dnes je 22.12.2024

Input:

Řízení programu auditů - Kap. 5 Normy ISO 19011:2011

5.11.2012, , Zdroj: Verlag Dashöfer

13.5.2.4.1
Řízení programu auditů – Kap. 5 Normy ISO 19011:2011

Doc. Ing. Alois Fiala, CSc., Ing. Monika Becková a kolektiv autorů

"Kap. 5 – Řízení programu auditů“

Obsah kap. 5

Celá kapitola 5 je rozdělena na následující části:

  • Obecně (čl. 5.1)

  • Stanovování cílů programu auditů (čl. 5.2)

  • Stanovování programu auditů (čl. 5.3)

  • Realizace programu (č. 5.4)

  • Monitorování programu (čl. 5.5)

  • Přezkoumávání a zlepšování programu (čl. 5.6)

Pozn.: Do kapitoly 5 byly přesunuty některé části dřívější kap. 6, které obsahově patří spíše do realizace programu auditů než do realizace samotného auditu (kap. 6 se tak nyní důsledně týká provádění vlastního konkrétního – "jednoho“ – auditu); jde zejména o stanovení cílů auditu, výběr týmu auditorů, jmenování vedoucího týmu.

Kapitola 5 se tak nyní zabývá víceméně popisem "procesu“ auditů, kde je vlastníkem tohoto procesu "osoba řídící program auditů“; ta za celý program auditů zodpovídá.

Původní verze Nová verze směrnice ISO 19011:2011
Kapitola 5 byla původně rozdělena
do následujících částí (článků):
Kapitola 5 má nyní následující články:
– Všeobecně (čl. 5.1) Obecně (čl. 5.1)
Tento čl. již v úvodu nově zmiňuje vhodnost stanovení ročního programu auditů (bez ohledu na rozsah), tedy
že má být program stanoven.
– Cíle a rozsah programu auditů
(čl. 5.2)
Stanovování cílů programu auditů
(čl. 5.2)
Stanovování programu auditů
  (čl. 5.3)
Články 5.2 a 5.3 byly částečně
přeskupeny, byly přidány příklady cílů programu auditů.
Došlo k rozšíření oblasti odpovědností osoby, která má řídit program auditů, nově je stanoven návod pro její
kompetence.
Vlastní proces stanovování programu auditů byl doplněn zejména
o identifikaci a hodnocení rizik.
– Odpovědnosti, zdroje, postupy
programu auditů (čl. 5.3)
– Uplatňování programu auditů (čl. 5.4) Realizace programu (č. 5.4)
Dřívější články 5.4 a 5.5 byly spojeny,
čl. 5.4 obsahuje mnohem více oblastí než dříve; byla doplněna nutnost
informovat zainteresované strany
o obsahu a průběhu programu auditů; nastaly změny v procesech
stanovování cílů, předmětu a kritérií auditu; ve výběru metod auditu, ve výběru týmu auditorů, obecně v rozdělení odpovědností a pravomocí v některých etapách realizace programu auditů; dále k rozšíření druhů záznamů, které mají být udržovány.
– Záznamy z programu auditů (čl. 5.5)
– Monitorování a přezkoumávání
  programu auditů (čl. 5.6)
Monitorování programu (čl. 5.5)
Nově byly doplněny faktory, jež
mohou být důvodem změn programu.
– Přezkoumávání a zlepšování programu (čl. 5.6)
Byla rozšířena úroveň přezkoumávání výsledků programu auditů.

Dopady těchto změn do praxe:

Obecně (čl. 5.1):

Směrnice nyní již v úvodu kapitoly 5 stanovuje, že:

Organizace, která potřebuje provádět audity, má vytvořit program!

Definice

Připomeňme si definici:

  • Program auditů = soubor jednoho nebo více auditů pro určitý časový rámec (zpravidla 1 rok).

  • Program auditů může zahrnovat jednu nebo více norem (např. pouze ISO 9001, nebo ISO 9001 v kombinaci s ISO 14001 apod.).

  • Má být stanovena osoba kompetentní řídit program auditů.

  • Mají být stanoveny cíle programu.

  • Mají být stanoveny informace a zdroje nezbytné k organizování a provádění auditů.

  • Již není považováno za vhodné vytvářet více než jeden program auditů, naopak směrnice směřuje k integrovaným systémům řízení, pokud jde o uplatňování požadavků více než jedné systémové normy (pozn.: směrnice dokonce zmiňuje možnost spojit roční program auditů i s jinými činnostmi).

Obsah programu auditů

Nově doporučený obsah programu auditů:

  • cíle (programu i jednotlivých auditů),

  • odpovědná osoba,

  • podrobnosti jednotlivých auditů, (rozsah/počet/druh/doba trvání/místo),

  • kritéria auditů,

  • metody auditů,

  • tým auditorů,

  • zdroje,

  • procesy pro zajištění bezpečnosti informací, bezpečnosti práce a ochrany zdraví při práci apod.

Cíle programu auditů

Stanovování cílů programu auditů (čl. 5.2):

  • Cíle programu mají být v souladu s politikou a cíli systému managementu.

  • Cíle programu mohou být založeny na zvážení řady okolností, z nichž vybíráme některé nové:

    • - charakteristiky procesů, produktů,
    • - úroveň výkonnosti organizace,
    • - úroveň vyspělosti systému managementu organizace,
    • - výsledky předchozích auditů.

Pozn.: Protože se v jedné z dalších fází realizace programu auditů bude hovořit také o cílech auditu, používá se v této souvislosti někdy (ne ovšem směrnicí ISO 19011) pro označení cílů programu auditů pojem "celkové“ cíle programu auditů.

Příklady "celkových“ cílů programu auditů:

  • Přispět ke zlepšování systému managementu.

  • Přispět k zlepšování výkonnosti.

  • Připravit firmu k certifikaci například systému environmentálního managementu.

  • Ověřit shodu se stanovenými požadavky.

  • Ověřit způsobilost (sub)dodavatele.

  • Ověřit efektivitu systému managementu.

  • Ověřit soulad cílů systému managementu s celkovými cíli organizace.

Souvislosti jednotlivých cílů ukazuje následující obrázek:

Je-li např. v naší organizaci výstupem hodnocení stávající úroveň výkonnosti stanovena jako "nízká“, daná zvýšeným podílem neshod či bezpečnostních incidentů, cílem programu auditů by mělo např. být:

1 Přispět ke zlepšování systému řízení.

2 Identifikovat slabá místa řízení procesů.

Příklady vhodných cílů programu pro různé situace v organizaci ukazuje následující tabulka.

Příklady aplikace:

Okolnosti vhodné
ke zvážení
Charakteristika
stavu
Příklady vhodných cílů
Charakteristiky
procesů
Procesy beze změny,
celková déletrvající
stagnace.
Cíl 1: Identifikovat
potenciál ke zlepšení
v procesu.
Cíl 2: Přispět k zlepšování
výkonnosti procesů.
Podstatné změny
v procesu.
Cíl 1: Ověřit shodu
se stanovenými požadavky.
Cíl 2: Získat informace o aktuálním stavu jako
podklad pro analýzy,
ověření efektivity změn.
Charakteristiky
produktů
Vyšší podíl neshodného
produktu, vyšší podíl
reklamací.
Cíl 1: Identifikovat příčiny
tohoto stavu.
Cíl 2: Přispět ke zlepšování
systému managementu.
Úroveň výkonnosti
organizace
Nízká úroveň Cíl 1: Identifikovat
potenciál ke zlepšení
výkonnosti organizace.
Cíl 2: Přispět k zlepšování
výkonnosti organizace.
Vysoká úroveň Cíl 1: Ověřit shodu se
stanovenými požadavky.
Výsledky analýzy
rizik
Nalezení nepřijatelných
rizik, realizace opatření.
Cíl 1: Identifikovat příčiny
stavu.
Cíl 2: Ověřit efektivitu
realizace opatření.
Cíl 3: Ověřit efektivitu systému managementu.
Výsledky předchozích
auditů
Výborné výsledky,
bez neshod.
Cíl 1: Ověřit soulad cílů
systému s celkovými cíli
organizace.
Špatné výsledky,
identifikace neshod či
systémových neshod.
Cíl 1: Identifikovat příčiny.
Cíl 2: Přispět ke zlepšování
systému managementu.
Cíl 3: Ověřit způsobilost dodavatele.
Úroveň vyspělosti
systému
managementu
Dobrá, s cílem jej
certifikovat.
Cíl 1: Připravit firmu
k certifikaci systému
managementu.

Pro názorný příklad konkrétní podoby možných způsobů stanovení cílů programu auditů použijeme 2 varianty (i když bychom zcela jistě mohli najít i nějaké další).

1. varianta způsobu stanovení cílů programu:

Tato varianta představuje zařazení cílů programu auditů do samotného dokumentu "Roční program interních auditů na rok 201x“:

2. varianta způsobu stanovení cílů programu:

Tato varianta představuje zařazení cílů programu auditů do závěrů (resp. opatření) zprávy z přezkoumání systému managementu vedením např. následujícím způsobem:

Zpráva z přezkoumání vedením za rok 2011

(období 1. 1. 2011 – 31. 12. 2011)

dle ČSN EN ISO 9001:2009ČSN EN ISO 14001:2005

Na základě projednání Zprávy pro přezkoumání vedením zpracované dle požadavků normy ISO 9001 a ISO 14001 ze dne 31. 1. 2012 jako podklad pro projednání na poradě vedením společnosti ABCD byla schválena následující rozhodnutí a opatření:

A. Opatření ke zlepšování efektivnosti systému managementu a jeho procesů:

  • I nadále průběžně plánovat a evidovat opatření (nápravná i preventivní) formou souhrnné evidence, tu pravidelně aktualizovat.

  • Zvyšovat povědomí pracovníků o požadavcích systémových norem formou školení.

  • Provést revizi řízené dokumentace.

  • Stanovit jako cíle pro roční program interních auditů v roce 2012:

  • Cíl 1: Identifikovat potenciál ke zlepšení výkonnosti organizace.

  • Cíl 2: Přispět k zlepšování výkonnosti organizace

B. Opatření ke zlepšování produktu ve vztahu k požadavkům zákazníka:

  • Sledování novinek v oblasti technologií a materiálů na veletrzích a odborných akcích.

C. Opatření k potřebám zdrojů:

  • Zařadit školení k revizi ČSN EN ISO 19011:2012 do plánu vzdělávání na rok 2012 pro určené zaměstnance.

Program auditů

Stanovování programu auditů (čl. 5.3):

Vlastní stanovování programu auditů představuje v nové podobě 6 následujících kroků:

1  Role a odpovědnosti osoby, která ho bude řídit (čl. 5.3.1).

2  Kompetence osoby, která ho bude řídit (čl. 5.3.2).

3  Stanovení rozsahu programu (čl. 5.3.3).

4  Identifikace a hodnocení rizik programu (čl. 5.3.4).

5  Stanovení postupů programu (čl. 5.3.5).

6  Identifikace zdrojů programu (čl. 5.3.6).

Určení role a odpovědností osoby

Krok 1: Určení role a odpovědností osoby (případně osob), která bude řídit program auditů:

Tato osoba řídící program auditů (dřívější verze naší směrnice používala označení "osoba odpovědná za řízení programu auditů“) má za úkol následující:

  • stanovit rozsah programu auditů;

  • identifikovat a hodnotit rizika programu auditů;

  • určovat odpovědnosti (tzn. zejména určení týmu auditorů), postupy a zdroje;

  • zajišťovat realizaci programu auditů včetně určení vhodných metod provádění auditu;

  • zajišťovat řízení záznamů;

  • monitorovat, přezkoumávat, zlepšovat program auditů;

  • informovat vedení o obsahu programu auditů;

  • v případě nutnosti žádat vedení organizace o schválení programu auditů.

K novým úkolům tedy patří zejména oblast rizika (viz dále krok 4 tohoto odstavce).

Všimněme si také nové (drobné, ale důležité) poznámky na konci příslušného odstavce čl. 5.3.1, a to že osoba řídící program auditů má:

  • informovat vedení o obsahu programu auditů,

  • v případě nutnosti žádat vedení o schválení programu auditů.

Na rozdíl od dosavadní praxe, kdy se za jedině správný způsob autorizace považoval podpis (rozuměj ve smyslu "schválení“) programu auditů vrcholovým vedením, nová směrnice považuje za dostatečně přijatelné schválení programu osobou, která jej řídí (tedy například manažerem kvality).

Příklady aplikace:

Pro názorný příklad konkrétního způsobu formální podoby stanovení odpovědností osoby řídící program auditů poslouží příklad jmenování:

JMENOVÁNÍ PŘEDSTAVITELE MANAGEMENTU A OSOBY ŘÍDÍCÍ PROGRAM INTERNÍCH AUDITŮ

V souladu s rozhodnutím vedení společnosti ABCD o uplatňování a zlepšování systému managementu kvality (QMS) podle normy ČSN EN ISO 9001:2009 , systému environmentálního managementu (EMS) podle normy ČSN EN ISO 14001:2005 a systému managementu BOZP podle normy ČSN OHSAS 18001:2008 jmenuji tímto s účinností od ........ do odvolání představitele managementu a osoby řídící program interních auditů (dále jen PM):

PM – pana ...................,

Dále v souladu s tímto jmenováním řídí udržování a zvyšování efektivnosti QMS, EMS a BOZP implementovaného ve společnosti ABCD v souladu s požadavky výše uvedených norem, jako člen vedení společnosti zajišťuje vytvoření aktuálního a správného systému zabezpečování kvality, ochrany životního prostředí a BOZP ve společnosti ve vztahu k jejím činnostem a zodpovídá za něj, dbá o správnost, úplnost a aktuálnost Příručky kvality, environmentu a BOZP včetně návazné dokumentace. Zpracovává podklady pro další rozhodnutí v oblasti systému managementu společnosti.

Odpovídá za:

  • zajištění souladu QMS s požadavky normy ČSN EN ISO 9001:2009 , jeho udržování a zlepšování;

  • zajištění souladu EMS s požadavky normy ČSN EN ISO 14001:2005 včetně souvisejících právních a jiných požadavků, jeho udržování a zlepšování;

  • zajištění souladu systému managementu BOZP s požadavky normy ČSN OHSAS 18001:2008 včetně souvisejících právních a jiných požadavků, jeho udržování a zlepšování;

  • ve spolupráci s vedením společnosti za zajištění zdrojů potřebných pro zavedení a údržbu systému managementu;

  • řízení a koordinaci systému managementu na jednotlivých organizačních útvarech společnosti;

  • vytváření podmínek k úspěšné realizaci a zlepšování systému managementu;

  • prověřování veškeré dokumentace systému managementu;

  • řízení programu interních auditů včetně:

    • - stanovování rozsahu programu auditů;
    • - identifikování a hodnocení rizik programu auditů;
    • - určování odpovědností, postupů a zdrojů pro řízení programu auditů;
    • - zajišťování realizace programu auditů včetně určování vhodných metod provádění auditů;
    • - zajišťování řízení záznamů;
    • - monitorování, přezkoumávání a zlepšování programu auditů;
  • zajištění podporování vědomí závažnosti požadavků zákazníka v celé organizaci;

  • spolupráci s poradenskou a certifikační společností ve věci certifikace.

Má pravomoc k:

  • ukládání úkolů všem zaměstnancům společnosti souvisejících s udržováním systému managementu,

  • ukládání opatření k odstranění neshod a k realizaci preventivních opatření,

  • zastupování společnosti při externích auditech a ve všech jednáních s tím souvisejících.

Předkládá vedení společnosti k projednání:

  • průběžně zprávy o obsahu a stavu programu auditů,

  • průběžně návrhy na zlepšování systému managementu,

  • min. 1 ročně zprávu pro přezkoumání systému managementu.

Pro názorný příklad konkrétního způsobu informování vedení o obsahu (a stavu) programu auditů poslouží opět zápis o přezkoumání systému managementu vedením, tentokrát prováděném čtvrtletně.

Zpráva z přezkoumání vedením za I.Q 2013

dle ČSN EN ISO 9001:2009ČSN EN ISO 14001:2005

Bod 2 – Stav realizace programu interních auditů:

V souladu s ročním programem auditů na rok 2013 ze dne 1. 2. 2013 byl proveden interní audit č. 1/13 dne .... – vedoucí auditu ......, za účasti jednatele a dalších pracovníků společnosti. Z interního auditu vyplynulo to, že nastavení systému kvality je přiměřené a odpovídá požadavkům a potřebám společnosti ABCD s tím, že je třeba pokračovat v implementaci požadavků, které dosud nebyly v plné míře aplikovány. Audit systému environmentálního managementu č. 2/13 byl odložen z důvodu nemoci interního auditora.

Závěr:

Je třeba provést odložený interní audit č. 2/13 nejpozději do konce dubna tak, aby bylo dostatek času na odstranění případných neshod do zahájení certifikačního auditu dle ČSN EN ISO 14001:2005 v 5/2013!

Kompetence osoby

Krok 2: Kompetence osoby, která bude řídit program auditů:

Tento krok je zároveň novou významnou samostatnou částí procesu stanovování programu auditů!

Tato osoba má mít nezbytné kompetence zejména v následujících oblastech:

  • principy, postupy a metody auditu;

  • normy systémů managementu (včetně souvisejících relevantních dokumentů);

  • produkty, procesy, činnosti organizace.

  • příslušné právní a jiné požadavky;

  • znalosti o zainteresovaných stranách organizace;

Tato osoba se má dále zapojovat do činností profesního rozvoje (tzn. udržovat znalosti a dovednosti z hlediska auditů)!

Z výše uvedeného je zřejmé, že potřebný rozsah znalostí je v tomto případě značný a je jenom dobře, že (na rozdíl od samotných auditorů, jejichž kompetenci byla patřičná pozornost věnovaná vždy) nová směrnice pamatuje v tomto ohledu více než dříve i na osobu řídící program auditů, jež má v širším úhlu pohledu podstatně větší odpovědnost než jednotlivý auditor.

Pozn.: Pro srovnání si připomeňme v této souvislosti předchozí návod dle ČSN EN ISO 19011:2003: osoba odpovědná za řízení programu auditů měla pouze "rozumět“ zásadám auditu, odborné způsobilosti auditorů, měla mít přiměřené manažerské dovednosti a technické znalosti.

Příklad aplikace:

Pro názorný příklad konkrétního způsobu formální podoby stanovení kompetencí osoby řídící program auditů v systému managementu kvality fiktivní organizace poslouží následující jednoduchý příklad stanovení kvalifikačních požadavků:

 
Funkce: Manažer kvality CO, osoba řídicí program auditů
Požadavek Prokázání požadavku v praxi
Praxe SŠ technického/ekonomického směru/ alespoň 4 roky praxe.
Znalosti principů, postupů a metod
auditu
Školení ISO 19011:2011;
praxe v auditování.
Znalosti specifických norem systémů
managementu
Školení ISO 9001:2008;
praxe v oblasti kvality.
Znalosti produktů a procesů
v organizaci
Školení (vstupní, "produktová“);
předchozí zkušenosti, praxe 2 roky v organizaci.
Znalost příslušných právních
požadavků
Školení v právních a normativních
požadavcích;
4 roky praxe.
Znalosti o zainteresovaných stranách
organizace
Praxe 2 roky v organizaci.
Jiné požadavky:
– komunikativnost,
– organizační schopnosti

Rozsah programu auditů

Krok 3: Stanovení rozsahu programu auditů:

Rozsah programu auditů, tak jako ostatní kroky ve stanovování programu auditů, má na starosti naše osoba řídící program auditů.

Samotný rozsah programu se může v různých organizacích velmi lišit a ovlivňuje ho celá řada různých faktorů (z nichž některé jsou nové, ale jeden naopak proti předchozí verzi zcela zmizel).

Co vlastně konkrétně představuje rozsah programu auditů?

Jedná se např. o:

  • počet auditů (u malých firem může program auditů obsahovat pouze jeden audit, naopak u větších organizací může zahrnovat třeba 10 i více interních auditů);

  • počet auditovaných činností (procesů);

  • počet navštívených míst (u malých firem může program auditů opět obsahovat pouze jedno místo, naopak u větších organizací může zahrnovat třeba 5 samostatných pracovišť);

  • počet norem či jiných kritérií (např. pouze jedna norma, nebo naopak třeba 4 systémové normy).

Připomeňme si faktory, které obecně ovlivňují rozsah programu auditů a jsou známé již z předchozí verze směrnice:

  • složitost/velikost organizace a jejího systému managementu,

  • cíle programu a cíle auditů,

  • výsledky předchozích auditů a přezkoumání,

  • stížnosti,

  • změny,

  • zainteresované strany.

Nově jsou doplněny následující faktory, jež ovlivňují rozsah programu:

  • faktory ovlivňující efektivnost systému managementu (které mohou představovat prakticky cokoli),

  • dostupnost informačních a komunikačních technologií (v případě např. auditu prováděného "na dálku“),

  • výskyt incidentů.

Naopak byl vypuštěn následující faktor:

  • potřebnost akreditace nebo registrace (s ohledem na fakt, že směrnice již neslouží pro akreditované/registrované certifikační orgány).

Příklad aplikace:

Pro názornou ukázku stanovení rozsahu použijeme následující příklad fiktivní organizace, kterou znázorňuje následující organizační schéma:

Výchozí zadání:

  • organizace má jednu centrálu v Praze a 6 samostatných poboček;

  • všechny pobočky realizují přibližně stejné procesy;

  • organizace uplatňuje systém managementu kvality a systém environmentálního managementu;

  • interní audity se provádějí buď samostatně, nebo pro každou normu zvlášť;

  • systém managementu je integrovaný;

  • osobou řídící program auditů je představitel managementu;

  • program auditů je zpracováván na období jednoho kalendářního roku a průběžně aktualizován.

Navržený rozsah ročního programu interních auditů je zřejmý z následující tabulky:

Identifikace a hodnocení rizik

Krok 4: Identifikace a hodnocení rizik programu:

Tento krok je opět novou, tentokrát opravdu významnou částí procesu stanovování programu auditů!

Připomeňme definici rizika, kterým je ve smyslu směrnice ISO 19011 vliv nejistoty na cíle. Pro identifikaci a hodnocení rizik by měla osoba řídící program auditů, jež za tento krok samozřejmě odpovídá, tedy provést následující úkony:

a) vybrat vhodnou metodiku,

b) zvážit cíle programu (vliv nejistoty na cíle!),

c) zvážit rizika spojená např.:

  • s plánováním programu auditů,

  • se zdroji (čas, finance, auditoři...),

  • s výběrem vhodného (kompetentního) týmu,

  • s realizací (např. možné způsoby komunikace),

  • se záznamy a jejich řízením,

  • s monitorováním, přezkoumáváním a zlepšováním.

Příklady aplikace:

V mnoha malých organizacích může být analýza provedena např. opět v rámci přezkoumávání systému managementu vedením, kde v rámci navržených opatření může být i konkrétní opatření pro eliminaci identifikovaného rizika – viz následující příklad:

Zpráva z přezkoumání vedením

za období 1. 1. 2011 – 31. 12. 2011

dle ČSN EN ISO 9001:2009

Bod 1 – Výsledky auditů a hodnocení ročního programu auditů za uplynulé období:

V souladu s ročním programem auditů na rok 2011 (ze dne 1. 2. 2011) byly provedeny následující audity:

  • Č. 1/11 dle ISO 9001 vyjma čl. 7.3, za účasti externího interního auditora a vedení společnosti. Nebyla identifikována neshoda, pouze potenciál ke zlepšení.

  • Č. 2/11 dle ISO 9001, dozorový audit certifikačního orgánu. Nebyla identifikována neshoda. Potenciál ke zlepšení byl přezkoumán a zařazen do plánu opatření na rok 2011–2012.

  • Č. 3/11 dle ISO 9001 (pouze kap. 7), za účasti externího interního auditora a vedení společnosti. Nebyla identifikována žádná neshoda, pouze potenciál ke zlepšení.

Roční program na rok 2011 tak byl splněn.

Roční program auditů na rok 2012 byl schválen vedením 30. 1. 2012 a je uveden v příloze této zprávy.

Výsledky přezkoumání analýzy rizik programu auditů:

Identifikované riziko možnosti střetu zájmů trvá beze změny (společnost má i nadále pouze jednoho kompetentního interního auditora). Opatření pro eliminaci tohoto rizika tedy rovněž trvá, roční program pro rok 2012 byl proto navržen opět za účasti externího interního auditora.

Jiné riziko není v současné době známo.

Závěr: Zajistit kompetentního externího interního auditora pro rok 2012.

Ukažme si ale i složitější příklad, kterým je využití metody obdobné, jaká je běžně používána v rámci identifikace a hodnocení rizik v oblasti bezpečnosti práce a ochrany zdraví při práci (BOZP) bodovou metodou – viz následující "analýza rizik“.

Identifikace a hodnocení rizik programu interních auditů, vycházející z principů ČSN EN ISO 19011:2012 ("Analýza rizik“)příloha přezkoumání systému managementu vedením

Úvod:

V souladu s principy normy ČSN EN ISO 19011:2012 společnost XYZ v dále uvedené analýze identifikovala, analyzovala a vyhodnotila rizika programu auditů. Tato analýza slouží dále jako podklad pro projednání na poradě vedení v rámci přezkoumání systému managementu vedením a realizaci vhodných opatření ke snížení rizik.

Vlastní analýza se týká rizika, že:

  • proces auditu nedosáhne svých cílů,

  • audit naruší činnosti a procesy auditované organizace,

  • audit přímo nebo nepřímo ohrozí auditovanou organizaci.

Popis použité metodiky:

Definice:

  • Riziko: vliv nejistoty na dosažení cílů programu auditů.

  • Cíle programu auditů ve společnosti XYZ:

    1. ověření shody IMS s požadavky příslušných norem a relevantních právních předpisů;

    2. plnění externích požadavků na certifikaci IMS;

    3. zlepšování efektivnosti IMS.

  • Rozsah programu auditů: počet auditů, počet auditovaných procesů/činností, počet a složitost kritérií auditů.

  • Předmět auditu: organizační jednotka (pobočka), proces, činnost.

  • Nezávislost interního auditu = základ nestrannosti a objektivity.

  • Uvedený princip zahrnuje:

    • nutnost nezávislosti auditora na auditované činnosti (tam, kde je to proveditelné);

    • vyloučení případné předpojatosti či střetu zájmů;

    • povinnost zaujímat během procesu auditu objektivní stanovisko tak, aby bylo zaručeno, že závěry z auditu budou založeny pouze na důkazech z auditu;

    • interní auditor má být nezávislý na provozních manažerech auditovaných funkcí.

Používané zkratky:

  • IA: interní audit(y) SM;

  • IMS: integrovaný systém managementu (zahrnuje požadavky ISO 9001, ISO 14001, OHSAS 18001);

  • PM: představitel managementu.

Vlastní popis metodiky:

Dále použitá metodika má následující kroky:

A. Identifikace rizik programu auditů.

B. Analýza možných ohrožení, tj. hodnocení rizik programu auditů bodovou metodou.

C. Návrh opatření k eliminaci (řízení) rizik programu auditů.

Identifikace a hodnocení rizik programu auditů společnosti XYZ:

Identifikace rizik programu auditů vychází z normy ČSN EN ISO 19011:2012 (dále též pouze "norma“), zejména čl. 5.3.4 normy.

A.  Možná rizika dle čl. 5.3.4 normy ČSN EN ISO 19011:2012

Rizika programu auditů mohou být obecně spojená s:

  • plánováním,

  • zdroji,

  • výběrem týmu,

  • komunikací,

  • záznamy,

  • monitorováním.

Rizika obecně připadající v úvahu ve společnosti XYZ:

  • Plánování: nesprávné nebo nevhodné definování cílů, určení předmětu (malý počet poboček) nebo rozsahu auditů.

  • Přidělování zdrojů: osoba řídící program auditů nevěnuje dostatečný čas rozvoji programu auditů; auditoři nemají k dispozici dostatečný čas na přípravu, není vymezen dostatečný čas pro realizaci auditu či zpracování záznamů (např. protokolu z auditu).

  • Výběr auditního týmu: auditní tým jako celek nemá dostatečné kompetence.

  • Realizace auditů: neefektivní komunikace v jejich průběhu, nevhodné použití metody auditu.

  • Pořizování a uchovávání záznamů: chybějící ochrana záznamů z auditu, nedostatečná bezpečnost informací, malá vypovídací schopnost záznamů, formální (povrchní) způsob pořizování záznamů z auditu.

  • Monitorování, přezkoumávání a zlepšování programu auditů: neúčinné sledování výstupů z auditů, chybějící hodnocení výkonnosti auditorů.

Způsob hodnocení rizik programu auditů společnosti XYZ:

Každá položka ze seznamu identifikovaných možných rizik je samostatně ohodnocena. Metodika vychází z Pokynu ISO/IEC 73 – Management rizika – Slovník a běžně používané metody analýzy rizik – "bodová“ metoda.

Pro každou položku ze seznamu identifikovaných rizik je stanovena odhadem pravděpodobnost situace, se kterou může nastat (dle Tab. 1), dále kvalifikovaným odhadem stanovena závažnost situace vedoucí k ohrožení dosažení cílů programu auditů (dle Tab. 2) a vypočítána míra rizika (Tab. 3).

Míra rizika je určena výpočtem dle následujícího vzorce: MR = (P×N) + V ;

kde:

  • MR = míra rizika,

  • P = pravděpodobnost,

  • N = následky,

  • V = subjektivní váha (názor) hodnotitele (1 až 5, kde 5 je nejvýznamnější z hlediska možného ohrožení cílů programu auditů).

Tab. 1: Pravděpodobnost situace, se kterou může nastat

Pravděpodobnost P
Pravděpodobný jev Nepravděpodobný jev
Opakovaný Náhodný Možný Nemožný
Často
nastalo
v hodno-
ceném
období
Několikrát
nastalo
v hodno-
ceném
období
V hodno-
ceném
období
zazname-
naný
případ
směřující
k události
V hodno-
ceném
období
dosud
nezazna-
menaný,
ale lze
očekávat,
že by mohl
nastat
Neznámý
žádný
případ,
ale lze
předpo-
kládat,
že by mohl
nastat
Neznámý
žádný
případ,
lze před-
pokládat,
že
nenastane
V podmín-
kách
společ-
nosti
neprove-
ditelný
7 6 5 4 3 2 1

Tab. 2: Následky (závažnost situace vedoucí k ohrožení cílů programu auditů)

Následky N
Kritická Těžká Méně těžká Střední Malá
5 4 3 2 1

Pro vyhodnocení je použita následující stupnice:

  • 1–10: mírné riziko ohrožení (= zvážit preventivní opatření),

  • 11–19: střední riziko ohrožení (= stanovit preventivní opatření),

  • 20–40: neakceptovatelné riziko ohrožení (= okamžité opatření k vyloučení rizika).

B. + C.: Vyhodnocení míry rizika a návrh opatření:

Vyhodnocení míry rizika dle výše uvedeného vzorce a návrh konkrétních opatření je obsahem následující tabulky.

Tab. 3: Míra rizika a návrh opatření

         
Č. Riziko P N V MR Návrh opatření
1 Nesprávné nebo
nedostatečné stanovení
rozsahu programu auditů.
6 4 5 29 Stanovení minimálního počtu
auditovaných poboček
a norem v kalendářním roce, který nelze podkročit:
vždy centrála + 2 pobočky v roce,
tj. minimum celkem 3 interní audity, kdy při každém auditu
budou prověřeny všechny prvky všech 3 norem.
2 Nesprávné nebo nevhodné
definování cílů auditů.
1 1 1 2
3 Nedostatek času pro vytváření
programu auditů.
4 4 2 18 Vypracování návrhu
programu manažerem IMS začátkem roku na celý
kalendářní rok dopředu.
4 Nedostatek času na přípravu
auditu.
4 4 4 20 Vyhlášení interního auditu
s minimálním časovým
předstihem dle směrnice
SM 13.
5 Nedostatek času
pro realizaci auditu.
3 5 4 19 Vyhrazení min. celého dne
pro tuto činnost.
6 Nedostatek času
pro zpracování záznamů
(protokolu z auditu).
2 3 4 10
7 Nedostatečné kompetence
auditora (auditního týmu).
3 5 3 18 Důsledná kontrola
dodržování minimálních
požadavků na auditora
dle směrnice SM 13
manažerem IMS.
8 Střet zájmů (ohrožení
nestrannosti).
5 7 5 32 Dodržování principu
nezávislosti již ve fázi
vytváření programu auditů,
uvádění konkrétních auditorů v programu auditů.
Zajištění min. 2 interních auditorů
ve společnosti XYZ,
případně využití externího IA.
9 Neefektivní komunikace
v průběhu auditu.
2 4 1 9
10 Nevhodné použití metody
auditu.
3 4 4 19 Volba metody auditu již
ve fázi stanovení programu auditů.
11 Chybějící ochrana záznamů
z auditu, nedostatečná
bezpečnost informací.
2 3 1 7
12 Malá vypovídací schopnost
záznamů.
3 5 4 19 Pravidelné doškolování
a kontroly auditorů
manažerem IMS/PM.
13 Formální (povrchní) způsob
pořizování záznamů z auditu.
3
5 5 28 Povinné používání checklistů.
Pravidelné doškolování a kontroly auditorů
manažerem IMS/PM.
14 Neúčinné sledování výstupů
z auditů.
2 4 1 9
15 Chybějící hodnocení
výkonnosti auditorů.
7 3 2 23 Stanovení způsobu
hodnocení a jeho provádění manažerem IMS/PM.

Závěr

Tato analýza složí jako podklad pro přezkoumání systému managementu vedením a dále jako podklad pro realizaci a průběžné monitorování navržených opatření. V případě změn a vždy nejméně 1x ročně je osoba řídící program auditů povinna tato rizika přezkoumat a brát je v úvahu při vytváření programu auditů na další období.

V ................ dne ...............

Zpracoval: ............................

Schválil: ..............................

Postup programu auditů

Krok 5: Stanovení:

Podle okolností (směrnice dokonce nově doplňuje "pokud to přichází v úvahu“) má osoba řídící program auditů vytvořit postupy pro realizaci programu auditů. Přicházejí zde v úvahu 2 varianty:

  • více postupů, jež řeší jednotlivé okolnosti dílčím způsobem;

  • jeden postup, který zahrnuje všechny v úvahu připadající okolnosti.

Tyto postupy (ať jeden, nebo více) mají řešit následující záležitosti:

  • postup plánování jednotlivých auditů (nově s přihlédnutím k rizikům, jež byly identifikovány v předchozím kroku 4!);

  • postup zajišťování bezpečnosti a důvěrnosti informací (opět nově s přihlédnutím k požadavkům na systém managementu bezpečnosti informací dané organizace);

  • postup zajišťování kompetencí auditorů;

  • postup pro výběr vhodných týmů auditorů;

  • postup vlastního provádění auditů (nově včetně využití vhodných metod vzorkování) včetně následných auditů;

  • postup podávání zpráv, udržování záznamů;

  • postupy monitorování, přezkoumávání (nově včetně rizik), zlepšování.

Příklady aplikace:

Příklady odrážejí výše uvedené 2 varianty:

  1. varianta – více postupů, jež řeší jednotlivé okolnosti dílčím způsobem. Postupy pro realizaci programu auditů by tak mohly mít například podobu dle přehledu uvedeného v následující tabulce:

    Označení Název postupu/
    dokumentu
    Obsah související s výše
    uvedenými postupy
    programu auditů
    PK Příručka kvality Obecný postup programu auditů, zajištění provázanosti jednotlivých dílčích postupů formou odkazů.
    Směrnice kvality
    SQ 1
    Řízení dokumentů
    a záznamů
    Postup podávání zpráv,
    udržování záznamů.
    Řád Skartační řád Postup udržování
    záznamů.
    Řád Organizační řád Postup zajišťování
    kompetencí auditorů a osoby řídící program
    auditů.
    Popis metodiky Analýza rizik programu
    auditů
    Postup přezkoumávání
    rizik programu auditů.
    Směrnice kvality SQ 2 Provádění interního auditu Postup plánování jednotlivých auditů; postup pro
    výběr vhodných týmů
    auditorů; postup vlastního provádění auditů včetně následných; postupy monitorování, přezkoumávání a zlepšování programu
    auditů.
    Směrnice bezpečnosti
    informací S BI 1
    Bezpečnostní politika
    organizace
    Postup zajišťování
    bezpečnosti a důvěrnosti informací.

    Z předchozí tabulky je vidět, že řada uvedených dokumentů již v organizaci pravděpodobně existuje, a dále, že stěžejním dokumentem zůstává i nadále směrnice (postup) provádění interních auditů (SQ 2 v našem příkladu).

  2. varianta – jeden společný (souhrnný) postup, který zahrnuje všechny výše uvedené v úvahu připadající okolnosti. Jedná se o směrnici s názvem Kontroly, monitorování a měření systému managementu. Ve směrnici jsou zároveň zdůrazněny klíčové části (tj. některé z výše vyjmenovaných postupů pro realizaci programu auditů).

    Společnost XYZ,
    s. r. o.
    Směrnice kvality, environmentu
    a BOZP č. SQEMS 013 –
    "Kontroly, monitorování a měření
    systému managementu“
    Vydání: 1/2012
    Změna: –
    Účinnost: 1. 10. 2012

Účel

Účelem této směrnice je popsat postupy provádění interního auditu IMS, dále pravidelného monitoringu a měření klíčových vlastností svých opatření, které mají nebo mohou mít významný dopad na kvalitu, životní prostředí a dopad na BOZP a popsat vyhodnocování shody s požadavky právních předpisů a jinými požadavky a dalšími požadavky, k jejichž plnění se organizace zavázala. Účelem monitorování a měření

Nahrávám...
Nahrávám...