợp, cần xem xét việc xác nhận những hạng
considered, as appropriate: mục sau:
 the audit objectives, scope and criteria;  mục tiêu, phạm vi và chuẩn mực đánh giá;
Page 39 of 76
 the audit plan and other relevant arrangements  kế hoạch đánh giá và các sắp đặt khác có liên
with the auditee, such as the date and time for quan với bên được đánh giá, chẳng hạn như
the closing meeting, any interim meetings ngày và thời gian cho cuộc họp kết thúc, các
between the audit team and the auditee’s cuộc họp sơ bộ giữa đoàn đánh giá và lãnh đạo
management, and any change(s) needed; của bên được đánh giá và mọi thay đổi cần thiết;
 formal communication channels between the  các kênh trao đổi thông tin chính thức giữa đoàn
audit team and the auditee; đánh giá và bên được đánh giá;
 the language to be used during the audit;  ngôn ngữ được sử dụng trong quá trình đánh giá;
 the auditee being kept informed of audit  bên được đánh giá luôn được thông tin về tiến
progress during the audit; triển của cuộc đánh giá trong suốt quá trình đánh
 the availability of the resources and facilities giá;
needed by the audit team;  sự sẵn có của các nguồn lực và cơ sở vật chất
 matters relating to confidentiality and information cần thiết cho đoàn đánh giá;
security;  các vấn đề liên quan đến an toàn và bảo mật
 relevant access, health and safety, security, thông tin;
emergency and other arrangements for the audit  các sắp đặt liên quan đối với việc tiếp cận, sức
team; khỏe, an toàn, an ninh, tình huống khẩn cấp và
B
 activities on site that can impact the conduct of các sắp đặt khác cho đoàn đánh giá;
the audit  các hoạt động tại hiện trường có thể ảnh hưởng
U
đến việc thực hiện đánh giá.

R
The presentation of information on the following

items should be considered, as appropriate: Cần xem xét việc trình bày các thông tin về các hạng
EA
mục sau, nếu thích hợp:
 the method of reporting audit findings including  phương pháp báo cáo những phát hiện đánh giá
U
criteria for grading, if any; bao gồm cả tiêu chí phân loại, nếu có;
 conditions under which the audit may be  các điều kiện có thể dừng đánh giá;
VE
terminated;  cách giải quyết các phát hiện có thể xảy ra trong
 how to deal with possible findins during the cuộc đánh giá;
R
audit;  hệ thống cho việc phản hồi của bên được đánh
 giá về các phát hiện hoặc kết luận đánh giá, bao
IT
any system for feedback from the auditee on the

findings or conclusions of the audit, including gồm cả khiếu nại hay yêu cầu xem xét lại
A
complaints or appeals
S
6.4.4 Communicating during audit 6.4.4 Trao đổi thông tin trong quá trình đánh giá
During the audit, it may be necessary to make Trong quá trình đánh giá, có thể cần thực hiện các
formal arrangements for communication within the sắp đặt chính thức cho việc trao đổi trong đoàn đánh
audit team, as well as with the auditee, the audit giá, cũng như với bên được đánh giá, khách hàng
client and potentially with external interested parties đánh giá và có thể cả với các bên quan tâm bên
(e.g. regulators), especially where statutory and ngoài (ví dụ như cơ quan quản lý), đặc biệt là khi các
regulatory requirements require mandatory reporting yêu cầu luật định hoặc chế định đòi hỏi báo cáo mang
of nonconformities. tính bắt buộc về những sự không phù hợp.
The audit team should confer periodically to Đoàn đánh giá cần định kỳ bàn bạc để trao đổi thông
exchange information, assess audit progress and tin, đánh giá tiến triển cuộc đánh giá và phân công lại
reassign work between the audit team members, as công việc giữa các thành viên đoàn đánh giá, khi cần.
needed.
During the audit, the audit team leader should Trong quá trình đánh giá, trưởng đoàn đánh giá cần
periodically communicate the progress, any định kỳ trao đổi thông tin về tiến triển, mọi phát hiện
Page 40 of 76
significant findings and any concerns to the auditee quan trọng và bất kỳ mối quan ngại nào đối với khách
and audit client, as appropriate. Evidence collected hàng đánh giá và bên được đánh giá, nếu thích hợp.
during the audit that suggests an immediate and Bằng chứng thu được trong quá trình đánh giá nếu
significant risk should be reported without delay to cho thấy có rủi ro tức thời và đáng kể thì cần báo cáo
the auditee and, as appropriate, to the audit client. không chậm trễ cho bên được đánh giá và, khi thích
Any concern about an issue outside the audit scope hợp, cho khách hàng đánh giá. Bất kỳ quan ngại nào
should be noted and reported to the audit team về một vấn đề nằm ngoài phạm vi đánh giá cần được
leader, for possible communication to the audit ghi nhận và báo cáo cho trưởng đoàn đánh giá, để có
client and auditee. thể có sự trao đổi thông tin cho khách hàng đánh giá
và bên được đánh giá.
Where the available audit evidence indicates that
the audit objectives are unattainable, the audit team Trường hợp bằng chứng đánh giá hiện có cho thấy
leader should report the reasons to the audit client các mục tiêu đánh giá là không thể đạt được, trưởng
and the auditee to determine appropriate action. đoàn đánh giá cần báo cáo các lý do cho khách hàng
Such action may include changes to audit planning, đánh giá và bên được đánh giá để xác định hành
the audit objectives or audit scope, or termination of động thích hợp. Hành động này có thể bao gồm các
the audit. thay đổi đối với việc lập kế hoạch đánh giá, mục tiêu
đánh giá hoặc phạm vi đánh giá, hoặc dừng cuộc
B
đánh giá.
U
Any need for changes to the audit plan which may Bất kỳ nhu cầu thay đổi kế hoạch đánh giá nào có thể
R
become apparent as auditing activities progress trở nên rõ ràng trong tiến trình thực hiện các hoạt
động đánh giá đều cần được xem xét và chấp nhận,
EA
should be reviewed and accepted, as appropriate,

by both the individual(s) managing the audit khi thích hợp, bởi cả (các) cá nhân quản lý chương
programme and the audit client, and presented to trình đánh giá và khách hàng đánh giá và được trình
U
the auditee. bày cho bên được đánh giá

VE
6.4.5 Audit information availability and access 6.4.5 Sự sẵn có và tiếp cận thông tin đánh giá
The audit methods chosen for an audit depend on Các phương pháp đánh giá được lựa chọn cho một
R
the defined audit objectives, scope and criteria, as cuộc đánh giá phụ thuộc vào các mục tiêu, phạm vi
IT
well as duration and location. The location is where và chuẩn mực đánh giá đã được xác định, cũng như
the information needed for the specific audit activity thời lượng và địa điểm đánh giá. Địa điểm là nơi
A
is available to the audit team. This may include thông tin cần thiết cho hoạt động đánh giá cụ thể sẵn
có cho đoàn đánh giá. Có thể bao gồm các địa điểm
S
physical and virtual locations.

thực và địa điểm ảo.
Where, when and how to access audit information is
crucial to the audit. This is independent of where the Ở đâu, khi nào và làm thế nào để tiếp cận thông tin
information is created, used and/or stored. Based đánh giá là rất quan trọng cho một cuộc đánh giá.
on these issues, the audit methods need to be Điều này độc lập với nơi thông tin được tạo, được sử
determined (see Table A.1). The audit can use a dụng và/hoặc được lưu trữ. Dựa trên những vấn đề
mixture of methods. Also, audit circumstances may này, cần xác định các phương pháp đánh giá (xem
mean that the methods need to change during the Bảng A.1). Việc đánh giá có thể sử dụng hỗn hợp
audit nhiều phương pháp. Cũng như vậy, hoàn cảnh của
đánh giá có thể là lý do cho nhu cầu thay đổi các
phương pháp trong quá trình đánh giá
6.4.6 Reviewing documented information while 6.4.6 Xem xét thông tin dạng văn bản khi tiến
conducting audit hành đánh giá
The auditee’s relevant documented information Thông tin dạng văn bản có liên quan của bên được
Page 41 of 76
should be reviewed to: đánh giá cần được xem xét để:
— determine the conformity of the system, as far as - xác định sự phù hợp của hệ thống, như đã được
documented, with audit criteria; nêu thành văn bản, với các chuẩn mực đánh giá;
— gather information to support the audit activities. - thu thập thông tin để hỗ trợ các hoạt động đánh giá.
NOTE Guidance on how to verify information is CHÚ THÍCH: Hướng dẫn về cách thức kiểm tra xác
provided in A.5. nhận thông tin được nêu ở A.5.
The review may be combined with the other audit Việc xem xét có thể được kết hợp với các hoạt động
activities and may continue throughout the audit, đánh giá khác và có thể tiếp tục trong suốt quá trình
providing this is not detrimental to the effectiveness đánh giá, miễn là nó không gây trở ngại tới hiệu lực
of the conduct of the audit. của việc tiến hành đánh giá
If adequate documented information cannot be Nếu thông tin dạng văn bản đầy đủ không được cung
provided within the time frame given in the audit cấp trong khuôn khổ thời gian đã nêu của kế hoạch
plan, the audit team leader should inform both the đánh giá, thì trưởng đoàn đánh giá cần thông báo cho
individual(s) managing the audit programme and the cả (các) cá nhân quản lý chương trình đánh giá và
B
auditee. Depending on the audit objectives and bên được đánh giá. Tùy thuộc vào các mục tiêu và
scope, a decision should be made as to whether the phạm vi đánh giá, cần ra quyết định là cuộc đánh giá
U
audit should be continued or suspended until có được tiếp tục hoặc tạm dừng cho đến khi các vấn
R
documented information concerns are resolved. đề về thông tin dạng văn bản được giải quyết.
EA
6.4.7 Collecting and verifying information 6.4.7 Thu thập và kiểm tra xác nhận thông tin
During the audit, information relevant to the audit Trong quá trình đánh giá, thông tin liên quan đến mục
U
objectives, scope and criteria, including information tiêu, phạm vi và chuẩn mực đánh giá, kể cả thông tin
relating to interfaces between functions, activities liên quan đến sự tương giao giữa các chức năng,
VE
and processes should be collected by means of hoạt động và các quá trình cần được thu thập bằng
appropriate sampling and should be verified, as far cách lấy mẫu thích hợp và cần được kiểm tra xác
R
as practicable. nhận khi có thể thực hiện được.

IT
NOTE 1 For verifying information see A.5. CHÚ THÍCH 1: Xem A.5 về kiểm tra xác nhận thông
tin
A
NOTE 2 Guidance on sampling is given in A.6.

CHÚ THÍCH 2: Hướng dẫn về lấy mẫu được nêu ở
S
Only information that can be subject to some degree A.6.

of verification should be accepted as audit evidence.
Where the degree of verification is low the auditor Chỉ các thông tin có thể được kiểm tra xác nhận ở
should use their professional judgement to mức độ nào đó mới nên được chấp nhận là bằng
determine the degree of reliance that can be placed chứng đánh giá. Khi mức độ kiểm tra xác nhận thấp
on it as evidence. Audit evidence leading to audit thì chuyên gia đánh giá cần sử dụng sự đánh giá
findings should be recorded. If, during the collection chuyên nghiệp của mình để xác định mức độ tin cậy
of objective evidence, the audit team becomes để xem thông tin đó là bằng chứng. Bằng chứng đánh
aware of any new or changed circumstances, or giá dẫn đến phát hiện đánh giá cần được ghi nhận.
risks or opportunities, these should be addressed by Trong quá trình thu thập bằng chứng khách quan,
the team accordingly. nếu đoàn đánh giá nhận thức được bất kỳ hoàn cảnh,
hoặc các rủi ro hoặc cơ hội mới hay thay đổi, thì đoàn
đánh giá cần giải quyết chúng một cách thích hợp.
Figure 2 provides an overview of a typical process, Hình 2 thể hiện tổng quan về một quá trình điển hình,
from collecting information to reaching audit từ thu thập thông tin cho đến đạt được các kết luận
Page 42 of 76
conclusions. đánh giá.
B
U
R
EA
U
VE
R
IT
Figure 2 — Overview of a typical process of Hình 2 thể hiện tổng quan về một quá trình điển
collecting and verifying information hình, từ thu thập thông tin cho đến đạt được các kết
A
luận đánh giá

S
Methods of collecting information include, but are not Các phương pháp thu thập thông tin bao gồm,
limited to the following: nhưng không giới hạn ở:
 interviews;  Phỏng vấn

 observations;  Quan sát
 review of documented information.  Xem xét thông tin dạng văn bản
NOTE 3 Guidance on selecting sources of CHÚ THÍCH 3: Hướng dẫn chọn các nguồn thông
information and observation is given in A.14. tin và quan sát được nêu ở A.14.
NOTE 4 Guidance on visiting the auditee’s location is CHÚ THÍCH 4: Hướng dẫn đến thăm địa điểm của
given in A.15. bên được đánh giá được nêu ở A.15.
NOTE 5 Guidance on conducting interviews is given CHÚ THÍCH 5: Hướng dẫn thực hiện phỏng vấn
in A.17. được nêu ở A.17
Page 43 of 76
6.4.8 Generating audit findings 6.4.8 Tạo lập các phát hiện đánh giá
Audit evidence should be evaluated against the audit Bằng chứng đánh giá cần được đánh giá theo các
criteria in order to determine audit findings. Audit chuẩn mực đánh giá để xác định các phát hiện đánh
findings can indicate conformity or nonconformity with giá. Các phát hiện đánh giá có thể chỉ ra sự phù hợp
audit criteria. When specified by the audit plan, hoặc không phù hợp với các chuẩn mực đánh giá.
individual audit findings should include conformity Khi được quy định trong kế hoạch đánh giá, các
and good practices along with their supporting phát hiện đánh giá riêng lẻ cần bao gồm sự phù hợp
evidence, opportunities for improvement, and any và thực hành tốt kèm theo bằng chứng hỗ trợ, các
recommendations to the auditee. cơ hội cải tiến và mọi khuyến nghị cho bên được
đánh giá.
Nonconformities and their supporting audit evidence
should be recorded. Sự không phù hợp và bằng chứng đánh giá hỗ trợ
cần được ghi nhận.
Nonconformities can be graded depending on the
context of the organization and its risks. This grading Sự không phù hợp có thể được phân loại tùy thuộc
can be quantitative (e.g. 1 to 5) and qualitative (e.g. vào bối cảnh của tổ chức và các rủi ro của nó. Cách
minor, major). They should be reviewed with the phân loại này có thể định lượng (ví dụ 1 đến 5) và
auditee in order to obtain acknowledgement that the định tính (ví dụ nhẹ, nặng ). Sự không phù hợp cần
B
audit evidence is accurate and that the được xem xét với bên được đánh giá để có được
U
nonconformities are understood. Every attempt sự thừa nhận rằng bằng chứng đánh giá là chính
R
should be made to resolve any diverging opinions xác và sự không phù hợp được hiểu rõ. Cầm nỗ lực
concerning the audit evidence or findings. Unresolved để giải quyết mọi quan điểm trái chiều liên quan đến
EA
issues should be recorded in the audit report. bằng chứng hoặc các phát hiện đánh giá. Các vấn
đề chưa được giải quyết cần được ghi nhận trong
The audit team should meet as needed to review the báo cáo đánh giá.
U
audit findings at appropriate stages during the audit.

Đoàn đánh giá cần đáp ứng khi cần thiết để xem xét
VE
NOTE 1 Additional guidance on the identification and các phát hiện đánh giá ở các giai đoạn thích hợp
evaluation of audit findings is given in A.18 trong quá trình đánh giá.
R
NOTE 2 Conformity or nonconformity with audit CHÚ THÍCH 1: Hướng dẫn bổ sung về việc nhận
IT
criteria related to statutory or regulatory requirements diện và xem xét đánh giá các phát hiện đánh giá
or other requirements, is sometimes referred to as được nêu ở A.18.
A
compliance or non-compliance.
CHÚ THÍCH 2: Sự phù hợp hay không phù hợp với
S
chuẩn mực đánh giá liên quan đến các yêu cầu luật
định hoặc chế định hoặc các yêu cầu khác, đôi khi
được gọi là tuân thủ hoặc không tuân thủ.
6.4.9 Determining audit conclusions 6.4.9 Xác định các kết luận đánh giá
6.4.9.1 Preparation for closing meeting 6.4.9.1 Chuẩn bị cho cuộc họp kết thúc
The audit team should confer prior to the closing Đoàn đánh giá cần trao đổi trước cuộc họp kết thúc
meeting in order to: để:
a) review the audit findings and any other a) xem xét các phát hiện đánh giá và mọi thông
appropriate information collected during the audit, tin thích hợp khác thu được trong quá trình
against the audit objectives; đánh giá, theo các mục tiêu đánh giá;
b) agree on the audit conclusions, taking into b) thống nhất về các kết luận đánh giá, có tính
account the uncertainty inherent in the audit đến sự không chắc chắn vốn có trong quá
Page 44 of 76
process; trình đánh giá;
c) prepare recommendations, if specified by the c) chuẩn bị các khuyến nghị, nếu kế hoạch
audit plan; đánh giá có quy định;
d) discuss audit follow-up, as applicable d) d) thảo luận về cuộc đánh giá tiếp theo, nếu
có
6.4.9.2 Content of audit conclusions 6.4.9.2 Nội dung kết luận đánh giá
Audit conclusions should address issues such as the Kết luận đánh giá cần đề cập các vấn đề sau:
following:
a) mức độ phù hợp với chuẩn mực đánh giá và
a) the extent of conformity with the audit criteria and những mặt mạnh của hệ thống quản lý, bao gồm
robustness of the management system, including hiệu lực của hệ thống quản lý trong việc đạt
the effectiveness of the management system in được các kết quả dự kiến, nhận diện các rủi ro
meeting the intended outcomes, the identification và hiệu lực của các hành động được thực hiện
of risks and effectiveness of actions taken by the bởi bên được để giải quyết các rủi ro;
auditee to address risks; b) việc áp dụng, duy trì và cải tiến có hiệu lực hệ
b) the effective implementation, maintenance and thống quản lý;
improvement of the management system; c) việc đạt được các mục tiêu đánh giá, bao trùm
B
c) achievement of audit objectives, coverage of audit phạm vi đánh giá và thỏa mãn các chuẩn mực
U
scope and fulfilment of audit criteria; đánh giá;

R
d) similar findings made in different areas that were d) các phát hiện tương tự được lập ở các khu vực
audited or from a joint or previous audit for the khác đã được đánh giá hoặc từ một cuộc đồng
EA
purpose of identifying trends. đánh giá hay cuộc đánh giá trước đó với mục
If specified by the audit plan, audit conclusions đích nhận biết xu hướng.
Nếu kế hoạch đánh giá có quy định, kết luận
U
can lead to recommendations for improvement, or

future auditing activities. đánh giá có thể dẫn đến các khuyến nghị cải tiến
hoặc các hoạt động đánh giá trong tương lai
VE
6.4.10 Conducting closing meeting 6.4.10 Tiến hành cuộc họp kết thúc
R
A closing meeting should be held to present the audit Cuộc họp kết thúc cần được tổ chức để trình bày
IT
findings and conclusions. các phát hiện và kết luận đánh giá.
A
The closing meeting should be chaired by the audit Cuộc họp kết thúc cần do trưởng đoàn đánh giá chủ
trì với sự tham dự của lãnh đạo bên được đánh giá
S
team leader and attended by the management of the

auditee and include, as applicable: và bao gồm, nếu được áp dụng:
 those responsible for the functions or  những người chịu trách nhiệm về các chức
processes which have been audited; năng hoặc các quá trình được đánh giá;
 the audit client;  khách hàng đánh giá;
 other members of the audit team;  các thành viên khác của đoàn đánh giá;
 other relevant interested parties as determined  các bên quan tâm có liên quan khác do khách
by the audit client and/or auditee. hàng đánh giá và/bên được đánh giá đã xác
định.
If applicable, the audit team leader should advise the Nếu có thể, trưởng đoàn đánh giá cần thông tin cho
auditee of situations encountered during the audit bên được đánh giá về các tình huống gặp phải trong
that may decrease the confidence that can be placed quá trình đánh giá có thể làm giảm tính tin cậy đối
in the audit conclusions. If defined in the với kết luận đánh giá. Nếu được xác định trong hệ
management system or by agreement with the audit thống quản lý hoặc theo thỏa thuận với khách hàng
client, the participants should agree on the time frame đánh giá, thì những người tham gia cần thống nhất
Page 45 of 76
for an action plan to address audit findings. về khuôn khổ thời gian cho kế hoạch hành động để
giải quyết các phát hiện đánh giá.
The degree of detail should take into account the
effectiveness of the management system in achieving Mức độ chi tiết cần tính đến hiệu lực của hệ thống
the auditee’s objectives, including consideration of its quản lý trong việc đạt được các mục tiêu của bên
context and risks and opportunities. được đánh giá, kể cả việc xem xét bối cảnh, các rủi
ro và cơ hội của nó.
The familiarity of the auditee with the audit process
should also be taken into consideration during the Mức độ quen thuộc của bên được đánh giá với quá
closing meeting, to ensure the correct level of detail is trình đánh giá cũng cần được tính đến trong cuộc
provided to participants. họp kết thúc để đảm bảo đúng mức độ chi tiết cho
những người tham dự.
For some audit situations, the meeting can be formal
and minutes, including records of attendance, should Đối với một số tình huống đánh giá, cuộc họp này
be kept. In other instances, e.g. internal audits, the có thể mang tính chính thức và biên bản, gồm cả
closing meeting can be less formal and consist solely danh sách người tham dự cần được lưu giữ. Trong
of communicating the audit findings and audit các trường hợp khác, ví dụ đánh giá nội bộ, cuộc
conclusions họp kết thúc có thể không chính thức và chỉ bao
gồm việc trao đổi thông tin về các phát hiện đánh
B
giá và kết luận đánh giá.

U
As appropriate, the following should be explained to Khi thích hợp, những điều sau cần được giải thích
R
the auditee in the closing meeting: cho bên được đánh giá trong cuộc họp kết thúc:
EA
a) advising that the audit evidence collected was a) chỉ dẫn rằng, các bằng chứng đánh giá thu thập
based on a sample of the information available được chỉ dựa trên mẫu thông tin sẵn có và
U
and is not necessarily fully representative of the không nhất thiết đại diện một cách đầy đủ về
overall effectiveness of the auditee’s processes; hiệu lực tổng thể của các quá trình của bên
VE
b) the method of reporting; được đánh giá;

c) how the audit finding should be addressed based b) phương pháp báo cáo;
on the agreed process; c) cách thức phát hiện đánh giá cần được giải
R
d) possible consequences of not adequately quyết dựa trên quá trình đã thống nhất;
IT
addressing the audit findings; d) các hậu quả có thể có do không giải quyết đầy
e) presentation of the audit findings and conclusions đủ các phát hiện đánh giá;
A
in such a manner that they are understood and e) trình bày các phát hiện và các kết luận đánh giá
S
acknowledged by the auditee’s management; theo cách để chúng được những người lãnh
f) any related post - audit activities (e.g. đạo của bên được đánh giá hiểu và chấp nhận.
implementation and review of corrective actions, f) f) mọi hoạt động có liên quan sau đánh giá (ví
addressing audit complaints, appeal process). dụ thực hiện và xem xét các hành động khắc
phục, giải quyết khiếu nại đánh giá, quá trình
yêu cầu xem xét lại).
Any diverging opinions regarding the audit findings or Mọi ý kiến trái chiều nào liên quan đến các phát hiện
conclusions between the audit team and the auditee hoặc kết luận đánh giá giữa đoàn đánh giá và bên
should be discussed and, if possible, resolved. If not được đánh giá đều cần được thảo luận và giải quyết
resolved, this should be recorded. nếu có thể. Nếu không được giải quyết, cần lưu hồ
sơ về việc này.
If specified by the audit objectives, opportunities for
improvement recommendations may be presented. It Nếu các mục tiêu đánh giá có quy định, có thể trình
should be emphasized that recommendations are not bày các cơ hội khuyến nghị cải tiến. Cần nhấn mạnh
binding. rằng các khuyến nghị không mang tính bắt buộc
Page 46 of 76
6.5 Preparing and distributing audit report 6.5 Chuẩn bị và gửi báo cáo đánh giá
6.5.1 Preparing audit report 6.5.1 Chuẩn bị báo cáo đánh giá
The audit team leader should report the audit Trưởng đoàn đánh giá cần báo cáo các kết luận
conclusions in accordance with the audit programme. đánh giá theo chương trình đánh giá. Báo cáo đánh
The audit report should provide a complete, accurate, giá cần đưa ra hồ sơ đánh giá đầy đủ, chính xác,
concise and clear record of the audit, and should ngắn gọn và rõ ràng và cần bao gồm hoặc viện dẫn
include or refer to the following: đến
a) audit objectives; a) các mục tiêu đánh giá;

b) audit scope, particularly identification of the b) phạm vi đánh giá, nhận biết cụ thể về tổ chức
organization (the auditee) and the functions or (bên được đánh giá) và các chức năng hoặc các
processes audited; quá trình được đánh giá;
c) identification of the audit client; c) nhận biết khách hàng đánh giá;
d) identification of audit team and auditee’s d) nhận biết đoàn đánh giá và những người tham
participants in the audit; gia cuộc đánh giá của bên được đánh giá;
e) dates and locations where the audit activities e) ngày và địa điểm tiến hành các hoạt động đánh
were conducted; giá;
B
f) audit criteria; f) chuẩn mực đánh giá;

U
g) audit findings and related evidence; g) các phát hiện đánh giá và bằng chứng liên quan;
R
h) audit conclusions; h) kết luận đánh giá;

i) a statement on the degree to which the audit i) tuyên bố về mức độ chuẩn mực đánh giá được
EA
criteria have been fulfilled; đáp ứng;

j) any unresolved diverging opinions between the j) mọi ý kiến trái chiều chưa được giải quyết giữa
đoàn đánh giá và bên được đánh giá;
U
audit team and the auditee;

k) audits by nature are a sampling exercise; as such k) các cuộc đánh giá về bản chất là thực hiện trên
mẫu; do đó có rủi ro là bằng chứng đánh giá
VE
there is a risk that the audit evidence examined is

not representative. được kiểm tra không mang tính đại diện
R
The audit report can also include or refer to the Khi thích hợp, báo cáo đánh giá cũng có thể nêu
following, as appropriate: hoặc viện dẫn đến:
IT
 the audit plan including time schedule;  kế hoạch đánh giá bao gồm cả lịch trình thời
A
 a summary of the audit process, including any gian;

S
obstacles encountered that may decrease the  một bản tóm tắt quá trình đánh giá, kể cả mọi
reliability of the audit conclusions; trở ngại gặp phải có thể làm giảm độ tin cậy của
 confirmation that the audit objectives have been các kết luận đánh giá;
achieved within the audit scope in accordance  xác nhận rằng các mục tiêu đánh giá đã đạt
with the audit plan; được trong phạm vi đánh giá và phù hợp với kế
 any areas within the audit scope not covered hoạch đánh giá;
including any issues of availability of evidence,  mọi khu vực trong phạm vi đánh giá chưa được
resources or confidentiality, with related bao trùm, gồm cả các vấn đề về sự sẵn có bằng
justifications; chứng, nguồn lực hay sự bảo mật, cùng các lý
 a summary covering the audit conclusions and giải liên quan;
the main audit findings that support them;  một bản tóm tắt bao gồm các kết luận đánh giá
 good practices identified; và các những phát biện đánh giá chính hỗ trợ
 agreed action plan follow-up, if any; cho các kết luận đó;
 a statement of the confidential nature of the  các thực hành tốt được nhận biết;
contents;  kế hoạch hành động tiếp theo được thống nhất,
nếu có;
Page 47 of 76
 any implications for the audit programme or  tuyên bố về tính chất bí mật của các nội dung;
subsequent audits.  các yêu cầu đối với chương trình đánh giá hoặc
các cuộc đánh giá tiếp theo
6.5.2 Distributing audit report 6.5.2 Gửi báo cáo đánh giá
The audit report should be issued within an agreed Báo cáo đánh giá cần được ban hành trong một
period of time. If it is delayed, the reasons should be khoảng thời gian đã thỏa thuận. Nếu có chậm trễ,
communicated to the auditee and the individual(s) nên trao đổi lý do cho bên được đánh giá và (các)
managing the audit programme. cá nhân quản lý chương trình đánh giá.
The audit report should be dated, reviewed and Báo cáo đánh giá cần ghi rõ ngày, cần được xem
accepted, as appropriate, in accordance with the xét, chấp nhận, khi thích hợp, theo chương trình
audit programme đánh giá.
The audit report should then be distributed to the Báo cáo đánh giá sau đó cần được gửi cho các bên
relevant interested parties defined in the audit quan tâm có liên quan đã được xác định trong
programme or audit plan. chương trình hoặc kế hoạch đánh giá.
B
When distributing the audit report, appropriate Khi gửi báo cáo đánh giá, cần xem xét các biện
pháp thích hợp để đảm bảo tính bảo mật
U
measures to ensure confidentiality should be

considered.
R
6.6 Completing audit 6.6 Hoàn thành cuộc đánh giá

EA
The audit is completed when all planned audit Việc đánh giá được hoàn thành khi tất cả các hoạt
activities have been carried out, or as otherwise động đánh giá được lên kế hoạch đều được thực
U
agreed with the audit client (e.g. there might be an hiện, hoặc theo cách khác được sự nhất trí của
unexpected situation that prevents the audit being khách hàng đánh giá (ví dụ có thể có một tình
VE
completed according to the audit plan). huống bất ngờ ngăn cản cuộc đánh giá được hoàn
thành theo kế hoạch đánh giá).
R
Documented information pertaining to the audit

should be retained or disposed of by agreement Thông tin dạng văn bản liên quan đến cuộc đánh giá
IT
between the participating parties and in accordance cần được lưu giữ hoặc hủy bỏ theo thỏa thuận giữa
with audit programme and applicable requirements. các bên tham gia và theo chương trình đánh giá và
A
các yêu cầu được áp dụng.

S
Unless required by law, the audit team and the

individual(s) managing the audit programme should Trừ khi luật pháp yêu cầu, đoàn đánh giá và (các)
not disclose any information obtained during the cá nhân quản lý chương trình đánh giá không nên
audit, or the audit report, to any other party without tiết lộ bất kỳ thông tin nào thu được trong quá trình
the explicit approval of the audit client and, where đánh giá hoặc trong báo cáo đánh giá cho bất kỳ
appropriate, the approval of the auditee. If disclosure bên nào khác mà không có sự chấp thuận rõ ràng
of the contents of an audit document is required, the của khách hàng đánh giá và khi thích hợp, sự chấp
audit client and auditee should be informed as soon thuận của bên được đánh giá. Nếu buộc phải tiết lộ
as possible. nội dung của tài liệu đánh giá, thì khách hàng đánh
giá và bên được đánh giá cần được thông báo sớm
Lessons learned from the audit can identify risks and nhất có thể.
opportunities for the audit programme and the
auditee. Các bài học kinh rút ra từ cuộc đánh giá có thể giúp
nhận diện các rủi ro và cơ hội cho chương trình
đánh giá và bên được đánh giá
Page 48 of 76
6.7 Conducting audit follow-up 6.7 Tiến hành hoạt động sau đánh giá
The outcome of the audit can, depending on the audit Tùy thuộc vào các mục tiêu đánh giá, kết quả của
objectives, indicate the need for corrections, or for cuộc đánh giá có thể chỉ ra nhu cầu đối với việc
corrective actions, or opportunities for improvement. khắc phục hoặc hành động khắc phục hay các cơ
Such actions are usually decided and undertaken by hội để cải tiến. Những hành động này thường được
the auditee within an agreed timeframe. As bên được đánh giá quyết định và thực hiện trong
appropriate, the auditee should keep the individual(s) một khoảng thời gian đã thống nhất. Khi thích hợp,
managing the audit programme and/or the audit team bên được đánh giá cần duy trì việc thông báo về
informed of the status of these actions. tình trạng của những hành động này với (các) cá
nhân quản lý chương trình đánh giá và/hoặc đoàn
The completion and effectiveness of these actions đánh giá.
should be verified. This verification may be part of a
subsequent audit. Outcomes should be reported to Việc hoàn thành và hiệu lực của các hành động này
the individual managing the audit programme and cần được kiểm tra xác nhận. Việc kiểm tra xác nhận
reported to the audit client for management review này có thể là một phần trong cuộc đánh giá tiếp
theo. Kết quả cần được báo cáo tới người quản lý
chương trình đánh giá và khách hàng đánh giá để
B
dùng cho việc xem xét của lãnh đạo

U
7 Competence and evaluation of auditors 7 Năng lực và đánh giá năng lực của chuyên gia
đánh giá
R
7.1 General
EA
7.1 Khái quát

Confidence in the audit process and the ability to
achieve its objectives depends on the competence of Sự tin cậy với quá trình đánh giá và khả năng đạt
U
those individuals who are involved in performing được các mục tiêu đánh giá phụ thuộc vào năng lực
audits, including auditors and audit team leaders. của những cá nhân tham gia thực hiện các cuộc
VE
Competence should be evaluated regularly through a đánh giá, bao gồm các chuyên gia đánh giá và
process that considers personal behaviour and the trưởng đoàn đánh giá. Năng lực cần được đánh giá
ability to apply the knowledge and skills gained thường xuyên thông qua một quá trình xem xét
R
through education, work experience, auditor training hành vi cá nhân và khả năng áp dụng kiến thức và
IT
and audit experience. This process should take into kỹ năng thu được thông qua giáo dục, kinh nghiệm
consideration the needs of the audit programme and làm việc, đào tạo chuyên gia đánh giá và kinh
A
its objectives. Some of the knowledge and skills nghiệm đánh giá. Quá trình này cần tính đến các
S
described in 7.2.3 are common to auditors of any nhu cầu của chương trình đánh giá và các mục tiêu
management system discipline; others are specific to của chương trình đánh giá. Một số kiến thức và kỹ
individual management system disciplines. It is not năng được mô tả trong 7.2.3 mang tính chung đối
necessary for each auditor in the audit team to have với các chuyên gia đánh giá bất kỳ lĩnh vực hệ
the same competence. However, the overall thống quản lý nào; những kiến thức và kỹ năng khác
competence of the audit team needs to be sufficient sẽ cụ thể đối với các lĩnh vực hệ thống quản lý riêng
to achieve the audit objectives biệt. Không nhất thiết từng chuyên gia đánh giá
trong đoàn đánh giá có cùng năng lực. Tuy nhiên,
năng lực tổng thể của đoàn đánh giá cần đủ để đạt
được các mục tiêu đánh giá
Page 49 of 76
The evaluation of auditor competence should be Việc đánh giá năng lực chuyên gia đánh giá cần
planned, implemented and documented to provide an được lên kế hoạch, thực hiện và lập thành văn bản
outcome that is objective, consistent, fair and reliable. để cung cấp một kết quả khách quan, nhất quán,
The evaluation process should include four main công bằng và tin cậy. Quá trình đánh giá năng lực
steps, as follows: cần bao gồm bốn bước chính, như sau:
a) determine the required competence to fulfil a) xác định năng lực cần thiết để đáp ứng các
the needs of the audit programme; nhu cầu của chương trình đánh giá;
b) establish the evaluation criteria; b) thiết lập chuẩn mực đánh giá;
c) select the appropriate evaluation method; c) chọn phương pháp đánh giá năng lực thích
d) d) conduct the evaluation. hợp;
d) d) tiến hành đánh giá năng lực.
The outcome of the evaluation process should Kết quả của quá trình đánh giá này cần đưa ra cơ
provide a basis for the following: sở cho:
 selection of audit team members (as described in  việc lựa chọn các thành viên đoàn đánh giá (như
5.5.4); nêu ở 5.5.4);
  xác định nhu cầu nâng cao năng lực (ví dụ đào
B
determining the need for improved competence

(e.g. additional training); tạo bổ sung);
U
 ongoing performance evaluation of auditors.  đánh giá kết quả thực hiện thường xuyên của
R
các chuyên gia đánh giá.

Auditors should develop, maintain and improve their
EA
competence through continual professional Các chuyên gia đánh giá cần phát triển, duy trì và
development and regular participation in audits (see nâng cao năng lực của mình thông qua liên tục phát
7.6). triển chuyên môn nghề nghiệp và tham gia thường
U
xuyên các cuộc đánh giá (xem 7.6).

A process for evaluating auditors and audit team
VE
leaders is described in 7.3, 7.4 and 7.5. Một quá trình đánh giá năng lực chuyên gia đánh
giá và các trưởng đoàn đánh giá được nêu ở 7.3,
Auditors and audit team leaders should be evaluated 7.4 và 7.5.
R
against the criteria set out in 7.2.2 and 7.2.3 as well

IT
as the criteria established in 7.1. Các chuyên gia đánh giá và các trưởng đoàn đánh
giá cần được đánh giá dựa theo các tiêu chí nêu
A
The competence required of the individual(s) trong 7.2.2 và 7.2.3 như cũng như các tiêu chí được
managing the audit programme is described in 5.4.2.
S
thiết lập ở 7.1.
Năng lực cần thiết của (các) cá nhân quản lý

chương trình đánh giá được nêu ở 5.4.2.
7.2 Determining auditor competence 7.2 Xác định năng lực của chuyên gia đánh giá
In deciding the necessary competence for an audit, Khi quyết định năng lực cần thiết cho một cuộc đánh
an auditor’s knowledge and skills related to the giá, cần xem xét kiến thức và các kỹ năng của
following should be considered: chuyên gia đánh giá liên quan đến:
a) the size, nature, complexity, products, a) quy mô, bản chất, mức độ phức tạp, các sản
services and processes of auditees; phẩm, các dịch vụ và các quá trình của bên
b) the methods for auditing; được đánh giá;
c) the management system disciplines to be b) các phương pháp đánh giá;
audited; c) lĩnh vực hệ thống quản lý được đánh giá;
Page 50 of 76
d) the complexity and processes of the d) mức độ phức tạp và các quá trình của hệ
management system to be audited; thống quản lý được đánh giá;
e) the types and levels of risks and opportunities e) loại hình và mức độ rủi ro và cơ hội được hệ
addressed by the management system; thống quản lý giải quyết;
f) the objectives and extent of the audit f) mục tiêu và mức độ của chương trình đánh
programme; giá;
g) the uncertainty in achieving audit objectives; g) sự không chắc chắn trong việc đạt được
h) other requirements, such as those imposed by các mục tiêu đánh giá;
the audit client or other relevant interested g) các yêu cầu khác, chẳng hạn như các yêu
parties, where appropriate. cầu của khách hàng đánh giá hoặc các bên
quan tâm có liên quan khác, khi thích hợp.
This information should be matched against that
listed in 7.2.3. Thông tin này cần được kết nối với các thông tin
được nêu ở 7.2.3.
7.2.2 Personal behaviour 7.2.2 Hành vi cá nhân
Auditors should possess the necessary attributes to Các chuyên gia đánh giá nên có các thuộc tính cần
enable them to act in accordance with the principles thiết giúp họ có hành xử theo các nguyên tắc đánh
B
of auditing as described in Clause 4. Auditors should giá được nêu ở điều 4. Các chuyên gia đánh giá cần
U
exhibit professional behaviour during the thể hiện hành vi mang tính chuyên nghiệp khi thực
R
performance of audit activities. Desired professional hiện các hoạt động đánh giá. Các hành vi chuyên
behaviours include being: nghiệp được mong muốn bao gồm:
EA
a) ethical, i.e. fair, truthful, sincere, honest and a) đạo đức, tức là công bằng, trung thực, thẳng
discreet; thắn, chân thành và kín đáo;
U
b) open-minded, i.e. willing to consider alternative b) cởi mở, nghĩa là sẵn sàng xem xét các ý tưởng
ideas or points of view; hoặc quan điểm khác;
VE
c) diplomatic, i.e. tactful in dealing with individuals; c) lịch thiệp, nghĩa là khéo léo trong giao thiệp với
d) observant, i.e. actively observing physical mọi người;
R
surroundings and activities; d) có óc quan sát, nghĩa là nhận biết nhanh về

e) perceptive, i.e. aware of and able to understand những sự vật và hoạt động diễn ra xung quanh
IT
situations; mình;
e) nhạy bén, nghĩa là nhận biết và có khả năng
A
f) versatile, i.e. able to readily adapt to different

situations; nắm được các tình huống;
S
g) tenacious, i.e. persistent and focused on f) linh hoạt, nghĩa là sẵn sàng thích nghi với những
achieving objectives; tình huống khác nhau;
h) decisive, i.e. able to reach timely conclusions g) kiên định, nghĩa là bền bỉ, tập trung để đạt được
based on logical reasoning and analysis; mục tiêu;
i) self-reliant, i.e. able to act and function h) quyết đoán, nghĩa là đưa ra những kết luận kịp
independently while interacting effectively with thời dựa trên lập luận và phân tích hợp lý
others; i) tự lực, nghĩa là hành động và thực hiện chức
j) able to act with fortitude, i.e. able to act năng một cách độc lập khi phối hợp có hiệu lực
responsibly and ethically, even though these với những người khác;
actions may not always be popular and may j) hành động quả quyết, nghĩa là có thể hành động
sometimes result in disagreement or một cách có trách nhiệm và có đạo đức, dù
confrontation; những hành động này có thể không phải luôn
k) open to improvement, i.e. willing to learn from mang tính phổ biến và đôi khi có thể dẫn đến bất
situations; đồng hay đối đầu;
l) culturally sensitive, i.e. observant and respectful k) hướng tới sự cải tiến, nghĩa là sẵn sàng học hỏi
to the culture of the auditee từ những tình huống;
Page 51 of 76
m) collaborative, i.e. effectively interacting with l) nhạy cảm về văn hóa, nghĩa là quan sát và tôn
others, including audit team members and the trọng văn hóa của bên được đánh giá
auditee’s personnel. m) hợp tác, nghĩa là tương tác có hiệu quả với
người khác, gồm các thành viên trong đoàn
đánh giá và nhân sự của bên được đánh giá.
7.2.3 Knowledge and skills 7.2.3 Kiến thức và kỹ năng
7.2.3.1 General 7.2.3.1 Khái quát
Auditors should possess: Các chuyên gia đánh giá cần có:
a) the knowledge and skills necessary to achieve the a) kiến thức và kỹ năng cần thiết để đạt được kết
intended results of the audits they are expected to quả đã định của các cuộc đánh giá kỳ vọng họ
perform; thực hiện;
b) generic competence and a level of discipline and b) năng lực chung và trình độ hiểu biết, kỹ năng
sector-specific knowledge and skills. thuộc các lĩnh vực và chuyên ngành cụ thể.
Audit team leaders should have the additional Trưởng đoàn đánh giá cần có thêm kiến thức và
knowledge and skills necessary to provide kỹ năng cần thiết để dẫn dắt đoàn đánh giá
B
leadership to the audit team.

U
7.2.3.2 Generic knowledge and skills of 7.2.3.2 Kiến thức và kỹ năng chung của chuyên
R
management system auditors gia đánh giá hệ thống quản lý

EA
Auditors should have knowledge and skills in the Các chuyên gia đánh giá cần có kiến thức và kỹ
areas outlined below. năng trong các lĩnh vực được nêu dưới đây
U
a) Audit principles, processes and methods: a) Các nguyên tắc, quá trình và phương pháp đánh
knowledge and skills in this area enable the giá: kiến thức và kỹ năng trong lĩnh vực này giúp
VE
auditor to ensure audits are performed in a chuyên gia đánh giá đảm bảo các cuộc đánh giá
consistent and systematic manner. được thực hiện một cách nhất quán và có hệ
R
thống.
An auditor should be able to:
IT
Chuyên gia đánh giá cần có khả năng:

 understand the types of risks and opportunities
A
associated with auditing and the principles of the risk-  hiểu về các loại rủi ro và cơ hội liên quan đến
S
based approach to auditing; đánh giá và các nguyên tắc của cách tiếp cận dựa
 plan and organize the work effectively; trên rủi ro đối với đánh giá;
 perform the audit within the agreed time schedule;  lập kế hoạch và tổ chức công việc một cách hiệu
 prioritize and focus on matters of significance; lực;
 communicate effectively, orally and in writing  thực hiện đánh giá trong khoảng thời hạn đã
(either personally, or through the use of interpreters); thống nhất;
 collect information through effective interviewing,  ưu tiên và chú trọng vào các vấn đề quan trọng;
listening, observing and reviewing documented  trao đổi thông tin có hiệu lực, bằng lời và văn
information, including records and data; bản (tự thực hiện hoặc thông qua việc sử dụng
 understand the appropriateness and phiên dịch);
consequences of using sampling techniques for  thu thập thông tin thông qua phỏng vấn, nghe,
auditing; quan sát và xem xét một cách hiệu lực thông tin
 understand and consider technical experts’ dạng văn bản, kể cả các hồ sơ và dữ liệu;
opinions;  hiểu được sự thích hợp và hệ quả của việc sử
 audit a process from start to finish, including the dụng các kỹ thuật lấy mẫu để đánh giá;
interrelations with other processes and different  hiểu và cân nhắc các ý kiến của chuyên gia kỹ
Page 52 of 76
functions, where appropriate; thuật;
 verify the relevance and accuracy of collected  đánh giá một quá trình từ bắt đầu đến kết thúc,
information; bao gồm cả các mối tương quan với các quá trình
 confirm the sufficiency and appropriateness of và các chức năng khác, nếu thích hợp;kiểm tra xác
audit evidence to support audit findings and nhận sự phù hợp và tính chính xác của thông tin
conclusions; thu thập được;
 assess those factors that may affect the reliability  xác nhận sự đầy đủ và thích hợp của bằng
of the audit findings and conclusions; chứng đánh giá để hỗ trợ các phát hiện và kết luận
 document audit activities and audit findings, and đánh giá;
prepare reports;  đánh giá những yếu tố có thể ảnh hưởng đến
tính tin cậy của các phát hiện và kết luận đánh giá;
maintain the confidentiality and security of lập văn bản các hoạt động và các phát hiện đánh
information. giá và chuẩn bị các báo cáo;
giữ bí mật và an toàn thông tin.
b) Management system standards and other b) Các tiêu chuẩn về hệ thống quản lý và các
references: knowledge and skills in this area chuẩn mực khác: kiến thức và kỹ năng trong lĩnh
B
enable the auditor to understand the audit scope vực này giúp chuyên gia đánh giá hiểu phạm vi
đánh giá và áp dụng các chuẩn mực đánh giá và
U
and apply audit criteria, and should cover the

following: cần bao gồm:
R
 management system standards or other  các tiêu chuẩn về hệ thống quản lý hoặc các
EA
normative or guidance/supporting documents tài liệu quy định hoặc tài liệu hướng dẫn/hỗ
used to establish audit criteria or methods; trợ khác được sử dụng để thiết lập chuẩn
 the application of management system mực hoặc phương pháp đánh giá;
U
standards by the auditee and other  việc áp dụng các tiêu chuẩn hệ thống quản lý
organizations; của bên được đánh giá và các tổ chức khác;
VE
 relationships and interactions between the  các mối quan hệ và tương tác giữa các quá
management system(s) processes; trình của (các) hệ thống quản lý;
 understanding the importance and priority of  hiểu tầm quan trọng và tính ưu tiên của các
R
multiple standards or references; tiêu chuẩn hay các chuẩn quy chiếu;
IT
 application of standards or references to  áp dụng các tiêu chuẩn hoặc các chuẩn quy
chiếu cho các tình huống đánh giá khác nhau
A
different audit situations

S
c) The organization and its context: knowledge and c) Tổ chức và bối cảnh của tổ chức: kiến thức và
skills in this area enable the auditor to kỹ năng trong lĩnh vực này giúp chuyên gia đánh
understand the auditee’s structure, purpose and giá hiểu cơ cấu, mục đích và thực tế quản lý của
management practices and should cover the bên được đánh giá và bao gồm:
following:  nhu cầu và mong đợi của các bên quan tâm
 needs and expectations of relevant interested có liên quan ảnh hưởng đến hệ thống quản
parties that impact the management system; lý;
 type of organization, governance, size,  loại hình tổ chức, hình thức quản trị, quy mô,
structure, functions and relationships; cơ cấu, chức năng và các mối quan hệ;
 general business and management concepts,  khái niệm chung về kinh doanh và quản lý,
processes and related terminology, including các quá trình và thuật ngữ liên quan, bao
planning, budgeting and management of gồm việc hoạch định, lập ngân sách và quản
individuals; lý nhân sự;
 cultural and social aspects of the auditee  các khía cạnh văn hóa, xã hội của bên được
đánh giá
Page 53 of 76
d) Applicable statutory and regulatory requirements d) Các yêu cầu luật định và chế định hiện hành và
and other requirements: knowledge and skills in các yêu cầu khác được áp dụng: kiến thức và kỹ
this area enable the auditor to be aware of, and năng trong lĩnh vực này giúp chuyên gia đánh
work within, the organization’s requirements. giá giúp chuyên gia đánh giá nhận thức và làm
Knowledge and skills specific to the jurisdiction or việc trong khuôn khổ những yêu cầu của tổ
to the auditee’s activities, processes, products chức. Kiến thức và kỹ năng cụ thể về tư pháp
and services should cover the following: hoặc về hoạt động, quá trình, sản phẩm và dịch
 statutory and regulatory requirements and vụ của bên được đánh giá cần bao trùm:
their governing agencies;  các yêu cầu luật định và chế định và các cơ
 basic legal terminology; quan quản lý;
 contracting and liability.  thuật ngữ pháp lý cơ bản;
 hợp đồng và trách nhiệm pháp lý.
NOTE Awareness of statutory and regulatory
requirements does not imply legal expertise and a CHÚ THÍCH: Nhận thức về các yêu cầu luật định và
management system audit should not be treated as a chế định không hàm ý chuyên môn về pháp lý và
legal compliance audit. việc đánh giá hệ thống quản lý không nên được coi
là đánh giá việc tuân thủ các yêu cầu luật pháp
B
7.2.3.3 Discipline and sector-specific competence 7.2.3.3 Năng lực của chuyên gia đánh giá về lĩnh
vực và chuyên ngành cụ thể
U
of auditors
R
Audit teams should have the collective discipline and Đoàn đánh giá cần có năng lực tổng thể về lĩnh vực
sector-specific competence appropriate for auditing và chuyên ngành cụ thể thích hợp với việc đánh giá
EA
the particular types of management systems and loại hình hệ thống quản lý và các chuyên ngành cụ
sectors. thể đó.
U
The discipline and sector-specific competence of Năng lực trong lĩnh vực và chuyên ngành cụ thể của
auditors include the following: chuyên gia đánh giá bao gồm:
VE
a) management system requirements and a) các yêu cầu và các nguyên tắc của hệ thống
quản lý và việc áp dụng của chúng;
R
principles, and their application;

b) fundamentals of the discipline(s) and sector(s) b) nền tảng của (các) lĩnh vực và (các) chuyên
IT
related to the management systems standards ngành liên quan đến các tiêu chuẩn hệ thống
as applied by the auditee; quản lý được áp dụng bởi bên được đánh giá;
A
c) application of discipline and sector-specific c) áp dụng các phương pháp, kỹ thuật, quá trình và
S
methods, techniques, processes and practices thực hành trong chuyên ngành cụ thể giúp đoàn
to enable the audit team to assess conformity đánh giá đánh giá sự phù hợp trong phạm vi
within the defined audit scope and generate đánh giá đã được xác định và tạo ra các phát
appropriate audit findings and conclusions; hiện và các kết luận đánh giá thích hợp;
d) principles, methods and techniques relevant to d) các nguyên tắc, phương pháp và kỹ thuật liên
the discipline and sector, such that the auditor quan đến lĩnh vực và chuyên ngành giúp các
can determine and evaluate the risks and chuyên gia đánh giá xác định và định mức các
opportunities associated with the audit rủi ro và cơ hội liên quan đến các mục tiêu đánh
objectives giá
7.2.3.4 Generic competence of audit team leader 7.2.3.4 Năng lực chung của trưởng đoàn đánh
giá
In order to facilitate the efficient and effective conduct
of the audit an audit team leader should have the Để tạo thuận lợi cho việc tiến hành có hiệu lực và
competence to: hiệu quả cuộc đánh giá, trưởng đoàn đánh giá cần
Page 54 of 76
a) plan the audit and assign audit tasks according to có năng lực trong việc:
the specific competence of individual audit team
members; a) lập kế hoạch đánh giá và phân công nhiệm vụ
đánh giá theo năng lực cụ thể của các thành viên
b) discuss strategic issues with top management of trong đoàn đánh giá;
the auditee to determine whether they have
considered these issues when evaluating their risks b) thảo luận các vấn đề về chiến lược lãnh đạo cao
and opportunities; nhất của bên được đánh giá để xác định liệu họ có
xem xét những vấn đề này khi đánh giá mức độ rủi
c) develop and maintain a collaborative working ro và cơ hội của họ hay không;
relationship among the audit team members;
c) xây dựng và duy trì mối quan hệ làm việc hợp tác
d) manage the audit process, including: giữa các thành viên trong đoàn đánh giá;
d) quản lý quá trình đánh giá, bao gồm:
 making effective use of resources during the audit;  sử dụng hiệu quả các nguồn lực trong quá trình
 managing the uncertainty of achieving audit đánh giá;
objectives;  quản lý sự không chắc chắn trong việc đạt được
B
 protecting the health and safety of the audit team các mục tiêu đánh giá;
 bảo vệ sức khỏe và sự an toàn cho các thành
U
members during the audit, including ensuring

compliance of the auditors with the relevant health viên trong đoàn đánh giá trong quá trình đánh
R
and safety, and security arrangements; giá, bao gồm cả việc đảm bảo các chuyên gia
EA
 directing the audit team members; đánh giá tuân thủ các sắp đặt liên quan về sức
 providing direction and guidance to auditors-in- khỏe, an toàn, an ninh;
training;  định hướng cho các thành viên trong đoàn đánh
U
 preventing and resolving conflicts and problems giá;

that can occur during the audit, including those  đưa ra định hướng và chỉ dẫn cho các chuyên
VE
within the audit team, as necessary. gia đánh giá tập sự;
 ngăn ngừa và giải quyết các xung đột và các vấn
e) represent the audit team in communications with
R
đề có thể xảy ra trong quá trình đánh giá, kể cả

the individual(s) managing the audit programme, the trong nội bộ đoàn đánh giá, nếu cần.
IT
audit client and the auditee; e) đại diện cho đoàn đánh giá trao đổi thông tin với
(các) cá nhân quản lý chương trình đánh giá,
A
f) lead the audit team to reach the audit conclusions;

khách hàng đánh giá và bên được đánh giá;
S
g) prepare and complete the audit report f) dẫn dắt đoàn đánh giá đạt được kết luận đánh
giá;
g) chuẩn bị và hoàn thành báo cáo đánh giá
7.2.3.5 Knowledge and skills for auditing multiple 7.2.3.5 Kiến thức và kỹ năng cho việc đánh giá
disciplines liên quan đến nhiều lĩnh vực
When auditing multiple discipline management Khi đánh giá các hệ thống quản lý liên quan đến
systems, the audit team member should have an nhiều lĩnh vực, thành viên đoàn đánh giá cần có sự
understanding of the interactions and synergy hiểu biết về sự tương tác và sự vận động đồng thời
between the different management systems. giữa các hệ thống quản lý khác nhau.
Audit team leaders should understand the Trưởng đoàn đánh giá cần hiểu các yêu cầu của
requirements of each of the management system từng tiêu chuẩn hệ thống quản lý được đánh giá và
standards being audited and recognize the limits of ghi nhận các hạn chế về năng lực của họ trong từng
their competence in each of the disciplines. lĩnh vực.
Page 55 of 76
NOTE Audits of multiple disciplines done CHÚ THÍCH: Các cuộc đánh giá liên quan đến
simultaneously can be done as a combined audit or nhiều lĩnh vực được thực hiện một cách đồng thời
as an audit of an integrated management system that có thể được thực hiện như một cuộc đánh giá kết
covers multiple disciplines hợp hoặc một cuộc đánh giá hệ thống quản lý tích
hợp bao trùm nhiều lĩnh vực
7.2.4 Achieving auditor competence 7.2.4 Đạt được năng lực của chuyên gia đánh
giá
Auditor competence can be acquired using a
combination of the following: Năng lực của chuyên gia đánh giá có thể thu được
bởi sự kết hợp những yếu tố sau:
a) successfully completing training programmes that
cover generic auditor knowledge and skills; a) hoàn thành các chương trình đào tạo về kiến
b) experience in a relevant technical, managerial or thức và kỹ năng chung của chuyên gia đánh
professional position involving the exercise of giá;
judgement, decision making, problem solving and b) kinh nghiệm ở một vị trí kỹ thuật, quản lý,
communication with managers, professionals, hoặc chuyên môn liên quan đến việc phán
peers, customers and other relevant interested đoán, ra quyết định, giải quyết vấn đề và trao
parties; đổi thông tin với người quản lý, các nhà
B
c) education/training and experience in a specific chuyên môn, đồng nghiệp, khách hàng và
U
management system discipline and sector that các bên quan tâm có liên quan khác;
R
contribute to the development of overall c) giáo dục/đào tạo và kinh nghiệm về một lĩnh
competence; vực hệ thống quản lý cụ thể góp phần vào
EA
d) audit experience acquired under the supervision sự phát triển năng lực tổng thể;
of an auditor competent in the same discipline. d) kinh nghiệm đánh giá thu được qua sự giám
sát của chuyên gia đánh giá có năng lực
U
NOTE Successful completion of a training course will trong cùng lĩnh vực;
depend on the type of course. For courses with an
VE
examination component it can mean successfully CHÚ THÍCH: Hoàn thành một khóa đào tạo sẽ
passing the examination. For other courses, it can phụ thuộc vào loại hình khóa học. Với các khóa
R
mean participating in and completing the course học có phần kiểm tra, việc hoàn thành có nghĩa
là vượt qua bài kiểm tra. Đối với các khóa học
IT
khác, thì có thể có nghĩa là đã tham gia và hoàn

tất khóa học đó
A
S
7.2.5 Achieving audit team leader competence 7.2.5 Đạt được năng lực của trưởng đoàn đánh
giá
An audit team leader should have acquired additional
audit experience to develop the competence Trưởng đoàn đánh giá cần có thêm kinh nghiệm
described in 7.2.3.4. This additional experience đánh giá để phát triển năng lực như quy định ở
should have been gained by working under the 7.2.3.4. Kinh nghiệm bổ sung này cần đạt được nhờ
direction and guidance of a different audit team làm việc dưới sự chỉ đạo và hướng dẫn của một
leader. trưởng đoàn đánh giá khác
7.3 Establishing auditor evaluation criteria 7.3 Thiết lập tiêu chí đánh giá năng lực của
chuyên gia đánh giá
The criteria should be qualitative (such as having
demonstrated desired behaviour, knowledge or the Các tiêu chí cần mang tính định tính (như chứng tỏ
performance of the skills, in training or in the được hành vi được mong muốn, kiến thức hoặc kết
workplace) and quantitative (such as the years of quả thực hiện các kỹ năng trong đào tạo hoặc nơi
work experience and education, number of audits làm việc) và định lượng (như số năm kinh nghiệm
và giáo dục, số cuộc đánh giá đã tiến hành, số giờ
Page 56 of 76
conducted, hours of audit training). đào tạo đánh giá).
7.4 Selecting appropriate auditor evaluation 7.4 Lựa chọn phương pháp thích hợp để đánh
method giá năng lực của chuyên gia đánh giá
The evaluation should be conducted using two or Việc đánh giá cần được thực hiện bằng cách sử
more of the methods given in Table 2. In using Table dụng hai hoặc nhiều phương pháp nêu trong Bảng
2, the following should be noted: 2. Khi sử dụng Bảng 2, cần lưu ý những điều sau:
a) the methods outlined represent a range of options a) các phương pháp được nêu đại diện cho một
and may not apply in all situations; phạm vi lựa chọn và có thể không áp dụng được
cho mọi trường hợp;
b) the various methods outlined may differ in their
reliability; b) các phương pháp khác nhau được nêu có thể có
độ tin cậy khác nhau;
c) a combination of methods should be used to
ensure an outcome that is objective, consistent, fair c) cần sử dụng kết hợp các phương pháp để đảm
and reliable. bảo kết quả thu được là khách quan, nhất quán,
công bằng và tin cậy.
B
Table 2 — Auditor evaluation methods

U
R
EA
U
VE
R
IT
A
S
Page 57 of 76
Bảng 2 – Phương pháp đánh giá năng lực của chuyên gia đánh giá
B
U
R
EA
7.5 Conducting auditor evaluation 7.5 Tiến hành đánh giá năng lực của chuyên gia
đánh giá
The information collected about the auditor under
U
evaluation should be compared against the criteria Khi đánh giá các thông tin thu thập được về chuyên
set in 7.2.3. When an auditor under evaluation who is gia đánh giá cần so sánh chúng với các tiêu chí nêu
VE
expected to participate in the audit programme does ở 7.2.3. Nếu chuyên gia đánh giá đang được đánh
not fulfil the criteria, then additional training, work or giá năng lực được dự kiến tham gia vào chương
R
audit experience should be undertaken and a trình đánh giá nhưng không đáp ứng các tiêu chí, thì
subsequent re-evaluation should be performed. cần thực hiện đào tạo thêm, bổ sung kinh nghiệm
IT
làm việc hoặc đánh giá và sau đó cần thực hiện

đánh giá lại.
A
S
7.6 Maintaining and improving auditor 7.6 Duy trì và nâng cao năng lực của chuyên gia
competence đánh giá
Auditors and audit team leaders should continually Chuyên gia đánh giá và trưởng đoàn đánh giá cần
improve their competence. Auditors should maintain không ngừng nâng cao năng lực của mình. Chuyên
their auditing competence through regular gia đánh giá cần duy trì năng lực đánh giá của mình
participation in management system audits and thông qua việc tham gia thường xuyên vào các cuộc
continual professional development. This may be đánh giá hệ thống quản lý và thường xuyên phát
achieved through means such as additional work triển chuyên môn. Điều này có thể đạt được thông
experience, training, private study, coaching, qua các hình thức như bổ sung kinh nghiệm làm
attendance at meetings, seminars and conferences việc, đào tạo, tự nghiên cứu, kèm cặp, tham dự các
or other relevant activities. cuộc họp, hội thảo và hội nghị hoặc các hoạt động
liên quan khác.
Page 58 of 76
should establish suitable mechanisms for the thiết lập các cơ chế thích hợp cho việc đánh giá
continual evaluation of the performance of the thường xuyên về kết quả thực hiện của chuyên gia
auditors and audit team leaders. đánh giá và trưởng đoàn đánh giá.
The continual professional development activities Các hoạt động phát triển nghề nghiệp liên tục cần
should take into account the following: tính đến:
a) changes in the needs of the individual and the a) những thay đổi trong nhu cầu của cá nhân và tổ
organization responsible for the conduct of the audit; chức chịu trách nhiệm tiến hành đánh giá;
b) developments in the practice of auditing including b) sự phát triển việc đánh giá trong thực tiễn kể cả
the use of technology; việc sử dụng công nghệ;
c) relevant standards including guidance/supporting c) các tiêu chuẩn liên quan bao gồm các tài liệu
documents and other requirements; hướng dẫn/hỗ trợ và các yêu cầu khác;
d) changes in sector or disciplines d) thay đổi trong ngành hoặc lĩnh vực
B
U
R
EA
U
VE
R
IT
A
S
Page 59 of 76
Annex A Phụ lục A
(informative) (tham khảo)
Additional guidance for auditors planning and Hướng dẫn bổ sung cho chuyên gia đánh giá
conducting audits trong việc lập kế hoạch và tiến hành đánh giá
A.1 Applying audit methods A.1 Áp dụng phương pháp đánh giá
An audit can be performed using a range of audit Một cuộc đánh giá có thể được thực hiện bằng cách
methods. An explanation of commonly used audit sử dụng một loạt các phương pháp đánh giá. Diễn
methods can be found in this annex. The audit giải về các phương pháp đánh giá thường được sử
methods chosen for an audit depend on the defined dụng được nêu trong phụ lục này. Các phương
audit objectives, scope and criteria, as well as pháp đánh giá được lựa chọn cho một cuộc đánh
duration and location. Available auditor competence giá phụ thuộc vào các mục tiêu, phạm vi và chuẩn
and any uncertainty arising from the application of mực đánh giá đã được xác định, cũng như thời
audit methods should also be considered. Applying a lượng và địa điểm. Năng lực sẵn có của chuyên gia
variety and combination of different audit methods đánh giá và mọi sự không chắc chắn nảy sinh từ
can optimize the efficiency and effectiveness of the việc áp dụng các phương pháp đánh giá cũng cần
audit process and its outcome. được xem xét. Việc áp dụng đa dạng và kết hợp các
B
phương pháp đánh giá khác nhau có thể tối ưu hiệu

Performance of an audit involves an interaction
U
lực và hiệu quả của quá trình đánh giá và kết quả
among individuals within the management system của nó.
R
being audited and the technology used to conduct the

Kết quả thực hiện của một cuộc đánh giá đòi hỏi sự
EA
audit. Table A.1 provides examples of audit methods

that can be used, singly or in combination, in order to tương tác giữa các cá nhân trong hệ thống quản lý
achieve the audit objectives. If an audit involves the được đánh giá và công nghệ được sử dụng để tiến
U
use of an audit team with multiple members, both on- hành cuộc đánh giá đó. Bảng A.1 đưa ra các ví dụ
site and remote methods may be used về các phương pháp đánh giá có thể được sử dụng,
VE
simultaneously. đơn lẻ hoặc kết hợp, để đạt được các mục tiêu đánh
giá. Nếu cuộc đánh giá đòi hỏi việc sử dụng một
NOTE Additional information on visiting physical đoàn đánh giá với nhiều thành viên, cả phương
R
locations is given in A.15. pháp đánh giá tại chỗ và từ xa có thể được sử dụng
IT
đồng thời.
A
CHÚ THÍCH: Thông tin bổ sung về việc đến thăm

các địa điểm thực được nêu trong A.15
S
Page 60 of 76
Table A.1 — Audit methods
B
U
R
EA
Bảng A.1 – Phương pháp đánh giá

U
VE
R
IT
A
S
Page 61 of 76
The responsibility of the effective application of audit Trách nhiệm áp dụng có hiệu lực các phương pháp
methods for any given audit in the planning stage đánh giá đối với bất kỳ cuộc đánh giá cụ thể nào
remains with either the individual(s) managing the trong giai đoạn lập kế hoạch sẽ thuộc về cả (các) cá
audit programme or the audit team leader. The audit nhân quản lý chương trình đánh giá và trưởng đoàn
team leader has this responsibility for conducting the đánh giá. Trưởng đoàn đánh giá có trách nhiệm
audit activities. thực hiện các hoạt động đánh giá này.
The feasibility of remote audit activities can depend Tính khả thi của hoạt động đánh giá từ xa có thể
on several factors (e.g. the level of risk to achieving phụ thuộc vào một số yếu tố (ví dụ mức độ rủi ro
the audit objectives, the level of confidence between trong việc đạt được mục tiêu đánh giá, mức độ tin
auditor and auditee’s personnel and regulatory cậy giữa chuyên gia đánh giá và nhân sự của bên
requirements). được đánh giá và các yêu cầu luật định).
At the level of the audit programme, it should be Tại giai đoạn lập chương trình đánh giá, cần đảm
ensured that the use of remote and on-site bảo rằng việc áp dụng các phương pháp đánh giá
application of audit methods is suitable and balanced, từ xa và đánh giá tại chỗ là thích hợp và cân bằng,
in order to ensure satisfactory achievement of audit để đảm bảo đạt được một cách thỏa đáng các mục
programme objectives. tiêu của chương trình đánh giá
B
A.2 Process approach to auditing A.2 Cách tiếp cận theo quá trình trong đánh giá
U
The use of a “process approach” is a requirement for Việc sử dụng “cách tiếp cận theo quá trình” là yêu
R
all ISO management system standards in accordance cầu đối với tất cả các tiêu chuẩn hệ thống quản lý
EA
with ISO/IEC Directives, Part 1, Annex SL. Auditors theo Chỉ thị ISO/IEC, Phần 1, Phụ lục SL. Chuyên
should understand that auditing a management gia đánh giá cần hiểu rằng việc đánh giá hệ thống
system is auditing an organization’s processes and quản lý là đánh giá các quá trình của một tổ chức và
U
their interactions in relation to one or more sự tương tác giữa các quá trình trong mối liên hệ
management system standard(s). Consistent and với một hoặc nhiều tiêu chuẩn về hệ thống quản lý.
VE
predictable results are achieved more effectively and Các kết quả nhất quán và có thể dự báo sẽ đạt
efficiently when activities are understood and được một cách hiệu lực và hiệu quả hơn khi các
R
managed as interrelated processes that function as a hoạt động được hiểu và quản lý theo các quá trình
coherent system. có liên quan lẫn nhau vận hành trong một hệ thống
IT
gắn kết
A
A.3 Professional judgement A.3 Sự suy xét chuyên nghiệp

S
Auditors should apply professional judgement during Chuyên gia đánh giá cần vận dụng suy xét chuyên
the audit process and avoid concentrating on the nghiệp trong quá trình đánh giá và cần tránh việc
specific requirements of each clause of the standard quá chú trọng vào các yêu cầu cụ thể của từng điều
at the expense of achieving the intended outcome of khoản trong tiêu chuẩn dẫn đến bỏ qua việc đạt kết
the management system. Some ISO management quả đầu ra dự kiến của hệ thống quản lý. Một số
system standard clauses do not readily lend điều trong tiêu chuẩn về hệ thống quản lý không dễ
themselves to audit in terms of comparison between dàng thích ứng để đánh giá khi so sánh giữa một
a set of criteria and the content of a procedure or tập hợp các chuẩn mực và nội dung của một quy
work instruction. In these situations, auditors should trình hoặc hướng dẫn công việc. Trong những tình
use their professional judgement to determine huống này, chuyên gia đánh giá cần sử dụng khả
whether the intent of the clause has been met. năng suy xét chuyên nghiệp của mình để xác định
xem mục đích của điều đó có được đáp ứng hay
không
Page 62 of 76
A.4 Performance results A.4 Các kết quả thực hiện
Auditors should be focused on the intended result of Chuyên gia đánh giá cần tập trung vào kết quả dự
the management system throughout the audit kiến của hệ thống quản lý trong suốt quá trình đánh
process. While processes and what they achieve are giá. Khi các quá trình và những gì đạt được là quan
important, the result of the management system and trọng, thì kết quả của hệ thống quản lý và kết quả
its performance are what counts. It is also important thực hiện hệ thống quản lý đó sẽ là những gì cần
to consider the level of the integration of different được tính đến. Việc xem xét mức độ tích hợp các
management systems and their intended results. hệ thống quản lý khác nhau và kết quả dự kiến của
chúng cũng rất quan trọng.
The absence of a process or documentation can be
important in a high risk or complex organization but Việc thiếu một quá trình hoặc hệ thống tài liệu có
not so significant in other organizations thể là quan trọng đối với một tổ chức có rủi ro hay
tính phức tạp cao nhưng lại không quá quan trọng
đối với các tổ chức khác
A.5 Verifying information A.5 Kiểm tra xác nhận thông tin
Insofar as practicable, the auditors should consider Ở mức độ có thể thực hiện được, chuyên gia đánh
B
whether the information provides sufficient objective giá cần xem xét liệu các thông tin có cung cấp đủ
U
evidence to demonstrate that requirements are being bằng chứng khách quan để chứng tỏ rằng các yêu
met, such as being: cầu được đáp ứng, chẳng hạn như có:
R
a) đầy đủ (tất cả nội dung mong đợi được nêu

EA
a) complete (all expected content is contained in the

documented information); trong thông tin dạng văn bản);
b) correct (the content conforms to other reliable b) đúng (nội dung phù hợp với các nguồn tin cậy
U
sources such as standards and regulations); khác như tiêu chuẩn, quy định);
c) consistent (the documented information is c) nhất quán (các thông tin dạng văn bản nhất
VE
consistent in itself and with related documents); quán với chính nó và với các tài liệu liên quan);
d) current (the content is up to date) d) hiện hành (nội dung được cập nhật).
R
It should also be considered whether the information Cũng cần xem xét, liệu thông tin được kiểm tra xác
IT
being verified provides sufficient objective evidence nhận có cung cấp đủ bằng chứng khách quan để
to demonstrate that requirements are being met. chứng tỏ rằng các yêu cầu được đáp ứng.
A
If information is provided in a manner other than Khi thông tin được cung cấp theo cách nằm ngoài
S
expected (e.g. by different individuals, alternate dự kiến (ví dụ bởi các cá nhân khác, các phương
media), the integrity of the evidence should be tiện truyền thông khác), thì cũng cần đánh giá về
assessed. tính toàn vẹn của các bằng chứng.
Specific care is needed for information security due to Cần thận trọng với vấn đề an toàn thông tin theo các
applicable regulations on protection of data (in quy định hiện hành về bảo vệ dữ liệu (cụ thể là đối
particular for information which lies outside the audit với thông tin nằm ngoài phạm vi đánh giá, nhưng
scope, but which is also contained in the document). nằm trong hệ thống tài liệu)
Page 63 of 76
A.6 Sampling A.6 Lấy mẫu
A.6.1 General A.6.1 Khái quát
Audit sampling takes place when it is not practical or Việc lấy mẫu đánh giá diễn ra khi không thể kiểm tra
cost effective to examine all available information tất cả các thông tin có sẵn trong quá trình đánh giá
during an audit, e.g. records are too numerous or too hoặc không hiệu quả về chi phí, ví dụ các hồ sơ với
dispersed geographically to justify the examination of số lượng lớn, quá phân tán về mặt địa lý để lý giải
every item in the population. Audit sampling of a large cho việc kiểm tra từng hạng mục trong tổng thể.
population is the process of selecting less than 100 % Việc lấy mẫu đánh giá của một tổng thể lớn là quá
of the items within the total available data set trình lựa chọn dưới 100 % các hạng mục trong tập
(population) to obtain and evaluate evidence about dữ liệu chung sẵn có (tổng thể) để thu được và
some characteristic of that population, in order to đánh giá bằng chứng về đặc tính nào đó của tổng
form a conclusion concerning the population. thể, nhằm hình thành kết luận về tổng thể đó.
The objective of audit sampling is to provide Mục tiêu của việc lấy mẫu đánh giá là cung cấp
information for the auditor to have confidence that the thông tin cho chuyên gia đánh giá để có sự tin cậy
audit objectives can or will be achieved. rằng các mục tiêu đánh giá có thể hoặc sẽ đạt
được.
B
The risk associated with sampling is that the samples

U
may not be representative of the population from Rủi ro liên quan đến lấy mẫu là các mẫu có thể
which they are selected. Thus, the auditor's không đại diện cho tổng thể mà từ đó chúng được
R
conclusion may be biased and be different from that chọn. Do đó, kết luận của chuyên gia đánh giá có
EA
which would be reached if the whole population was thể sai lệch và khác với kết quả sẽ đạt được khi
examined. There may be other risks depending on toàn bộ tổng thể được kiểm tra. Có thể còn những
the variability within the population to be sampled and rủi ro khác tùy thuộc vào sự biến động trong tổng
U
the method chosen. thể được lấy mẫu và phương pháp được chọn
VE
Audit sampling typically involves the following steps: Lấy mẫu để đánh giá thường gồm các bước sau:
a) establishing the objectives of sampling; a) thiết lập mục tiêu lấy mẫu;
R
b) selecting the extent and composition of the b) chọn mức độ và thành phần của tổng thể được
IT
population to be sampled; lấy mẫu;

c) selecting a sampling method; c) chọn phương pháp lấy mẫu;
A
d) determining the sample size to be taken; d) xác định cỡ mẫu cần lấy;
e) tiến hành hoạt động lấy mẫu;
S
e) conducting the sampling activity;

f) compiling, evaluating, reporting and documenting f) tập hợp, đánh giá, báo cáo và lập thành văn bản
results. các kết quả;
When sampling, consideration should be given to the Khi lấy mẫu, cần xem xét chất lượng của dữ liệu
quality of the available data, as sampling insufficient hiện có, vì việc lấy mẫu trên các dữ liệu không đầy
and inaccurate data will not provide a useful result. đủ và không chính xác sẽ không cung cấp kết quả
The selection of an appropriate sample should be hữu ích. Việc lựa chọn mẫu thích hợp cần dựa trên
based on both the sampling method and the type of cả phương pháp lấy mẫu và loại dữ liệu cần thiết, ví
data required, e.g. to infer a particular behaviour dụ, để suy đoán về một mẫu hành vi cụ thể hoặc để
pattern or draw inferences across a population. rút ra những suy luận đại diện cho cả một tổng thể.
Reporting on the sample selected could take into Báo cáo về mẫu được chọn có thể tính đến cỡ mẫu,
account the sample size, selection method and phương pháp lựa chọn và các ước lượng thu được
estimates made based on the sample and the dựa dựa trên mẫu và độ tin cậy.
confidence level.
Các cuộc đánh giá có thể sử dụng việc lấy mẫu trên
Page 64 of 76
Audits can use either judgement-based sampling cơ sở suy đoán (xem A.6.2) hoặc lấy mẫu theo
(see A.6.2) or statistical sampling (see A.6.3). nguyên tắc thống kê (xem A.6.3).
A.6.2 Judgement-based sampling A.6.2 Lấy mẫu trên cơ sở suy đoán
Judgement-based sampling relies on the competence Việc lấy mẫu trên cơ sở suy đoán dựa vào năng lực
and experience of the audit team (see Clause 7). và kinh nghiệm của đoàn đánh giá (xem Điều 7) Đối
với việc lấy mẫu trên cơ sở suy đoán, có thể xem
For judgement-based sampling, the following can be xét những điều sau:
considered:
a) kinh nghiệm cuộc đánh giá trước đó trong phạm
a) previous audit experience within the audit scope; vi đánh giá;
b) complexity of requirements (including statutory b) sự phức tạp của các yêu cầu (bao gồm các yêu
and regulatory requirements) to achieve the audit cầu luật định và chế định) để đạt được các mục
objectives; tiêu đánh giá;
c) complexity and interaction of the organization’s c) sự phức tạp và tương tác của các quá trình của
processes and management system elements; tổ chức và của các yếu tố của hệ thống quản lý;
d) degree of change in technology, human factor or d) mức độ thay đổi về công nghệ, yếu tố con người
B
management system; hoặc hệ thống quản lý;

e) previously identified significant risks and e) các rủi ro đáng kể và cơ hội cải tiến đã được
U
opportunities for improvement; nhận diện trước đó;

R
f) output from monitoring of management systems. f) đầu ra từ việc theo dõi hệ thống quản lý.
EA
A drawback to judgement-based sampling is that Một hạn chế của việc lấy mẫu trên cơ sở suy xét là
there can be no statistical estimate of the effect of có thể không có được ước lượng thống kê về ảnh
uncertainty in the findings of the audit and the hưởng của sự không chắc chắn tới các phát hiện và
U
conclusions reached. kết luận đánh giá đạt được.

VE
A.6.3 Statistical sampling A.6.3 Lấy mẫu thống kê
If the decision is made to use statistical sampling, the Khi quyết định sử dụng lấy mẫu thống kê, phương
R
sampling plan should be based on the audit án lấy mẫu cần dựa trên các mục tiêu đánh giá và
IT
objectives and what is known about the những gì đã được biết về các đặc tính của cả tổng
characteristics of overall population from which the thể mà từ đó các mẫu được lấy.
A
samples are to be taken

Thiết kế lấy mẫu thống kê sử dụng một quá trình
S
Statistical sampling design uses a sample selection chọn mẫu dựa trên lý thuyết xác suất. Lấy mẫu theo
process based on probability theory. Attribute-based nguyên tắc định tính được sử dụng khi với mỗi mẫu,
sampling is used when there are only two possible kết quả đầu ra của nó chỉ có thể có hai khả năng (ví
sample outcomes for each sample (e.g. dụ đúng/sai hoặc đạt/không đạt). Lấy mẫu dựa theo
correct/incorrect or pass/fail). Variable-based nguyên tắc định lượng (biến định lượng) được sử
sampling is used when the sample outcomes occur in dụng khi kết quả đầu ra của mẫu xảy ra trên một
a continuous range. khoảng liên tục.
The sampling plan should take into account whether Phương án lấy mẫu cần tính đến liệu các kết quả
the outcomes being examined are likely to be đầu ra được kiểm tra là dựa theo nguyên tắc định
attribute-based or variable-based. For example, when tính hay định lượng. Ví dụ khi đánh giá sự phù hợp
evaluating conformity of completed forms to the của các biểu mẫu đã được điền đầy đủ theo các yêu
requirements set out in a procedure, an attribute- cầu đã được xác lập trong một quy trình, có thể sử
based approach could be used. When examining the dụng cách tiếp cận định tính. Khi kiểm tra sự xuất
occurrence of food safety incidents or the number of hiện các sự cố an toàn thực phẩm hoặc số lần vi
Page 65 of 76
security breaches, a variable-based approach would phạm an ninh, cách tiếp cận định lượng có thể thích
likely be more appropriate. hợp hơn
Elements that can affect the audit sampling plan are: Các yếu tố có thể ảnh hưởng đến phương án lấy
mẫu đánh giá là:
a) the context, size, nature and complexity of the
organization; a) bối cảnh, quy mô, tính chất và mức độ phức tạp
b) the number of competent auditors; của tổ chức;
c) the frequency of audits; b) số chuyên gia đánh giá có năng lực;
d) the time of individual audit; c) tần suất các cuộc đánh giá;
e) any externally required confidence level; d) thời gian của cuộc đánh giá riêng lẻ;
f) the occurrence of undesirable and/or unexpected e) mức tin cậy đòi hỏi từ bên ngoài;
events. f) sự xuất hiện của các sự kiện không mong muốn
và/hoặc ngoài dự kiến.
When a statistical sampling plan is developed, the
level of sampling risk that the auditor is willing to Khi một phương án lấy mẫu thống kê được xây
accept is an important consideration. This is often dựng, mức rủi ro của việc lấy mẫu mà chuyên gia
referred to as the acceptable confidence level. For đánh giá sẵn sàng chấp nhận là một xem xét quan
example, a sampling risk of 5 % corresponds to an trọng. Điều này thường được đề cập đến là độ tin
B
acceptable confidence level of 95 %. A sampling risk cậy chấp nhận được. Chẳng hạn, rủi ro của việc lấy
U
of 5 % means the auditor is willing to accept the risk mẫu là 5 % tương ứng với mức tin cậy chấp nhận
R
that 5 out of 100 (or 1 in 20) of the samples examined được là 95 %. Rủi ro của việc lấy mẫu là 5 % có
will not reflect the actual values that would be seen if nghĩa là chuyên gia đánh giá sẵn sàng chấp nhận
EA
the entire population was examined. rủi ro là 5 trong số 100 (hoặc 1 trong số 20) mẫu
When statistical sampling is used, auditors should được kiểm tra sẽ không phản ánh các giá trị thực có
thể thấy được khi toàn bộ tổng thể được kiểm tra.
U
appropriately document the work performed. This

should include a description of the population that
Khi sử dụng lấy mẫu thống kê, chuyên gia đánh giá
VE
was intended to be sampled, the sampling criteria

used for the evaluation (e.g. what is an acceptable cần lập thành văn bản một cách thích hợp công việc
sample), the statistical parameters and methods that đã được thực hiện. Điều này cần bao gồm cả việc
R
were utilized, the number of samples evaluated and mô tả tổng thể được dự định lấy mẫu, tiêu chí lấy
mẫu được sử dụng để đánh giá (ví dụ mẫu được
IT
the results obtained.

chấp nhận là gì), các thông số và các phương pháp
thống kê đã được vận dụng, số lượng mẫu được
A
đánh giá và các kết quả thu được.

S
A.7 Auditing compliance within a management A.7 Đánh giá sự tuân thủ trong hệ thống quản lý
system
Đoàn đánh giá cần xem xét liệu bên được đánh giá
The audit team should consider if the auditee has có có các quá trình hiệu lực cho việc:
effective processes for:
a) nhận biết các yêu cầu luật định và chế định và
a) identifying its statutory and regulatory các yêu cầu khác mà tổ chức cam kết;
requirements and other requirements it is b) quản lý các hoạt động, sản phẩm và dịch vụ của
committed to; mình để đạt được sự tuân thủ các yêu cầu này;
b) managing its activities, products and services c) đánh giá tình trạng tuân thủ.
to achieve compliance with these
requirements;
c) evaluating its compliance status.
Page 66 of 76
In addition to the generic guidance given in this Ngoài các hướng dẫn chung nêu trong tiêu chuẩn
document, when assessing the processes that the này, khi đánh giá các quá trình mà bên được đánh
auditee has implemented to ensure compliance with giá đã thực hiện để đảm bảo tuân thủ các yêu cầu
relevant requirements, the audit team should liên quan, đoàn đánh giá cần xem xét liệu bên được
consider if the auditee: đánh giá:
1) has an effective process for identifying 1) có một quá trình có hiệu lực để xác định các
changes in compliance requirements and for thay đổi trong các yêu cầu phải tuân thủ và
considering them as part of the management có xem xét chúng như là một phần trong nội
of change; dung về quản lý thay đổi;
2) has competent individuals to manage its 2) có các cá nhân có năng lực để quản lý các
compliance processes; quá trình tuân thủ của mình;
3) maintains and provides appropriate 3) có duy trì và cung cấp thông tin dạng văn
documented information on its compliance bản thích hợp về tình trạng tuân thủ của
status as required by regulators or other mình theo yêu cầu của cơ quan quản lý hoặc
interested parties; các bên quan tâm khác;
4) includes compliance requirements in its 4) có đưa các yêu cầu tuân thủ vào chương
internal audit programme; trình đánh giá nội bộ của mình;
B
5) addresses any instances of non-compliance; 5) có giải quyết mọi trường hợp không tuân thủ
U
6) considers compliance performance in its đã xảy ra;

management reviews. 6) có xem xét kết quả thực hiện việc tuân thủ
R
trong xem xét của lãnh đạo hay không

EA
A.8 Auditing context A.8 Đánh giá bối cảnh
Nhiều tiêu chuẩn hệ thống quản lý đòi hỏi tổ chức

U
Many management systems standards require an

organization to determine its context, including the phải xác định bối cảnh, kể cả các nhu cầu và mong
đợi của các bên quan tâm có liên quan và các vấn
VE
needs and expectations of relevant interested parties

and external and internal issues. To do this, an đề nội bộ, bên ngoài. Để làm điều này, tổ chức có
organization can use various techniques for strategic thể sử dụng các kỹ thuật khác nhau để phân tích và
R
analysis and planning. hoạch định chiến lược.

IT
Auditors should confirm that suitable processes have Chuyên gia đánh giá cần xác nhận rằng các quá
trình thích hợp đã được xây dựng theo điều này và
A
been developed for this and are used effectively, so

that their results provide a reliable basis for được sử dụng một cách hiệu lực, sao cho các kết
S
determining the scope and the development of the quả của họ tạo ra có cơ sở đáng tin cậy để xác định
management system. To do this, auditors should phạm vi và xây dựng hệ thống quản lý. Để làm điều
consider objective evidence related to the following: này, chuyên gia đánh giá cần xem xét bằng chứng
khách quan liên quan đến:
a) the process(es) or method(s) used;
b) the suitability and competence of the individuals a) (các) quá trình hoặc phương pháp được sử
contributing to the process(es); dụng;
c) the results of the process(es); b) sự thích hợp và năng lực của các cá nhân đóng
d) the application of the results to determine góp cho các quá trình;
management system scope and development; c) các kết quả của (các) quá trình;
e) periodic reviews of context, as appropriate. d) việc áp dụng các kết quả để xác định phạm vi và
xây dựng hệ thống quản lý;
Auditors should have relevant sector-specific e) các cuộc xem xét định kỳ về bối cảnh, khi thích
knowledge and understanding of the management hợp.
tools that organizations can use in order to make a
judgement regarding the effectiveness of the Chuyên gia đánh giá cần có kiến thức về chuyên
Page 67 of 76
processes used to determine context ngành cụ thể có liên quan và hiểu về các công cụ
quản lý mà tổ chức có thể sử dụng để đưa ra suy
xét về tính hiệu lực của các quá trình được sử dụng
để xác định bối cảnh
A.9 Auditing leadership and commitment A.9 Đánh giá về sự lãnh đạo và cam kết
Many management systems standards have Nhiều tiêu chuẩn hệ thống quản lý đã nâng các yêu
increased requirements for top management cầu này cho lãnh đạo cao nhất.
These requirements include demonstrating Những yêu cầu này bao gồm việc chứng tỏ sự cam
commitment and leadership by taking accountability kết và lãnh đạo qua việc chịu trách nhiệm giải trình
for the effectiveness of the management system and về hiệu lực của hệ thống quản lý và thực hiện một
fulfilling a number of responsibilities. These include số trách nhiệm. Chúng bao gồm các nhiệm vụ mà
tasks that top management should undertake itself lãnh đạo cao nhất cần tự mình thực hiện và những
and others that can be delegated. nhiệm vụ khác có thể được ủy quyền.
Auditors should obtain objective evidence of the Chuyên gia đánh giá cần thu được bằng chứng
degree to which top management is involved in khách quan về mức độ theo đó lãnh đạo cao nhất
B
decision-making related to the management system tham gia vào việc ra quyết định liên quan đến hệ
U
and how it demonstrates commitment to ensuring its thống quản lý và cách người đó chứng tỏ sự cam
effectiveness. This can be achieved by reviewing the kết để đảm bảo tính hiệu lực của hệ thống. Điều này
R
results from relevant processes (for example policies, có thể đạt được bằng cách xem xét các kết quả từ
EA
objectives, available resources, communications from các quá trình liên quan (ví dụ như các chính sách,
top management) and by interviewing staff to mục tiêu, nguồn lực sẵn có, trao đổi thông tin từ
determine the degree of top management lãnh đạo cao nhất) và bằng cách phỏng vấn nhân
U
engagement. viên để xác định mức độ tham gia của lãnh đạo cao
nhất.
VE
Auditors should also aim to interview top

management to confirm that they have an adequate Chuyên gia đánh giá cũng cần phỏng vấn lãnh đạo
understanding of the discipline-specific issues cao nhất để xác nhận rằng họ có đủ sự hiểu biết về
R
relevant to their management system, together with các vấn đề trong lĩnh vực cụ thể liên quan đến hệ
IT
the context their organization operates within, so that thống quản lý của họ, cùng với bối cảnh trong đó tổ
they can ensure that the management system chức của họ hoạt động, sao cho họ có thể đảm bảo
A
achieves its intended results. rằng hệ thống quản lý đạt được kết quả mong
S
muốn.
Auditors should not only focus on leadership at the
top management level but should also audit Chuyên gia đánh giá không nên chỉ tập trung vào sự
leadership and commitment at other levels of lãnh đạo ở lãnh đạo cao nhất mà còn cần đánh giá
management, as appropriate. sự lãnh đạo và cam kết ở các cấp quản lý khác, khi
thích hợp.
A.10 Auditing risks and opportunities A.10 Đánh giá các rủi ro và cơ hội
As part of the assignment of an individual audit the Việc xác định và quản lý các rủi ro và cơ hội của
determination and management of the organization’s một tổ chức có thể được đưa vào như là một nội
risk and opportunities can be included. The core dung được giao của mỗi cuộc đánh giá cụ thể. Các
objectives for such an audit assignment are to: mục tiêu chính của nhiệm vụ trong cuộc đánh giá
như vậy là:
 give assurance on the credibility of the risk and
opportunity identification process(es);  đảm bảo về độ tin cậy của (các) quá trình nhận
 give assurance that risks and opportunities are diện rủi ro và cơ hội;
Page 68 of 76
correctly determined and managed;  đảm bảo rằng các rủi ro và cơ hội được xác định
 review how the organization addresses its và quản lý một cách chính xác;
determined risks and opportunities.  xem xét cách thức tổ chức giải quyết những rủi
ro và cơ hội được xác định của mình.
An audit of an organization’s approach to the
determination of risks and opportunities should not be Đánh giá cách tiếp cận của tổ chức trong việc xác
performed as a stand-alone activity. It should be định các rủi ro và cơ hội không nên được thực hiện
implicit during the entire audit of a management như một hoạt động độc lập. Nó cần được mặc định
system, including when interviewing top trong toàn bộ cuộc đánh giá một hệ thống quản lý,
management. An auditor should act in accordance kể cả khi phỏng vấn lãnh đạo cao nhất. Chuyên gia
with the following steps and collect objective đánh giá cần hành động theo các bước sau đây và
evidence as follows: thu thập bằng chứng khách quan như sau:
a) inputs used by the organization for determining its a) đầu vào được tổ chức sử dụng để xác định các
risks and opportunities, which may include: rủi ro và cơ hội của mình, có thể bao gồm:
 analysis of external and internal issues;  phân tích các vấn đề bên ngoài và nội bộ;
 the strategic direction of the organization;  định hướng chiến lược của tổ chức;
 interested parties, related to its discipline-  ác bên quân tâm, liên quan đến hệ thống quản
B
specific management system and their lý trong lĩnh vực cụ thể của tổ chức và các yêu
cầu của họ;
U
requirements, also;
 potential sources of risk such as  các nguồn rủi ro tiềm ẩn như các khía cạnh
R
environmental aspects, and safety hazards, môi trường và các mối nguy về an toàn,...
EA
etc. b) phương pháp theo đó rủi ro và cơ hội được định

b) method by which risks and opportunities are mức, chúng có thể khác nhau giữa các ngành và
evaluated, which can differ between disciplines lĩnh vực.
U
and sectors.
Việc xử lý các rủi ro và cơ hội của tổ chức, kể cả
VE
The organization’s treatment of its risk and mức độ rủi ro mà tổ chức muốn chấp nhận và cách
opportunities, including the level of risk it wishes to thức kiểm soát nó, sẽ đòi hỏi áp dụng sự phán xét
accept and how it is controlled, will require the mang tính chuyên nghiệp của chuyên gia đánh giá.
R
application of professional judgement by the auditor.

IT
A.11 Life cycle A.11 Vòng đời

A
Some discipline-specific management systems Một số hệ thống quản lý về lĩnh vực cụ thể yêu cầu
S
require the application of a life cycle perspective to áp dụng quan điểm vòng đời cho sản phẩm và dịch
their products and services. Auditors should not vụ. Chuyên gia đánh giá không nên xem đây như
consider this as a requirement to adopt a life cycle một yêu cầu chấp nhận cách tiếp cận vòng đời.
approach. A life cycle perspective involves Quan điểm vòng đời đòi hỏi việc xem xét về sự kiểm
consideration of the control and influence the soát và ảnh hưởng của tổ chức với các giai đoạn
organization has over the stages of its product and của vòng đời sản phẩm và dịch vụ. Các giai đoạn
service life cycle. Stages in a life cycle include trong vòng đời bao gồm mua nguyên liệu thô, thiết
acquisition of raw materials, design, production, kế, sản xuất, vận chuyển/cung cấp, sử dụng, xử lý
transportation/delivery, use, end of life treatment and khi hết tuổi thọ và thải bỏ cuối cùng. Cách tiếp cận
final disposal. This approach enables the này cho phép tổ chức xác định các khu vực nào
organization to identify those areas where, in thuộc phạm vi của hệ thống mà tại đó có thể giảm
considering its scope, it can minimize its impact on thiểu tác động của mình đối với môi trường đồng
the environment while adding value to the thời làm gia tăng giá trị cho tổ chức. Chuyên gia
organization. The auditor should use their đánh giá cần sử dụng cách phán xét mang tính
professional judgement as to how the organization chuyên nghiệp của mình để biết tổ chức đã áp dụng
has applied a life cycle perspective in terms of its quan điểm vòng đời như thế nào liên quan đến
Page 69 of 76
strategy and the: chiến lược của tổ chức và:
a) life of the product or service; a) tuổi thọ của sản phẩm hoặc dịch vụ;
b) organization’s influence on the supply chain; b) ảnh hưởng của tổ chức đến chuỗi cung ứng;
c) length of the supply chain; c) độ dài của chuỗi cung ứng;
d) technological complexity of the product. d) mức độ phức tạp về công nghệ của sản
phẩm.
If an organization has combined several management
systems into a single management system to meet its Nếu một tổ chức kết hợp một số hệ thống quản lý
own needs, the auditor should look carefully at any vào một hệ thống quản lý duy nhất để đáp ứng nhu
overlap concerning consideration of the life cycle cầu riêng của mình, thì chuyên gia đánh giá cần
nhìn nhận thận trọng bất kỳ sự trùng lặp nào liên
quan đến việc xem xét vòng đời
A.12 Audit of supply chain A.12 Đánh giá chuỗi cung ứng
The audit of the supply chain to specific requirements Có thể cần đánh giá các yêu cầu cụ thể với chuỗi
can be required. The supplier audit programme cung ứng. Chương trình đánh giá nhà cung cấp cần
should be developed with applicable audit criteria for được xây dựng với các chuẩn mực đánh giá áp
B
the type of suppliers and external providers. The dụng được cho loại hình nhà cung ứng và nhà cung
U
scope of the supply chain audit can differ, e.g. cấp bên ngoài. Phạm vi đánh giá chuỗi cung ứng có
complete management system audit, single process thể khác nhau, ví dụ đánh giá hệ thống quản lý đầy
R
audit, product audit, configuration audit. đủ, đánh giá một quá trình, đánh giá sản phẩm,
EA
đánh giá cấu hình
A.13 Preparing audit work documents A.13 Chuẩn bị tài liệu cho việc đánh giá
U
When preparing audit work documents, the audit Khi chuẩn bị các tài liệu cho việc đánh giá, đoàn
VE
team should consider the questions below for each đánh giá cần xem xét các câu hỏi dưới đây cho
document. từng tài liệu.
R
a) Which audit record will be created by using a) Hồ sơ đánh giá nào sẽ được tạo ra khi sử
this work document? dụng tài liệu này?
IT
b) Which audit activity is linked to this particular b) Hoạt động đánh giá nào liên quan đến tài
liệu cụ thể này?
A
work document?
c) Who will be the user of this work document? c) Ai sẽ là người sử dụng tài liệu này?
S
d) What information is needed to prepare this d) Thông tin gì là cần thiết để chuẩn bị tài liệu
work document? này?
For combined audits, work documents should be Đối với các cuộc đánh giá kết hợp, tài liệu làm việc
developed to avoid duplication of audit activities by: cần được xây dựng để tránh sự trùng lặp các hoạt
động đánh giá bằng cách:
 clustering of similar requirements from different
criteria;  phân nhóm các yêu cầu tương tự theo các
 coordinating the content of related checklists and chuẩn mực khác nhau;
questionnaires.  điều phối nội dung của danh mục kiểm tra và
bảng câu hỏi liên quan.
The audit work documents should be adequate to
address all those elements of the management Các tài liệu làm việc cần đủ để giải quyết tất cả các
system within the audit scope and may be provided in yếu tố của hệ thống quản lý thuộc phạm vi đánh giá
any media và có thể được cung cấp ở phương tiện truyền
thông bất kỳ.
Page 70 of 76
A.14 Selecting sources of information A.14 Lựa chọn nguồn thông tin
The sources of information selected may vary Các nguồn thông tin được chọn có thể khác nhau
according to the scope and complexity of the audit tùy theo phạm vi và mức độ phức tạp của cuộc
and may include the following: đánh giá và có thể bao gồm các thông tin sau:
a) interviews with employees and other individuals; a) phỏng vấn nhân viên và các cá nhân khác;
b) observations of activities and the surrounding b) quan sát các hoạt động và môi trường và các
work environment and conditions; điều kiện làm việc xung quanh;
c) documented information, such as policies, c) thông tin dạng văn bản, chẳng hạn như chính
objectives, plans, procedures, standards, sách, mục tiêu, kế hoạch, thủ tục, tiêu chuẩn,
instructions, licences and permits, specifications, hướng dẫn, giấy phép và văn bản cho phép, quy
drawings, contracts and orders; định kỹ thuật, bản vẽ, hợp đồng và đơn đặt
d) records, such as inspection records, minutes of hàng;
meetings, audit reports, records of monitoring d) hồ sơ, chẳng hạn như hồ sơ kiểm tra, biên bản
programme and the results of measurements; họp, các báo cáo đánh giá, hồ sơ theo dõi
e) data summaries, analyses and performance chương trình và kết quả đo lường;
indicators; e) tóm tắt dữ liệu, các phân tích và các chỉ số kết
B
f) information on the auditee’s sampling plans and quả thực hiện;

on any procedures for the control of sampling and f) thông tin về phương án lấy mẫu của bên được
U
measurement processes; đánh giá và bất kỳ quy trình nào để kiểm soát
R
g) reports from other sources, e.g. customer các quá trình lấy mẫu và đo lường;
g) báo cáo từ các nguồn khác, ví dụ phản hồi của
EA
feedback, external surveys and measurements,

other relevant information from external parties khách hàng, khảo sát và đo lường bên ngoài,
and external provider ratings; thông tin có liên quan khác từ các tổ chức bên
U
h) databases and websites; ngoài cũng như việc xếp hạng nhà cung cấp bên
i) simulation and modelling. ngoài;
VE
h) cơ sở dữ liệu và các trang tin điện tử;

i) các mô phòng và mô hình
R
A.15 Visiting the auditee’s location A.15 Đến cơ sở của bên được đánh giá
IT
To minimize interference between audit activities and Để giảm thiểu ảnh hưởng của các hoạt động đánh
the auditee’s work processes and to ensure the giá với các quá trình làm việc của bên được đánh
A
health and safety of the audit team during a visit, the giá và để đảm bảo sức khỏe và an toàn của đoàn
S
following should be considered: đánh giá trong thời gian đến cơ sở, cần xem xét
a) Planning the visit: a) Việc lập kế hoạch cho việc đến cơ sở:
 ensure permission and access to those parts of  đảm bảo sự cho phép và tiếp cận các khu vực
the auditee’s location, to be visited in accordance thuộc địa điểm của bên được đánh giá sẽ đến
with the audit scope; theo phạm vi đánh giá;
 provide adequate information to auditors on  cung cấp thông tin đầy đủ cho chuyên gia đánh
security, health (e.g. quarantine), occupational giá về an ninh, sức khỏe (ví dụ kiểm dịch), các
health and safety matters and cultural norms and vấn đề về an toàn và sức khỏe nghề nghiệp và
working hours for the visit including requested các chuẩn mực văn hóa, thời gian làm việc khi
and recommended vaccination and clearances, if đến cơ sở, kể cả yêu cầu và khuyến cáo tiêm
applicable; phòng hay làm sạch, nếu có;
 confirm with the auditee that any required  xác nhận với bên được đánh giá rằng bất kỳ
personal protective equipment (PPE) will be thiết bị bảo hộ cá nhân bắt buộc nào (PPE) sẽ
available for the audit team, if applicable; có sẵn cho đoàn đánh giá, nếu được áp dụng;
 confirm the arrangements with the auditee  xác nhận các sắp đặt với bên được đánh giá về
Page 71 of 76
regarding the use of mobile devices and cameras việc sử dụng thiết bị di động và máy ảnh bao
including recording information such as gồm cả việc ghi nhận thông tin như ảnh chụp vị
photographs of locations and equipment, screen trí và thiết bị, bản sao chụp màn hình hoặc bản
shot copies or photocopies of documents, videos sao các tài liệu, các video về hoạt động và
of activities and interviews, taking into phỏng vấn, có tính đến các vấn đề về an toàn và
consideration security and confidentiality matters; bảo mật.
 except for unscheduled, ad hoc audits, ensure  ngoại trừ các cuộc đánh giá đột xuất, đánh giá
that personnel being visited will be informed about đặc biệt, đảm bảo rằng nhân sự được tiếp xúc
the audit objectives and scope. sẽ được thông báo về các mục tiêu và phạm vi
đánh giá.
b) On-site activities: b) Hoạt động đánh giá tại chỗ:

 avoid any unnecessary disturbance of the  tránh mọi xáo trộn không cần thiết tới các quá
operational processes; trình vận hành;
 ensure that the audit team is using PPE properly  đảm bảo rằng đoàn đánh giá được sử dụng thiết
(if applicable); bị bảo vệ cá nhân (PPE) một cách thích hợp,
 ensure emergency procedures are communicated (nếu được áp dụng);
(e.g. emergency exits, assembly points);  đảm bảo các thủ tục khẩn cấp được truyền đạt
B
 schedule communication to minimize disruption; (ví dụ lối thoát hiểm khẩn cấp, các điểm tập
U
 adapt the size of the audit team and the number trung);
 trao đổi thông tin về lịch trình để giảm thiểu sự
R
of guides and observers in accordance with the

audit scope, in order to avoid interference with the gián đoạn;
EA
operational processes as far as practicable;  điều chỉnh quy mô của đoàn đánh giá và số
 do not touch or manipulate any equipment, unless lượng hướng dẫn viên, quan sát viên cho phù
hợp với phạm vi đánh giá, để tránh ảnh hưởng
U
explicitly permitted, even when competent or

licensed; tới các quá trình tác nghiệp nhiều nhất có thể;
 không sờ, chạm hoặc thao tác trên bất kỳ thiết bị
VE
nào, trừ khi được sự cho phép rõ ràng, ngay cả

 if an incident occurs during the on-site visit, the khi có năng lực hoặc có giấy phép;
R
audit team leader should review the situation with  nếu xảy ra sự cố khi đang làm việc tại hiện
trường, trưởng đoàn đánh giá cần cùng với bên
IT
the auditee and, if necessary, with the audit client

and reach agreement on whether the audit should được đánh giá xem xét tình hình, và nếu cần,
A
be interrupted, rescheduled or continued; với cả khách hàng đánh giá để đạt được sự
 thống nhất về việc cuộc đánh giá có cần được
S
if taking copies of documents in any media, ask

for permission in advance and consider tạm dừng, lập lại lịch trình hoặc được tiếp tục;
confidentiality and security matters;  nếu lấy bản sao tài liệu từ bất kỳ phương tiện
 when taking notes, avoid collecting personal nào, cần được cho phép trước và xem xét các
information unless required by the audit vấn đề về an toàn và bảo mật;
objectives or audit criteria.  khi ghi chép, tránh thu thập thông tin cá nhân trừ
khi theo yêu cầu của mục tiêu hoặc chuẩn mực
đánh giá
c) Virtual audit activities: c) Hoạt động đánh giá ảo:

 ensure that the audit team is using agreed  đảm bảo rằng đoàn đánh giá sử dụng các giao
remote access protocols including requested thức truy cập từ xa đã được thống nhất bao gồm
devices, software, etc.; các thiết bị, phần mềm cần thiết,…;
 if taking screen shot copies of document of any  nếu chụp ảnh từ màn hình bất kỳ loại tài liệu
kind, ask for permission in advance and nào, đề nghị sự cho phép trước và xem xét các
consider confidentiality and security matters and vấn đề an toàn, bảo mật và tránh việc ghi âm
Page 72 of 76
avoid recording individuals without their các cá nhân mà không được sự cho phép của
permission; họ;
 if an incident occurs during the remote access,  nếu xảy ra sự cố trong khi truy cập từ xa, trưởng
the audit team leader should review the đoàn đánh giá cần cùng bên được đánh giá, và
situation with the auditee and, if necessary, with nếu cần, với khách hàng đánh giá xem xét tình
the audit client and reach agreement on huống để đạt được sự thống nhất về việc việc
whether the audit should be interrupted, đánh giá có có cần được tạm dừng, lập lại lịch
rescheduled or continued; trình hoặc được tiếp tục;
 use floor plans/diagrams of the remote location  sử dụng sơ đồ/giản đồ mặt bằng của vị trí được
for reference; đánh giá từ xa để tham khảo;
 maintain respect for privacy during audit breaks.  duy trì sự tôn trọng quyền riêng tư trong thời
gian nghỉ đánh giá
Consideration needs to be given to disposition of Cần xem xét việc hủy bỏ thông tin và bằng chứng
information and audit evidence, irrespective of the đánh giá, không phân biệt loại phương tiện truyền
type of media, at a later date, once the need for its thông, sau khi không còn nhu cầu lưu giữ
retention has lapsed
B
A.16 Auditing virtual activities and locations A.16 Đánh giá các hoạt động và địa điểm ảo
U
Virtual audits are conducted when an organization Các cuộc đánh giá ảo được tiến hành khi tổ chức
R
performs work or provides a service using an on-line thực hiện công việc hoặc cung cấp dịch vụ thông
environment allowing persons irrespective of physical qua việc sử dụng một môi trường trực tuyến cho
EA
locations to execute processes (e.g. company phép mọi người ở vị trí địa lý bất kỳ thực thi được
intranet, a “computing cloud”). Auditing of a virtual các quá trình (ví dụ qua mạng nội bộ công ty, "điện
U
location is sometimes referred to as virtual auditing. toán đám mây "). Cuộc đánh giá địa điểm ảo đôi khi
Remote audits refer to using technology to gather được gọi là đánh giá ảo. Các cuộc đánh giá từ xa
VE
information, interview an auditee, etc. when “face-to- đề cập đến việc sử dụng công nghệ để thu thập
face” methods are not possible or desired. thông tin, phỏng vấn bên được đánh giá bên,… khi
phương pháp "gặp mặt trực tiếp” là không thể hoặc
R
không đòi hỏi như vậy.

IT
A virtual audit follows the standard audit process Một cuộc đánh giá ảo tuân theo quá trình đánh giá
A
while using technology to verify objective evidence chuẩn nhờ sử dụng công nghệ để kiểm tra xác nhận
bằng chứng khách quan.
S
The auditee and audit team should ensure Đoàn đánh giá và bên được đánh giá cần đảm bảo
appropriate technology requirements for virtual audits các yêu cầu về công nghệ thích hợp cho cuộc đánh
which can include: giá ảo, các yêu cầu đó có thể bao gồm:
 ensuring the audit team is using agreed remote  đảm bảo đoàn đánh giá đang sử dụng các giao
access protocols, including requested devices, thức truy cập từ xa đã được thống nhất, kể cả
software, etc.; thiết bị, phần mềm thích hợp,…;
 conducting technical checks ahead of the audit to  trước khi đánh giá, tiến hành các kiểm tra về
resolve technical issues; thuật để giải quyết các vấn đề kỹ thuật;
 ensuring contingency plans are available and  đảm bảo các phương án dự phòng có sẵn và
communicated (e.g. interruption of access, use of được trao đổi thông tin (ví dụ khi việc truy cập bị
alternative technology), including provision for gián đoạn, sử dụng công nghệ thay thế), bao
extra audit time if necessary. gồm cả dự phòng thêm thời gian đánh giá, nếu
cần.
Page 73 of 76
Auditor competence should include: Năng lực của chuyên gia đánh giá cần bao gồm:
 technical skills to use the appropriate electronic  kỹ năng kỹ thuật để sử dụng các thiết bị điện tử
equipment and other technology while auditing; thích hợp hay các công nghệ khác trong đánh
 experience in facilitating meetings virtually to giá;
conduct the audit remotely.  kinh nghiệm trong việc tổ chức các cuộc họp ảo
để tiến hành đánh giá từ xa.
When conducting the opening meeting or auditing
virtually, the auditor should consider and the following Khi tiến hành cuộc họp khai mạc hoặc việc đánh giá
items: ảo, chuyên gia đánh giá cần xem xét các hạng mục
sau:
 risks associated with virtual or remote audits;
 using floor plans/diagrams of remote locations for  các rủi ro liên quan đến các cuộc đánh giá ảo
reference or mapping of electronic information; hoặc từ xa;
 facilitating for the prevention of background noise  việc sử dụng các sơ đồ/giản đồ mặt bằng của
disruptions and interruptions; các địa điểm từ xa để tham khảo hoặc lập bản
 asking for permission in advance to take screen đồ thông tin điện tử;
shot copies of documents or any kind of  hỗ trợ ngăn chặn tiếng ồn làm cản trở và gián
B
recordings, and considering confidentiality and đoạn;

security matters;  đề nghị sự cho phép trước khi chụp qua màn
U
 ensuring confidentiality and privacy during audit hình các bản sao của các tài liệu hoặc bất kỳ loại
R
breaks e.g. by muting microphones, pausing hồ sơ nào và xem xét các vấn đề về bảo mật và
an toàn;
EA
cameras
 đảm bảo tính bảo mật và riêng tư trong thời gian
nghỉ đánh giá, ví dụ tắt micrô, ngừng ghi hình
U
A.17 Conducting interviews A.17 Tiến hành phỏng vấn

VE
Interviews are an important means of collecting Phỏng vấn là một phương tiện quan trọng để thu
information and should be carried out in a manner thập thông tin và cần được thực hiện theo cách phù
R
adapted to the situation and the individual hợp với tình huống và cá nhân được phỏng vấn, dù
interviewed, either face to face or via other means of là phỏng vấn trực tiếp hay thông qua các phương
IT
communication. However, the auditor should consider tiện truyền thông khác. Tuy nhiên, chuyên gia đánh
giá cần xem xét:
A
the following:
S
a) interviews should be held with individuals from a) các cuộc phỏng vấn cần được tiến hành với các
appropriate levels and functions performing cá nhân thuộc các cấp và chức năng thích hợp
activities or tasks within the audit scope; thực hiện các hoạt động hoặc nhiệm vụ trong
b) interviews should normally be conducted during phạm vi đánh giá;
normal working hours and, where practical, at the b) các cuộc phỏng vấn thường được thực hiện
normal workplace of the individual being trong giờ làm việc và nếu có thể, tại chính nơi
interviewed; làm việc bình thường của cá nhân được phỏng
c) attempts should be made to put the individual vấn;
being interviewed at ease prior to and during the c) cần nỗ lực thực hiện để cá nhân được phỏng
interview; vấn có cảm giác thoải mái trước và trong quá
d) the reason for the interview and any note taking trình phỏng vấn;
should be explained; d) cần giải thích lý do cuộc phỏng vấn và bất kỳ
e) interviews may be initiated by asking individuals những điều gì sẽ được ghi nhận;
to describe their work; e) các cuộc phỏng vấn có thể được bắt đầu bằng
f) the type of question used should be carefully cách đề nghị các cá nhân mô tả công việc của
selected (e.g. open, closed, leading questions, họ;
Page 74 of 76
appreciative inquiry); f) cần lựa chọn cẩn thận loại câu hỏi được sử
g) awareness of limited non-verbal communication in dụng (ví dụ câu hỏi mở, câu hỏi đóng, câu hỏi
virtual settings; instead focus should be on the dẫn dắt, câu hỏi mang tính cần thiết, bắt buộc);
type of questions to use in finding objective g) nhận thức về việc trao đổi thông tin không trực
evidence; tiếp trong đánh giá ảo bị hạn chế, vì vậy cần tập
h) the results from the interview should be trung vào loại các câu hỏi nhằm tìm kiếm bằng
summarized and reviewed with the interviewed chứng khách quan;
individual; h) kết quả từ cuộc phỏng vấn cần được tổng kết và
xem xét với người đã được phỏng vấn;
the interviewed individuals should be thanked for their
participation and cooperation. cần cám ơn các cá nhân được phỏng vấn về sự
tham gia và hợp tác của họ.
A.18 Audit findings A.18 Các phát hiện đánh giá
A.18.1 Determining audit findings A.18.1 Xác định các phát hiện đánh giá
When determining audit findings, the following should Khi xác định các phát hiện đánh giá, cần xem xét:
be considered:
B
a) các hành động tiếp theo từ hồ sơ và kết luận

a) follow-up of previous audit records and cuộc đánh giá trước đó;
U
conclusions; b) yêu cầu của khách hàng đánh giá;

R
b) requirements of the audit client; c) tính chính xác, đầy đủ và thích hợp của bằng
chứng khách quan để hỗ trợ các phát hiện đánh
EA
c) accuracy, sufficiency and appropriateness of

objective evidence to support audit findings; giá;
d) mức độ theo đó các hoạt động đánh giá theo kế

U
d) extent to which planned audit activities are

realized and planned results achieved; hoạch được thực hiện và các kết quả đã hoạch
VE
e) findings exceeding normal practice, or định đạt được;

opportunities for improvement; e) các phát hiện vượt quá thực tiễn thông thường
f) sample size; hoặc các cơ hội cải tiến;
R
g) categorization (if any) of the audit findings. f) cỡ mẫu;

IT
g) việc phân loại (nếu có) phát hiện đánh giá
A.18.2 Ghi nhận sự phù hợp

A
A.18.2 Recording conformities

S
For records of conformity, the following should be Đối với các hồ sơ về sự phù hợp, những điều sau
considered: cần được xem xét:
a) description of or reference to audit criteria against a) mô tả hoặc dẫn xuất đến các chuẩn mực đánh
which conformity is shown; giá mà theo đó cho thấy sự phù hợp;
b) audit evidence to support conformity and b) bằng chứng đánh giá để minh chứng sự phù
effectiveness, if applicable; hợp và tính hiệu lực, nếu có;
c) declaration of conformity, if applicable c) tuyên bố về sự phù hợp, nếu áp dụng
A.18.3 Recording nonconformities A.18.3 Ghi nhận sự không phù hợp
For records of nonconformity, the following should be Đối với các hồ sơ về những sự không phù hợp, cần
considered: xem xét:
a) description of or reference to audit criteria; a) mô tả hoặc dẫn xuất đến chuẩn mực đánh giá;
b) audit evidence; b) bằng chứng đánh giá;
c) declaration of nonconformity; c) tuyên bố về sự không phù hợp;
Page 75 of 76
d) related audit findings, if applicable d) phát hiện đánh giá liên quan, nếu có
A.18.4 Dealing with findings related to multiple A.18.4 Xử lý các phát hiện liên quan đến nhiều
criteria chuẩn mực
During an audit, it is possible to identify findings
related to multiple criteria. Where an auditor identifies Trong quá trình đánh giá, có thể nhận biết các phát
a finding linked to one criterion on a combined audit, hiện đánh giá có liên quan đến nhiều chuẩn mực.
the auditor should consider the possible impact on Khi chuyên gia đánh giá xác định một phát hiện
the corresponding or similar criteria of the other đánh giá có liên quan tới một chuẩn mực trong đánh
management systems giá kết hợp, thì cần xem xét tác động có thể đối với
chuẩn mực tương ứng hoặc tương tự của các hệ
Depending on the arrangements with the audit client, thống quản lý khác.
the auditor may raise either:
Tùy thuộc vào các sắp đặt với khách hàng đánh giá,
a) separate findings for each criterion; or chuyên gia đánh giá có thể đưa ra là:
b) a single finding, combining the references to
multiple criteria. a) phát hiện riêng biệt theo từng chuẩn mực; hoặc
b) phát hiện đơn lẻ, kết hợp việc viện dẫn đến
Depending on the arrangements with the audit client, nhiều chuẩn mực;
B
the auditor may guide the auditee on how to respond

Tùy thuộc vào các sắp đặt với khách hàng đánh giá,
U
to those findings.
chuyên gia đánh giá có thể hướng dẫn bên được
R
đánh giá về cách phản hồi đối với những phát hiện
đó
EA
Bibliography Thư mục tài liệu tham khảo

U
[1] ISO 9000:2015, Quality management systems — [1] ISO 9000:2015, Hệ thống quản lý chất lượng –
Fundamentals and vocabulary Cơ sở và từ vựng
VE
[2] ISO 9001, Quality management systems — [2] ISO 9001, Hệ thống quản lý chất lượng – Các
Requirements1) yêu cầu 1
R
IT
[3] ISO Guide 73:2009, Risk management — [3] ISO Guide 73:2009, Quản lý rủi ro – Từ vựng
Vocabulary
A
[4] ISO/IEC 17021-1, Đánh giá sự phù hợp – Yêu

[4] ISO/IEC 17021-1, Conformity assessment — cầu đối với tổ chức đánh giá và chứng nhận hệ
S
Requirements for bodies providing audit and thống quản lý – Phần 1: Các yêu cầu
certification of management systems — Part 1:
Requirements
Page 76 of 76

Iso 19011 - 2018 (En - VN)

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Iso 19011 - 2018 (En - VN)

Uploaded by

Copyright:

Available Formats

TÀI LIỆU ĐÀO TẠO

Bản dịch tham khảo – Sử dụng cho đào tạo

  các yêu cầu được xác định trong một hay

requirements defined in one or more

relevant interested parties; các bên quan tâm có liên quan;

 management system plan(s) relating to the khác;

This document provides guidance for all sizes and

Table 1 — Different types of audits

Bảng 1 - Các loại hình đánh giá khác nhau

of potential users, including auditors, organizations

system audits for contractual or regulatory reasons.

1 Scope 1 Phạm vi áp dụng

2 Normative references 2 Tài liệu viện dẫn

3 Terms and definitions 3 Thuật ngữ và định nghĩa

organizations, such as those providing

governmental agencies. cấp chứng nhận/đăng ký sự phù hợp hoặc cơ quan

đổi – CHÚ THÍCH được sửa đổi]

combined audit Đánh giá kết hợp

Note 1 to entry: When two or more discipline-

joint audit Đồng đánh giá

[SOURCE: ISO 9000:2015, 3.13.3] [NGUỒN: ISO 9000:2015, 3.13.3]

audit programme Chương trình đánh giá

audit scope Phạm vi đánh giá

[NGUỒN: ISO 9000:2015, 3.13.5, được sửa đổi –

1 to entry has been modified, Note 2 to entry has bổ sung]

audit plan Kế hoạch đánh giá

audit (3.1) đánh giá (3.1)

[SOURCE: ISO 9000:2015, 3.13.6] [NGUỒN: ISO 9000:2015, 3.13.6]

audit criteria Chuẩn mực đánh giá

objective evidence Bằng chứng khách quan

of the audit (3.1) generally consists of records,

đánh giá và có thể kiểm tra xác nhận.

[NGUỒN: ISO 9000:2015, 3.8.3]

audit evidence Bằng chứng đánh giá

verifiable kiểm tra xác nhận.

[SOURCE: ISO 9000:2015, 3.13.8] [NGUỒN: ISO 9000:2015, 3.13.8]

audit findings Phát hiện đánh giá

audit conclusion Kết luận đánh giá

audit client Khách hàng đánh giá

[SOURCE: ISO 9000:2015, 3.13.11, modified —

CHÚ THÍCH 1 được bổ sung]

auditee Bên được đánh giá

audited đánh giá.

audit team Đoàn đánh giá

auditor Chuyên gia đánh giá

[SOURCE: ISO 9000:2015, 3.13.15] [NGUỒN: ISO 9000:2015, 3.13.15]

technical expert Chuyên gia kỹ thuật

language or culture. ngữ hay văn hóa.

[SOURCE: ISO 9000:2015, 3.13.16, modified —

Observer Quan sát viên

[SOURCE: ISO 9000:2015, 3.13.17, modified]

management system Hệ thống quản lý

effect of uncertainty Tác động của sự không chắc chắn.

expected – positive or negative. kiến - tích cực hoặc tiêu cực.

Guide 73:2009, 3.5.1.3) and consequences (as

73:2009, 3.6.1.1) of occurrence.

Conformity Sự phù hợp

Nonconformity Sự không phù hợp

Competence Năng lực

Requirement Yêu cầu

or obligatory chung hoặc bắt buộc.

to entry 3, 4, 5 and 6 have been deleted] chú thích 3, 4, 5 và 6]

Process Quá trình