ГОСТ Р 54360-2011 процесс аудита предлагает разбить на следующие этапы:
- - Предварительный аудит.
- - Детальный аудит.
- - Последующие аудиты.
- - Надзорный аудит.
Предварительный аудит служит сбором первичных документов поставщика(ов) ЛИМСа с целью оценки необходимости продолжить аудит или отказаться от данного поставщика(ов). Для первичного аудита рекомендуется использовать анкетирование и/или заполнение опросного листа. Вопросы, которые рекомендует отобразить стандарт ГОСТ Р 54360-2011 в данной части аудита:
- общая корпоративная справочная информация (состав сотрудников, наличие лицензий и сертификатов, документация и т.п.);
- информация о продажах (количество лабораторий/покупателей, работающих с данной версией ПО);
- используемые процедуры обеспечения качества разработки и развертывания ПО (основополагающие стандарты по которым разработано ПО в части приобретаемой версии, процедуры контроля качества ПО и иные процедуры необходимые к учету и анализу в приобретаемой версии ПО);
- история разработки ПО (оценка ПО в части сроков разработки, доработки улучшений, изменений и длительной поддержки ПО со стороны продавца/изготовителя).
Детальный аудит должен состоять из следующих документов:
- план аудита, включающий области аудита, аудиторов и их полномочий, сроки проведения аудита. План аудита должен быть согласован с продавцом ЛИМСа;
- уведомление об аудите, включающий цели, сроки, области и критерии аудита.
Процесс детального аудита необходимо разделить на три стадии:
- Вводное совещание. На вводном совещании участники аудита проводят знакомство и обсуждение правил проведение аудита: область, критерии, доступ к документам, сроки, место работы, подписание документов о конфиденциальности.
- Обзор и инспекция.Проведение аудита, согласно установленным критериям, с детальным документированием свидетельств аудита для возможности оформления последующих выводов.
- Заключительное совещание.Заключительное совещание должно быть оформлено аудиторским отчетом, включающим положительные результаты, вопросы и разъяснения продавца, и корректирующие действия (при возможности их текущего формирования) или срок рассмотрения выявленных недостатков. При невозможности документирования корректирующих действий при формировании аудиторского отчета, продавец должен сформировать план проведения корректирующих действий.
Последующие аудиты продавца/изготовителя ЛИМС должны быть проведены по результатам устранения недостатков, выявленных при проведении детального аудита. Покупателю следует запросить с продавца ЛИМС документацию (отчет) о проведенных изменениях с целью оценки проведенных мероприятий и повторного аудита скорректированных недостатков.
Надзорный аудит.Данный вид аудита направлен на оценку устранения предыдущих аудитов и найденных в процессе добавления новых модулей в рассматриваемое ПО. Надзорный вид аудита не должен повторять детальный аудит, а рассматриваться на основании уровня рисков:
- покупатель принимает риски и/или углубляется в оценку выявленных недостатков;
- риск недостатка не приемлем и осуществляется выбор другого поставщика.
И конечно же не забываем что все действия и проверки должны соответствующим образом документироваться. ГОСТ Р 54360-2011 Приложение Х1 предлагает рекомендуемую форму по оценке продавца.