2.2.123.7
Třetí vydání směrnice ČSN EN ISO 19011:2019 - Kapitola 6 – "Příprava činností auditu" (druhá část)
Ing. Monika Becková
Nahoru6.3 Příprava činností auditu
Příprava činností auditu dle kapitoly 6.3 představuje čtyři fáze, stejně jako dříve:
6.3.1 Provedení přezkoumání dokumentovaných informací
6.3.2 Plánování auditu
6.3.3 Přidělení práce týmu auditorů
6.3.4 Příprava dokumentovaných informací pro audit
6.3.1 Provedení přezkoumání dokumentovaných informací (dříve "přezkoumání dokumentů při přípravě auditu"):
Tato část je pouze drobně upřesněna (již její název je dán např. do souladu s terminologií dle ISO 9000). Mají být přezkoumány dokumentované informace (dříve dokumenty a záznamy) relevantní pro příslušný systém managementu.
Účel přezkoumání:
-
Shromáždit informace k pochopení provozu auditovaného (NOVĚ DOPLNĚNO) a potřebné pro vlastní přípravu
-
Získat přehled o rozsahu dokumentovaných informací k určení možné shody s kritérii a odhalení oblastí k dalšímu zkoumání (NOVĚ DOPLNĚNO)
-
Zjistit případné nedostatky
Přezkoumání dokumentů při přípravě má trochu jiný cíl než přezkoumání dokumentů v průběhu auditu, i když použitelné metody jsou stejné. Tato fáze se ale provádí ještě před prováděním vlastního auditu v rámci přípravy, a ne příliš detailně – jedná se spíše o celkový přehled. Důležité je v této fázi určit, jaké dokumenty patří do souboru těch, které máme v rámci přípravy přezkoumávat.
Přezkoumání má brát v úvahu kontext auditovaného vč. rizik a příležitostí (NOVĚ UPŘESNĚNO).
Co to v praxi znamená?
Pokud jde o kontext auditované organizace, zahrnuje mj. určení rozsahu systému managementu. Toto "určení" musí být dle normy ISO 9001, ISO 14001 ale i dalších dokumentované. V rámci přezkoumání dokumentace bychom se tedy měli zaměřit na to, zda je rozsah dokumentován a zda jeho určení odpovídá skutečnosti.
V případě určování rizik a příležitostí se může jednat o povinně dokumentované informace či nikoli (např. kap. 6.1 normy ISO 9001 nepožaduje dokumentovanou informaci, stejná kapitola normy ISO 14001 však ano). V rámci přezkoumání dokumentace bychom se měli zaměřit na to, zda důkazy o identifikaci a hodnocení rizik a příležitostí v dané organizaci odpovídají požadavkům příslušného systému managementu a zda jsou podle našeho prvotního odborného odhadu přiměřené, vhodné.
Směrnice se zde odkazuje na návod, jak provádět přezkoumání dokumentovaných informací (viz její nová příloha "A.5"). Aspekty přezkoumání dokumentů, které by měl mít auditor na paměti ve smyslu návodu v příloze, jsou tyto:
-
úplnost dokumentace dle požadavků příslušných norem, předpisů apod.
-
obsahová správnost jednotlivých dokumentů dle požadavků příslušných norem, předpisů apod.
-
konzistence dokumentů
-
aktuálnost dokumentů
Porovnáme-li s předchozí analogickou částí původní přílohy B.2, nic překvapivě nového zde nenajdeme.
Příklady výsledků přezkoumání dokumentovaných informací:
-
neúplné a nesprávné dokumenty (výsledkem může být neshoda);
-
úplná, správná, konzistentní dokumentace, oblast potenciálu ke zlepšení je v aktuálnosti některých dokumentů (výsledkem může být doporučení);
-
bez nedostatků, bez připomínek;
-
na dobré úrovni apod.
6.3.2 Plánování auditu:
Účel a způsob přípravy plánu auditu se nemění. Plán auditu připravuje vedoucí auditor (vedoucí týmu auditorů). Kapitola má opět dvě části, ale nyní mají nové nadpisy a jsou upřesněny a doplněny – viz dále:
6.3.2.1 Přístup k plánování založený na rizicích (NOVÝ NADPIS, UPŘESNĚNO)
Co to v praxi může znamenat? Viz následující příklady.
Příklady:
Plánování auditu založené na rizicích:
Organizace pracuje ve dvou nebo třísměnném provoze. Na každé směně se ale nutně nemusejí realizovat všechny procesy (např. noční směna provádí jen část technologií). Pokud do plánu auditu zařadíme audit procesu "výroba" pouze na dopolední hodiny, existuje riziko, že neposoudíme tento proces dostatečně, neodhalíme případné nedostatky.
Plánování auditu založené na rizicích pro auditovaného:
Jeden z navrhovaných členů týmu pracuje zároveň v jiné organizaci, která je pro auditovaného konkurenční. Existuje riziko z hlediska možného využití informací získaných při auditu pro konkurenci.
Jiný příklad:
Plán auditu zasahuje do období, ve kterém má auditovaný dokončit a předat významnou zakázku. Existuje riziko nedodržení termínů z příčiny vytížení klíčových pracovníků přítomností při auditu.
Při plánování má vedoucí týmu dále zvážit:
-
Složení týmu a celkové kompetence
-
Techniky vzorkování (s odkazem na přílohu A.6)
-
Příležitosti ke zlepšování činností auditu (NOVĚ DOPLNĚNO)
-
Rizika pro splnění cílů auditu vytvořená neefektivním plánováním (NOVĚ DOPLNĚNO)
-
Rizika vznikající pro auditovaného
Příklad:
Příležitosti ke zlepšování činností auditu mohou zahrnovat např. využití integrovaného auditu pro integrovaný systém managementu.
6.3.2.2 Podrobnosti plánování auditu (BEZ PODSTATNÝCH ZMĚN)
Plánování auditu má řešit:
-
Cíle auditu
-
Předmět, rozsah auditu
-
Kritéria
-
Místa – fyzická a virtuální (NOVĚ DOPLNĚNO)
-
Potřebu týmu seznámit se s prostory a procesy auditovaného (fyzická prohlídka / přezkoumání informačních a komunikačních technologií) (NOVĚ DOPLNĚNO)
-
Techniky vzorkování
-
Role a odpovědnosti členů týmu, průvodců a pozorovatelů
-
Přidělení zdrojů
-
Složení týmu, přidělení úloh, zdrojů na základě zvážení rizik (NOVĚ UPŘESNĚNO)
Auditní plán může dále brát např. v úvahu:
-
Identifikaci osob ze strany auditované organizace
-
Pracovní jazyk
-
Opatření pro řešení rizika (NOVĚ DOPLNĚNO)
-
Záležitosti týkající se bezpečnosti informací
-
Následná opatření z předchozích auditů
-
Případnou koordinaci s dalšími činnostmi
-
A další záležitosti
Plány mají být prezentovány auditovanému (dokonce je to zcela vhodné vzhledem k odsouhlasení budoucí proveditelnosti auditu všemi zúčastněnými stranami).
Otázky ohledně plánu mají být vyřešeny vedoucím týmu a auditovaným, pokud je to nezbytné, osobou řídící program auditů.
Rozsah a obsah auditního plánu se může (a většinou bude) lišit např. u úvodního a následných auditů.
6.3.3 Přidělení práce…
