Řízení programu auditů - Kap. 5 Normy ISO 19011:2011

13.5.2.4.1

Řízení programu auditů – Kap. 5 Normy ISO 19011:2011

Doc. Ing. Alois Fiala, CSc., Ing. Monika Becková a kolektiv autorů

 Nahoru"Kap. 5 – Řízení programu auditů“

Obsah kap. 5

Celá kapitola 5 je rozdělena na následující části:

• Obecně (čl. 5.1)

• Stanovování cílů programu auditů (čl. 5.2)

• Stanovování programu auditů (čl. 5.3)

• Realizace programu (č. 5.4)

• Monitorování programu (čl. 5.5)

• Přezkoumávání a zlepšování programu (čl. 5.6)

Pozn.: Do kapitoly 5 byly přesunuty některé části dřívější kap. 6, které obsahově patří spíše do realizace programu auditů než do realizace samotného auditu (kap. 6 se tak nyní důsledně týká provádění vlastního konkrétního – "jednoho“ – auditu); jde zejména o stanovení cílů auditu, výběr týmu auditorů, jmenování vedoucího týmu.

Kapitola 5 se tak nyní zabývá víceméně popisem "procesu“ auditů, kde je vlastníkem tohoto procesu "osoba řídící program auditů“; ta za celý program auditů zodpovídá.

Dopady těchto změn do praxe:

Obecně (čl. 5.1):

Směrnice nyní již v úvodu kapitoly 5 stanovuje, že:

Organizace, která potřebuje provádět audity, má vytvořit program!

 NahoruDefinice

Připomeňme si definici:

• Program auditů = soubor jednoho nebo více auditů pro určitý časový rámec (zpravidla 1 rok).

• Program auditů může zahrnovat jednu nebo více norem (např. pouze ISO 9001, nebo ISO 9001 v kombinaci s ISO 14001 apod.).

• Má být stanovena osoba kompetentní řídit program auditů.

• Mají být stanoveny cíle programu.

• Mají být stanoveny informace a zdroje nezbytné k organizování a provádění auditů.

• Již není považováno za vhodné vytvářet více než jeden program auditů, naopak směrnice směřuje k integrovaným systémům řízení, pokud jde o uplatňování požadavků více než jedné systémové normy (pozn.: směrnice dokonce zmiňuje možnost spojit roční program auditů i s jinými činnostmi).

 NahoruObsah programu auditů

Nově doporučený obsah programu auditů:

• cíle (programu i jednotlivých auditů),

• odpovědná osoba,

• podrobnosti jednotlivých auditů, (rozsah/počet/druh/doba trvání/místo),

• kritéria auditů,

• metody auditů,

• tým auditorů,

• zdroje,

• procesy pro zajištění bezpečnosti informací, bezpečnosti práce a ochrany zdraví při práci apod.

 NahoruCíle programu auditů

Stanovování cílů programu auditů (čl. 5.2):

• Cíle programu mají být v souladu s politikou a cíli systému managementu.

• Cíle programu mohou být založeny na zvážení řady okolností, z nichž vybíráme některé nové:

  • - charakteristiky procesů, produktů,
  • - úroveň výkonnosti organizace,
  • - úroveň vyspělosti systému managementu organizace,
  • - výsledky předchozích auditů.

Pozn.: Protože se v jedné z dalších fází realizace programu auditů bude hovořit také o cílech auditu, používá se v této souvislosti někdy (ne ovšem směrnicí ISO 19011) pro označení cílů programu auditů pojem "celkové“ cíle programu auditů.

Příklady "celkových“ cílů programu auditů:

• Přispět ke zlepšování systému managementu.

• Přispět k zlepšování výkonnosti.

• Připravit firmu k certifikaci například systému environmentálního managementu.

• Ověřit shodu se stanovenými požadavky.

• Ověřit způsobilost (sub)dodavatele.

• Ověřit efektivitu systému managementu.

• Ověřit soulad cílů systému managementu s celkovými cíli organizace.

Souvislosti jednotlivých cílů ukazuje následující obrázek:

Je-li např. v naší organizaci výstupem hodnocení stávající úroveň výkonnosti stanovena jako "nízká“, daná zvýšeným podílem neshod či bezpečnostních incidentů, cílem programu auditů by mělo např. být:

1 Přispět ke zlepšování systému řízení.

2 Identifikovat slabá místa řízení procesů.

Příklady vhodných cílů programu pro různé situace v organizaci ukazuje následující tabulka.

Příklady aplikace:

 NahoruProgram auditů

Stanovování programu auditů (čl. 5.3):

Vlastní stanovování programu auditů představuje v nové podobě 6 následujících kroků:

1  Role a odpovědnosti osoby, která ho bude řídit (čl. 5.3.1).

2  Kompetence osoby, která ho bude řídit (čl. 5.3.2).

3  Stanovení rozsahu programu (čl. 5.3.3).

4  Identifikace a hodnocení rizik programu (čl. 5.3.4).

5  Stanovení postupů programu (čl. 5.3.5).

6  Identifikace zdrojů programu (čl. 5.3.6).

 NahoruUrčení role a odpovědností osoby

Krok 1: Určení role a odpovědností osoby (případně osob), která bude řídit program auditů:

Tato osoba řídící program auditů (dřívější verze naší směrnice používala označení "osoba odpovědná za řízení programu auditů“) má za úkol následující:

• stanovit rozsah programu auditů;

• identifikovat a hodnotit rizika programu auditů;

• určovat odpovědnosti (tzn. zejména určení týmu auditorů), postupy a zdroje;

• zajišťovat realizaci programu auditů včetně určení vhodných metod provádění auditu;

• zajišťovat řízení záznamů;

• monitorovat, přezkoumávat, zlepšovat program auditů;

• informovat vedení o obsahu programu auditů;

• v případě nutnosti žádat vedení organizace o schválení programu auditů.

K novým úkolům tedy patří zejména oblast rizika (viz dále krok 4 tohoto odstavce).

Všimněme si také nové (drobné, ale důležité) poznámky na konci příslušného odstavce čl. 5.3.1, a to že osoba řídící program auditů má:

• informovat vedení o obsahu programu auditů,

• v případě nutnosti žádat vedení o schválení programu auditů.

Na rozdíl od dosavadní praxe, kdy se za jedině správný způsob autorizace považoval podpis (rozuměj ve smyslu "schválení“) programu auditů vrcholovým vedením, nová směrnice považuje za dostatečně přijatelné schválení programu osobou, která jej řídí (tedy například manažerem kvality).

Příklady aplikace:

Pro názorný příklad konkrétního způsobu formální podoby stanovení odpovědností osoby řídící program auditů poslouží příklad jmenování:

JMENOVÁNÍ PŘEDSTAVITELE MANAGEMENTU A OSOBY ŘÍDÍCÍ PROGRAM INTERNÍCH AUDITŮ

V souladu s rozhodnutím vedení společnosti ABCD o uplatňování a zlepšování systému managementu kvality (QMS) podle normy ČSN EN ISO 9001:2009 , systému environmentálního managementu (EMS) podle normy ČSN EN ISO 14001:2005 a systému managementu BOZP podle normy ČSN OHSAS 18001:2008 jmenuji tímto s účinností od ........ do odvolání představitele managementu a osoby řídící program interních auditů (dále jen PM):

PM – pana ...................,

Dále v souladu s tímto jmenováním řídí udržování a zvyšování efektivnosti QMS, EMS a BOZP implementovaného ve společnosti ABCD v souladu s požadavky výše uvedených norem, jako člen vedení společnosti zajišťuje vytvoření aktuálního a správného systému zabezpečování kvality, ochrany životního prostředí a BOZP ve společnosti ve vztahu k jejím činnostem a zodpovídá za něj, dbá o správnost, úplnost a aktuálnost Příručky kvality, environmentu a BOZP včetně návazné dokumentace. Zpracovává podklady pro další rozhodnutí v oblasti systému managementu společnosti.

Odpovídá za:

• zajištění souladu QMS s požadavky normy ČSN EN ISO 9001:2009 , jeho udržování a zlepšování;

• zajištění souladu EMS s požadavky normy ČSN EN ISO 14001:2005 včetně souvisejících právních a jiných požadavků, jeho udržování a zlepšování;

• zajištění souladu systému managementu BOZP s požadavky normy ČSN OHSAS 18001:2008 včetně souvisejících právních a jiných požadavků, jeho udržování a zlepšování;

• ve spolupráci s vedením společnosti za zajištění zdrojů potřebných pro zavedení a údržbu systému managementu;

• řízení a koordinaci systému managementu na jednotlivých organizačních útvarech společnosti;

• vytváření podmínek k úspěšné realizaci a zlepšování systému managementu;

• prověřování veškeré dokumentace systému managementu;

• řízení programu interních auditů včetně:

  • - stanovování rozsahu programu auditů;
  • - identifikování a hodnocení rizik programu auditů;
  • - určování odpovědností, postupů a zdrojů pro řízení programu auditů;
  • - zajišťování realizace programu auditů včetně určování vhodných metod provádění auditů;
  • - zajišťování řízení záznamů;
  • - monitorování, přezkoumávání a zlepšování programu auditů;

• zajištění podporování vědomí závažnosti požadavků zákazníka v celé organizaci;

• spolupráci s poradenskou a certifikační společností ve věci certifikace.

Má pravomoc k:

• ukládání úkolů všem zaměstnancům společnosti souvisejících s udržováním systému managementu,

• ukládání opatření k odstranění neshod a k realizaci preventivních opatření,

• zastupování společnosti při externích auditech a ve všech jednáních s tím souvisejících.

Předkládá vedení společnosti k projednání:

• průběžně zprávy o obsahu a stavu programu auditů,

• průběžně návrhy na zlepšování systému managementu,

• min. 1 ročně zprávu pro přezkoumání systému managementu.

 NahoruKompetence osoby

Krok 2: Kompetence osoby, která bude řídit program auditů:

Tento krok je zároveň novou významnou samostatnou částí procesu stanovování programu auditů!

Tato osoba má mít nezbytné kompetence zejména v následujících oblastech:

• principy, postupy a metody auditu;

• normy systémů managementu (včetně souvisejících relevantních dokumentů);

• produkty, procesy, činnosti organizace.

• příslušné právní a jiné požadavky;

• znalosti o zainteresovaných stranách organizace;

Tato osoba se má dále zapojovat do činností profesního rozvoje (tzn. udržovat znalosti a dovednosti z hlediska auditů)!

Z výše uvedeného je zřejmé, že potřebný rozsah znalostí je v tomto případě značný a je jenom dobře, že (na rozdíl od samotných auditorů, jejichž kompetenci byla patřičná pozornost věnovaná vždy) nová směrnice pamatuje v tomto ohledu více než dříve i na osobu řídící program auditů, jež má v širším úhlu pohledu podstatně větší odpovědnost než jednotlivý auditor.

Pozn.: Pro srovnání si připomeňme v této souvislosti předchozí návod dle ČSN EN ISO 19011:2003: osoba odpovědná za řízení programu auditů měla pouze "rozumět“ zásadám auditu, odborné způsobilosti auditorů, měla mít přiměřené manažerské dovednosti a technické znalosti.

Příklad aplikace:

Pro názorný příklad konkrétního způsobu formální podoby stanovení kompetencí osoby řídící program auditů v systému managementu kvality fiktivní organizace poslouží následující jednoduchý příklad stanovení kvalifikačních požadavků:

 NahoruRozsah programu auditů

Krok 3: Stanovení rozsahu programu auditů:

Rozsah programu auditů, tak jako ostatní kroky ve stanovování programu auditů, má na starosti naše osoba řídící program auditů.

Samotný rozsah programu se může v různých organizacích velmi lišit a ovlivňuje ho celá řada různých faktorů (z nichž některé jsou nové, ale jeden naopak proti předchozí verzi zcela zmizel).

Co vlastně konkrétně představuje rozsah programu auditů?

Jedná se např. o:

• počet auditů (u malých firem může program auditů obsahovat pouze jeden audit, naopak u větších organizací může zahrnovat třeba 10 i více interních auditů);

• počet auditovaných činností (procesů);

• počet navštívených míst (u malých firem může program auditů opět obsahovat pouze jedno místo, naopak u větších organizací může zahrnovat třeba 5 samostatných pracovišť);

• počet norem či jiných kritérií (např. pouze jedna norma, nebo naopak třeba 4 systémové normy).

Připomeňme si faktory, které obecně ovlivňují rozsah programu auditů a jsou známé již z předchozí verze směrnice:

• složitost/velikost organizace a jejího systému managementu,

• cíle programu a cíle auditů,

• výsledky předchozích auditů a přezkoumání,

• stížnosti,

• změny,

• zainteresované strany.

Nově jsou doplněny následující faktory, jež ovlivňují rozsah programu:

• faktory ovlivňující efektivnost systému managementu (které mohou představovat prakticky cokoli),

• dostupnost informačních a komunikačních technologií (v případě např. auditu prováděného "na dálku“),

• výskyt incidentů.

Naopak byl vypuštěn následující faktor:

• potřebnost akreditace nebo registrace (s ohledem na fakt, že směrnice již neslouží pro akreditované/registrované certifikační orgány).

Příklad aplikace:

Pro názornou ukázku stanovení rozsahu použijeme následující příklad fiktivní organizace, kterou znázorňuje následující organizační schéma:

 NahoruIdentifikace a hodnocení rizik

Krok 4: Identifikace a hodnocení rizik programu:

Tento krok je opět novou, tentokrát opravdu významnou částí procesu stanovování programu auditů!

Připomeňme definici rizika, kterým je ve smyslu směrnice ISO 19011 vliv nejistoty na cíle. Pro identifikaci a hodnocení rizik by měla osoba řídící program auditů, jež za tento krok samozřejmě odpovídá, tedy provést následující úkony:

a) vybrat vhodnou metodiku,

b) zvážit cíle programu (vliv nejistoty na cíle!),

c) zvážit rizika spojená např.:

• s plánováním programu auditů,

• se zdroji (čas, finance, auditoři...),

• s výběrem vhodného (kompetentního) týmu,

• s realizací (např. možné způsoby komunikace),

• se záznamy a jejich řízením,

• s monitorováním, přezkoumáváním a zlepšováním.

Příklady aplikace:

V mnoha malých organizacích může být analýza provedena např. opět v rámci přezkoumávání systému managementu vedením, kde v rámci navržených opatření může být i konkrétní opatření pro eliminaci identifikovaného rizika – viz následující příklad:

Ukažme si ale i složitější příklad, kterým je využití metody obdobné, jaká je běžně používána v rámci identifikace a hodnocení rizik v oblasti bezpečnosti práce a ochrany zdraví při práci (BOZP) bodovou metodou – viz následující "analýza rizik“.

Identifikace a hodnocení rizik programu interních auditů, vycházející z principů ČSN EN ISO 19011:2012 ("Analýza rizik“)– příloha přezkoumání systému managementu vedením

Úvod:

V souladu s principy normy ČSN EN ISO 19011:2012 společnost XYZ v dále uvedené analýze identifikovala, analyzovala a vyhodnotila rizika programu auditů. Tato analýza slouží dále jako podklad pro projednání na poradě vedení v rámci přezkoumání systému managementu vedením a realizaci vhodných opatření ke snížení rizik.

Vlastní analýza se týká rizika, že:

• proces auditu nedosáhne svých cílů,

• audit naruší činnosti a procesy auditované organizace,

• audit přímo nebo nepřímo ohrozí auditovanou organizaci.

Popis použité metodiky:

Definice:

• Riziko: vliv nejistoty na dosažení cílů programu auditů.

• Cíle programu auditů ve společnosti XYZ:

  1. ověření shody IMS s požadavky příslušných norem a relevantních právních předpisů;

  2. plnění externích požadavků na certifikaci IMS;

  3. zlepšování efektivnosti IMS.

• Rozsah programu auditů: počet auditů, počet auditovaných procesů/činností, počet a složitost kritérií auditů.

• Předmět auditu: organizační jednotka (pobočka), proces, činnost.

• Nezávislost interního auditu = základ nestrannosti a objektivity.

• Uvedený princip zahrnuje:

  • nutnost nezávislosti auditora na auditované činnosti (tam, kde je to proveditelné);

  • vyloučení případné předpojatosti či střetu zájmů;

  • povinnost zaujímat během procesu auditu objektivní stanovisko tak, aby bylo zaručeno, že závěry z auditu budou založeny pouze na důkazech z auditu;

  • interní auditor má být nezávislý na provozních manažerech auditovaných funkcí.

Používané zkratky:

• IA: interní audit(y) SM;

• IMS: integrovaný systém managementu (zahrnuje požadavky ISO 9001, ISO 14001, OHSAS 18001);

• PM: představitel managementu.

Vlastní popis metodiky:

Dále použitá metodika má následující kroky:

A. Identifikace rizik programu auditů.

B. Analýza možných ohrožení, tj. hodnocení rizik programu auditů bodovou metodou.

C. Návrh opatření k eliminaci (řízení) rizik programu auditů.

Identifikace a hodnocení rizik programu auditů společnosti XYZ:

Identifikace rizik programu auditů vychází z normy ČSN EN ISO 19011:2012 (dále též pouze "norma“), zejména čl. 5.3.4 normy.

A.  Možná rizika dle čl. 5.3.4 normy ČSN EN ISO 19011:2012

Rizika programu auditů mohou být obecně spojená s:

• plánováním,

• zdroji,

• výběrem týmu,

• komunikací,

• záznamy,

• monitorováním.

Rizika obecně připadající v úvahu ve společnosti XYZ:

• Plánování: nesprávné nebo nevhodné definování cílů, určení předmětu (malý počet poboček) nebo rozsahu auditů.

• Přidělování zdrojů: osoba řídící program auditů nevěnuje dostatečný čas rozvoji programu auditů; auditoři nemají k dispozici dostatečný čas na přípravu, není vymezen dostatečný čas pro realizaci auditu či zpracování záznamů (např. protokolu z auditu).

• Výběr auditního týmu: auditní tým jako celek nemá dostatečné kompetence.

• Realizace auditů: neefektivní komunikace v jejich průběhu, nevhodné použití metody auditu.

• Pořizování a uchovávání záznamů: chybějící ochrana záznamů z auditu, nedostatečná bezpečnost informací, malá vypovídací schopnost záznamů, formální (povrchní) způsob pořizování záznamů z auditu.

• Monitorování, přezkoumávání a zlepšování programu auditů: neúčinné sledování výstupů z auditů, chybějící hodnocení výkonnosti auditorů.

Způsob hodnocení rizik programu auditů společnosti XYZ:

Každá položka ze seznamu identifikovaných možných rizik je samostatně ohodnocena. Metodika vychází z Pokynu ISO/IEC 73 – Management rizika – Slovník a běžně používané metody analýzy rizik – "bodová“ metoda.

Pro každou položku ze seznamu identifikovaných rizik je stanovena odhadem pravděpodobnost situace, se kterou může nastat (dle Tab. 1), dále kvalifikovaným odhadem stanovena závažnost situace vedoucí k ohrožení dosažení cílů programu auditů (dle Tab. 2) a vypočítána míra rizika (Tab. 3).

Míra rizika je určena výpočtem dle následujícího vzorce: M_R = (P×N) + V ;

kde:

• MR = míra rizika,

• P = pravděpodobnost,

• N = následky,

• V = subjektivní váha (názor) hodnotitele (1 až 5, kde 5 je nejvýznamnější z hlediska možného ohrožení cílů programu auditů).

Tab. 1: Pravděpodobnost situace, se kterou může nastat

Tab. 2: Následky (závažnost situace vedoucí k ohrožení cílů programu auditů)

Pro vyhodnocení je použita následující stupnice:

• 1–10: mírné riziko ohrožení (= zvážit preventivní opatření),

• 11–19: střední riziko ohrožení (= stanovit preventivní opatření),

• 20–40: neakceptovatelné riziko ohrožení (= okamžité opatření k vyloučení rizika).

B. + C.: Vyhodnocení míry rizika a návrh opatření:

Vyhodnocení míry rizika dle výše uvedeného vzorce a návrh konkrétních opatření je obsahem následující tabulky.

Tab. 3: Míra rizika a návrh opatření

 NahoruPostup programu auditů

Krok 5: Stanovení:

Podle okolností (směrnice dokonce nově doplňuje "pokud to přichází v úvahu“) má osoba řídící program auditů vytvořit postupy pro realizaci programu auditů. Přicházejí zde v úvahu 2 varianty:

• více postupů, jež řeší jednotlivé okolnosti dílčím způsobem;

• jeden postup, který zahrnuje všechny v úvahu připadající okolnosti.

Tyto postupy (ať jeden, nebo více) mají řešit následující záležitosti:

• postup plánování jednotlivých auditů (nově s přihlédnutím k rizikům, jež byly identifikovány v předchozím kroku 4!);

• postup zajišťování bezpečnosti a důvěrnosti informací (opět nově s přihlédnutím k požadavkům na systém managementu bezpečnosti informací dané organizace);

• postup zajišťování kompetencí auditorů;

• postup pro výběr vhodných týmů auditorů;

• postup vlastního provádění auditů (nově včetně využití vhodných metod vzorkování) včetně následných auditů;

• postup podávání zpráv, udržování záznamů;

• postupy monitorování, přezkoumávání (nově včetně rizik), zlepšování.

Příklady aplikace:

Příklady odrážejí výše uvedené 2 varianty:

1. varianta – více postupů, jež řeší jednotlivé okolnosti dílčím způsobem. Postupy pro realizaci programu auditů by tak mohly mít například podobu dle přehledu uvedeného v následující tabulce:

   Označení	Název postupu/ dokumentu	Obsah související s výše uvedenými postupy programu auditů
   PK	Příručka kvality	Obecný postup programu auditů, zajištění provázanosti jednotlivých dílčích postupů formou odkazů.
   Směrnice kvality SQ 1	Řízení dokumentů a záznamů	Postup podávání zpráv, udržování záznamů.
   Řád	Skartační řád	Postup udržování záznamů.
   Řád	Organizační řád	Postup zajišťování kompetencí auditorů a osoby řídící program auditů.
   Popis metodiky	Analýza rizik programu auditů	Postup přezkoumávání rizik programu auditů.
   Směrnice kvality SQ 2	Provádění interního auditu	Postup plánování jednotlivých auditů; postup pro výběr vhodných týmů auditorů; postup vlastního provádění auditů včetně následných; postupy monitorování, přezkoumávání a zlepšování programu auditů.
   Směrnice bezpečnosti informací S BI 1	Bezpečnostní politika organizace	Postup zajišťování bezpečnosti a důvěrnosti informací.

   Z předchozí tabulky je vidět, že řada uvedených dokumentů již v organizaci pravděpodobně existuje, a dále, že stěžejním dokumentem zůstává i nadále směrnice (postup) provádění interních auditů (SQ 2 v našem příkladu).

2. varianta – jeden společný (souhrnný) postup, který zahrnuje všechny výše uvedené v úvahu připadající okolnosti. Jedná se o směrnici s názvem Kontroly, monitorování a měření systému managementu. Ve směrnici jsou zároveň zdůrazněny klíčové části (tj. některé z výše vyjmenovaných postupů pro realizaci programu auditů).

   Společnost XYZ, s. r. o.

   Směrnice kvality, environmentu a BOZP č. SQEMS 013 – "Kontroly, monitorování a měření systému managementu“

   Vydání: 1/2012 Změna: – Účinnost: 1. 10. 2012