Třetí vydání směrnice ČSN EN ISO 19011:2019 - Kapitola 5 - "Řízení programu auditů" (druhá část)

2.2.123.3

Třetí vydání směrnice ČSN EN ISO 19011:2019 - Kapitola 5 – "Řízení programu auditů" (druhá část)

Ing. Monika Becková

5.3 Určování a hodnocení rizik a příležitostí

Jedná se o PODSTATNĚ rozšířenou část Směrnice, v níž je uvedeno, že kontextu auditované organizace ("auditovaného") se týkají rizika a příležitosti, které mohou ovlivňovat rozsah a splnění cílů ročního programu auditů. Tato rizika i příležitosti má identifikovat osoba řídicí program auditů (pro zjednodušení si představme, že touto osobou je např. manažer kvality – dále v textu MK).

MK má také v případě, že je to vhodné, tato rizika a rovněž identifikované příležitosti předložit (sdělit) klientovi auditu za účelem jejich včasného řešení.

Dříve byla ustanovení týkající se rizik obsahem čl. 5.3.4 normy ISO 19011. Zahrnovala pouze šest oblastí rizik (nyní je jich popsáno osm), a o příležitostech nebyla zmínka vůbec. Nově jsou rizika i příležitosti dána do souvislostí s kontextem organizace.

Jaké jsou tedy hlavní změny, pokud jde o určování a hodnocení rizik (a příležitostí) ročního programu auditů?

Hovoříme-li o rizicích, připomeňme si definici toho termínu (definice termínu "riziko" se totiž v různých normách pro systémy managementu trochu liší).

Definice pojmů:

Riziko = "účinek nejistoty" (viz ČSN EN ISO 19011:2019, čl. 3.19).

x Pro srovnání: dřívější definice zněla:

Riziko = "vliv nejistoty na cíle" (viz ČSN EN ISO 19011:2012, čl. 3.16).

Významově se obě definice příliš neliší. K uvedené definici jsou v nové Směrnici doplněné POZNÁMKY:

• Nejistota = stav nedostatku informací (to znamená, že nedostatek informací o nějaké události nebo o jejím následku představuje určitou míru rizika, jejíž účinek, resp. dopad může být různý – může mít malou nebo velkou závažnost);

• Riziko je často popisováno také jako kombinace pravděpodobnosti výskytu nějaké (nebezpečné, nežádoucí) události x závažnosti následků (tuto definici známe např. z normy OHSAS 18001 a obecně z oblasti hodnocení rizik v bezpečnosti a ochraně zdraví při práci).

Směrnice zmiňuje celkem osm oblastí rizik a čtyři oblasti příležitostí souvisejících s ročním programem auditů.

Pokud jde o rizika, mohou být spojená:

1. S plánováním (MK například stanoví příliš malý nebo příliš velký rozsah auditů);
2. Se zdroji (auditoři mají málo času na přípravu, nebo je celkově málo auditorů);
3. S výběrem týmu auditorů (auditor nemá potřebné kompetence, nebo je ve střetu zájmů);
4. S komunikací (nejsou funkční procesy komunikace, není správně nastaven způsob předávání potřebných informací v průběhu implementace ročního programu auditů);
5. S implementací (NOVÁ oblast rizika – v rámci realizace jednotlivých auditů dle nastaveného ročního programu není zvážena bezpečnost informací, neprobíhá koordinace činností, výsledků, není včas nebo vůbec provedena změna programu, když je to potřebné);
6. S řízením dokumentovaných informací (např. nejsou vytvořeny vhodné formy záznamů z auditu, nebo nemají dobrou vypovídací schopnost);
7. S monitorováním, přezkoumáváním, zlepšováním (MK nesleduje a nevyhodnocuje data z auditů jako celek);
8. S dostupností a spoluprací ze strany auditovaného a s dostupností důkazů k vzorkování (NOVÁ oblast rizika – odpovědní pracovníci nemají čas nebo možnost se zúčastnit auditu, nejsou k dispozici potřebné informace, důkazy, není k dispozici přiměřený vzorek důkazů).

Jak se postavit k otázce rizik a příležitostí v rámci programu auditů?

Záleží samozřejmě na kontextu organizace. Malá firma s jednoduchým procesním modelem a malým počtem zaměstnanců si jako rizikovou může vyhodnotit obvykle oblast zdrojů, protože nemá (zpravidla) k dispozici vyškoleného a kompetentního auditora (a pokud už auditora má, většinou jen jednoho). K tomuto poznání není asi zapotřebí složitá analýza, stačí jednoduchá úvaha. Řešením může být nalezení vhodného externího auditora, který tuto roli převezme na základě smluvních ujednání, nebo využití příležitosti a vyškolení dvou zaměstnanců, kteří třeba mají zájem a časový prostor se této činnosti v budoucnu více věnovat.

Pro větší a složitější organizaci může být vhodné analyzovat rizika a příležitosti s pomocí různých víceméně složitějších metod – viz následující příklad tabulky rizik.