dnes je 18.10.2019
Input:

Interní audit dle nové směrnice ČSN EN ISO 19011:2012

, Zdroj: Verlag Dashöfer

13.5.2.4
Interní audit dle nové směrnice ČSN EN ISO 19011:2012

Doc. Ing. Alois Fiala, CSc., Ing. Monika Becková a kolektiv autorů

Velká revize

Záměr „velké revize“ směrnice ISO 19011

V této kapitole se budeme věnovat přepracované směrnici pro provádění interního auditu, která je významná pro procesní řízení ať už z hlediska kvality, environmentu, bezpečnosti či jiných systémů řízení, a to jak v rámci auditu procesů ve službách, tak i ve výrobě. Již dlouho připravované vydání české verze platné od června 2012 totiž poměrně významným způsobem přepracovává návod pro řízení programu auditů, plánování a provádění auditů systémů managementu, stanovení a hodnocení kompetencí auditorů. Nová směrnice ČSN EN ISO 19011:2012 „Směrnice pro auditování systémů managementu“ je určena všem osobám, jež mají dohlížet na funkčnost systémů a procesů jakékoli organizace. Záměrem „velké“ revize směrnice (v anglickém vydání ISO 19011:2011) je sjednotit postupy pro auditování a současně najít shodu v přístupu k různým typům auditů.

Pokud shrneme dosavadní poznatky, na které jsme již upozorňovali např. v kap. 2 této příručky (Aktuality), pak nejdůležitější z pohledu běžného uživatele (organizace uplatňující některý ze systémů managementu s nutností provádět interní audit) je okruh změn uvedených v následujícím souhrnném odstavci.

Směrnice pro auditování systémů managementu v novém vydání ČSN EN ISO 19011:2012 :

  • rozšiřuje možnosti svého využití kromě auditování systémů managementu kvality či environmentu i pro další systémy řízení (např. řízení systémů managementu bezpečnosti a ochrany zdraví při práci dle OHSAS 18001, řízení bezpečnosti informací či jiné);

  • poskytuje návod – nikoli požadavky (!) – pro auditování výše uvedených systémů řízení;

  • je použitelná pro všechny organizace, jež potřebují provádět interní nebo externí audity systému řízení nebo řídit program auditů, včetně malých a středních podniků – tedy pro interní a dodavatelský (zákaznický) audit;

  • netýká se již nadále auditů „třetí stranou“ – tedy těch, které provádějí certifikační orgány za účelem certifikace.

Podrobný přehled hlavních změn nové směrnice oproti předchozímu vydání ČSN EN 19011:2003

Přehled hlavních změn

  • Rozšíření předmětu auditování i pro další systémy řízení než pouze kvality a environmentu (i když v minulosti se již také směrnice ISO 19011:2002 běžně používala pro audity i z jiných oblastí);

  • vymezení působnosti ISO 19011 ve vztahu k certifikačním orgánům (tyto orgány novou směrnici využijí pouze pro svůj vlastní interní audit, zatímco externí audity certifikovaných firem již nyní probíhají dle nového vydání normy ISO/IEC 17021:2011;

  • doplnění a přeformulování některých dřívějších termínů a definic pojmů (např. „kompetence“ x „odborná způsobilost“);

  • používání upravených výrazů v textu (např. „principy“ x „zásady auditu“, „metody“ x „techniky auditu“, „kvality“ x „osobní vlastnosti“, „důležité záležitosti“ x „významné věci“ apod.); zde jsme opět svědky (stejně jako tomu bylo např. v případě vydání 3. revize normy ČSN EN ISO 9001:2009 „Systémy managementu kvality – Požadavky“ před třemi lety) toho, že směrnice používá nové české výrazy i pro nezměněné anglické pojmy; tedy že v anglickém originále se text směrnice sice nezměnil, ale český překlad používá pro stávající pojmy mnohdy jiné výrazy!;

  • rozšíření principů – původně zásad – auditování (nyní např. integrita nebo nově důvěrnost ve smyslu bezpečnosti informací);

  • doplnění popisu metod auditování (včetně např. auditování prostřednictvím komunikačních prostředků – tedy tzv. „na dálku“, nebo zavedením statistických metod do vzorkování);

  • přepracování kapitol 5, 6 a 7 (někdy zcela, někdy pouze přesunem článků; změna struktury se týká nejvíce kapitoly 7);

  • doplnění pohledu na řízení programu auditů z hlediska rizik;

  • pozornost věnovaná bezpečnosti informací;

  • větší pozornost věnovaná stanovování a hodnocení kompetencí (přesunuto do obecnější, zato více komplexní roviny vzhledem k možnosti použití směrnice pro více systémů managementu);

  • nově zpracované obsáhlé přílohy (do nichž jsou částečně přesunuty dřívější „praktické pomůcky“ známé např. z komentovaného vydání ČSN EN ISO 19011:2003).

Porovnání obsahu „staré“ a nové směrnice ISO 19011

Pro účely rychlého přehledu jsme uspořádali porovnání předchozího a nového vydání směrnice ISO 19011 do následující přehledné tabulky, která obsahuje rovněž krátký komentář týkající se konkrétních změn v jednotlivých článcích a z níž je vidět výsledek množství i rozsahu změn oproti předchozí verzi směrnice ČSN EN ISO 19011. Tabulka je rozdělena do 4 samostatných celků, které odpovídají obsahu směrnice a jejichž základem je číslování článků a struktura dle nové směrnice ČSN EN ISO 19011:2012 (viz vždy tlustě vyznačená střední část tabulky).

(Pozn.: podrobnější komentář ke změnám je dále součástí následujících odstavců této kapitoly.)

Porovnání obsahu předcházející a nové verze směrnice ČSN EN ISO 19011

Kap. 1 až 4:

Obsah normy ČSN EN
ISO 19011:2003
Obsah normy ČSN EN
ISO 19011:2012
Stručný komentář
1
2
Předmět normy
Normativní odkazy
1
2
Předmět
Citované
dokumenty
Rozšíření použití i na jiné systémy kromě systému managementu kvality a/nebo environmentálního managementu. Beze změny.
3 Termíny a definice 3 Termíny a definice Přidány nové termíny a definice (např. pozorovatel, průvodce, riziko, kompetence), některé starší definice pozměněny.
4 Zásady auditování 4 Principy auditování Jedná se o dřívější „zásady“; přidán princip integrity (namísto původní zásady etického chování) a zcela nový princip důvěrnosti.

Kap. 5: Řízení programu auditů

                   
Obsah normy ČSN EN
ISO 19011:2003
Obsah normy ČSN EN
ISO 19011:2012
Stručný komentář
5.1 Všeobecně 5.1 Obecně Upřesnění obsahu a smyslu programu auditů; přepracování obrázku znázorňujícího proces řízení programu auditů.
5.2

5.2.1
Cíle a rozsah
programu auditů
Cíle programu
auditů
5.2 Stanovování cílů
programu auditů
Doplněny některé okolnosti, které by mohly mít vliv na plánování cílů programu (nově např. charakteristiky procesů, úrovně výkonnosti auditované organizace, vyspělost systému managemen­tu, výsledky předchozích auditů); doplněny příklady cílů programu.
5.2.2 Rozsah programu
auditů
Čl. 5.2.2 přesunut do čl. 5.3.3.
5.3 Odpovědnosti,
zdroje a postupy
programu auditů
5.3 Stanovování
programu auditů
Pouze nadpis.
5.3.1 Odpovědnosti
v rámci programu
auditů
5.3.1 Role a odpovědnosti
osob řídících
program auditů
Rozšíření oblasti odpovědností osoby, která má řídit program auditů (např. o odpovědnost za identifikaci a hodnocení rizik, určování metod auditu, informování vedení o obsahu programu).
Původní odstavec týkající se kompetencí osoby odpovědné za řízení programu a auditů rozpracován do odstavce 5.3.2, osoba odpovědná (za řízení programu auditů) se nyní mění v osobu řídící (program auditů).
-- -- 5.3.2 Kompetence osoby
řídící program
auditů
Rozpracování požadavků do samostat ného odstavce (zahrnuje např. požadavek na znalosti norem systémů managementu, požadavků právních předpisů, principů, postupů a metod auditování…). Nově koncipováno jako samostatný článek.
5.2.2 Rozsah programu
auditů
5.3.3 Stanovování
rozsahu programu
auditů
Doplněny další faktory ovlivňující rozsah programu (např. faktory ovlivňující efektivnost systému managemen­tu, dostupnost informačních a komunikačních technologií, výskyt incidentů; naopak byl vypuštěn faktor potřebnosti akreditace vzhledem k tomu, že směrnice se už nepoužívá pro auditování třetí stranou/certifikačním orgánem.
-- -- 5.3.4 Identifikace
a hodnocení rizik
programu auditů
Nový odstavec týkající se rizik, jež mají být vzata v úvahu při plánování a realizaci programu auditů (např. riziko nedostatečných zdrojů, riziko nedostatečné kompetence týmu auditorů...).
5.3.2 Zdroje programu
auditů
=>Čl. 5.3.2 přesunut do čl. 5.3.6.
5.3.3 Postupy programu
auditů
5.3.5 Stanovování
postupů programu
auditů
Osoba řídící program auditů má (pokud je to vhodné) vytvořit jeden nebo více „postupů“, které budou řešit oproti předchozí verzi také rizika programu auditů, bezpečnost a důvěrnost informací, monitorování a přezkoumávání rizik.
5.3.2 Zdroje programu
auditů
5.3.6 Identifikace zdrojů
programu auditů
Nově doplněny zdroje týkající se dostupnosti informačních a komunikačních technologií.
5.4 Uplatňování
programu auditů
5.4 Realizace programu
auditů
Pouze nadpis.
5.4.1 Obecně Rozšíření realizace programu např. o pravidelné informování stran a průběhu programu auditů, stanovování cílů jednotlivých auditů, přihlédnutí ke kompetenci týmů auditorů; naopak bylo z tohoto článku vypuštěno např. přezkoumávání zpráv a zajištění následných auditů.
6.2.2 Stanovení cílů,
předmětu a kritérií
auditu
5.4.2 Stanovení cílů,
předmětu a kritérií
auditu
Nový článek v kap. 5 (v předchozím vydání byly cíle auditu až součástí kap. 6.2 jako součást „zahájení auditu“).
-- -- 5.4.3 Výběr metod auditu Nový článek v kap. 5. Metody, jež mají být použity pro vlastní audi­tování, má stanovit osoba řídící program auditů, přičemž příklady, resp. návod stanovení metod jsou uvedeny v příloze B směrnice ISO 19011 (např. provádění pohovorů, vyplňování kontrolních seznamů, vzorkování).
6.2.4 Výběr týmu auditorů 5.4.4 Výběr týmu auditorů Nový článek v kap. 5 (v předchozím vydání byly cíle auditu až součástí kap. 6.2 jako součást „zahájení auditu“). Členy týmu včetně vedoucího týmu auditorů má jmenovat osoba řídící program auditů s přihlédnutím k jejich kompetencím (dříve odborné způsobilosti), přičemž při rozhodování o velikosti a složení týmu má brát v úvahu i zvolené metody auditu.
6.2.1 Jmenování
vedoucího týmu
auditorů
5.4.5 Přidělování
odpovědností
za jednotlivý audit
vedoucímu týmu
auditorů
Nový článek v kap. 5 (v předchozím vydání byly cíle auditu až součástí kap. 6.2 jako součást „zahájení auditu“). Věnovaná pozornost přidělování odpovědností vedoucímu týmu auditorů, rozsahu informací, které má mít k dispozici, jakož i nutnosti provést toto přidělení s dostatečným časovým předstihem.
5.4 Uplatňování
programu auditů
5.4.6 Řízení výsledků
programu auditů
Nový článek v kap. 5 týkající se nutnosti zajišťovat nejen přezkoumávání zpráv včetně jejich vhodnosti a přiměřenosti, ale i analýzy příčin a efektivnost opatření nebo určení nezbytnosti následných auditů (dříve bylo částečně obsaženo ve čl. 5.4).
5.5 Záznamy
z programu auditů
5.4.7 Řízení a udržování
záznamů
o programu auditů
Za záznamy je nyní konkrétně odpovědná osoba řídící program auditů, přičemž má být přihlédnuto nově též k bezpečnosti informací a záznamy mají navíc obsahovat cíle a rozsah programu auditů a rizika s programem spojená.
5.5 Záznamy
z programu auditů
=>Čl. 5.5 přesunut do čl. 5.4.7.
5.6 Monitorování
a přezkoumávání
programu auditů
5.5 Monitorování
programu auditů
Původní článek rozdělen na 2 samostatné části. Nyní jednoznačně dána povinnost monitorování osobě řídící program auditů. Doplněno hodnocení výkonnosti členů týmu, zjišťování zpětné vazby rozšířeno na další „zainteresované“ strany. Dále byly doplněny faktory, které by mohly vést ke změně programu (např. zjištění z auditů, změny v organizaci klienta, nízká nebo vysoká úroveň efektivity auditovaného systému managementu, změny norem apod.).
5.6 Přezkoumávání
a zlepšování
programu auditů
Opět jednoznačně dána povinnost přezkoumávání osobě řídící program auditů. Doplněny některé faktory, jež mají být brány při přezkoumávání v úvahu (např. efektivnost opatření pro řešení rizik, otázky systému managementu bezpečnosti informací, ale také trvalý profesní rozvoj auditorů). Nově také doplněna vhodnost podávání zpráv o výsledcích přezkoumávání vrcholovému vedení.

Vzhledem k přesunům některých článků z kapitoly 6 do kapitoly 5 a některým zcela novým pro přehlednost ještě doplňujeme jednoduchý obrázek:

Změny v kapitole 5 nové směrnice – souhrn

Kap. 6: Provádění auditu (pozn.: dříve „Činnosti při auditu“)

           
Obsah normy ČSN EN
ISO 19011:2003
Obsah normy ČSN EN
ISO 19011:2012
Stručný komentář
6.1 Všeobecně 6.1 Obecně V předchozí verzi kapitola 6 obsahovala návod k plánování a zajišťování činností při auditech, nyní k přípravě a provádění auditů (posun od plánování k vlastní přípravě je zřejmý i z předchozího komentáře ke kapitole 5, ze kterého je vidět, že některé pasáže týkající se plánování původně obsažené v kap. 6 byly nově přesunuty do kap. 5).
6.2 Zahájení auditů 6.2 Zahájení auditu Pouze nadpis.
6.2.1 Jmenování
vedoucího týmu
auditorů
=>Čl. 6.2.1 přesunut do čl. 5.4.5.
6.2.2 Stanovení cílů, předmětu a kritérií auditů =>Čl. 6.2.2 přesunut do čl. 5.4.2.
6.2.4 Výběr týmu
auditorů
=>Čl. 6.2.4 přesunut do čl. 5.4.4.
6.2.1 Obecně Nový komentář týkající se faktu, že ve chvíli zahájení auditu přechází další odpovědnost za jeho vlastní realizaci výhradně na vedoucího týmu auditorů, který byl pověřen v souladu s čl. 5.4.5 směrnice ISO 19011:2011.
6.2.5 Navázání úvodního
kontaktu
s auditovanou
organizací
6.2.2 Úvodní kontakt
s auditovanou
organizací
Posun od možnosti navázání kontaktu osobou odpovědnou za řízení programu auditů k odpovědnosti vedoucího týmu auditorů, který má nově v souladu s předchozím článkem převzít odpovědnost od zahájení auditu přes úvodní kontakt a až do dokončení auditu ve smyslu čl. 6.6 směrnice ISO 19011:2011. Do obsa­hu úvodního kontaktu nově doplněna oblast bezpečnosti informací, případně další oblasti zájmu auditované organizace.
6.2.3 Určení
proveditelnosti
auditů
6.2.3 Určení
proveditelnosti
auditu
Proveditelnost auditu nyní více vztažena k poskytnutí jistoty, že je možno dosáhnout cílů auditu.
6.3 Přezkoumání
dokumentů
6.3 Příprava činnosti
při auditu
Pouze nadpis.
6.3.1 Přezkoumání
dokumentů
při přípravě auditu
Doplněn účel přezkoumání – shromáždit informace pro přípravu a získat přehled o rozsahu dokumentace z hlediska systému managementu, případně identifikovat nedostatky.
6.4 Příprava činností
při auditech na místě
--- ---
6.4.1 Příprava plánu
auditů
6.3.2 Příprava plánu
auditu
Aspekty důležité při přípravě plánu jsou doplněny o vhodné techniky vzorkování, kompetence týmu auditorů a rizika z pohledu organizace při auditu, dále rozdíly mezi úvodním a následným auditem, případně interním a externím auditem. Doplněny oblasti, jež má (případně může) plán auditu obsahovat (nově například použité metody auditu včetně rozsahu vzorkování, opatření pro řešení nejistot, bezpečnost informací, koordinaci s dalšími činnostmi pro případ společného auditu…).
6.4.2 Přidělení práce
týmu auditorů
6.3.3 Přidělování práce
týmu auditorů
Doplněn komentář k možnosti, resp. vhodnosti setkání týmu auditorů pro projednání rozdělení úkolů v týmu.
6.4.3 Příprava pracovních
dokumentů
6.3.4 Příprava pracovních
dokumentů
Doplněn rozsah pracovních dokumentů, které mají nově též obsahovat plány vzorkování. Doplněn komentář k uchovávání a chránění důvěrných nebo citlivých dokumentů (opět bezpečnost informací).
6.5 Provádění auditů
na místě
6.4 Provádění činností
při auditu
Pouze nadpis.
-- -- 6.4.1 Obecně Nový odstavec odkazující na vhodné pořadí činností dle příslušného obrázku normy ISO 19011:2011 (toto pořadí lze ale podle okolností změnit).
6.5.1 Úvodní jednání 6.4.2 Úvodní jednání Doplněn komentář k úrovni podrobnosti úvodního jednání (např. pro případ interního auditu v malých organizacích). Doplněn obsah jednání, jenž v podstatě obsahuje text dřívější poznámky („praktické pomůcky“) ze čl. 6.5.1.
-- -- 6.4.3 Přezkoumání
dokumentů
v průběhu auditu
Nový odstavec obsahující komentář k vý znamu a obsahu přezkoumání dokumentace systému managementu auditované organizace.
6.5.2 Komunikace
v průběhu auditů
6.4.4 Komunikace
v průběhu auditu
V podstatě pouze přeformulování textu.
6.5.3 Úlohy a odpovědnosti průvodců
a pozorovatelů
6.4.5 Přidělování rolí
a odpovědností
průvodcům
a pozorovatelům
Doplněn komentář k možné potřebě vedoucího týmu auditorů zabránit pozorovatelům při některých činnostech v rámci auditu účast (a to s ohledem na jeho pravomoci). Dále doplněna úloha zajistit bezpečnost a důvěrnost ve vztahu k pozorovatelům auditovanou organizací.
6.5.4 Shromažďování
a ověřování
informací
6.4.6 Shromažďování
a ověřování
informací
Doplněna nutnost řešit nové nebo změněné okolnosti či rizika, pokud je auditní tým v průběhu auditu zjistí.
6.5.5 Shrnutí zjištění
z auditů
6.4.7 Zjištění z auditů Rozšíření aspektů, které mají zahrnovat jednotlivá zjištění (např. též existující shody, správné postupy, nejen příležitosti ke zlepšování, ale i doporučení). Doplněna také potřeba setkávání auditního týmu ve vhodných fázích auditu.
6.5.6 Příprava závěrů
z auditů
6.4.8 Příprava závěrů
z auditu
Doplněn obsah závěrů z auditu, jenž v podstatě obsahuje text dřívější poznámky („praktické pomůcky“) ze čl. 6.5.6.
6.5.7 Závěrečné jednání 6.4.9 Závěrečné jednání Doplněn vhodný obsah závěrečného jednání (nově má být např. organizaci vysvětleno vzorkování, metody podávání zpráv, procesy řešení zjištění či procesy následující po auditu).
6.6 Příprava, schválení
a distribuce zprávy
z auditů
6.5 Příprava
a distribuce
zprávy z auditu
Pouze nadpis.
6.6.1 Příprava zprávy
z auditů
6.5.1 Příprava zprávy
z auditu
V podstatě pouze přeformulování textu. Doplněna vhodnost prohlášení o rozsahu splnění kritérií auditu, identifikované správné postupy.
6.6.2 Schválení
a distribuce zprávy
z auditů
6.5.2 Distribuce zprávy
z auditu
V podstatě pouze přeformulování textu. Vypuštěna klauzule o zprávě jako majetku klienta auditu.
6.7 Dokončení auditů 6.6 Ukončení auditu Doplnění ustanovení týkajícího se bezpečnosti informací (s ohledem na dokumenty související s auditem a jejich uložení nebo zničení). Dále doplnění komentáře k použití poznatků z auditu jako vstupu pro proces neustálého zlepšování.
6.8 Provedení
následných auditů
6.7 Provádění
následného auditu
V podstatě pouze přeformulování textu. Upraven průběh informování o stavu opatření (nyní má organizace informovat osobu řídící program auditů a tým auditorů, namísto klienta auditů). Vypuštěno ustanovení o specifikaci následných auditů v programu auditů.

Vzhledem k přesunům některých článků z kapitoly 6 do kapitoly 5 a některým zcela novým pro přehlednost ještě doplňujeme obrázek:

Změny v kapitole 6 nové směrnice – souhrn

Kap.7: Kompetence a hodnocení auditorů (pozn.: dříve „Odborná způsobilost a hodnocení auditorů“)

                             
Obsah normy ČSN EN
ISO 19011:2003
Obsah normy ČSN EN
ISO 19011:2012
Stručný komentář
7.1
7.6.1
Všeobecně 7.1 Obecně Používán pojem „kompetence“ namísto předchozího „odborná způsobilost“, „osobní chování“ namísto „osobní vlastnosti“. Doplněna potřeba při stanovování kompetencí brát v úva­hu potřeby a cíle programu auditů. Dále doplněn pohled kompetence týmu auditorů jako celku. Zařazen nový odstavec týkající se hodnocení auditorů, který byl původně obsahem čl. 7.6, doplněny odkazy na popis procesu hodnocení – nyní v čl. 7.2, 7.4, 7.5.
-- -- 7.2 Určování kompetencí auditorů ke
splnění potřeb
programu auditů
Pouze nadpis.
7.6.2 Proces hodnocení 7.2.1 Obecně Nový odstavec týkající se okolností, jež mají být zváženy při rozhodování o vhodných znalostech a dovedno­stech auditora (např. obor, cíle a rozsah programu, složitost systé­mu managementu, ne­jistoty…). Prakticky přesunuto ze čl. 7.6.2 „Krok 1“.
7.2 Osobní vlastnosti 7.2.2 Osobní chování Auditoři mají mít nyní nezbytné „kvality“ (na rozdíl od předchozích „osobních vlastností“), které se rozšiřují např. o „statečné“ jednání, otevřenost ke zlepšování, citlivost k firemní kultuře, připravenost ke spolupráci.
7.3 Znalosti
a dovednosti
7.2.3 Znalosti
a dovednosti
Pouze nadpis.
7.2.3.1 Obecně Nový odstavec týkající se obecného popisu nezbytných znalostí a dovedností auditorů (auditoři musejí mít jednak všeobecné znalosti, jednak znalosti týkající se daného oboru či odvětví).
7.3.1 Všeobecné znalosti
a dovednosti
auditorů systému
managementu
jakosti a systému
environmentálního
managementu
7.2.3.2 Všeobecné znalosti
a dovednosti
auditorů systémů
managementu
V podstatě pouze přeformulování textu. Všeobecné znalosti se i nadále rozčleňují do čtyř oblastí, nově přibyla např. potřeba pochopit a zvážit názory expertů, druhy rizik, která jsou spojená s auditováním, aplikaci norem na jednotlivé systémy managementu či znát základní právní terminologii.
-- -- 7.2.3.3 Znalosti
a dovednosti
auditorů systémů
managementu
specifické pro obor
a odvětví
Nový odstavec týkající se kompetencí auditora ve vztahu k příslušnému oboru a odvětví (místo předchozího vymezení znalostí auditorů jakosti a auditorů environmentálního managementu je nyní tato oblast rozšířena a zobecněna v souladu se záměrem rozšíření aplikace směrnice ISO 19011). Vlastní návod k aplikaci tohoto článku a příklady znalostí pro konkrétní obory jsou pak součástí přílohy A směrnice.
7.3.2 Všeobecné znalosti
a dovednosti
vedoucích týmu
auditorů
7.2.3.4 Všeobecné znalosti
a dovednosti
vedoucího týmu
auditorů
Nová struktura odstavce, přeformulování textu a doplnění některých oblastí, které mají svými znalostmi a dovednostmi vedoucí týmu zabezpečovat (např. vyvažování silných a slabých stránek členů týmu, řízení procesu auditu, zvládání nejistoty, zajištění BOZP členům týmu).
7.3.3 Specifické znalosti
a dovednosti
auditorů systému
managementu
jakosti
=>Čl. zrušen (v podstatě nahrazuje nyní čl. 7.2.3.3).
7.3.4 Specifické znalosti
a dovednosti
auditorů systému
environmentálního
managementu
=>Čl. zrušen (v podstatě nahrazuje nyní čl. 7.2.3.3).
-- -- 7.2.3.5 Znalosti
a dovednosti
pro auditování
systémů
managementu,
které zahrnují více
oborů.
Nový odstavec týkající se kompetencí auditora a vedoucího auditora ve vztahu k auditování více systémů managementu (více oborů), kdy by měl mít auditor kompetence alespoň jednoho z oborů, vedoucí týmu pak všech oborů a norem systémů managementu. V podstatě nahrazuje čl. 7.4.3.
7.4
7.4.1
Vzdělání, pracovní
zkušenost,
školení/výcvik
auditorů a zkušenosti z auditu
Auditoři
7.2.4 Získávání
kompetencí
auditora
V podstatě pouze přeformulování textu a nová struktura odstavce, jenž stále zahrnuje vzdělání, výcvik a zkušenosti.
7.4.2 Vedoucí týmu
auditorů
7.2.5 Vedoucí týmu
auditorů
Pouze přeformulování textu.
7.4.3 Auditoři auditující
oba systémy
managementu
jakosti a environmentálního
managementu
=>Čl. v podstatě přesunut do čl. 7.2.3.5.
7.4.4
7.6.2
Úroveň vzdělání,
pracovní zkušenosti,
školení/výcvik
auditora a zkušenosti z auditů
7.3 Stanovování kritérií Přeformulování textu, rozdělení kritérií do kvalitativních (osobní chování, znalosti, uplatnění dovedností) a kvantitativních (např. počet let praxe), přičemž jejich úroveň si opět stanovuje organizace sama. Prakticky přesunuto ze čl. 7.6.2 „Krok 2“.
7.5 Udržování a zlepšování odborné
způsobilosti
Pouze nadpis.
7.5.1 Trvalý odborný růst =>Čl. 7.5.1 přesunut do čl. 7.6.
7.5.2 Udržování schopnosti auditování =>Čl. 7.5.2 přesunut do čl. 7.6.
7.6 Hodnocení auditoraPouze nadpis.
7.6.1
7.6.2
Všeobecně 7.4 Výběr vhodných
metod hodnocení
Zcela nová struktura odstavce s doporučením použít kombinaci metod zvolených z metod uvedených v příslušné tabulce (např. analýza záznamů, reference, pohovor, zkoušky, testy, sledování při práci…).
Prakticky přesunuto ze čl. 7.6.2 „Krok 3“.
7.6.2 Proces hodnocení 7.5 Provádění
hodnocení auditora
Zcela nová struktura odstavce. Hodnocení má zahrnovat porovnání shromážděných informací s kritérii stanovenými dle čl. 7.2.3, popřípadě poskytnutí dodatečného výcviku apod. Prakticky přesunuto ze čl. 7.6.2 „Krok 4“.
7.5
7.5.1
7.5.2
7.6.1
Udržování a zlepšování odborné
způsobilosti
Trvalý odborný růst
Udržování
schopnosti
auditování
7.6 Udržování a zlepšování kompetencí
auditora
V podstatě pouze přeformulování textu a nová struktura odstavce, který stále zahrnuje aspekt udržování kompetencí a aspekt nutnosti neustálého zlepšování kompetencí auditora. Zahrnuje též ustanovení o průběžném hodnocení (přesunuto z čl. 7.6.1).

Vzhledem k přesunům některých článků do jiných v rámci kapitoly 7 a některým zcela novým pro přehlednost ještě opět doplňujeme obrázek:

Změny v kapitole 7 nové směrnice – souhrn

Přílohy:

   
Obsah normy ČSN EN
ISO 19011:2003
Obsah normy ČSN EN
ISO 19011:2012
Stručný komentář
-- Příloha ZA -- --
-- -- -- Příloha A Nová příloha obsahující návod a názorné příklady znalostí a dovedností auditorů podle oborů (části A.1 – A.8).
-- -- -- Příloha B Nová příloha obsahující návod pro auditory k provádění auditů (části B.1 – B.8).
-- -- -- Bibliografie

Ustanovení jednotlivých článků normy a příklady jejich použití v praxi

V následující části se postupně budeme věnovat porovnání prvního vydání české verze z roku 2003 a nynější revizi, resp. českému vydání z roku 2012. Ke každému článku normy kromě vlastního porovnání jeho obsahu připojíme vždy stručný komentář týkající se dopadu změn do praxe organizací provádějících interní audity systémů managementu, případně tam, kde je to vhodné, také krátké příklady. V závěru pak také pro přehlednost vždy ještě zopakujeme v souhrnu hlavní změny příslušného článku směrnice.

Úvod

Tento článek směrnice vysvětluje důvody a smysl jejího druhého přepracovaného vydání. Na rozdíl od předchozí verze, jak již bylo zmiňováno, zde dochází k posunu v tom smyslu, že již není určena pro certifikační audity, jako tomu bylo dříve (certifikační orgány se v rámci provádění auditů „třetí stranou“, tedy auditů pro účely certifikace, případně pro účely zákonů a předpisů, řídí od letošního roku povinně normou ČSN EN ISO/IEC 17021:2011), ale výhradně pro audity:

  • první stranou (= interní audit),

  • druhou stranou (= externí audit dodavatelský).

Dále je již v tomto úvodním článku směrnice zmíněno rozšíření oblasti použití na systémy managementu obecně rovněž za použití principu kombinovaného auditu.

Již v tomto článku je také zmíněna jedna z podstatných změn celé směrnice, kterou je zavedení koncepce rizika do procesu auditování, a to v následujících ohledech:

  • riziko nedosažení cílů procesu auditování,

  • riziko narušení činností auditované organizace.

Je zde dále okomentováno vypuštění doplňujících návodů, jež byly v původní směrnici uvedeny formou rámečků s nápovědou pod označením „Praktická pomůcka“ přímo v textu normy, zatímco teď je jich řada převedena buď přímo do textu normy, nebo formou nových příloh.

Beze změny zůstává fakt, že směrnice nestanovuje požadavky, ale návod k:

  • řízení programu auditů,

  • plánování a provádění auditů systémů managementu (obecně jakýchkoli),

  • stanovování kompetencí a hodnocení auditorů.

Dopady těchto změn do praxe:

Vzhledem k tomu, že se jedná pouze o úvodní komentáře, praktický dopad se projeví až v následujících kapitolách, zejména čl. 5, 6 a 7. Rozhodující dopad do praxe se projeví zejména v certifikačních orgánech, které se nadále v rámci externího auditu řídí normou ČSN EN ISO/IEC 17021:2011 (2. vydání), ale přesto musejí aplikovat novou směrnici ČSN EN ISO 19011:2012 v rámci svého vlastního interního auditu.

Souhrn hlavních změn této kapitoly:

a) oblast použití směrnice (již ne pro certifikační audit),

b) rozsah použití směrnice (již ne pouze EMS a SMK, ale obecně pro jakékoli systémy managementu),

c) vysvětlení důvodů pro zavedení koncepce rizika,

d) komentář k vypuštění doplňujících „praktických pomůcek“ v rámečcích.

Kap. 1 – Předmět normy

Tento článek směrnice vysvětluje její obsah, jímž je návod:

  • - k auditování (obecně jakýchkoli) systémů managementu,
  • - k použití principů (dříve zásad) auditování,
  • - k řízení programu auditů,
  • - provádění auditů (obecně jakýchkoli) systémů managementu,
  • - k hodnocení kompetencí auditorů,
  • - nově také návod k hodnocení kompetencí osob řídících program auditů.

Dopady těchto změn do praxe:

Vzhledem k tomu, že se jedná pouze o vymezení předmětu, praktický dopad se projeví až v následujících kapitolách, zejména čl. 5, 6 a 7. Rozhodující dopad do praxe se projeví zejména v rozsahu použití normy i na další systémy managementu.

Souhrn hlavních změn této kapitoly:

a) rozšíření použití i na jiné systémy kromě systému managementu kvality a/nebo environmentálního managementu,

b) rozšíření původní oblasti hodnocení odborné způsobilosti auditorů i na kompetence osob řídících program auditů.

Kap. 2 – Citované dokumenty

Původní verze Nová verze směrnice ISO 19011:2011
2 Normativní odkazy
Uvedeny odkazy na ISO 9000:2000
a ISO 14050:2002.
2 Citované dokumenty
Nejsou nyní citovány žádné dokumenty (článek zůstal pouze z důvodu zachování struktury normy).

Obě původně citované normy byly mezitím již revidovány a vydány jako:

  • ČSN EN ISO 9000:2006 ,

  • ČSN EN ISO 14050:2010.

Vzhledem k rozšíření předmětu směrnice na další systémy managementu by citace pouze dvou relevantních norem ztrácela svůj smysl. Nová směrnice obsahuje namísto citací ve čl. 2 podstatně širší seznam souvisejících dokumentů, který již zahrnuje i normy používané např. v oblasti bezpečnosti informací, analýzy rizik (obecně), energetického managementu a další. Seznam nejdůležitějších norem (v české verzi) souvisejících se základními systémy managementu, pro něž lze využívat směrnici ISO 19011 jako návod pro provádění auditů, uvádíme v následujícím krátkém přehledu:

Označení Název normy
ČSN EN ISO 9001:2009 Systémy managementu kvality – Požadavky (rev. 3)
ČSN EN ISO 9000:2006 Systémy managementu kvality – Základní principy a slovník
ČSN EN ISO 22000:2006 Systémy managementu bezpečnosti potravin – Požadavky na organizaci v potravinovém řetězci
ČSN OHSAS 18001:2008 Systémy managementu bezpečnosti a ochrany zdraví při práci – Požadavky
ČSN EN ISO 14001:2005 Systémy environmentálního managementu – Požadavky s návodem pro použití
ČSN ISO 14050:2010 Environmentální management – Slovník
ČSN EN ISO 50001:2012 Systémy managementu hospodaření s energií – Požadavky s návodem pro použití
ČSN ISO/IEC 27001:2006 Informační technologie – Bezpečnostní techniky – Systémy managementu bezpečnosti informací – Požadavky
ČSN ISO/IEC 27000:2010 Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Přehled a slovník
ČSN ISO/IEC 20000-1:2006 Informační technologie – Management služeb – Část 1: Specifikace
ČSN ISO 28000:2010 Specifikace pro systémy managementu bezpečnosti dodavatelských řetězců
ČSN 31000:2010 Management rizik
ČSN EN ISO/IEC 17021:2011 Posuzování shody – Všeobecné požadavky na certifikační orgány pro certifikaci systémů managementu

Dopady těchto změn do praxe: Přímý dopad do postupu provádění interních auditů není, pouze lze doporučit (zvláště pro organizace využívající více norem pro systémy managementu) zajistit si přístup do databáze norem (CSN) buď elektronicky, či jinak.

Souhrn hlavních změn této kapitoly:

Rozšíření okruhu souvisejících norem vzhledem k rozšíření možného použití směrnice, byť v kapitole samotné žádné citované normy nejsou uvedeny.

Kap. 3 – Termíny a definice

 
Původní verze Nová verze směrnice ISO 19011:2011
3 Termíny a definice
Původní norma se odkazovala výhradně na použití termínů a definice uvedené v ISO 9000 a ISO 14050. Dále byly uvedeny některé konkrétní definice.
3 Termíny a definice Nová směrnice se již neodkazuje na žádnou normu a rovnou uvádí termíny a jejich definice. Některé jsou pozměněné, některé zcela nové, viz následující přehled změn:
Audit Definice v podstatě beze změny; doplněna Poznámka 1 týkající se nezávislosti o možnost vyloučení nepředpojatosti. Dále upravena Poznámka 3 – kombinovaný audit.
Doplněna Poznámka 5 – odkaz na ISO 9000:2005.
Kritéria auditu Definice v podstatě beze změny;
doplněna poznámka týkající se shody nebo neshody s kritérii ve smyslu
legislativního souladu.
Původní verze Nová verze směrnice ISO 19011:2011
Zjištění z auditu Definice v podstatě beze změny; doplněna poznámka týkající se výsledků zjištění a shody nebo neshody s kritérii ve smyslu legislativního souladu.
Auditor = osoba s odbornou způsobilostí k provádění auditu Auditor = osoba provádějící audit.
--- Pozorovatel = osoba doprovázející tým auditorů.
Nový termín a nová definice.
--- Průvodce = osoba, která zastupuje auditovanou organizaci nebo její část a napomáhá týmu auditorů (provádí jej).
Nový termín a nová definice.
Program auditů = jeden audit nebo soubor několika auditů… Program auditů = sestavení souboru jednoho nebo více auditů…
--- Riziko = vliv nejistoty na cíle.
Nový termín a nová definice.
Odborná způsobilost = prokázané osobní vlastnosti a schopnost aplikovat znalosti a dovednosti… Kompetence = schopnost aplikovat znalosti a dovednosti…
Doplněna navíc poznámka o předpokladu vhodného uplatnění osobního chování v rámci auditu.
Shoda, neshoda, systém managementu
Nově doplněné definice převzaté z ISO 9000:2005.

Dopady těchto změn do praxe:

V předchozí směrnici bylo uvedeno celkem 14 termínů a jejich definic, v novém vydání je to 20 termínů a jejich definic. Již v tomto článku je zřejmé, že o zjednodušení se v novém vydání směrnice ISO 19011 v žádném případě nejedná.

Pokud se týká některých nových formulací již dříve používaných termínů, pak z pojmu „sestavení souboru… auditů“ v případě programu auditů snad konečně jasně vyplývá, že se nejedná o plán auditu, jak se dříve často zaměňovalo (tedy že program je například roční, zatímco plán se týká časové organizace jednoho auditu).

Zajímavý je posun