401
Řízení programu auditů (1. část)
Ing. Monika Becková
V následujících třech lekcích se budeme věnovat páté kapitole Směrnici ISO 19011, která obsahuje "Řízení programu auditů". V této lekci si probereme první tři části této kapitoly. Lekce je doplněna příklady.
NahoruKapitola 5 – "Řízení programu auditů"
Tato část Směrnice se týká širšího kontextu než jenom auditu jako takového. Obsahuje návod pro vytvoření, implementaci a zlepšování celého programu auditů. Kapitola má sedm částí. V normách pro systémy managementu je stále více zdůrazněn přístup na základě zvažování rizik, proto je této problematice vymezen velký prostor v této Směrnici.
Části 5. kapitoly normy ČSN EN ISO 19011:2019 ukazuje následující tabulka:
NahoruObecně (k programu auditů):
Jedná se o část Směrnice, v níž je uvedeno, že má být stanoven program auditů, který může zahrnovat jeden nebo více auditů, pro jeden nebo více systémů managementu. Co vlastně program auditů je? Protože se v praxi stále zaměňují termíny "plán" a "program" auditů, připomeneme si definici termínu.
Definice pojmů:
Program auditů = "opatření pro soubor jednoho nebo více auditů plánovaných pro specifický časový rámec a zaměřený na specifický účel" (viz ČSN EN ISO 19011:2019, čl. 3.4).
Pro lepší zapamatování budeme dále označovat program auditů jako "roční PROGRAM" (na rozdíl od PLÁNU jednoho AUDITU, který je pouze jednou z položek v ročním PROGRAMU). Nicméně program může být vytvořen i na kratší či delší období, než je jeden rok. Jeho rozsah záleží na velikosti, povaze, funkčnosti (kontextu) organizace, a na typu rizik a příležitostí auditovaného systému managementu.
Zvláštní pozornost by se měla při vytváření ročního programu auditů věnovat následujícím oblastem:
-
Outsourcingu důležitých funkcí: to znamená, že pokud je nějaký proces nebo jeho část, důležitá pro auditovaný systém managementu, zajišťována externě – dodavatelsky, může být vhodné zařadit do ročního programu auditů i takového dodavatele.
-
Vrcholovému vedení: top management, který činí důležitá rozhodnutí, by měl být součástí auditu (tj. měl by být také auditován, na to se často zapomíná).
-
Výběru lokalit v případě, že organizace je na více místech: měl by být vždy vybrán odpovídající vzorek pracovišť, která budou zahrnuta do ročního programu (např. má-li organizace celkem 9 poboček, bude vybrán vzorek 1/3 každý rok tak, aby během tříletého období byly auditovány všechny; centrála bude auditována každý rok nejméně jednou. Na to se rovněž často zapomíná).
Aby byl pochopen kontext auditovaného (pozn.: tento termín je používán ve Směrnici v souladu s dřívějšími změnami v ISO 9001, ISO 14001, ISO 45001) program má vzít v úvahu:
-
Cíle auditované organizace
-
Relevantní externí a interní aspekty / záležitosti (faktory) auditované organizace (pozn.: "auditovaného")
-
Potřeby a očekávání zainteresovaných stran
-
Požadavky na bezpečnost informací
Příklady k těmto ustanovením opět formou tabulky:
Priorita je dána těm záležitostem v systému managementu, které:
Použití výše zmíněných priorit může znamenat následující řešení:
- Proces výroby určitého dílu představuje z hlediska finálního výrobku vyšší riziko (objevuje se více zmetků, reklamací apod.) – četnost tohoto procesu bude v ročním programu větší.
- Významný dodavatel externího procesu (tzv. outsourcingu) může být zahrnut v ročním programu jako předmět auditu (budeme tedy auditovat toho dodavatele).
- Existence více poboček v organizaci by měla znamenat přístup na základě vzorkování, riziková pobočka (např. z hlediska počtu závad při kontrolách nebo vyššího počtu reklamací) by měla vést k četnějšímu auditu na této pobočce než jiná (např. každoročně nebo 2 x i více za rok).
Roční program má vytvářet "osoba řídicí program auditů" (těchto osob může být víc – pokud jde o integrovaný systém řízení, může být např. jedna osoba odpovědná za řízení programu auditů pro systém managementu kvality, jiná pro BOZP; takový přístup ale nemusí být příliš efektivní a v praxi se s ním často nesetkáme).
Důležitá ustanovení této části:
Osoba (osoby) řídicí program auditů má (mají) zajišťovat:
- - Udržování integrity auditu (např. při provádění změn v ročním programu z hlediska cílů, rozsahu, předmětu auditů);
- - Zabraňování přílišnému ovlivňování auditu (vazba na princip nezávislosti, nestrannosti).
A dále:
"Řízení programu auditů má být přiděleno kompetentním osobám."
Pokud jde o kompetence, věnuje se jim kapitola 7 Směrnice, ale v ní jde zejména o auditory. Nesmíme však zapomínat, že osoba, která řídí program auditů, zastává určitou roli v rámci systému řízení (stejně jako např. manažer kvality, metrolog, interní auditor apod.), a byť nemusí jít o pracovní pozici, která má vytvořenu pracovní náplň a kvalifikační požadavky, i v tomto případě je na místě takové požadavky vytvořit – viz následující příklad části přehledu požadavků na jednotlivé funkce z organizačního řádu.
Tab.: Příklady požadavků na jednotlivé funkce / role v systému managementu