dnes je 20.10.2019
Input:

Třetí vydání směrnice ČSN EN ISO 19011:2019 - Kapitola 5 - Stanovování programu auditů" (třetí část)

27.6.2019, , Zdroj: Verlag Dashöfer

2.2.123.4
Třetí vydání směrnice ČSN EN ISO 19011:2019 - Kapitola 5 – „Stanovování programu auditů” (třetí část)

Ing. Monika Becková

5.4 Stanovování programu auditů

Jedná se o upravenou pasáž Směrnice, z níž je vyjmut odstavec týkající se „identifikace a hodnocení rizik programu auditů” (toto téma původně uvedené v odst. 5.3.4 předchozí verze je nyní obsahem samostatné kapitoly 5.3 nové Směrnice – viz předchozí komentář). Ostatní odstavce zůstávají přibližně ve stejném členění, návod v jednotlivých dílech je ovšem upřesněn, případně přesunut jinam.

Podíváme se na jednotlivé změny podrobněji.

5.4.1 Role a odpovědnosti osoby řídicí program auditů (dříve odst. 5.3.1, 5.3.5):

Osoba řídicí program auditů (pozn.: v předchozím komentáři jsme tuto osobu pro jednoduchost pracovně označili „manažer kvality” a budeme se tohoto označení držet i v dalším textu) má za úkol:

  1. Stanovovat rozsah programu;
  2. Určovat externí a interní aspekty, rizika a příležitosti (včetně opatření) (dříve „identifikovat a hodnotit rizika”) – tedy ty faktory, které mohou jakýmkoli podstatným způsobem ovlivnit program auditů ať už vzhledem jeho rozsahu nebo realizaci;
  3. Zajišťovat výběr auditorů a jejich celkové potřebné kompetence (buď přímo uvedením konkrétním jmen lidí do programu, nebo stanovením pravidel pro jejich pozdější přiřazení);
  4. Stanovovat relevantní procesy (dříve „postupy programů auditů”);
  5. Určovat a zajišťovat potřebné zdroje;
  6. Zajišťovat existenci vhodných dokumentovaných informací (dříve „záznamů o programu auditů”);
  7. Monitorovat, přezkoumávat, zlepšovat roční program;
  8. Žádat o schválení programu klientem auditu (dříve „informovat vrcholové vedení o obsahu programu…. a v případě nutnosti žádat o jeho schválení”).

Pokud jde o výše uvedené úkoly manažera kvality, zdůrazníme tři důležité změny:

1. Určovat externí a interní aspekty, rizika a příležitosti (viz písm. b) výše).

Tento faktor se objevil již v odst. 5.1 Směrnice, kde jsou obecná ustanovení týkající se ročního programu auditů. Nutno říci, že určování aspektů, rizik a příležitostí není úkol jednoduchý, ale ani jednorázový. Stejně tak, jako se mění samotné faktory ovlivňující organizaci, mohou se promítat do potřebných změn ročního programu.

2. Stanovovat procesy relevantní pro program auditů (viz písm. d) výše).

Tato oblast byla dříve v odst. 5.3.5 normy v podobě „stanovování postupů….”. Podobně jako ISO 9001:2015 nebo ISO 45001:2018 i naše Směrnice začala používat termín „proces” představující soubor činností přeměňujících vstupy na výsledky, a je tak více v souladu s trendy v oblasti norem pro systémy managementu. Co přesně znamená v našem kontextu termín proces?

Definice pojmů:

Proces = „soubor vzájemně provázaných …… činností, které využívají vstupy pro dosažení zamýšleného výsledku” (viz ČSN EN ISO 19011:2019, čl. 3.24).

x Pro srovnání: dřívější norma ISO 19011 s tímto termínem nepracovala. Používala termín „postup”, jehož definice zní:

Postup = „specifický způsob provádění činnosti…” (viz ČSN EN ISO 9000:2015, čl. 3.4.5). Zjednodušeně řečeno jeden nebo řada postupů (spíše ale řada) může být součástí realizace procesu.

Jaké oblasti by tedy měly procesy potřebné pro úspěšnou realizaci programu auditů nově zahrnovat?

Jsou to procesy pro:

  • Koordinaci jednotlivých auditů;

  • Stanovování harmonogramu jednotlivých auditů;

  • Stanovování cílů, předmětu a kritérií jednotlivých auditů;

  • Určování metod;

  • Výběr týmu;

  • Hodnocení auditorů;

  • Stanovování komunikačních toků, pravidel;

  • Řešení sporů;

  • Vyřizování stížností;

  • Činnosti po auditu;

  • Podávání zpráv všem zainteresovaným stranám.

Tyto procesy lze určit formou různých postupů, instrukcí, směrnice apod., viz následující dva příklady.

Příklad 1 ke specifikaci procesů potřebných pro realizaci programu auditů - část směrnice pro hodnocení auditorů:

Hodnocení auditorů a auditů

Společnost XYZ pravidelně hodnotí a na základě výsledků hodnocení zlepšuje řízení programu auditů. Hodnocení probíhá v následujících etapách:

  • hodnocení auditorů - z hlediska jejich odborné způsobilosti (před jmenováním) a výsledků auditů, které realizovali (po jmenování, v rámci realizace programu auditů). V případě provedení interního auditu dodavatelsky vždy hodnocení zahrnuje posouzení dokladů odborné způsobilosti. Minimální kritéria odborné způsobilosti interního auditora jsou stanovena v příloze Organizačního řádu. Zjednodušeně jsou vidět na obrázku 1.

Obr.1: skladba odborné způsobilosti interního auditora

  • hodnocení dokumentace auditu - z hlediska úrovně záznamů (přehlednost, průkaznost, kompletnost, dostupnost, srozumitelnost); jedná se o součást hodnocení výkonu činnosti jednotlivých auditorů.

  • hodnocení způsobu klasifikace zjištění – porovnání úrovně hodnocení u jednotlivých auditních týmů; jedná se o součást hodnocení výkonu činnosti jednotlivých auditorů.

  • přínosy z auditů - pro organizaci v konkrétních oblastech, jejich příspěvek k trvalému zlepšování

Za hodnocení zodpovídá manažer kvality. Celý postup provádění interních auditů včetně hodnocení je znázorněn na obrázku 2.

Obr.2: Znázornění procesu interního auditu s hodnocením

Příklad 2 ke specifikaci procesů potřebných pro realizaci programu auditů – vybraná pasáž směrnice pro podávání zpráv všem zainteresovaným stranám:

Závěrečné jednání

Provádění auditu je ukončeno závěrečným jednáním s vedoucím prověřované oblasti a pracovníky, kteří jsou odpovědni za funkce, jimiž se audit zabývá. Smyslem jednání je seznámit prověřovaný útvar s nálezy z auditu, aby si o nich udělal jasnou představu a potvrdil jejich reálnou povahu. Musí být dodržen požadavek, že osoby odpovědné za auditované oblasti jsou informovány o výstupu auditu.

Vypracování protokolu z auditu

Za zpracování protokolu z interního auditu odpovídá vedoucí auditor. Protokol obsahuje:

  • identifikaci prověřované oblasti

  • náplň, rozsah a cíl auditu

  • odsouhlasená kritéria auditu

  • termíny, vztahující se k provádění auditu

  • identifikaci zástupců prověřovaného útvaru a členů týmu auditorů

  • přehled průběhu auditu

  • zjištění neshod a nedostatků a závěry z auditu

V případě zjištění závažné neshody vyplní vedoucí auditor Záznam o neshodě. Auditor po kontrole provedení opatření k nápravě a po ověření jejich účinnosti (buď předložením dokumentace, nebo formou následného auditu) vyplní příslušnou část a předá manažerovi kvality. Nesouhlasí-li vedoucí prověřované oblasti s rozhodnutím vedoucího auditora, stanoví další postup manažer kvality případně ředitel. Méně závažné neshody (nesystémové) jsou zaznamenány pouze ve zprávě z auditu a jejich odstranění je prověřováno v rámci dalšího plánovaného auditu. Řešení nepodstatných neshod a doporučení je ponecháno na rozhodnutí vedoucího prověřovaného útvaru a není bezprostředně sledováno.

Přezkoumání vedením

Výsledky interních auditů (zprávy z auditu) jsou předávány manažerovi kvality, který vhodnou formou informuje vedení organizace. Patří mezi podklady pro vypracování zprávy pro přezkoumání vedením. O stanovených nápravných a preventivních opatřeních vede manažer kvality přehled a kontroluje jejich plnění.

Nutno ale říci, že výše uvedené příklady jsou pouze ilustrativní, a není žádná povinnost vytvářet směrnici pro specifikaci takových procesů. Lze využít stejně dobře řízení procesu formou informačního systému, pracovní instrukce, malá organizace si může vystačit dokonce i s ústní formou nebo přenesením odpovědností na externí subjekt (externího auditora).

Souhrnný příklad znázorňuje následující tabulka:

Název procesu potřebného pro úspěšnou realizaci programu auditů ve smyslu čl. 5.4.1 písm. d) Směrnice: Příklad jeho zpracování v organizaci:
Koordinace jednotlivých auditů Roční program auditů, vyhlášení jednotlivého auditu v předstihu 14 dnů před vlastním auditem manažerem kvality (povinnost daná směrnicí „Interní audit” v organizaci)
Stanovování harmonogramu jednotlivých auditů Plán jednotlivého auditu; zpracování plánu jednotlivého auditu v předstihu 14 dnů před vlastním auditem vedoucím auditu (povinnost daná směrnicí „Interní audit” v organizaci)
Stanovování cílů, předmětu a kritérií jednotlivých auditů Zpracování plánu jednotlivého auditu na stanoveném formuláři
Určování metod Zpracování plánu jednotlivého auditu na stanoveném formuláři včetně uvedení metod (vyplývá z ročního programu auditů, kde jsou již metody specifikovány v předstihu manažerem kvality)
Výběr týmu Zpracování plánu jednotlivého auditu na stanoveném formuláři včetně uvedení členů týmu a jejich úkolů (vyplývá z ročního programu auditů, kde jsou již týmy specifikovány)
Hodnocení auditorů Směrnice „Interní audit”; pracovní instrukce „Hodnocení výkonu zaměstnanců”, kde jsou stanovena KPI pro jednotlivé funkce / role; popřípadě směrnice „Nákup, výběr a hodnocení dodavatelů” (pokud je audit zajištěn formou outsourcingu, nákupu).
Stanovování komunikačních toků, pravidel Směrnice „Interní audit”; popřípadě směrnice „Monitorování výkonu”
Řešení sporů Směrnice „Interní audit”
Vyřizování stížností Směrnice „Reklamace, stížnosti” (flow chart)
Činnosti po auditu Směrnice „Interní audit”; popřípadě směrnice „Nápravná opatření”; „Management rizik”.

Schválení programu klientem auditu (viz písm. h) výše).

Předchozí úprava doporučovala „informovat vrcholové vedení o obsahu programu” a „v případě nutnosti žádat o … schválení”. Nová podoba příslušného ustanovení rovnou doporučuje, aby manažer kvality žádal o schválení klientem auditu. Vzhledem k tomu, že obsah ročního programu může mít dopad na řadu návazných činností, jeví se nová podoba doporučení jako vhodná. Aktem schválení může být podpis odpovědného představitele klienta auditu (např. CEO, ředitele apod.), nebo projednání poradou vedení, může být