2.2.123.4
Třetí vydání směrnice ČSN EN ISO 19011:2019 - Kapitola 5 – "Stanovování programu auditů" (třetí část)
Ing. Monika Becková
5.4 Stanovování programu auditů
Jedná se o upravenou pasáž Směrnice, z níž je vyjmut odstavec týkající se "identifikace a hodnocení rizik programu auditů" (toto téma původně uvedené v odst. 5.3.4 předchozí verze je nyní obsahem samostatné kapitoly 5.3 nové Směrnice – viz předchozí komentář). Ostatní odstavce zůstávají přibližně ve stejném členění, návod v jednotlivých dílech je ovšem upřesněn, případně přesunut jinam.
Podíváme se na jednotlivé změny podrobněji.
5.4.1 Role a odpovědnosti osoby řídicí program auditů (dříve odst. 5.3.1, 5.3.5):
Osoba řídicí program auditů (pozn.: v předchozím komentáři jsme tuto osobu pro jednoduchost pracovně označili "manažer kvality" a budeme se tohoto označení držet i v dalším textu) má za úkol:
- Stanovovat rozsah programu;
- Určovat externí a interní aspekty, rizika a příležitosti (včetně opatření) (dříve "identifikovat a hodnotit rizika") – tedy ty faktory, které mohou jakýmkoli podstatným způsobem ovlivnit program auditů ať už vzhledem jeho rozsahu nebo realizaci;
- Zajišťovat výběr auditorů a jejich celkové potřebné kompetence (buď přímo uvedením konkrétním jmen lidí do programu, nebo stanovením pravidel pro jejich pozdější přiřazení);
- Stanovovat relevantní procesy (dříve "postupy programů auditů");
- Určovat a zajišťovat potřebné zdroje;
- Zajišťovat existenci vhodných dokumentovaných informací (dříve "záznamů o programu auditů");
- Monitorovat, přezkoumávat, zlepšovat roční program;
- Žádat o schválení programu klientem auditu (dříve "informovat vrcholové vedení o obsahu programu.... a v případě nutnosti žádat o jeho schválení").
Pokud jde o výše uvedené úkoly manažera kvality, zdůrazníme tři důležité změny:
1. Určovat externí a interní aspekty, rizika a příležitosti (viz písm. b) výše).
Tento faktor se objevil již v odst. 5.1 Směrnice, kde jsou obecná ustanovení týkající se ročního programu auditů. Nutno říci, že určování aspektů, rizik a příležitostí není úkol jednoduchý, ale ani jednorázový. Stejně tak, jako se mění samotné faktory ovlivňující organizaci, mohou se promítat do potřebných změn ročního programu.
2. Stanovovat procesy relevantní pro program auditů (viz písm. d) výše).
Tato oblast byla dříve v odst. 5.3.5 normy v podobě "stanovování postupů....". Podobně jako ISO 9001:2015 nebo ISO 45001:2018 i naše Směrnice začala používat termín "proces" představující soubor činností přeměňujících vstupy na výsledky, a je tak více v souladu s trendy v oblasti norem pro systémy managementu. Co přesně znamená v našem kontextu termín proces?
Definice pojmů:
Proces = "soubor vzájemně provázaných ...... činností, které využívají vstupy pro dosažení zamýšleného výsledku" (viz ČSN EN ISO 19011:2019, čl. 3.24).
x Pro srovnání: dřívější norma ISO 19011 s tímto termínem nepracovala. Používala termín "postup", jehož definice zní:
Postup = "specifický způsob provádění činnosti..." (viz ČSN EN ISO 9000:2015, čl. 3.4.5). Zjednodušeně řečeno jeden nebo řada postupů (spíše ale řada) může být součástí realizace procesu.
Jaké oblasti by tedy měly procesy potřebné pro úspěšnou realizaci programu auditů nově zahrnovat?
Jsou to procesy pro:
-
Koordinaci jednotlivých auditů;
-
Stanovování harmonogramu jednotlivých auditů;
-
Stanovování cílů, předmětu a kritérií jednotlivých auditů;
-
Určování metod;
-
Výběr týmu;
-
Hodnocení auditorů;
-
Stanovování komunikačních toků, pravidel;
-
Řešení sporů;
-
Vyřizování stížností;
-
Činnosti po auditu;
-
Podávání zpráv všem zainteresovaným stranám.
Tyto procesy lze určit formou různých postupů, instrukcí, směrnice apod., viz následující dva příklady.
Příklad 1 ke specifikaci procesů potřebných pro realizaci programu auditů - část směrnice pro hodnocení auditorů:
Hodnocení auditorů a auditů
Společnost XYZ pravidelně hodnotí a na základě výsledků hodnocení zlepšuje řízení programu auditů. Hodnocení probíhá v následujících etapách:
-
hodnocení auditorů - z hlediska jejich odborné způsobilosti (před jmenováním) a výsledků auditů, které realizovali (po jmenování, v rámci realizace programu auditů). V případě provedení interního auditu dodavatelsky vždy hodnocení zahrnuje posouzení dokladů odborné způsobilosti. Minimální kritéria odborné způsobilosti interního auditora jsou stanovena v příloze Organizačního řádu. Zjednodušeně jsou vidět na obrázku 1.
Obr.1: skladba odborné způsobilosti interního auditora
-
hodnocení dokumentace auditu - z hlediska úrovně záznamů (přehlednost, průkaznost, kompletnost, dostupnost, srozumitelnost); jedná se o součást hodnocení výkonu činnosti jednotlivých auditorů.
-
hodnocení způsobu klasifikace zjištění – porovnání úrovně hodnocení u jednotlivých auditních týmů; jedná se o součást hodnocení výkonu činnosti jednotlivých auditorů.
-
přínosy z auditů - pro organizaci v konkrétních oblastech, jejich příspěvek k trvalému zlepšování
Za hodnocení zodpovídá manažer kvality. Celý postup provádění interních auditů včetně hodnocení je znázorněn na obrázku 2.
Obr.2: Znázornění procesu interního auditu s hodnocením
Příklad 2 ke specifikaci procesů potřebných pro realizaci programu auditů – vybraná pasáž směrnice pro podávání zpráv všem zainteresovaným stranám:
Závěrečné jednání
Provádění auditu je ukončeno závěrečným jednáním s vedoucím prověřované oblasti a pracovníky, kteří jsou odpovědni za funkce, jimiž se audit zabývá. Smyslem jednání je seznámit prověřovaný útvar s nálezy z auditu, aby si o nich udělal jasnou představu a potvrdil jejich reálnou povahu. Musí být dodržen požadavek, že osoby odpovědné za auditované oblasti jsou informovány o výstupu auditu.
Vypracování protokolu z auditu
Za zpracování protokolu z interního auditu odpovídá vedoucí auditor. Protokol obsahuje:
-
identifikaci prověřované oblasti
-
náplň, rozsah a cíl auditu
-
odsouhlasená kritéria auditu
-
termíny, vztahující se k provádění auditu
-
identifikaci zástupců prověřovaného útvaru a členů týmu auditorů
-
přehled průběhu auditu
-
zjištění neshod a nedostatků a závěry z auditu
V případě zjištění závažné neshody vyplní vedoucí auditor Záznam o neshodě. Auditor po kontrole provedení opatření k nápravě a po ověření jejich účinnosti (buď předložením dokumentace, nebo formou následného auditu) vyplní příslušnou část a předá manažerovi kvality. Nesouhlasí-li vedoucí prověřované oblasti s rozhodnutím vedoucího auditora, stanoví další postup manažer kvality případně ředitel. Méně závažné neshody (nesystémové) jsou zaznamenány pouze ve zprávě z auditu a jejich odstranění je prověřováno v rámci dalšího plánovaného auditu. Řešení nepodstatných neshod a doporučení je ponecháno na rozhodnutí vedoucího prověřovaného útvaru a není bezprostředně sledováno.
Přezkoumání vedením
Výsledky interních auditů (zprávy z auditu) jsou předávány manažerovi kvality, který vhodnou formou informuje vedení organizace. Patří mezi podklady pro vypracování zprávy pro přezkoumání vedením. O stanovených nápravných a preventivních opatřeních vede manažer kvality přehled a kontroluje jejich plnění.
Nutno ale říci, že výše uvedené příklady jsou pouze ilustrativní, a není žádná povinnost vytvářet směrnici pro specifikaci takových procesů. Lze využít stejně dobře řízení procesu formou informačního systému, pracovní instrukce, malá organizace si může vystačit dokonce i s ústní formou nebo přenesením odpovědností na externí subjekt (externího auditora).
Souhrnný příklad znázorňuje následující tabulka:
Schválení programu klientem auditu (viz písm. h) výše).
Předchozí úprava doporučovala "informovat vrcholové vedení o obsahu programu" a "v případě nutnosti žádat o ... schválení". Nová podoba příslušného ustanovení rovnou doporučuje, aby manažer kvality žádal o schválení klientem auditu. Vzhledem k tomu, že obsah ročního programu může mít dopad na řadu návazných…