ISO 19011:2026 išlaiko bendrą ISO 19011:2018 struktūrą ir paskirtį, tačiau reikšmingai modernizuoja gaires, susijusias su audito planavimu ir vykdymu, ypač nuotolinių ir hibridinių auditų srityje. Pagrindiniai skyriai (taikymo sritis, principai, audito programos valdymas, audito vykdymas ir auditorių kompetencija) išlieka suderinti, todėl esamų audito programų, pagrįstų 2018 m. redakcija, nereikia iš esmės pertvarkyti; tačiau organizacijos turės atnaujinti metodus, procedūras ir kompetencijos kriterijus, kad atspindėtų naują dėmesį technologijomis grįstam auditui ir rizika pagrįstam planavimui.

Strateginis dėmesys ir taikymo sritis

2026 m. ISO/FDIS 19011 išlaiko tą pačią paskirtį: pateikti gaires vadybos sistemų auditui (visų tipų, dydžių ir sektorių organizacijoms), įskaitant vidaus (1-osios šalies) ir išorinius (2-osios bei kai kuriuos 3-iosios šalies) auditus. Įvade dabar aiškiai nurodoma ir pabrėžiamas poreikis vykdyti auditus, kuriuose kriterijai gali būti sudaryti iš standartų, vidaus politikų, teisinių reikalavimų ir tiekimo grandinės reikalavimų. Taip pat sustiprinama nuostata, kad gairės yra bendro pobūdžio ir turėtų būti pritaikomos pagal organizacijos sudėtingumą ir brandą, taip pat kombinuotiems ar integruotiems auditams.

Audito principai

Septyni principai išlieka nepakitę savo pavadinimais (sąžiningumas, teisingas pateikimas, profesinis rūpestingumas, konfidencialumas, nepriklausomumas, įrodymais pagrįstas požiūris, rizika pagrįstas požiūris), tačiau jų formuluotės yra patikslintos ir aiškiau apibrėžtos. 2026 m. tekste aiškiau susiejamas rizika pagrįstas požiūris su sprendimais dėl audito programos planavimo, nuotolinių ir vietoje atliekamų auditų pasirinkimo bei dėmesio sutelkimo į reikšmingiausius klausimus audito klientui ir programos tikslams. Konfidencialumo ir nepriklausomumo principai dabar aiškiai apima informacijos saugumą ir interesų konfliktus technologijomis grįstuose audituose (pvz., nuotolinė prieiga, bendros platformos).

Audito programos valdymas (5 skyrius)

Stipresnė nuotolinių ir hibridinių metodų integracija

2018 m. nuotoliniai auditai buvo trumpai paminėti A priede, o audito programos gairės iš esmės buvo technologiniu požiūriu neutralios. 2026 m. projekte nuotolinis auditas integruojamas visame 5 skyriuje ir aiškiai reikalaujama, kad audito programos aprašyme būtų nurodyta, kokie audito metodai (vietoje, nuotoliniu būdu, hibridiniai) bus naudojami, įskaitant nuorodas į A.16 priedą ir ISO/IEC TS 17012. Audito programos informacija dabar turi apimti technologijų, tokių kaip skaitmeniniai įrankiai, taikymą ir balansą tarp nuotolinių ir vietoje atliekamų metodų, siekiant užtikrinti audito tikslų pasiekimą.

Išplėstas rizikų ir galimybių vertinimas

Abi redakcijos reikalauja vertinti rizikas ir galimybes, tačiau 2026 m. versijoje tai daroma aiškiau ir detaliau. Naujas tekstas pateikia rizikų pavyzdžius, susijusius su audito metodo pasirinkimu (pvz., nuotolinis ar vietoje), technologijų saugumu ir patikimumu, auditorių praradimu ar neprieinamumu, taip pat audituojamos organizacijos bendradarbiavimo ar IT kompetencijos trūkumu. Galimybės aiškiau siejamos su efektyviu nuotolinių įrankių naudojimu, auditų sujungimu vieno vizito metu ir metodų derinimu su IT galimybėmis.

Programos apimtis, ištekliai ir valdymas

2026 m. versijoje patikslinama terminija („audito programos apimtis“ vietoje „apimtis“), tačiau esmė išlieka panaši. Papildomai įtraukiami aiškūs kriterijai stebėtojų dalyvavimui ir nuotolinių įrankių pasirinkimui, taip pat pabrėžiama, kad programa turi būti pritaikyta pagal organizacijos sudėtingumą, įskaitant kelių vietų struktūras ir išorines funkcijas. Išteklių planavimas dabar reikalauja aiškiai įvertinti tinklo pralaidumą, techninę ir programinę įrangą, laiko juostas, kalbą ir informacinių technologijų platformų saugumą, kai naudojami nuotoliniai metodai. Sustiprinamos atsakomybės tiems, kurie valdo audito programą – jie turi užtikrinti programos vientisumą, užkirsti kelią nepagrįstai įtakai ir nuolat tobulinti savo kompetencijas, ypač rizikos valdymo ir IT srityse.

Audito vykdymas (6 skyrius)

Audito ciklo požiūris su ankstyvu metodų pasirinkimu

2018 m. 6 skyrius jau apėmė loginį audito ciklą, tačiau metodų pasirinkimas daugiausia buvo aptariamas A priede. 2026 m. projekte metodų pasirinkimas integruojamas į visus etapus – inicijavimą, planavimą, vykdymą ir tolesnius veiksmus – pabrėžiant, kad nuotolinis ar vietoje atliekamas auditas yra projektavimo, o ne tik vykdymo sprendimas. Nustatant kontaktą su audituojama organizacija, auditoriai dabar turi patvirtinti ne tik apimtį ir kriterijus, bet ir technologinius sprendimus, konfidencialumą bei elektroninės informacijos tvarkymą (saugojimą, perdavimą, pateikimą), taip pat įvertinti audito įgyvendinamumą atsižvelgiant į vietinius ar regioninius veiksnius.

Planavimas ir įgyvendinamumas, pagrįsti rizika

Rizika pagrįsto planavimo poskyris išplėstas ir reikalauja aiškiai įvertinti rizikas, susijusias su audito metodais, įskaitant darbuotojų saugą, produktų kokybę ir informacijos saugumą tiek atliekant auditą vietoje, tiek nuotoliniu būdu. Įgyvendinamumo vertinimas turi apimti informacinių technologijų tinkamumą, audituojamos organizacijos bendradarbiavimą ir išorines aplinkybes (pvz., kelionių apribojimus), taip pat reikalauti alternatyvių planų, jei audito tikslai negali būti pasiekti. Audito planuose turi būti aiškiai nurodyta, kurios veiklos bus vykdomos nuotoliniu būdu, kurios vietos ar virtualios aplinkos patenka į apimtį ir kaip planuojamas laikas, atsižvelgiant į nuotolinio bendravimo ypatumus.

Informacijos prieiga, virtualios vietos ir įrodymai

2018 m. redakcijoje „virtualios vietos“ buvo pristatytos, tačiau su ribotomis gairėmis; 2026 m. projekte jos tiesiogiai susiejamos su nuotoliniais audito metodais ir aiškiai apibrėžiama, kad audito vieta yra ten, kur audito komanda gali pasiekti informaciją, nesvarbu, ar tai fizinė, ar virtuali vieta. Nauja formuluotė pabrėžia, kad sprendimai dėl to, kur, kada ir kaip gauti informaciją, yra esminiai, ir kad audito metu gali tekti keisti metodus, jei įrodymai negali būti tinkamai patikrinti. Taip pat pabrėžiama būtinybė tikrinti skaitmeninių įrašų pilnumą, tikslumą, nuoseklumą ir aktualumą bei aiškiai dokumentuoti, kaip buvo gauti įrodymai (vietoje ar nuotoliniu būdu).

Išvados, vertinimas ir ataskaitų rengimas

Išvadų ir rezultatų nustatymo mechanizmai iš esmės išlieka panašūs, tačiau 2026 m. versijoje aiškiai nurodoma, kad jei neatitikimai yra klasifikuojami, klasifikavimo kriterijai turi būti apibrėžti ir komunikuoti, o ataskaitose turi būti nurodyti taikyti audito metodai (vietoje, nuotoliniu būdu ar hibridiniai). Tai užtikrina didesnį skaidrumą, ypač kai auditus vertina reguliavimo ar akreditavimo institucijos.

Auditorių kompetencija ir vertinimas (7 skyrius)

Abi redakcijos reikalauja, kad auditoriai ir audito programos vadovai būtų kompetentingi audito principų, vadybos sistemų standartų ir organizacinio konteksto srityse. 2026 m. projekte papildomai pabrėžiami informacinių technologijų įgūdžiai, nuotolinio audito metodų išmanymas ir gebėjimas vertinti su skaitmeninėmis priemonėmis susijusias rizikas bei galimybes. Taip pat skatinamas nuolatinis profesinis tobulėjimas, ypač nuotolinio audito, rizikos valdymo ir procesų ar projektų valdymo srityse.

A priedas: išplėstos praktinės gairės

A priedas išlieka informacinis praktinių priemonių rinkinys, tačiau yra reikšmingai sustiprintas skaitmeninių ir nuotolinių praktikų srityje.

• A.1 (audito metodai) dabar pateikia labiau struktūruotas gaires dėl vietoje, nuotolinių ir hibridinių metodų pasirinkimo, įskaitant pavyzdžius ir kriterijus, susietus su rizika, skaitmenine branda ir įrodymų poreikiais.

• A.16 (nuotolinio audito metodai) yra išplėstas, įtraukiant turinį iš ISO/IEC TS 17012: paaiškinamos nuotolinių auditų sąlygos, galimybės ir apribojimai, įgyvendinamumo vertinimas, platformų saugumas, veiklos tęstinumo planavimas technologinių sutrikimų atveju ir balansas tarp nuotolinių bei vietoje atliekamų veiklų visoje audito programoje.

• Gairės dėl virtualių vietų yra sustiprintos, aiškiai atskiriant nuotolinius metodus nuo virtualių vietų audito (pvz., debesijos pagrindu veikiančių procesų), kas padeda auditoriams planuoti tinkamą atranką ir stebėjimą.

• Esamos temos, tokios kaip konteksto vertinimas, lyderystė, rizikos ir galimybės, tiekimo grandinės ir veiklos rezultatai, išlieka, tačiau yra atnaujintos, įtraukiant hibridinius įrodymų šaltinius ir skaitmeninius įrašus.

Praktinės gairės organizacijoms ir auditoriams

Organizacijoms, kurios jau yra suderinusios savo veiklą su ISO 19011:2018, 2026 m. redakcija yra evoliucinė, o ne revoliucinė: išlieka tas pats PDCA principais grindžiamas audito programų modelis, rizika pagrįstas požiūris ir kompetencijos modelis. Pagrindiniai darbai bus:

• atnaujinti audito procedūras ir tvarkas, aiškiai apimant nuotolinius ir hibridinius metodus, įskaitant įgyvendinamumo vertinimą, technologijų pasirinkimą, duomenų saugumą ir nenumatytų atvejų planus;

• peržiūrėti audito programų dokumentus ir planus, kad juose būtų dokumentuojami taikomi metodai, virtualios vietos ir tai, kaip buvo sprendžiamos rizikos ir galimybės;

• stiprinti auditorių mokymą ir vertinimą informacinių technologijų srityje, įskaitant nuotolinius interviu, skaitmeninių įrodymų tikrinimą ir veiklų koordinavimą tarp skirtingų vietų;

• užtikrinti, kad įrašai ir ataskaitos aiškiai nurodytų, kaip buvo gauti įrodymai ir kaip buvo klasifikuoti neatitikimai.