dnes je 24.5.2024

Input:

Řízení programu auditů (1. část)

12.8.2022, , Zdroj: Verlag Dashöfer

401
Řízení programu auditů (1. část)

Ing. Monika Becková

V následujících třech lekcích se budeme věnovat páté kapitole Směrnici ISO 19011, která obsahuje "Řízení programu auditů". V této lekci si probereme první tři části této kapitoly. Lekce je doplněna příklady.

Kapitola 5 – "Řízení programu auditů"

Tato část Směrnice se týká širšího kontextu než jenom auditu jako takového. Obsahuje návod pro vytvoření, implementaci a zlepšování celého programu auditů. Kapitola má sedm částí. V normách pro systémy managementu je stále více zdůrazněn přístup na základě zvažování rizik, proto je této problematice vymezen velký prostor v této Směrnici.

Části 5. kapitoly normy ČSN EN ISO 19011:2019 ukazuje následující tabulka:

ČSN EN ISO 19011:2019
5 Řízení programu auditů
5.1 Obecně
5.2 Stanovování cílů programu auditů
5.3 Určování a hodnocení rizik a příležitostí programu auditů
5.4 Stanovování programu auditů
5.5 Implementace programu auditů
5.6 Monitorování programu auditů
5.7 Přezkoumávání a zlepšování programu auditů

Obecně (k programu auditů):

Jedná se o část Směrnice, v níž je uvedeno, že má být stanoven program auditů, který může zahrnovat jeden nebo více auditů, pro jeden nebo více systémů managementu. Co vlastně program auditů je? Protože se v praxi stále zaměňují termíny "plán" a "program" auditů, připomeneme si definici termínu.

Definice pojmů:

Program auditů = "opatření pro soubor jednoho nebo více auditů plánovaných pro specifický časový rámec a zaměřený na specifický účel" (viz ČSN EN ISO 19011:2019, čl. 3.4).

Pro lepší zapamatování budeme dále označovat program auditů jako "roční PROGRAM" (na rozdíl od PLÁNU jednoho AUDITU, který je pouze jednou z položek v ročním PROGRAMU). Nicméně program může být vytvořen i na kratší či delší období, než je jeden rok. Jeho rozsah záleží na velikosti, povaze, funkčnosti (kontextu) organizace, a na typu rizik a příležitostí auditovaného systému managementu.

Zvláštní pozornost by se měla při vytváření ročního programu auditů věnovat následujícím oblastem:

  • Outsourcingu důležitých funkcí: to znamená, že pokud je nějaký proces nebo jeho část, důležitá pro auditovaný systém managementu, zajišťována externě – dodavatelsky, může být vhodné zařadit do ročního programu auditů i takového dodavatele.

  • Vrcholovému vedení: top management, který činí důležitá rozhodnutí, by měl být součástí auditu (tj. měl by být také auditován, na to se často zapomíná).

  • Výběru lokalit v případě, že organizace je na více místech: měl by být vždy vybrán odpovídající vzorek pracovišť, která budou zahrnuta do ročního programu (např. má-li organizace celkem 9 poboček, bude vybrán vzorek 1/3 každý rok tak, aby během tříletého období byly auditovány všechny; centrála bude auditována každý rok nejméně jednou. Na to se rovněž často zapomíná).

Aby byl pochopen kontext auditovaného (pozn.: tento termín je používán ve Směrnici v souladu s dřívějšími změnami v ISO 9001, ISO 14001, ISO 45001) program má vzít v úvahu:

  • Cíle auditované organizace

  • Relevantní externí a interní aspekty / záležitosti (faktory) auditované organizace (pozn.: "auditovaného")

  • Potřeby a očekávání zainteresovaných stran

  • Požadavky na bezpečnost informací

Příklady k těmto ustanovením opět formou tabulky:

Kontext auditovaného: Oblasti pozornosti při vytváření ročního programu:
Rozšíření činností o nový proces (= rozšíření rozsahu systému managementu a tím i kontextu organizace). Cíl auditované organizace z hlediska zavedení nového procesu se promítne do rozsahu ročního programu auditů např. zařazením nového procesu a jeho prověřením jako jednoho z interních auditů.
K novým externím aspektům organizace patří změna legislativy v oblasti posuzování shody stanovených výrobků. Relevantní externí a interní aspekty / záležitosti v tomto smyslu představují shodu interních postupů s novou legislativou; to se promítne do ročního programu auditů např. zařazením auditu zaměřeného na soulad s požadavky příslušných předpisů.
Zainteresovanou stranou jsou např. zákazníci; ti očekávají zlepšení kvality vzhledem k opakovanému výskytu reklamací. Potřeby a očekávání zainteresované strany se promítnou v tomto případě do ročního programu auditů zařazením auditu zaměřeného na kořenové příčiny neshod.
Součástí auditů má být i audit u významného dodavatele (audit druhou stranou). Požadavky na bezpečnost informací se promítnou do dohody ohledně utajení informací z auditu s dodavatelem.

Priorita je dána těm záležitostem v systému managementu, které:

  • Zahrnují vyšší rizika

  • Mají nižší úroveň výkonnosti

Použití výše zmíněných priorit může znamenat následující řešení:

  1. Proces výroby určitého dílu představuje z hlediska finálního výrobku vyšší riziko (objevuje se více zmetků, reklamací apod.) – četnost tohoto procesu bude v ročním programu větší.
  2. Významný dodavatel externího procesu (tzv. outsourcingu) může být zahrnut v ročním programu jako předmět auditu (budeme tedy auditovat toho dodavatele).
  3. Existence více poboček v organizaci by měla znamenat přístup na základě vzorkování, riziková pobočka (např. z hlediska počtu závad při kontrolách nebo vyššího počtu reklamací) by měla vést k četnějšímu auditu na této pobočce než jiná (např. každoročně nebo 2 x i více za rok).

Roční program má vytvářet "osoba řídicí program auditů" (těchto osob může být víc – pokud jde o integrovaný systém řízení, může být např. jedna osoba odpovědná za řízení programu auditů pro systém managementu kvality, jiná pro BOZP; takový přístup ale nemusí být příliš efektivní a v praxi se s ním často nesetkáme).

Důležitá ustanovení této části:

Osoba (osoby) řídicí program auditů má (mají) zajišťovat:

  • - Udržování integrity auditu (např. při provádění změn v ročním programu z hlediska cílů, rozsahu, předmětu auditů);
  • - Zabraňování přílišnému ovlivňování auditu (vazba na princip nezávislosti, nestrannosti).

A dále:

"Řízení programu auditů má být přiděleno kompetentním osobám."

Pokud jde o kompetence, věnuje se jim kapitola 7 Směrnice, ale v ní jde zejména o auditory. Nesmíme však zapomínat, že osoba, která řídí program auditů, zastává určitou roli v rámci systému řízení (stejně jako např. manažer kvality, metrolog, interní auditor apod.), a byť nemusí jít o pracovní pozici, která má vytvořenu pracovní náplň a kvalifikační požadavky, i v tomto případě je na místě takové požadavky vytvořit – viz následující příklad části přehledu požadavků na jednotlivé funkce z organizačního řádu.

Tab.: Příklady požadavků na jednotlivé funkce / role v systému managementu

Nahrávám...
Nahrávám...