dnes je 6.6.2020

Input:

Příloha A Směrnice ČSN EN ISO 19011:2019 - Další návod pro auditory k plánování a provádění auditů

4.5.2020, , Zdroj: Verlag Dashöfer

2.2.123.17
Příloha A Směrnice ČSN EN ISO 19011:2019 – Další návod pro auditory k plánování a provádění auditů

Ing. Monika Becková

Jedna ze změn v nové verzi Směrnice se týká jejích příloh. Nyní má pouze jednu – Přílohu A, informativní, jejíž celý název zní: „Další návod pro auditory k plánování a provádění auditů”. Jelikož sama Směrnice je, jak jsme již zmiňovali, jakýmsi návodem, jedná se v podstatě o další „návod k návodu”. Některé její části přímo navazují na vlastní články Směrnice (tzn., že v textu Směrnice je uveden odkaz na příslušnou část Přílohy A), některé ne.

Krátký komentář k nové Příloze A Směrnice:

Jedná se o „další návod pro auditory k plánování a provádění auditů”, který vznikl rozšířením původní přílohy B a zahrnuje nyní celkem 18 oblastí, z nichž některé byly v původní příloze a některé jsou nové. V jednotlivých částech najdeme doplnění návodu v textu Směrnice v kap. 5 a 6, i když někdy zde příliš dalších informací není.

A.1 Používání metod auditu:

Používání metod auditu bylo popsáno původně v příloze B.1.

Příloha A.1 navazuje přímo zejména na odst. 5.4.2 a), 5.4.4 b), 5.5.1 c), 5.5.3 a 6.4.5.

Přehled vhodných metod je uveden v tabulce A.1 a je BEZ PODSTATNÝCH ZMĚN. Byla doplněna interaktivní metoda pozorování „na dálku”.

Metodu auditu obecně vybírá osoba odpovědná za řízení programu auditů (MK) již při vytváření ročního programu auditů a za její efektivní použití odpovídá vedoucí týmu auditorů během auditu.

Metody jsou rozděleny do skupin:

  • Na místě x na dálku

  • Za vzájemného působení mezi jedinci x bez vzájemného působení mezi jedinci

Pozn.: k metodám auditu lze přiřadit i dotazování, pozorování, statistické metody (o těch se Směrnice zmiňuje), dále grafické metody, metody skupinového rozhodování a benchmarking; pomocnými technikami je analýza a syntéza, abstrakce, modelování, indukce a dedukce a analogie (o těch se ale Směrnice nezmiňuje).

A.2 Procesní přístup k auditování:

Procesní přístup k auditování je NOVÁ ČÁST v příloze Směrnice.

Příloha A.2 navazuje na odst. 5.4.2 a).

Použití „procesního přístupu” je požadavek pro všechny normy systému managementu. Auditoři by měli vědět, že audit systému managementu představuje v souhrnu auditování procesů organizace a jejich interakcí (všechno souvisí se vším). To znamená, že auditujeme procesy a jejich vzájemné působení, nikoli jednotlivé požadavky bez souvislostí.

A.3 Odborný úsudek:

Odborný úsudek je NOVÁ ČÁST v příloze Směrnice.

Příloha A.3 nenavazuje přímo na žádný článek Směrnice, ale odkazuje se na něj řada dalších částí Přílohy A, ve kterých nabádá k použití odborného úsudku auditorem.

Auditoři mají uplatňovat „odborný úsudek a vyhnout se soustředění se na specifické požadavky každé kapitoly normy na úkor dosahování zamýšleného výsledku”. Některé požadavky nelze snadno posoudit, pokud jde o srovnání mezi požadavkem a stavem věci. V těchto situacích by auditoři právě měli umět používat svůj odborný úsudek. To znamená nelpět na dílčím důkazu, ale posuzovat požadavky jako celek za použití rozumného úsudku

A.4 Výsledky výkonnosti:

Tato část je také NOVÁ v příloze Směrnice.

Příloha A.4 nenavazuje přímo na žádný článek Směrnice.

Auditoři by se měli zaměřit na zamýšlený výsledek SM. Přestože procesy a to, co dosahují, jsou důležité, důležitý je výsledek SM a jeho výkonnost. Důležité je také zvážit úroveň integrace různých systémů řízení a jejich zamýšlených výsledků. Absence procesu nebo dokumentace může být důležitá ve vysoce rizikové nebo složité organizaci, ale v jiných organizacích nemusí být tak významná. To znamená, že důležitý je nejen detail, ale (zejména) celkový výsledek.

A.5 Ověřování informací:

Ověřování informací bylo popsáno původně v příloze B.2 jako „přezkoumání dokumentů”.

Příloha A.5 navazuje na odst. 5.4.4 i), 6.3.1, 6.4.6, 6.4.7.

Nyní je návod k ověřování informací BEZ PODSTATNÝCH ZMĚN. Pokud jde o informace, mají být:

  • Úplné

  • Správné

  • Konzistentní

  • Aktuální

To znamená, že auditujeme důvěryhodnost, integritu, poskytnutí objektivních důkazů ohledně úplnosti, správnosti, konzistence a aktuálnosti dokumentovaných informací, se zohledněním požadavků na bezpečnost informací.

A.6 Vzorkování:

Vzorkování bylo popsáno původně v příloze B.3.

Příloha A.6 navazuje na odst. 6.3.2.1 b) a 6.4.7.

Nyní je vzorkování BEZ PODSTATNÝCH ZMĚN a je zde doplněn rozsáhlejší komentář rozdělený do třech následujících částí:

A.6.1 Obecně

  • Vzorkování se použije, když není proveditelné nebo efektivní zkoumat všechny informace (což je skoro vždy, nebo přinejmenším hodně často, alespoň při auditu systému managementu nebo procesu, který je na principu vzorkování v podstatě založen);

  • Tento způsob auditu představuje proces výběru méně než 100 % položek z celkového souboru dat (např. určitý počet výrobků z celkového souboru zakázek pro audit ve výrobě; nebo určitý počet personálních složek z celkového počtu zaměstnanců pro personální audit apod.), který následně auditujeme; velikost vzorku lze kdykoli upravit podle toho, jakým směrem se ubírají zjištění z auditu;

A.6.2 Vzorkování založené na úsudku auditora

  • Při této metodě se použije odborný odhad, výsledek závisí do značné míry na kompetencích a zkušenosti týmu auditorů; je to častější metoda používaná při auditování systémů managementu než následující.

A.6.3 Statistické vzorkování

  • V tomto případě má být zpracován plán vzorkování;

  • Jedná se o proces výběru vzorku založený na teorii pravděpodobnosti a předpokládá znalosti v této oblasti.

A.7 Auditování souladu v systémech managementu:

Auditování souladu je NOVÁ ČÁST v příloze Směrnice.

Příloha A.7 nenavazuje přímo na žádný článek Směrnice.

Auditní tým má při auditu systému managementu prověřit, zda auditovaná organizace má účinné postupy pro:

  • určení zákonných a regulačních požadavků a dalších požadavků, ke kterým se zavázala (norma ISO 14001 je například označuje jako závazné povinnosti);

  • řízení provozu (a celé organizace) tak, aby bylo trvale dosahováno souladu s relevantními požadavky;

  • hodnocení souladu;

  • identifikaci změn požadavků na soulad (včetně změn požadavků samotných);

  • určování kompetentní osoby k řízení souladu;

  • uchovávání a poskytování příslušné dokumentované informace o stavu souladu pro případné požadavky kontrol dozorových orgánů nebo jiných zainteresovaných stran;

  • zahrnutí hodnocení souladu ročního programu auditů;

  • řešení případného nesouladu;

  • hodnocení výkonnosti v oblasti ne/souladu v přezkoumání vedením.

Jak tedy auditovat soulad?

Auditor by se měl zaměřit na posouzení:

  • jak organizace stanovila četnost hodnocení souladu

  • jaká je metodika hodnocení souladu

  • jak je zajištěn přístup k požadavkům právních a jiných předpisů (závazných povinností)

  • jak jsou stanoveny odpovědnosti a kompetence osob(y) za sledování změn i za vlastní hodnocení

  • jak vypadá výstup z hodnocení, jaká je jeho vypovídací schopnost

  • nakolik se lze spolehnout na výsledky hodnocení souladu (což lze porovnat s výsledky vlastního auditu v daných oblastech nebo s výsledky kontrol orgánů dozoru)

  • jak vypadá plán opatření k dosažení případného nesouladu

  • jaká je efektivita přijatých opatření

Audit se zčásti bude odehrávat posouzením dokumentovaných informací a zčásti pohovory a pozorováním v provozu.

A.8 Auditování kontextu:

Auditování kontextu je NOVÁ ČÁST v příloze Směrnice.

Příloha A.8 nenavazuje přímo na žádný článek Směrnice.

Pokud jde o kontext (neboli souvislosti), normy pro systémy managementu shodně vyžadují, aby jej organizace určila, včetně potřeb a očekávání příslušných zúčastněných stran a vnějších a vnitřních aspektů nebo záležitostí. K tomu může využít různé techniky strategické analýzy a plánování. Auditoři pak mají auditem prověřit, zda je tento požadavek splněn a je funkční. Přitom mají zvážit objektivní důkazy týkající se:

  • použitých procesů nebo metod pro určování kontextu;

  • vhodnosti a způsobilosti osob podílejících se na procesu (procesech) určování kontextu;

  • výsledků (vlastního určení kontextu);

  • uplatnění výsledků pro praxi (provoz);

  • periodických přezkoumání kontextu.

Jak tedy auditovat kontext?

Audit této oblasti nemůže být prováděn pouze samostatně jako audit čl. 4 normy ISO 9001 nebo jiné. Auditor by se měl zaměřit na posouzení:

  • jak vedení organizace chápe vliv externích a interních aspektů;

  • jak vedení organizace chápe vliv a požadavky různých typů zainteresovaných stran;

  • jak je definován rozsah systému managementu;

  • jak jsou určeny procesy systému managementu;

  • jak jsou souvislosti, ve kterých organizace pracuje, promítány do provozu.

Audit se zčásti bude odehrávat formou pohovoru s vrcholovým vedením, dále posouzením dokumentovaných informací, a následně v průběhu celého dalšího auditu všech procesů, ať už pohovory, pozorováním nebo posuzováním dokumentovaných informací.

A.9 Auditování vedení a závazku:

Auditování vedení a závazku je NOVÁ ČÁST v příloze Směrnice.

Příloha A.9 nenavazuje přímo na žádný článek Směrnice.

Mezi požadavky na vrcholové vedení patří prokazování závazku a vůdčího postavení tím, že se zodpovídá za efektivitu systému managementu a plní řadu povinností. Patří sem úkoly, které by měl vrcholový management vykonávat sám, a jiné, které mohou být delegovány. Auditoři mají posoudit, do jaké míry je vrcholový management zapojen do rozhodování a jak prokazuje závazek zajistit účinnost systému management v praxi.

Jak tedy auditovat vedení a jeho závazky?

Audit této oblasti také nemůže být prováděn pouze samostatně jako audit čl. 5.1 normy ISO 9001 nebo jiné. Auditor by se měl zaměřit na:

  1. Rozhovor s vrcholovým vedením;
  2. Pohovory s personálem, při kterých zjišťuje, jak se závazky vedení promítají do běžného provozu;
  3. Posouzení návaznosti vize, mise, politiky a cílů;
  4. Posouzení různých forem plánování včetně strategického plánu, středně a krátkodobých rozpočtů, plánů školení, údržby apod.;
  5. Posouzení důkazů o provedených činnostech, ať už jde o výroční zprávu, v některých případech účetní uzávěrku, realizovaná opatření.

I v tomto případě se bude audit zčásti odehrávat formou pohovoru s vrcholovým vedením, dále posouzením dokumentovaných informací, a následně v průběhu celého dalšího auditu všech procesů, ať už pohovory, pozorováním nebo posuzováním dokumentovaných informací.

A.10 Auditování rizik a příležitostí:

Auditování rizik a příležitostí je NOVÁ ČÁST v příloze Směrnice.

Příloha A.10 nenavazuje přímo na žádný článek Směrnice.

Cílem auditu managementu rizik je posoudit:

  • vhodnost a přiměřenost procesů identifikace rizik a příležitostí v auditované organizaci (posouzení metodiky);

  • míru pochopení rizik a příležitostí (posouzení výsledku analýzy);

  • způsob jejich řízení (posouzení zavedených opatření).

Jak tedy auditovat řízení rizik?

Ani audit této oblasti nemůže být prováděn pouze samostatně jako audit čl. 6.1 normy ISO 9001 nebo jiné. Musí být součástí auditu celého systému managementu, včetně pohovorů s vrcholovým managementem i řadovými zaměstnanci. Objektivní důkazy by v každém případě měly zahrnovat čtyři důležité části:

  • Vstupy použité organizací k určení rizik a příležitostí, které mohou zahrnovat analýzu vnějších a vnitřních aspektů, požadavků zainteresovaných stran, požadavků specifických pro daný obor, potenciální zdroje rizika, jako jsou environmentální aspekty a bezpečnostní rizika atd.;

  • Metodiku analýzy a hodnocení rizik a příležitostí;

  • Výstupy z analýzy (např. registr