dnes je 23.4.2019
Input:

Třetí vydání směrnice ČSN EN ISO 19011:2019 - Kapitola 5 - Řízení programu auditů"

8.4.2019, , Zdroj: Verlag Dashöfer

2.2.123.2
Třetí vydání směrnice ČSN EN ISO 19011:2019 - Kapitola 5 – „Řízení programu auditů”

Ing. Monika Becková

Třetí vydání směrnice ČSN EN ISO 19011:2019 – mění se přístup k auditování systémů managementu?

Podrobnosti a komentáře k jednotlivým fázím auditu a novým částem směrnice pro auditování systémů managementu najdete v našem dalším pokračování.

Pozn.: Členění následujících odstavců odpovídá obsahovému členění ČSN EN ISO 19011:2019. Pokud je v textu použit termín „Směrnice” bez dalšího upřesnění, myslí se tím rovněž ČSN EN ISO 19011:2019. Důležité změny požadavků mezi ČSN EN ISO 19011:2012 a ČSN EN ISO 19011:2019 jsou v textu vyznačeny tučně.

Kapitola 5 – „Řízení programu auditů”

Tato část Směrnice se týká širšího kontextu než jenom auditu jako takového. Obsahuje návod pro vytvoření, implementaci a zlepšování celého programu auditů. Kapitola má sedm částí, což je o jednu víc, než měla předchozí verze. Nově přibyl samostatný odstavec 5.3 - „Určování a hodnocení rizik a příležitostí”, který byl v předchozí verzi součástí kap. „Stanovování programu auditů”. Protože však je v normách pro systémy managementu stále více zdůrazněn přístup na základě zvažování rizik, je této problematice vymezen větší prostor i v naší Směrnici.

Srovnání částí obou norem kap. ukazuje následující tabulka:

  1. 5.1 Obecně (k programu auditů):

Jedná se o PODSTATNĚ rozšířenou část Směrnice, v níž je uvedeno, že má být stanoven program auditů, který může zahrnovat jeden nebo více auditů, pro jeden nebo více systémů managementu. Co vlastně program auditů je? Tato část se významově nemění, ale protože se v praxi stále zaměňují termíny „plán” a „program” auditů, připomeneme si definici termínu.

Definice pojmů:

Program auditů = „opatření pro soubor jednoho nebo více auditů plánovaných pro specifický časový rámec a zaměřený na specifický účel” (viz ČSN EN ISO 19011:2019, čl. 3.4).

x Pro srovnání: dřívější definice zněla:

Program auditů = „sestavení souboru jednoho nebo více auditů…” (viz ČSN EN ISO 19011:2019, čl. 3.13).

Významově se definice nemění, a pro lepší zapamatování budeme dále označovat program auditů jako „roční PROGRAM” (na rozdíl od PLÁNU jednoho AUDITU, který je jednou z položek v ročním PROGRAMU). Nicméně program může být i na kratší či delší období, než je jeden rok. Jeho rozsah záleží na velikosti, povaze, funkčnosti (kontextu) organizace, a nově také na typu rizik a příležitostí auditovaného systému managementu.

Zvláštní pozornost by se měla při vytváření programu auditů nyní věnovat následujícím oblastem:

  • Outsourcingu důležitých funkcí: to znamená, že pokud je nějaký proces nebo jeho část, důležitá pro auditovaný systém managementu, zajišťována externě – dodavatelsky, může být vhodné zařadit do ročního programu auditů i takového dodavatele.

  • Vrcholovému vedení: top management, který činí důležitá rozhodnutí, by měl být součástí auditu (tj. měl by být také auditován).

  • Výběru lokalit v případě, že organizace je na více místech: měl by být vždy vybrán odpovídající vzorek pracovišť, která budou zahrnuta do ročního programu (např. má-li organizace celkem 9 poboček, bude vybrán vzorek 1/3 každý rok tak, aby během tříletého období byly auditovány všechny; centrála bude auditována každý rok nejméně jednou.).

Aby byl pochopen kontext auditovaného (pozn.: tento termín je používán ve Směrnici v souladu se změnami ISO 9001, ISO 14001, ISO 45001) program má (NOVĚ) vzít v úvahu:

  • Cíle auditované organizace

  • Relevantní externí a interní aspekty / záležitosti (faktory) auditované organizace (pozn.: nově „auditovaného”)

  • Potřeby a očekávání zainteresovaných stran

  • Požadavky na bezpečnost informací

Příklady k těmto novým ustanovením opět formou tabulky:

Kontext auditovaného: Oblasti pozornosti při vytváření ročního programu:
Rozšíření činností o nový proces (= rozšíření rozsahu systému managementu a tím i kontextu organizace). Cíl auditované organizace z hlediska zavedení nového procesu se promítne do rozsahu ročního programu auditů např. zařazením nového procesu a jeho prověřením jako jednoho z interních auditů.
K novým externím aspektům organizace patří změna legislativy v oblasti posuzování shody stanovených výrobků. Relevantní externí a interní aspekty / záležitosti v tomto smyslu představují shodu interních postupů s novou legislativou; to se promítne do ročního programu auditů např. zařazením auditu zaměřeného na soulad s požadavky příslušných předpisů.
Zainteresovanou stranou jsou např. zákazníci; ti očekávají zlepšení kvality vzhledem k opakovanému výskytu reklamací. Potřeby a očekávání zainteresované strany se promítnou v tomto případě do ročního programu auditů zařazením auditu zaměřeného na kořenové příčiny neshod.
Součástí auditů má být i audit u významného dodavatele (audit druhou stranou). Požadavky na bezpečnost informací se promítnou do dohody ohledně utajení informací z auditu s dodavatelem.

Priorita mý být nyní dána těm záležitostem v systému managementu, které:

  • Zahrnují vyšší rizika

  • Mají nižší úroveň výkonnosti

x Pro srovnání: dříve měla být dána priorita těm záležitostem, „které mají …. význam”.

Použití nové přesnější formulace může znamenat následující řešení:

  1. Proces výroby určitého dílu představuje z hlediska finálního výrobku vyšší riziko (objevuje se více zmetků, reklamací apod.) – četnost tohoto procesu bude v ročním programu větší.
  2. Významný dodavatel externího procesu (tzv. outsourcingu) může být zahrnut v ročním programu jako předmět auditu.
  3. Existence více poboček v organizaci by měla znamenat přístup na základě vzorkování, riziková pobočka (např. z hlediska počtu závad při kontrolách nebo vyššího počtu reklamací) by měla vést k četnějšímu auditu na této pobočce než jiná (např. každoročně nebo 2 x za rok).

Roční program má vytvářet (stejně jako dosud) „osoba řídicí program auditů” (těchto osob může být víc – pokud jde o integrovaný systém řízení, může být např. jedna osoba odpovědná za řízení programu auditů pro systém managementu kvality, jiná pro BOZP; takový přístup ale nemusí být příliš efektivní a v praxi se s ním často nesetkáme).

Nová ustanovení v této části:

Osoba (osoby) řídicí program auditů má (mají) zajišťovat:

  • - Udržování integrity auditu (např. při provádění změn v ročním programu z hlediska cílů, rozsahu, předmětu auditů);
  • - Zabraňovat přílišnému ovlivňování auditu (vazba na princip nezávislosti, nestrannosti).

A dále:

„Řízení programu auditů má být přiděleno kompetentním osobám.”

Pokud jde o kompetence, věnuje se jim kapitola 7 Směrnice, ale tam jde o auditory. Nesmíme však zapomínat, že osoba, která řídí program auditů, zastává určitou roli v rámci systému řízení (stejně jako např. manažer kvality, metrolog, interní auditor apod.), a byť nemusí jít o pracovní pozici, která má vytvořenu pracovní náplň a kvalifikační požadavky, i v tomto případě je na místě takové požadavky vytvořit – viz následující příklad části přehledu požadavků na jednotlivé funkce z organizačního řádu.

Tab.: příklad požadavků na jednotlivé funkce / role v systému managementu

Co