ČSN EN ISO 19011:2012 Směrnice pro auditování systémů managementu

Transkript

1 ČSN EN ISO 19011:2012 Směrnice pro auditování systémů managementu

2 ČSN EN ISO 19011:2012 Nahrazuje ČSN EN ISO z roku 2003 Hlavní změny: Rozšíření předmětu auditování i na další systémy managementu Vyjasnění vztahu mezi ISO a ISO/IEC Zavedení metody auditu prováděného na dálku a koncepce rizik Zařazen nový princip auditování důvěrnost

3 ČSN EN ISO 19011:2012 Hlavní změny: Přepracování kapitol 5, 6 a 7 Příloha B Další návod pro auditory k plánování a provádění auditů Posílení procesu určování a hodnocení kompetencí Nová příloha A zahrnuje Návod a názorné příklady znalostí a dovedností auditorů specifických pro určitý obor

4 ČSN EN ISO 19011:2012 Je návodem pro všechny organizace k provádění: auditů první stranou (interní audit) a auditů druhou stranou (zákaznické audity). Audit třetí stranou pro účely certifikace viz požadavky ISO/IEC Kombinovaný audit - audit dvou nebo více systémů managementu z různých oborů prováděný společně; u integrovaných systémů managementu do jednoho systému, jsou principy a procesy auditování stejné jako u kombinovaného auditu.

5 ČSN EN ISO 19011:2012 Nestanovuje požadavky, ale je návodem: k řízení programu auditů, k plánování a provádění auditů systému managementu ke kompetencím a hodnocení auditorů

6 ČSN EN ISO 19011:2012 Určena pro použití všech možných uživatelů: Auditorů Organizací implementujících systémy managementu Organizací, které provádí audity systému managementu na základě smluvních nebo právních důvodů Možnost využití jako návodu pro vytvoření vlastních požadavků týkajících se auditu Pozn.: vlastní postup, směrnice k provádění interních auditů v organizaci Využití v organizacích zabývajících se výcvikem auditorů nebo certifikací osob

7 ČSN EN ISO 19011:2012 Zavedení koncepce rizik do auditování - riziko, že proces auditu nedosáhne svých cílů - riziko potenciální možnosti narušení činnosti a procesů auditované organizace Neposkytuje specifický návod k procesu managementu rizik organizace, ale respektuje, že organizace mohou zaměřit úsilí v rámci auditu na záležitosti, které mají velký význam pro systém managementu

8 ČSN EN ISO 19011:2012 Kapitola 3 - stanovuje zásadní termíny a definice používané v této normě Kapitola 4 - popisuje principy, na kterých je auditování založeno Kapitola 5 - poskytuje návod ke stanovení a řízení programu auditů, stanovení cílů programu auditů a koordinování činností auditu Kapitola 6 poskytuje návod k plánování a provádění auditu systému managementu

9 ČSN EN ISO 19011:2012 Kapitola 7 poskytuje návod týkající se kompetencí a hodnocení auditorů systému managementu a týmu auditorů. Příloha A znázorňuje v kapitole 7 aplikaci návodu pro různé obory Příloha B poskytuje auditorům další návod k plánování a provádění auditů

10 1 Předmět Tato mezinárodní norma poskytuje návod k auditování systémů managementu, včetně principů auditování, řízení programu auditů, provádění auditů systému managementu a návod k hodnocení kompetencí jednotlivců, kteří jsou součástí procesu auditu, včetně osob řídících program auditů, auditory a týmy auditorů

11 1 Předmět Je použitelná ve všech organizacích, které potřebují provádět interní nebo externí audity systémů managementu nebo řídit program auditů. Aplikace této mezinárodní normy na další typy auditů je možná v případě, že jsou zváženy potřebné specifické kompetence

12 2 Citované dokumenty Nejsou citovány žádné normativní dokumenty

13 3 Termíny a definice Pro účely tohoto dokumentu platí následující termíny a definice. Audit systematický, nezávislý a dokumentovaný proces pro získání důkazu z auditu (3.3) a pro jeho objektivní hodnocení s cílem stanovit rozsah, v němž jsou splněna kritéria auditu (3.2)

14 3 Termíny a definice POZNÁMKA 1 Interní audity, někdy nazývané audity první stranou, jsou prováděny samotnou organizací nebo v jejím zastoupení pro přezkoumání systému managementu nebo k dalším interním účelům (např. potvrzení efektivnosti systému managementu nebo získání informací pro zlepšování systému managementu). Interní audity mohou být základem pro vlastní prohlášení shody vydané samotnou organizací. V mnoha případech, zejména v malých organizacích, může být nezávislost prokazována vyloučením odpovědnosti za auditovanou činnost nebo vyloučením předpojatosti nebo konfliktu zájmů. POZNÁMKA 2 Externí audity zahrnují audity prováděné druhou a třetí stranou. Audity prováděné druhou stranou provádějí strany, které mají zájem na organizaci, např. zákazníci nebo jiné osoby z jejich pověření. Audity třetí stranou jsou prováděny nezávislými auditorskými organizacemi, jako jsou dozorové orgány nebo organizace poskytující certifikaci

15 3 Termíny a definice POZNÁMKA 3 Pokud jsou dva nebo více systémů managementu z různých oborů (např. kvalita, environment, bezpečnost a ochrana zdraví při práci) auditovány společně, nazývá se takový audit kombinovaným auditem. POZNÁMKA 4 Pokud dvě nebo více auditujících organizací spolupracují na auditu jedné auditované organizace (3.7), nazývá se takový audit společným auditem. POZNÁMKA 5 Upraveno z ISO 9000:2005, definice

16 3 Termíny a definice kritéria auditu soubor politik, postupů nebo požadavků používaných jako základ, se kterým se porovnávají důkazy z auditu (3.3) POZNÁMKA 1 Upraveno z ISO 9000:2005, definice POZNÁMKA 2 Zahrnují-li kritéria auditu legislativní požadavky (včetně požadavků zákonů a předpisů), jsou ve zjištěních z auditu (3.4) často užívána slova v souladu nebo v nesouladu

17 3 Termíny a definice důkazy z auditu záznamy, konstatování skutečnosti nebo jiné informace, které souvisejí s kritérii auditu (3.2) a jsou ověřitelné POZNÁMKA Důkazy z auditu mohou být kvantitativní nebo kvalitativní

18 3 Termíny a definice zjištění z auditu výsledky hodnocení shromážděných důkazů z auditu (3.3) podle kritérií auditu (3.2) POZNÁMKA 1 Zjištění z auditu indikují shodu nebo neshodu. POZNÁMKA 2 Zjištění z auditu mohou vést k identifikaci příležitostí ke zlepšování nebo mohou být záznamem správných postupů. POZNÁMKA 3 Jsou-li jako kritéria auditu zvoleny legislativní nebo jiné požadavky, jsou zjištění z auditu označována jako soulad nebo nesoulad s požadavky. POZNÁMKA 4 Upraveno z ISO 9000:2005, definice

19 3 Termíny a definice závěr z auditu výstup z auditu (3.1) po zvážení cílů auditu a všech zjištění z auditu (3.4). POZNÁMKA Upraveno z ISO 9000:2005, definice

20 3 Termíny a definice klient auditu organizace nebo osoba žádající o audit (3.1) POZNÁMKA 1 V případě interního auditu může být klientem auditu i auditovaná organizace (3.7) nebo osoba řídící program auditů. Žádosti o externí audit mohou pocházet od subjektů, jako jsou dozorové orgány, smluvní strany nebo potenciální klienti. POZNÁMKA 2 Upraveno z ISO 9000:2005, definice

21 3 Termíny a definice auditovaná organizace organizace, u které se provádí audit

22 3 Termíny a definice auditor osoba provádějící audit (3.1) tým auditorů jeden nebo více auditorů (3.8), kteří provádějí audit (3.1), podporovaných v případě potřeby technickými experty (3.10) POZNÁMKA 1 Jeden auditor z týmu auditorů je jmenován vedoucím týmu auditorů. POZNÁMKA 2 Tým auditorů smí zahrnovat i auditory v přípravě

23 3 Termíny a definice technický expert osoba, která poskytuje týmu auditorů (3.9) specifické znalosti nebo odborné posudky POZNÁMKA 1 Specifické znalosti nebo odborné posudky jsou ty, které souvisí s organizací, procesem nebo s činností, která má být auditována, nebo jazykem nebo kulturními zvyklostmi. POZNÁMKA 2 Technický expert nejedná v týmu auditorů jako auditor (3.8)

24 3 Termíny a definice pozorovatel osoba, která doprovází tým auditorů (3.9), ale neprovádí audit POZNÁMKA 1 Pozorovatel není součástí týmu auditorů (3.9) a neovlivňuje provádění auditu (3.1), ani do něj nezasahuje. POZNÁMKA 2 Pozorovatel může být z auditované organizace (3.7), dozorového orgánu nebo další zainteresované strany, která dohlíží na audit (3.1)

25 3 Termíny a definice průvodce osoba, která pomáhá týmu auditorů (3.9) a je jmenována auditovanou organizací (3.7)

26 3 Termíny a definice program auditů sestavení souboru jednoho nebo více auditů (3.1) naplánovaných pro určitý časový rámec a zaměřených na specifický účel

27 3 Termíny a definice předmět auditu rozsah a vymezení auditu (3.1) POZNÁMKA Předmět auditu obvykle zahrnuje popis fyzických míst, organizačních jednotek, činností a procesu a rovněž časový rozsah auditu

28 3 Termíny a definice plán auditu popis činností a uspořádání organizace auditu (3.1)

29 3 Termíny a definice riziko vliv nejistoty na cíle POZNÁMKA Upraveno z ISO Pokyn 73:2009, definice

30 3 Termíny a definice kompetence schopnost aplikovat znalosti a dovednosti s cílem dosahovat zamýšlených výsledků POZNÁMKA Tato schopnost předpokládá vhodné uplatnění osobního chování v rámci procesu auditu

31 3 Termíny a definice shoda splnění požadavku neshoda nesplnění požadavku

32 3 Termíny a definice systém managementu systém pro stanovení politiky a cílů a k dosažení těchto cílů POZNÁMKA Systém managementu organizace může zahrnovat různé systémy managementu, jako je například systém managementu kvality, systém managementu financí nebo systém environmentálního managementu

33 4 Principy auditování Auditování je postaveno na 6 principech. Jejich dodržování umožňuje, aby byl audit efektivním a spolehlivým nástrojem podpory politik a nástrojů managementu, prostřednictvím poskytování informací, na jejichž základě může organizace jednat s cílem zlepšovat svou výkonnost. Dodržení těchto principů je předpokladem, že závěry z auditu jsou relevantní a dostatečné pro to, aby auditoři, pracující nezávisle na sobě, došli k podobným závěrům za podobných okolností

34 4 Principy auditování a) Integrita: základ profesionality Auditoři a osoby řídící program auditů mají: vykonávat svou práci poctivě, svědomitě a odpovědně; sledovat všechny aplikovatelné legislativní požadavky a být s nimi v souladu; prokazovat kompetence v průběhu výkonu práce; provádět svou práci nestranným způsobem, tj. ve všech případech být spravedliví a nepodjatí; vnímat veškeré vlivy, narušující jejich úsudek v rámci provádění auditu

35 4 Principy auditování b) Spravedlivé prezentování: povinnost podávat pravdivé a přesné zprávy Zjištění z auditu, závěry z auditu a zprávy z auditu mají pravdivě a přesně odrážet činnosti při auditu. Mají být podávány zprávy o významných překážkách, na které se při auditu narazilo, a o nevyřešených rozdílech názorů mezi týmem auditorů a auditovanou organizací. Komunikace má být pravdivá, přesná, objektivní, včasná, jasná a úplná

36 4 Principy auditování c) Profesionální přístup: uplatňování pečlivosti a správného úsudku Auditoři mají věnovat svým činnostem náležitou péči, která je v souladu s významem vykonávaného úkolu a důvěrou, kterou v něj vkládá klient auditu nebo další zainteresované strany. Důležitým faktorem při provádění jejich práce s náležitou profesionální péčí je existence schopnosti činit odůvodněná rozhodnutí ve všech situacích, které mohou v rámci auditu nastat

37 4 Principy auditování d) Důvěrnost: bezpečnost informací Auditoři mají být opatrní při využívání a ochraně informací získaných při vykonávání svých povinností. Informace z auditu nemají být auditorem nebo klientem auditu nevhodně využívány k vlastnímu prospěchu, nebo způsobem, který škodí legitimním zájmům auditované organizace. Tento koncept zahrnuje řádné nakládání s citlivými nebo důvěrnými informacemi

38 4 Principy auditování Nezávislost: základ nestrannosti auditu a objektivity závěrů z auditu Všude, kde je to proveditelné, mají být auditoři nezávislí na auditované činnosti a mají ve všech případech jednat způsobem, který vylučuje předpojatost nebo konflikt zájmů. U interních auditů mají být auditoři nezávislí na provozních manažerech auditovaných funkcí

39 4 Principy auditování Auditoři si mají udržovat objektivitu v rámci celého procesu auditu, aby bylo zajištěno, že jsou zjištění z auditu a závěry z auditu založeny pouze na důkazech z auditu. V malých organizacích nemusí být možné dosáhnout úplné nezávislosti interních auditorů na auditovaných činnostech. Přesto má být snaha o co nejvyšší odstranění možného střetu zájmů a pro podporu objektivity

40 4 Principy auditování Průkaznost: racionální metoda dosahování spolehlivých a reprodukovatelných závěrů z auditu v rámci systematického procesu auditu Důkazy z auditu mají být ověřitelné. Jelikož je audit prováděn v rámci omezeného časového úseku a s omezenými zdroji, budou důkazy z auditu založeny na vzorcích dostupných informací. Má být využito vhodné vzorkování, jelikož úzce souvisí se spolehlivostí závěrů z auditu

41 5 Řízení programu auditů 5.1 Obecně Organizace, která potřebuje provádět audity, má vytvořit program auditů, který pomáhá při určení efektivnosti systému managementu auditované organizace. Program auditů může zahrnovat audity podle jedné, nebo více norem systémů managementu, které mohou být prováděny odděleně nebo kombinovaně

42 5 Řízení programu auditů 5.1 Obecně Vrcholové vedení má zajistit, že jsou stanoveny cíle programu auditů a jmenována jedna nebo více Kompetentních osob pro řízení programů auditů. Rozsah programu auditů má být založen na velikosti a povaze auditované organizace, stejně jako na povaze, funkčnosti, složitosti a vyspělosti auditovaného systému managementu

43 5 Řízení programu auditů 5.1 Obecně Prioritou má být přidělování zdrojů programu auditů těm záležitostem, které mají v rámci systému managementu význam. To může zahrnovat hlavní charakteristiky kvality produktu, rizika týkající se bezpečnosti a ochrany zdraví při práci nebo významné environmentální aspekty a jejich řízení. POZNÁMKA Tento koncept je běžně znám jako auditování založené na rizicích. K této záležitosti tato mezinárodní norma neposkytuje další návod

44 5 Řízení programu auditů 5.1 Obecně Program auditů má zahrnovat informace a zdroje nezbytné k organizování a provádění auditů efektivním a účinným způsobem v rámci specifikovaných časových rámců. Může také zahrnovat: cíle programu auditů a jednotlivých auditů; rozsah/počet/druhy/doby trvání/místa/časové harmonogramy auditů; řízení programu auditů; kritéria auditů; metody auditů; výběr týmu auditorů; nezbytné zdroje, včetně cestování a ubytování; procesy pro zacházení s důvěrnými informacemi, bezpečnosti informací, bezpečnosti a ochrany zdraví při práci a další obdobné záležitosti

45 5 Řízení programu auditů 5.1 Obecně Realizace programu auditů má být monitorována a měřena tak, aby bylo zajištěno dosažení cílů. Program auditů má být přezkoumáván s cílem identifikovat možné příležitosti pro jeho zlepšování. Obrázek 1 zobrazuje průběh řízení programu auditů

46 POZNÁMKA 1 Tento obrázek ukazuje užití cyklu plánuj-dělej-kontroluj-jednej v této mezinárodní normě. 46 POZNÁMKA 2 Číslování kapitol/článků se odkazuje na relevantní kapitoly/články této mezinárodní normy.

47 5 Řízení programu auditů 5.2 Stanovování cílů programu auditů Vrcholové vedení má zajistit stanovení cílů programu auditů, které směrují k plánování a provádění jednotlivých auditů a má zajistit, že je program auditů realizován efektivně. Cíle programu auditů mají být v souladu s politikami a cíli systému managementu a měly by je podporovat

48 5 Řízení programu auditů 5.2 Stanovování cílů programu auditů Tyto cíle mohou být založeny na zvážení: a) priorit managementu; b) komerčních a dalších podnikatelských záměrů, c) charakteristik procesů, produktů a projektů a všech jejich změn; d) požadavků systémů managementu; e) legislativních a smluvních požadavků a dalších požadavků, k jejichž dodržování se organizace zavázala; f) potřeb hodnocení dodavatelů; g) potřeb a očekávání zainteresovaných stran, včetně zákazníků; h) úrovně výkonnosti auditované organizace, která se odráží ve výskytu chyb, incidentů nebo stížností zákazníka; i) rizik pro auditovanou organizaci; j) výsledků předchozích auditů; k) úrovně vyspělosti systému managementu.

49 5 Řízení programu auditů 5.2 Stanovování cílů programu auditů Příklady cílů programu auditů zahrnují: přispívat ke zlepšování systému managementu a jeho výkonnosti; plnit externí požadavky, např. certifikace podle normy systému managementu; ověřovat shodu se smluvními požadavky; získat a udržovat důvěru ve způsobilost dodavatele; určovat efektivnost systému managementu; hodnotit kompatibilitu a shodu cílů systému managementu s politikou systému managementu a celkovými cíli organizace

50 5 Řízení programu auditů 5.3 Stanovování programu auditů Role a odpovědnosti osob řídících program auditů Osoba řídící program auditů má: určovat rozsah programu auditů; identifikovat a hodnotit rizika programu auditů; určovat odpovědnosti v rámci auditu; určovat postupy programů auditů; určovat nezbytné zdroje;

51 5 Řízení programu auditů 5.3 Stanovování programu auditů Role a odpovědnosti osob řídících program auditů zajišťovat realizaci programu auditů, včetně stanovování cílů, předmětu a kritérií jednotlivých auditů, určování metod provádění auditu, výběru týmu auditorů a hodnocení auditorů; řídit a udržovat vhodné záznamy o programu auditů; monitorovat, přezkoumávat a zlepšovat program auditů

52 5 Řízení programu auditů 5.3 Stanovování programu auditů Role a odpovědnosti osob řídících program auditů Osoba řídící program auditů má informovat vrcholové vedení o obsahu programu auditů a v případě nutnosti žádat o jeho schválení

53 5 Řízení programu auditů 5.3 Stanovování programu auditů Kompetence osoby řídící program auditů Osoba řídící program auditů má mít nezbytné kompetence pro jeho řízení včetně souvisejících rizik efektivním a účinným způsobem, stejně jako znalosti a dovednosti v následujících oblastech: principy, postupy a metody auditu; normy systémů managementu a související dokumenty; činnosti, produkty a procesy auditované organizace; aplikovatelné legislativní a další požadavky týkající se činností a produktů auditované organizace; případně znalosti o zákaznících, dodavatelích a dalších zainteresovaných stranách auditované organizace

54 5 Řízení programu auditů 5.3 Stanovování programu auditů Kompetence osoby řídící program auditů Osoba řídící program auditů se má zapojovat do vhodných činností trvalého profesního rozvoje, aby si udržovala znalosti a dovednosti nezbytné pro řízení programu auditů

55 5 Řízení programu auditů 5.3 Stanovování programu auditů Stanovování rozsahu programu auditů Osoba řídící program auditů má určovat rozsah programu auditů, který se může lišit na základě velikosti a typu auditované organizace, stejně jako povaze, funkcích, složitosti a úrovni vyspělosti a významných záležitostí auditovaného systému managementu. POZNÁMKA V některých případech, v závislosti na struktuře auditované organizace a jejích činnostech, může program auditů zahrnovat pouze jeden audit (např. projektování v malém rozsahu)

56 5 Řízení programu auditů 5.3 Stanovování programu auditů Stanovování rozsahu programu auditů Další faktory ovlivňující rozsah programu auditů zahrnují: cíle, předmět a dobu trvání každého auditu a počet auditů, které mají být provedeny a pokud to přichází v úvahu, i včetně činností následujících po auditu; počet, význam, složitost, podobnost a umístění auditovaných činností; faktory ovlivňující efektivnost systému managementu; použitelná kritéria auditu, jako jsou např. plánovaná opatření pro příslušné řízení, normy, legislativní a smluvní požadavky a další požadavky, k jejichž dodržování se organizace zavázala; závěry z předchozích interních nebo externích auditů; výsledky předchozích přezkoumání programu auditů;

57 5 Řízení programu auditů 5.3 Stanovování programu auditů Stanovování rozsahu programu auditů Další faktory ovlivňující rozsah programu auditů zahrnují: jazyk, kulturní a sociální otázky; otázky týkající se zainteresovaných stran, jako jsou stížnosti zákazníka nebo nedodržení legislativních požadavků; významné změny auditované organizace nebo jejího provozu; dostupnost informačních a komunikačních technologií pro podporu činností při auditu, zejména využití metod auditu prováděného na dálku (viz kapitola B.1); výskyt interních a externích událostí, jako jsou chyby produktů, úniky informací, incidenty v oblasti bezpečnosti a ochrany zdraví při práci, trestné činy nebo environmentální incidenty

58 5 Řízení programu auditů 5.3 Stanovování programu auditů Identifikace a hodnocení rizik programu auditů Mohou existovat různá rizika spojená se stanovováním, realizací, monitorováním, přezkoumáváním a zlepšováním programu auditů, která mohou ovlivňovat dosahování jeho cílů. Osoba řídící program auditů má vzít tato rizika v úvahu při vytváření programu auditů. Tato rizika mohou být spojena:

59 5 Řízení programu auditů 5.3 Stanovování programu auditů Identifikace a hodnocení rizik programu auditů Tato rizika mohou být spojena: s plánováním, např. chyba při stanovení relevantních cílů auditu a určení rozsahu programu auditů; se zdroji, např. přidělení nedostatečného času pro vytváření programu auditů nebo pro provádění auditu; s výběrem týmu auditorů, např. tým dohromady nemá kompetence pro efektivní provedení auditu; s realizací, např. neefektivní komunikace o programu auditů; se záznamy a jejich řízením, např. neschopnost dostatečně chránit záznamy z auditu, které prokazují efektivnost programu auditů; s monitorováním, přezkoumáváním a zlepšováním programu auditů, např. neefektivní monitorování výsledků programu auditů

60 5 Řízení programu auditů 5.3 Stanovování programu auditů Stanovování postupů programu auditů Pokud to přichází v úvahu, má osoba řídící program auditů vytvořit jeden nebo více postupů, které řeší: plánování a vytváření časových rozvrhů auditů s přihlédnutím k rizikům programu auditů; zajišťování bezpečnosti a důvěrnosti informací; zajišťování kompetencí auditorů a vedoucích týmu auditorů; výběr vhodných týmů auditorů a přidělování rolí a odpovědností; provádění auditů, včetně využití vhodných metod vzorkování; pokud to přichází v úvahu, provádění následného auditu; podávání zpráv vrcholovému vedení o celkových výsledcích programu auditů; udržování záznamů o programu auditů; monitorování a přezkoumávání výkonnosti a rizik a zlepšování efektivnosti programu auditů. 60

61 5 Řízení programu auditů 5.3 Stanovování programu auditů Identifikace zdrojů programu auditů Při identifikování zdrojů pro program auditů má osoba řídící program auditů zvažovat: finanční zdroje nezbytné pro vytváření, implementaci, řízení a zlepšování činností při auditu; metody auditu; dostupnost auditorů a technických expertů majících kompetence vhodné pro určité cíle programu auditů; rozsah programu auditů a rizik programu auditu; dobu na cestu, náklady, ubytování a další potřeby auditu; dostupnost informačních a komunikačních technologií

62 5 Řízení programu auditů 5.4 Realizace programu auditů Obecně Osoba řídící program auditů má realizovat program auditů prostřednictvím: oznamování programu auditů příslušným stranám a pravidelného informování o průběhu programu auditů; stanovování cílů, předmětů a kritérií jednotlivých auditů; koordinování a plánování konání auditů a dalších činnosti týkající se programu auditů; zajišťování výběru týmů auditorů s nezbytnými kompetencemi; poskytování týmům auditorů nezbytné zdroje; zajišťování provádění auditů v souladu s programem auditů a v odsouhlasených časových rámcích; zajišťování pořizování záznamů o činnostech při auditu a jejich správné řízení a udržování. 62

63 5 Řízení programu auditů 5.4 Realizace programu auditů Stanovení cílů, předmětu a kritérií auditu Každý jednotlivý audit má být založen na dokumentovaných cílech, předmětu a kritériích auditu Stanovených osobou řídící program auditů a konzistentních s celkovými cíli programu auditů

64 5 Řízení programu auditů 5.4 Realizace programu auditů Stanovení cílů, předmětu a kritérií auditu Cíle auditu určují, čeho má být auditem dosaženo, a mohou zahrnovat: stanovení rozsahu shody auditovaného systému managementu, nebo jeho částí, s kritérii auditu; stanovení úrovně shody činností, procesů a produktů s požadavky a postupy systému managementu; hodnocení způsobilosti systému managementu zajišťovat shodu s legislativními a smluvními požadavky a dalšími požadavky, k jejichž dodržování se organizace zavázala; hodnocení efektivnosti systému managementu při plnění jeho specifických cílů; identifikaci oblastí pro potenciální zlepšování systému managementu

65 5 Řízení programu auditů 5.4 Realizace programu auditů Stanovení cílů, předmětu a kritérií auditu Předmět auditu má být v souladu s programem auditů a cíli auditu. To zahrnuje takové faktory, jako jsou místa auditu, organizační jednotky, činnosti a procesy, které mají být auditovány, stejně jako dobu auditu. Kritéria auditu jsou využívána jako reference, na základě které je určována shoda nebo soulad a mohou zahrnovat použitelné politiky, cíle, postupy, normy, legislativní požadavky, požadavky systémů managementu, smluvní požadavky, odvětvová pravidla chování nebo jiná plánovaná opatření

66 5 Řízení programu auditů 5.4 Realizace programu auditů Stanovení cílů, předmětu a kritérií auditu V případě jakýchkoli změn cílů, předmětu nebo kritérií auditu má být, pokud je to nezbytné, změněn i program auditů. Pokud jsou současně auditovány dva nebo více systémy managementu různých oborů (kombinovaný audit), je důležité, aby byly cíle, předmět a kritéria auditu v souladu s cíli relevantních programů auditů

67 5 Řízení programu auditů 5.4 Realizace programu auditů Výběr metod auditu Osoba řídící program auditů má vybírat a stanovovat metody provádění auditu v závislosti na stanovených cílech, předmětu a kritériích auditu s cílem zajistit efektivní provádění auditu. POZNÁMKA Návod ke stanovování metod auditu je uveden v příloze B

68 5 Řízení programu auditů 5.4 Realizace programu auditů Výběr metod auditu Tam kde společný audit jedné auditované organizace provádějí dvě nebo více auditujících organizací, osoby řídící různé programy auditů se mají dohodnout na Metodách auditu, vzájemně odsouhlasit metody auditu a zvážit dopady na zajišťování zdrojů a plánování auditu. Pokud u auditované organizace fungují dva nebo více různýchsystémů managementu různých oborů, mohou být do programu auditů zahrnuty kombinované audity

69 5 Řízení programu auditů 5.4 Realizace programu auditů Výběr týmu auditorů Osoba řídící program auditů by měla jmenovat členy týmu auditorů, včetně vedoucího týmu auditorů a jakýchkoli technických expertů, kteří jsou potřební pro konkrétní audit. Tým auditorů má být vybrán na základě kompetencí potřebných k dosažení cílů konkrétního auditu ve stanoveném rámci. Jestliže audit provádí pouze jeden auditor, měl by provádět všechny aplikovatelné povinnosti vedoucího týmu auditorů POZNÁMKA Kapitola 7 obsahuje návod ke stanovení potřebných kompetencí členů týmu auditorů a popisuje procesy hodnocení auditorů.

70 5 Řízení programu auditů 5.4 Realizace programu auditů Výběr týmu auditorů Při rozhodování o velikosti a složení týmu auditorů pro konkrétní audit se má zvážit: a) celková kompetence týmu auditorů potřebná k dosažení cílů auditu, s přihlédnutím k předmětu a kritériím auditu; b) složitost auditu a zda se jedná o kombinovaný nebo společný audit; c) zvolené metody auditu; d) legislativní a smluvní požadavky a další požadavky, k jejichž dodržování se organizace zavázala; e) potřeba zajišťovat nezávislost členů týmu auditorů na auditovaných činnostech a vyhnout se jakémukoli konfliktu zájmů [viz princip e) v kapitole 4]; f) schopnost členů týmu auditorů efektivně jednat se zástupci auditované organizace a spolupracovat; g) jazyk provádění auditu a sociální a kulturní chování auditované organizace. Tyto záležitosti mohou být řešeny dovednostmi auditora nebo prostřednictvím podpory technických expertů

71 5 Řízení programu auditů 5.4 Realizace programu auditů Výběr týmu auditorů Pro zajištění celkových kompetencí týmu auditorů mají být provedeny následující kroky: identifikace znalostí a dovedností potřebných k dosažení cílů auditu; výběr členů týmu auditorů provedený tak, aby byly v týmu auditorů přítomny všechny nezbytné znalosti a dovednosti

72 5 Řízení programu auditů 5.4 Realizace programu auditů Výběr týmu auditorů Pokud nejsou všechny nezbytné kompetence pokryty týmem auditorů, mají být do týmu zařazeni techničtí experti s dodatečnými kompetencemi. Techničtí experti mají pracovat pod vedením auditora, ale nemají vystupovat jako auditoři. Auditoři ve výcviku mohou být součástí týmu auditorů, ale mají pracovat pod vedením a dohledem auditora

73 5 Řízení programu auditů 5.4 Realizace programu auditů Výběr týmu auditorů V průběhu auditu mohou být nezbytné úpravy velikosti a složení týmu auditorů z důvodu konfliktu zájmů nebo sporům o kompetence. Pokud nastane takový problém, má být projednán s příslušnými stranami (např. vedoucím týmu auditorů, osobou řídící program auditů, klientem auditu nebo auditovanou organizací) ještě před provedením úprav programu

74 5 Řízení programu auditů 5.4 Realizace programu auditů Přidělování odpovědností za jednotlivý audit vedoucímu týmu auditorů Osoba řídící program auditů má přidělovat odpovědnosti za provádění jednotlivých auditů vedoucímu týmu auditorů. Přidělení má být provedeno s dostatečným předstihem před naplánovaným termínem auditu, aby bylo zajištěno efektivní plánování auditu

75 5 Řízení programu auditů 5.4 Realizace programu auditů Přidělování odpovědností za jednotlivý audit vedoucímu týmu auditorů Aby bylo zajištěno efektivní provedení jednotlivých auditů, mají být vedoucímu týmu auditorů poskytnuty následující informace: a) cíle auditu; b) kritéria auditu a jakékoli referenční dokumenty; c) předmět auditu, včetně identifikace auditovaných organizačních a funkčních jednotek a procesů; d) metody a postupy auditu; e) složení týmu auditorů; f) kontaktní informace auditované organizace, místa, termíny a délky trvání prováděných činností při auditu; g) přidělení příslušných zdrojů pro provádění auditu; h) informace potřebné pro hodnocení a řešení identifikovaných rizik spojených s dosahováním cílů auditu. 75

76 5 Řízení programu auditů 5.4 Realizace programu auditů Přidělování odpovědností za jednotlivý audit vedoucímu týmu auditorů Informace o přidělení odpovědností mají také vhodně pokrývat: pracovní jazyk a jazyk, ve kterém budou předkládány zprávy, pokud se liší od jazyka auditora nebo auditované organizace; obsah zpráv z auditu a jejich distribuci podle požadavků programu auditů; záležitosti týkající se důvěrnosti a bezpečnosti informací, pokud to vyžaduje program auditů; jakékoli požadavky kladené na bezpečnost a ochranu zdraví při práci auditorů; veškeré bezpečnostní a autorizační požadavky; pokud to přichází v úvahu, jakákoli následná opatření, např. z předchozích auditů; v případě společného auditu koordinace s dalšími činnostmi při auditu

77 5 Řízení programu auditů 5.4 Realizace programu auditů Přidělování odpovědností za jednotlivý audit vedoucímu týmu auditorů Kde je prováděn společný audit, je mezi organizacemi provádějícími audit důležité před jeho zahájením Dosáhnout dohody o konkrétních odpovědnostech každé strany, zejména pak s ohledem na pravomoci jmenovaného vedoucího týmu auditorů

78 5 Řízení programu auditů 5.4 Realizace programu auditů Řízení výsledků programu auditů Osoba řídící program auditů má zajišťovat, že se provede: přezkoumání a schválení zpráv z auditu, včetně hodnocení vhodnosti a přiměřenosti zjištění z auditu; přezkoumání analýzy kořenových příčin a efektivnosti nápravných a preventivních opatření; distribuce zpráv z auditu vrcholovému vedení a dalším relevantním stranám; určení nezbytnosti následného auditu

79 5 Řízení programu auditů 5.4 Realizace programu auditů Řízení a udržování záznamů o programu auditů Osoba řídící program auditů by měla zajišťovat, že jsou vytvářeny, řízeny a udržovány záznamy, které prokazují realizaci programu auditů. Mají být vytvořeny procesy zajišťující důvěrnost informací v souvislosti se záznamy z auditu

80 5 Řízení programu auditů 5.4 Realizace programu auditů Řízení a udržování záznamů o programu auditů Záznamy mají zahrnovat: a) záznamy vztahující se k programu auditů, jako jsou: dokumentované cíle a rozsah programu auditů; rizika spojená s programem auditů; přezkoumání efektivnosti programu auditů; b) záznamy týkající se každého jednotlivého auditu, jako jsou: plány auditu a zprávy z auditu; zprávy o neshodách; zprávy o nápravných a preventivních opatřeních; pokud to přichází v úvahu, zprávy o následných auditech;

81 5 Řízení programu auditů 5.4 Realizace programu auditů Řízení a udržování záznamů o programu auditů c) záznamy týkající se pracovníků provádějících audity, které pokrývají například následující témata: hodnocení kompetencí a výkonnosti členů týmu auditorů; výběr týmu auditorů a jeho členů; udržování a zlepšování kompetencí. Forma a stupeň podrobnosti záznamů mají prokázat, že byly dosaženy cíle programu auditů

82 5 Řízení programu auditů 5.5 Monitorování programu auditů Osoba řídící program auditů má monitorovat jeho realizaci s ohledem na potřebu: a) hodnotit shodu s programy auditů, časovými harmonogramy a cíli auditu; b) hodnotit výkonnost členů týmu auditorů; c) hodnotit schopnost týmů auditorů implementovat plán auditu; d) hodnotit zpětnou vazbu od vrcholového vedení, auditované organizace, auditorů a dalších zainteresovaných stran

83 5 Řízení programu auditů 5.5 Monitorování programu auditů Některé faktory mohou být důvodem ke změně programu auditů. Mezi takové faktory patří: zjištění z auditu; prokázaná úroveň efektivnosti systému managementu; změny u klienta nebo v systému managementu auditované organizace; změny norem, legislativních a smluvních požadavků a dalších požadavků, k jejichž dodržování se organizace zavázala; změny dodavatelů

84 5 Řízení programu auditů 5.6 Přezkoumávání a zlepšování programu auditů Osoba řídící program auditů má přezkoumávat program auditů, aby posoudila, zda bylo dosaženo jeho cílů. Poučení z přezkoumání programu auditů mají být využita jako vstupy do procesu neustálého zlepšování programu

85 5 Řízení programu auditů 5.6 Přezkoumávání a zlepšování programu auditů Přezkoumání programu auditů má brát v úvahu: a) výsledky a trendy zjištěné monitorováním programu auditů; b) shodu s postupy programu auditů; c) vyvíjející se potřeby a očekávání zainteresovaných stran; d) záznamy o programu auditů; e) alternativní nebo nové metody auditu; f) efektivnost opatření pro řešení rizik spojených s programem auditů; g) otázky důvěrnosti a bezpečnosti informací týkajících se programu auditů

86 5 Řízení programu auditů 5.6 Přezkoumávání a zlepšování programu auditů Osoba řídící program auditů má přezkoumávat celkovou realizaci programu auditů, identifikovat oblasti pro zlepšování, provádět nezbytné úpravy programu a také: přezkoumávat trvalý profesní rozvoj auditorů v souladu s 7.4, 7.5 a 7.6; podávat zprávy o výsledcích přezkoumání programu auditů vrcholovému vedení

87 6 Provádění auditu 6.1 Obecně Tato kapitola obsahuje návod k přípravě a provádění činností při auditu jako součásti programu auditů. Obrázek 2 představuje přehled typických činností při auditu. Rozsah použití ustanovení této kapitoly závisí na cílech a předmětu konkrétního auditu

88

89 6 Provádění auditu 6.2 Zahájení auditu Obecně Ve chvíli zahájení auditu přechází odpovědnost za jeho provedení na určeného vedoucího týmu auditorů (viz 5.4.5), a to až do chvíle dokončení auditu (viz 6.6). Pro rozhodnutí o provedení auditu se mají zvážit kroky uvedené na obrázku 2, jejich posloupnost se ale může lišit v závislosti na auditované organizaci, procesech a specifických podmínkách auditu

90 6 Provádění auditu 6.2 Zahájení auditu Úvodní kontakt s auditovanou organizací Úvodní kontakt s auditovanou organizací může být neformální nebo formální a má být proveden vedoucím týmu auditorů. Účelem úvodního kontaktu je: zajistit komunikaci se zástupcem auditované organizace; potvrdit pravomoc provádět audit; poskytnout informace o cílech, předmětu a metodách auditu a složení týmu auditorů, včetně technických expertů; vznést požadavek na zpřístupnění relevantních dokumentů a záznamů pro účely plánování;

91 6 Provádění auditu 6.2 Zahájení auditu určit příslušné legislativní a smluvní požadavky a další požadavky relevantní vzhledem k činnostem a produktům auditované organizace; potvrdit dohodu s auditovanou organizací, která se týká rozsahu zpřístupnění a zacházení s důvěrnými informacemi; provést přípravy auditu, včetně stanovení časových harmonogramů; určit jakékoli místně specifické požadavky pro přístup, zabezpečení, ochranu zdraví, bezpečnost nebo další požadavky; odsouhlasit přítomnost pozorovatelů a potřebu průvodců týmu auditorů; určit jakékoli oblasti zájmu auditované organizace v souvislosti s konkrétním auditem

92 6 Provádění auditu 6.2 Zahájení auditu Určení proveditelnosti auditu Proveditelnost auditu má být stanovena tak, aby Poskytovala přiměřenou jistotu, že cílů auditu je možné dosáhnout

93 6 Provádění auditu 6.2 Zahájení auditu Určení proveditelnosti má brát v úvahu takové faktory, jako je dostupnost: dostatečných a vhodných informací pro plánování a provádění auditu; dostatečné spolupráce ze strany auditované organizace; dostatečného času a zdrojů pro provádění auditu. V případě, že audit není možné provést, má klientovi auditu být po dohodě s auditovanou organizací navržena alternativa

94 6 Provádění auditu 6.3 Příprava činností při auditu Přezkoumání dokumentů při přípravě auditu Má být přezkoumána relevantní dokumentace systému managementu auditované organizace za účelem: shromáždit informace pro přípravu činností při auditu a aplikovatelné pracovní dokumenty (viz 6.3.4), např. dokumentaci týkající se procesů, funkcí; získat přehled o rozsahu dokumentace systému, aby bylo možné zjistit případné nedostatky. POZNÁMKA Návod k provádění přezkoumání dokumentů je uveden v kapitole B

95 6 Provádění auditu 6.3 Příprava činností při auditu Přezkoumání dokumentů při přípravě auditu Dokumentace má zahrnovat dokumenty a záznamy systému managementu, stejně jako zprávy z předchozích auditů. Přezkoumání dokumentů má brát v úvahu velikost, druh/typ a složitost systému managementu a organizačního uspořádání auditované organizace a cíle a předmět auditu

96 6 Provádění auditu 6.3 Příprava činností při auditu Příprava plánu auditu Vedoucí týmu auditorů má připravit plán auditu založený na informacích obsažených v programu auditů a dokumentaci poskytnuté auditovanou organizací. Plán auditu má brát v úvahu vliv činností při auditu na procesy auditované organizace a poskytovat základ pro dohodu o provedení auditu mezi klientem auditu, týmem auditorů a auditovanou organizací. Plán má usnadňovat účelné rozvržení času a koordinování činností při auditu umožňující efektivní dosahování cílů

97 6 Provádění auditu 6.3 Příprava činností při auditu Úroveň podrobnosti plánu auditu má odrážet předmět a složitost auditu, stejně jako vliv nejistoty na dosahování cílů auditu. Při přípravě plánu auditu si vedoucí týmu auditorů má být vědom: vhodné techniky vzorkování (viz kapitola B.3); složení týmu auditorů a jeho celkové kompetence; rizika, která vznikají organizaci při auditu

98 6 Provádění auditu 6.3 Příprava činností při auditu Rizika pro organizaci mohou vyplývat například z přítomnosti členů týmu auditorů, která ovlivňuje bezpečnost a ochranu zdraví při práci, životní prostředí a kvalitu a představuje hrozbu pro produkty, služby, pracovníky a infrastrukturu auditované organizace (např. kontaminace čistých prostor). U kombinovaných auditů má být věnována zvláštní pozornost vzájemným vlivům provozních procesů a konkurenčním cílům a prioritám různých systémů managementu

99 6 Provádění auditu 6.3 Příprava činností při auditu Rozsah a obsah plánu auditu se může lišit. Různé budou například u úvodního a následných auditů i u interních a externích auditů. Plán auditu má být dostatečně flexibilní, aby umožňoval nezbytné změny v průběhu provádění činností při auditu

100 6 Provádění auditu 6.3 Příprava činností při auditu Plán auditu má pokrývat, popřípadě se odkazovat na: a) cíle auditu; b) předmět auditu, včetně identifikace auditovaných organizačních a funkčních jednotek i procesů; c) kritéria auditu a jakékoli referenční dokumenty; d) místa, termíny, časy a očekávané trvání činností při auditu, včetně jednání s vedením auditované organizace; e) použité metody auditu, včetně rozsahu vzorkování, které je nezbytné pro získání dostatečných důkazů z auditu, a návrhu plánu vzorkování; f) role a odpovědnosti členů týmu auditorů a také průvodců a pozorovatelů; g) přidělení vhodných zdrojů kritickým oblastem auditu

101 6 Provádění auditu 6.3 Příprava činností při auditu Plán auditu může také vhodným způsobem pokrývat: identifikaci osob, které v rámci auditu zastupují auditovanou organizaci; pracovní jazyk a jazyk, ve kterém budou předkládány zprávy, pokud se tento jazyk liší od jazyka auditora nebo auditované organizace; témata zpráv z auditu; opatření týkající se logistiky a komunikace, včetně specifických opatření pro různá auditovaná místa; jakákoli specifická opatření pro řešení vlivu nejistoty na dosahování cílů auditu; záležitosti týkající se důvěrnosti a bezpečnosti informací; jakákoli následná opatření, která vyplývají z předchozích auditů; jakékoli činnosti následující po plánovaném auditu; v případě společného auditu koordinaci s dalšími činnostmi při auditu

102 6 Provádění auditu 6.3 Příprava činností při auditu Plán auditu může být přezkoumáván a schvalován klientem auditu a má být prezentován auditované organizaci. Jakékoli námitky auditované organizace k plánu auditu mají být řešeny mezi vedoucím týmu auditorů, auditovanou organizací a klientem auditu

103 6 Provádění auditu 6.3 Příprava činností při auditu Přidělování práce týmu auditorů Vedoucí týmu auditorů má po konzultaci s týmem auditorů přidělit každému členu týmu odpovědnosti za auditování konkrétních procesů, funkcí, míst, oblastí nebo činností. Toto přidělení má brát v úvahu potřebu nezávislosti i kompetence auditora a efektivní využití lidských zdrojů, stejně jako různé role a odpovědnosti auditorů, auditorů ve výcviku a technických expertů

104 6 Provádění auditu 6.3 Příprava činností při auditu Pokud je to třeba, mají se konat setkání týmu auditorů, na kterých by vedoucí týmu auditorů přidělil pracovní úkoly a rozhodoval o případných změnách. V průběhu postupu auditu mohou být provedeny změny pracovních úkolů, aby se zajistilo dosažení cílů auditu

105 6 Provádění auditu 6.3 Příprava činností při auditu Příprava pracovních dokumentů Členové týmu auditorů mají shromažďovat a přezkoumávat informace týkající se jejich úkolů v rámci auditu a připravovat pracovní dokumenty, které budou sloužit k zaznamenávání důkazů z auditu

106 6 Provádění auditu 6.3 Příprava činností při auditu Tyto pracovní dokumenty mohou zahrnovat: kontrolní seznamy (checklisty); plány vzorkování v rámci auditu; formuláře pro zaznamenávání informací, jako jsou podpůrné důkazy, zjištění z auditu a záznamy z jednání

107 6 Provádění auditu 6.3 Příprava činností při auditu Využití kontrolních seznamů (checklistů) a formulářů nemá omezovat rozsah činností při auditu, které se mohou měnit následkem informací shromážděných v průběhu auditu. POZNÁMKA Návod k přípravě pracovních dokumentů je uveden v kapitole B

108 6 Provádění auditu 6.3 Příprava činností při auditu Pracovní dokumenty, včetně záznamů vznikajících na základě jejich použití, mají být uchovávány minimálně do doby dokončení auditu. Uchovávání dokumentů po dokončení auditu je popsáno v 6.6. Dokumenty obsahující důvěrné nebo citlivé, patentově chráněné informace mají být členy týmu auditorů vhodně chráněny po celou dobu

109 6 Provádění auditu 6.4 Provádění činností při auditu Obecně Činnosti při auditu se obvykle provádějí v předem stanoveném pořadí podle obrázku 2. Toto pořadí se podle okolností konkrétního auditu může měnit

110 6 Provádění auditu 6.4 Provádění činností při auditu Úvodní jednání a) potvrdit souhlas všech stran (např. auditovaná organizace, tým auditorů) s plánem auditu; b) představit tým auditorů; c) ujistit se, že všechny plánované činnosti při auditu lze provést

111 6 Provádění auditu 6.4 Provádění činností při auditu Na úvodním jednání má být přítomno vedení auditované organizace a (kde je to vhodné) osoby odpovědné za auditované funkce a procesy. V průběhu jednání má být dán prostor dotazům. Úroveň podrobností má být v souladu s tím, jak je auditovaná organizace seznámena s procesem auditu. V mnoha případech, například u interních auditů v malých organizacích, může úvodní jednání pouze informovat o tom, že je prováděn audit a vysvětlit povahu auditu

112 6 Provádění auditu 6.4 Provádění činností při auditu V jiných situacích může být jednání formální a v tomto případě mají být uchovány záznamy o účasti na jednání. Jednání má být vedeno vedoucím týmu auditorů a v jeho rámci se má případně zvážit: představení se účastníků, včetně průvodců a naznačení jejich rolí; potvrzení cílů, předmětu a kritérií auditu; potvrzení plánu auditu a všech dalších ujednání řešených s auditovanou organizací, jako je například datum a čas konání závěrečného jednání, jakýchkoli dalších porad týmu auditorů a managementu auditované organizace a všechny pozdější změny;

113 6 Provádění auditu 6.4 Provádění činností při auditu představení metod, které budou využity k provádění auditu včetně upozornění, že důkazy z auditu budou založeny na vzorku dostupných informací; představení metod řízení rizik organizace, která mohou vzniknout následkem přítomnosti členů týmu auditorů; potvrzení formálních komunikačních kanálů mezi týmem auditorů a auditovanou organizací; potvrzení jazyka, který bude v průběhu auditu používán; potvrzení, že auditovaná organizace bude o průběhu auditu průběžně informována; potvrzení dostupnosti zdrojů a zařízení nezbytných pro tým auditorů; potvrzení záležitostí týkajících se důvěrnosti a bezpečnosti informací; potvrzení příslušných zdravotních, nouzových a bezpečnostních postupů platných pro tým auditorů;

114 6 Provádění auditu 6.4 Provádění činností při auditu informace o metodách podávání zpráv, zjištěních z auditu, včetně jakéhokoli existujícího třídění; informace o podmínkách, za kterých smí být audit ukončen; informace o závěrečném jednání; informace o tom, jak v průběhu auditu nakládat s možnými zjištěními; informace o jakýchkoli systémech pro zpětnou vazbu od auditované organizace ohledně zjištění nebo závěrů z auditu, včetně stížností nebo odvolání se

115 6 Provádění auditu 6.4 Provádění činností při auditu Přezkoumání dokumentů v průběhu auditu Příslušná dokumentace auditované organizace má být přezkoumána, aby: byla určena shoda systému s kritérii auditu, pokud je dokumentován; byly shromážděny informace pro podporu činností při auditu. POZNÁMKA Návod k provádění přezkoumání dokumentů je uveden v kapitole B

116 6 Provádění auditu 6.4 Provádění činností při auditu Přezkoumání lze provádět v kombinaci s dalšími činnostmi při auditu, a jestliže to neškodí efektivnosti provádění auditu, lze v něm pokračovat po celou dobu jeho trvání. Pokud nemůže být odpovídající dokumentace poskytnuta v časovém rámci daném plánem auditu, má o tom vedoucí týmu auditorů informovat osobu řídící program auditů i auditovanou organizaci. V závislosti na cílech a předmětu auditu má být rozhodnuto, zda bude audit pokračovat, nebo zda bude přerušen do doby, kdy budou záležitosti dokumentace vyřešeny.

117 6 Provádění auditu 6.4 Provádění činností při auditu Komunikace v průběhu auditu V průběhu auditu může být nezbytné provést formální opatření pro komunikaci uvnitř týmu auditorů a komunikaci s auditovanou organizací, klientem auditu a případně externími orgány (např. dozorové orgány), zejména v případech, kdy mohou požadavky legislativy vyžadovat povinné hlášení nesouladu. Tým auditorů má vést pravidelná jednání s cílem výměny informací, posuzování stavu rozpracovanosti auditu a v případě potřeby přerozdělit práci mezi členy týmu auditorů.

118 6 Provádění auditu 6.4 Provádění činností při auditu V průběhu auditu má vedoucí týmu auditorů v pravidelných intervalech vhodně sdělovat informace o průběhu auditu a o jakýchkoli dalších významných záležitostech auditované organizaci a klientovi auditu. Důkazy shromážděné v průběhu auditu, které naznačují okamžité a významné riziko pro auditovanou organizaci, mají být bez odkladu vhodně hlášeny auditované organizaci a klientovi auditu. Jakékoli záležitosti týkající se problému mimo předmět auditu mají být zaznamenávány a hlášeny vedoucímu týmu auditorů, aby bylo umožněno jejich případné sdělení klientovi auditu a auditované organizaci

119 6 Provádění auditu 6.4 Provádění činností při auditu Kde dostupné důkazy z auditu naznačují, že jsou cíle auditu nedosažitelné, má vedoucí týmu auditorů ohlásit důvody klientovi auditu a auditované organizaci, aby bylo možné stanovit vhodné opatření. Takové opatření může zahrnovat opakované potvrzení nebo modifikaci plánu auditu, změny cílů nebo předmětu auditu nebo ukončení auditu. Jakákoli potřeba změny předmětu auditu, která se může objevit v průběhu činností auditu, má být přezkoumána ve spolupráci s klientem auditu a auditovanou organizací a měla by být těmito subjekty schválena

120 6 Provádění auditu 6.4 Provádění činností při auditu Přidělování rolí a odpovědností průvodcům a pozorovatelům Průvodci a pozorovatelé (např. dozorový orgán nebo jiné zainteresované strany) mohou doprovázet tým auditorů. Nemají ovlivňovat provádění auditu, ani do něj zasahovat. Pokud to nemůže být zajištěno, má mít vedoucí týmu auditorů pravomoc zabránit pozorovatelům účastnit se některých činností při auditu

121 6 Provádění auditu 6.4 Provádění činností při auditu Všechny povinnosti pozorovatelů ve vztahu k bezpečnosti a ochraně zdraví při práci, zabezpečení a důvěrnosti mají být řízeny klientem auditu a auditovanou organizací. Průvodci jmenovaní auditovanou organizací mají pomáhat týmu auditorů na žádost vedoucího týmu auditorů

122 6 Provádění auditu 6.4 Provádění činností při auditu Jejich odpovědnosti mají zahrnovat: a) pomoc auditorům při určení jednotlivců, kteří se účastní rozhovorů a dále potvrzování časových harmonogramů; b) zajištění přístupu na konkrétní místa auditované organizace; c) zajištění, aby členové auditorského týmu a pozorovatelé byli seznámeni s požadavky na bezpečnost pracoviště a s bezpečnostními postupy na pracovišti a aby tato pravidla respektovali

123 6 Provádění auditu 6.4 Provádění činností při auditu Role průvodce může také zahrnovat: působení v roli svědka za auditovanou organizaci; poskytování objasnění nebo pomoc při shromažďování informací

124 6 Provádění auditu 6.4 Provádění činností při auditu Shromažďování a ověřování informací Během auditu mají být shromažďovány a vhodným vzorkováním ověřovány informace odpovídající cílům, rozsahu a kritériím auditu, včetně informací o vzájemném vztahu rozhraní mezi funkcemi, činnostmi a procesy. Tyto informace mají být ověřovány. Jako důkaz z auditu mají být akceptovány pouze ověřitelné informace. Pro zjištění z auditu mají být zaznamenávány důkazy z auditu

125 6 Provádění auditu 6.4 Provádění činností při auditu Pokud při shromažďování důkazů tým auditorů zjistí nové nebo změněné okolnosti nebo rizika, má být tato situace týmem příslušně řešena. POZNÁMKA 1 Návod ke vzorkování je uveden v kapitole B.3. Obrázek 3 poskytuje přehled procesu, od shromažďování informací po dosažení závěrů z auditu

126

127 6 Provádění auditu 6.4 Provádění činností při auditu Metody shromažďování informací zahrnují: rozhovory; pozorování; přezkoumávání dokumentů včetně záznamů. POZNÁMKA 2 Návod ke zdrojům informací je uveden v kapitole B.5. POZNÁMKA 3 Návod k návštěvám prostor auditované organizace je uveden v kapitole B.6. POZNÁMKA 4 Návod k provádění rozhovorů je uveden v kapitole B

128 6 Provádění auditu 6.4 Provádění činností při auditu Zjištění z auditu Zjištění z auditu se mají vytvořit na základě vyhodnocení důkazů z auditu vzhledem ke kritériím auditu. Zjištění z auditu mohou ukazovat na shodu nebo neshodu s kritérii auditu. Pokud je to specifikováno plánem auditu, mají jednotlivá zjištění z auditu zahrnovat existující shody a správné postupy spolu s podpůrnými důkazy, příležitostmi pro zlepšování a všechna doporučení předávaná auditované organizaci

129 6 Provádění auditu 6.4 Provádění činností při auditu Mají být zaznamenávány neshody a podpůrné důkazy jejich existence. Neshody mohou být tříděny. Ve spolupráci s auditovanou organizací mají být neshody přezkoumány s cílem potvrdit, že důkazy z auditu jsou přesné a neshody byly pochopeny. Má se vynaložit veškeré úsilí nezbytné k vyřešení všech rozdílných názorů týkajících se důkazů nebo zjištění z auditu. Nevyřešené body se mají zaznamenat

130 6 Provádění auditu 6.4 Provádění činností při auditu Tým auditorů se má dle potřeby ve vhodných fázích auditu setkávat k přezkoumání zjištění z auditu. POZNÁMKA Další návod k identifikaci a hodnocení zjištění z auditu je uveden v kapitole B

131 6 Provádění auditu 6.4 Provádění činností při auditu Příprava závěrů z auditu Tým auditorů se má před závěrečným jednáním poradit, aby: a) přezkoumal zjištění z auditu a ostatní vhodné informace shromážděné během auditu ve vztahu k cílům auditu; b) odsouhlasil závěry z auditu s uvážením nejistoty spojené s procesem auditu; c) připravil doporučení, pokud je to specifikováno v plánu auditu; d) prodiskutoval činnosti vyplývající z auditu, pokud je to aplikovatelné

132 6 Provádění auditu 6.4 Provádění činností při auditu Závěry z auditu mohou zahrnovat: rozsah shody systému managementu s kritérii auditu, včetně efektivnosti systému managementu při plnění stanovených cílů; efektivnost realizace, udržování a zlepšování systému managementu; způsobilost procesu přezkoumání managementu, kterým je zajištěna trvalá vhodnost, přiměřenost, efektivnost a zlepšování systému managementu; dosažení cílů auditu, pokrytí předmětu auditu a splnění kritérií auditu; kořenové příčiny zjištění, je-li to zahrnuto v plánu auditu; obdobná zjištění z jiných oblastí, auditovaných pro účely identifikace trendů

133 6 Provádění auditu 6.4 Provádění činností při auditu Pokud je to specifikováno plánem auditu, mohou vést závěry z auditu k doporučení ke zlepšování nebo k budoucím činnostem při auditování

134 6 Provádění auditu 6.4 Provádění činností při auditu Závěrečné jednání Závěrečné jednání, moderované vedoucím týmu auditorů, má prezentovat zjištění a závěry z auditu. Účastníky závěrečného jednání mají být členové vedení auditované organizace a případně osoby odpovědné za auditované funkce nebo procesy. Jednání se může zúčastnit také klient auditu a další strany. Pokud to přichází v úvahu, má vedoucí týmu auditorů upozornit auditovanou organizaci na situace, které v průběhu auditu nastaly a které mohou snižovat důvěryhodnost závěrů z auditu. Pokud je to stanoveno systémem managementu nebo klientem auditu, mají účastníci odsouhlasit časový rámec akčního plánu pro řešení zjištění z auditu

135 6 Provádění auditu 6.4 Provádění činností při auditu Úroveň podrobností má být v souladu s tím, jak je auditovaná organizace seznámena s procesem auditu. V některých situacích může být jednání formální a má z něj být vyhotoven a uchován zápis, který obsahuje záznamy o účasti. V jiných případech, například u interních auditů, může být závěrečné jednání méně formální a může zahrnovat pouze sdělení zjištění a závěrů z auditu

136 6 Provádění auditu 6.4 Provádění činností při auditu Podle potřeby má být v rámci závěrečného jednání auditované organizaci vysvětleno: upozornění klienta na to, že shromážděné důkazy z auditu byly založeny na vzorcích informací; metody podávání zpráv; procesy řešení zjištění z auditu a možných souvislostí; prezentace zjištění a závěrů z auditu takovým způsobem, který zajišťuje jejich pochopení a přijetí managementem auditované organizace; všechny související činnosti následující po auditu (např. realizace nápravných opatření, řešení stížností z auditu, proces odvolání)

137 6 Provádění auditu 6.4 Provádění činností při auditu Všechny rozdílné názory mezi týmem auditorů a auditovanou organizací, které se týkají zjištění nebo závěrů z auditu, mají být prodiskutovány, a pokud je to možné, také vyřešeny. Nevyřešené záležitosti mají být zaznamenány. Je-li to specifikováno v cílech auditu, mají být prezentována doporučení ke zlepšování. Je třeba zdůraznit, že tato doporučení nejsou závazná

138 6 Provádění auditu 6.5 Příprava a distribuce zprávy z auditu Příprava zprávy z auditu Vedoucí týmu auditorů má podávat zprávy o výsledcích auditu v souladu s postupy programu auditů. Zpráva z auditu má poskytovat ucelený, přesný, stručný a jasný záznam o auditu a má obsahovat, nebo se alespoň odkazovat na: a) cíle auditu; b) předmět auditu, zejména identifikaci auditovaných organizačních a funkčních jednotek nebo procesů;

139 6 Provádění auditu 6.5 Příprava a distribuce zprávy z auditu c) identifikaci klienta auditu; d) identifikaci týmu auditorů a osob, které se auditu účastnily jménem auditované organizace; e) data a místa, kde byly prováděny činnosti při auditu; f) kritéria auditu; g) zjištění z auditu a související důkazy; h) závěry z auditu; i) prohlášení o rozsahu, ve kterém byla splněna kritéria auditu

140 6 Provádění auditu 6.5 Příprava a distribuce zprávy z auditu Pokud je to vhodné, může zpráva z auditu obsahovat, nebo se vhodným způsobem odkazovat také na: plán auditu, včetně časového harmonogramu; shrnutí procesu auditu, včetně jakýchkoli překážek, které mohou snižovat spolehlivost závěrů z auditu; potvrzení, že v rámci předmětu auditu a v souladu s plánem auditu bylo dosaženo cílů auditu; veškeré oblasti, které spadají do předmětu auditu, ale nebyly pokryty; shrnutí zahrnující závěry z auditu a zjištění z auditu, která je prokazují; jakékoli nevyřešené rozdílné názory mezi týmem auditorů a auditovanou organizací; doporučení ke zlepšování, je-li to specifikováno v plánu auditu; identifikované správné postupy; odsouhlasený akční plán činností následujících po auditu, pokud existuje; prohlášení o důvěrném charakteru obsahu; jakékoli důsledky pro program auditů a následující audity; rozdělovník zprávy z auditu. POZNÁMKA Zpráva z auditu může být vytvořena před závěrečným jednáním

141 6 Provádění auditu 6.5 Příprava a distribuce zprávy z auditu Distribuce zprávy z auditu Zpráva z auditu má být vydána v rámci odsouhlaseného časového úseku. Dojde-li ke zpoždění, mají být auditované organizaci a osobě řídící program auditů sděleny příčiny. Zpráva z auditu má být datovaná, přezkoumaná a příslušně schválená v souladu s postupy programu auditů. Zpráva z auditu má poté být distribuována adresátům stanoveným postupem auditu nebo plánem auditu

142 6 Provádění auditu 6.6 Ukončení auditu Audit je ukončen ve chvíli, kdy byly provedeny všechny plánované činnosti při auditu nebo za podmínek Odsouhlasených klientem auditu (např. může existovat neočekávaná situace, která zabraňuje dokončení auditu podle plánu). Na základě dohody mezi zúčastněnými stranami a v souladu s postupy programu auditů a použitelnými požadavky mají být dokumenty související s auditem uloženy nebo zlikvidovány

143 6 Provádění auditu 6.6 Ukončení auditu Pokud to není požadováno zákonem, tým auditorů a osoby odpovědné za řízení programu auditů nemají zveřejňovat obsah dokumentů, další informace získané v průběhu auditu nebo zprávu z auditu jakékoli další straně bez výslovného schválení klientem auditu, a kde je to vhodné, bez schválení auditovanou organizací. Je-li zveřejnění obsahu dokumentů z auditu požadováno, má o tom být klient auditu a auditovaná organizace co nejdříve informováni

144 6 Provádění auditu 6.6 Ukončení auditu Získané poznatky z průběhu auditu májí být vstupem do procesu neustálého zlepšování systému managementu auditovaných organizací

145 6 Provádění auditu 6.7 Provádění následného auditu Závěry z auditu mohou, v závislosti na cílech auditu, naznačovat potřebu náprav, nápravných opatření, preventivních opatření nebo opatření ke zlepšování. O takových opatřeních obvykle rozhoduje a provádí je auditovaná organizace v dohodnutém časovém rámci a jsou v tomto časovém rámci auditovanou organizací realizována. Auditovaná organizace má vhodným způsobem o stavu těchto opatření informovat osobu řídící program auditů a tým auditorů. Dokončení těchto opatření a jejich efektivnost má být ověřováno. Toto ověřování může být součástí následného auditu

146 7 Kompetence a hodnocení auditorů 7.1 Obecně Důvěryhodnost procesu auditu a schopnost dosahovat jeho cílů závisí na kompetencích jednotlivců zapojených do plánování a provádění auditu, včetně auditorů a vedoucích týmu auditorů. Kompetence mají být hodnoceny v rámci procesu, který bere v úvahu osobní chování a schopnost aplikovat znalosti a dovednosti získané vzděláváním, pracovními zkušenostmi, výcvikem auditora a zkušenostmi z auditu. Tento proces má brát v úvahu potřeby programu auditů a jeho cíle. Některé znalosti a dovednosti popsané v jsou společné pro auditory všech oborů systémů managementu, další jsou specifické pro jednotlivé obory. Není nezbytné, aby měli všichni auditoři v týmu auditorů stejné kompetence. Celkové kompetence týmu auditorů mají být dostatečné pro dosažení cílů auditu

147 7 Kompetence a hodnocení auditorů 7.1 Obecně Hodnocení kompetencí auditora má být plánováno, realizováno a dokumentováno v souladu s programem auditů a mělo by zahrnovat postupy, které zajišťují, že je výsledek objektivní, konzistentní, spravedlivý a spolehlivý. Proces hodnocení má zahrnovat čtyři hlavní kroky: a) určení takových kompetencí osob zapojených do auditu, které splňují potřeby programu auditů; b) vytvoření hodnotících kritérií; c) výběr vhodných metod hodnocení; d) provedení hodnocení

148 7 Kompetence a hodnocení auditorů 7.1 Obecně Výsledek procesu hodnocení má poskytovat základ pro: výběr členů týmu auditorů, jak je popsán v 5.4.4; určení potřeby zlepšení kompetencí (např. dodatečný výcvik); pokračující hodnocení výkonnosti auditorů. Auditoři mají vytvářet, udržovat a zlepšovat své kompetence prostřednictvím trvalého profesního rozvoje a pravidelné účasti na auditech (viz 7.6)

149 7 Kompetence a hodnocení auditorů 7.1 Obecně Proces hodnocení auditorů a vedoucích týmu auditorů je popsán v kapitolách 7.4 a 7.5. Auditoři a vedoucí týmu auditorů mají být hodnoceni podle kritérií uvedených v kapitolách a Kompetence požadované u osoby řídící program auditů jsou popsány v kapitole

150 7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů Obecně Při rozhodování o vhodných znalostech a dovednostech auditora má být zváženo: velikost, druh/typ a složitost auditované organizace; obory auditovaných systémů managementu; cíle a rozsah programu auditů; další požadavky, jako jsou požadavky stanovované externími orgány; role procesu auditu v systému managementu auditované organizace; složitost auditovaného systému managementu; nejistota při dosahování cílů auditu. Tyto informace mají odpovídat informacím uvedeným v , a

151 7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů Osobní chování Auditoři mají mít všechny nezbytné kvality, které jim umožňují jednat v souladu s principy auditování, které jsou popsány v kapitole 4. Auditoři se mají v průběhu auditování chovat profesionálně

152 7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů Chování auditorů má být: etické; tj. spravedlivé, pravdivé, upřímné, slušné a diskrétní; přístupné názorům, tj. ochota zvažovat alternativní myšlenky nebo pohledy; diplomatické, tj. taktní při jednání s lidmi; pozorné, tj. aktivní pozorování prostředí a činností; vnímavé, tj. uvědomování si situace a schopnost situaci pochopit; přizpůsobivé, tj. rychlé přizpůsobení se různým situacím; vytrvalé, tj. houževnatost, soustředění se na dosahování cílů; rozhodné, tj. včasné dosahování závěrů založených na logickém zdůvodnění a analýze;

153 7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů samostatné, tj. nezávislé jednání a fungování při současné efektivní interakci s ostatními; statečné, tj. být schopen jednat odpovědně a eticky, i když tyto činnosti nemusí být vždy populární a mohou někdy vést k neshodě nebo konfrontaci; otevřené ke zlepšování, tj. učení se z různých situací, snaha o lepší výsledky auditu; citlivé ke kultuře, tj. pozornost a respektování kulturních tradic auditované organizace; připravené ke spolupráci, tj. efektivně fungovat s ostatními, včetně členů týmu auditorů a pracovníků auditované organizace

154 7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů Znalosti a dovednosti Obecně Auditoři mají mít znalosti a dovednosti nezbytné k dosahování zamýšlených výsledků auditu, který mají provádět. Všichni auditoři mají mít všeobecné znalosti a dovednosti a mělo by se od nich také očekávat, že mají některé znalosti a dovednosti týkající se specifického oboru nebo odvětví. Vedoucí týmu auditorů mají mít další znalosti a dovednosti nezbytné k vedení týmu auditorů

155 7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů Všeobecné znalosti a dovednosti auditorů systémů managementu Auditoři mají mít znalosti a dovednosti v níže uvedených oblastech. a) Principy, postupy a metody auditu: znalosti a dovednosti v této oblasti umožňují auditorům aplikovat příslušné principy, postupy a metody v rámci různých auditů a zajišťovat, že jsou audity prováděny konzistentně a systematicky

156 7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů Auditor má být schopen: aplikovat principy, postupy a metody auditu; efektivně plánovat a organizovat práci; provést audit v rámci dohodnutého časového harmonogramu; stanovovat priority a soustředit se na důležité záležitosti; shromažďovat informace prostřednictvím efektivních rozhovorů, naslouchání, pozorování a přezkoumávání dokumentů, záznamů a dat; pochopit a zvážit názory expertů; pochopit vhodnost a následky použití technik vzorkování v rámci auditu; ověřovat relevanci a přesnost shromážděných informací;

157 7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů Auditor má být schopen: potvrzovat dostatečnost a vhodnost důkazů z auditu z hlediska podpory zjištění a závěrů z auditu; posuzovat ty faktory, které mohou mít vliv na spolehlivost zjištění a závěrů z auditu; používat pracovní dokumenty k zaznamenávání činností při auditu; dokumentovat zjištění z auditu a vytvářet příslušné zprávy z auditu; zachovat důvěrnost a bezpečnost informací, dat, dokumentů a záznamů; efektivně ústně i písemně komunikovat (osobně nebo prostřednictvím překladatele); pochopit druhy rizik, která jsou spojená s auditováním

158 7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů b) Systém managementu a referenční dokumenty: znalosti a dovednosti v této oblasti umožňují auditorovi porozumět předmětu auditu a aplikovat kritéria auditu a mají pokrývat: normy systémů managementu nebo další dokumenty využívané jako kritéria auditu; aplikace norem systémů managementu auditovanou organizací a případně dalšími organizacemi; vzájemné působení částí systému managementu; rozpoznávání hierarchie referenčních dokumentů; aplikace referenčních dokumentů v různých situacích auditu

159 7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů C) Kontext organizace: znalosti a dovednosti v této oblasti umožňují auditorovi porozumět struktuře, činnostem a postupům managementu auditované organizace a mají pokrývat: typy organizací, způsob jejich vedení, velikost, strukturu, funkce a vztahy; obecné koncepce činností organizace a managementu a související terminologie, včetně plánování, rozpočtování a managementu lidských zdrojů; kulturní a sociální aspekty auditované organizace

160 7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů d) Aplikovatelné legislativní a smluvní požadavky a další požadavky, které se týkají auditované organizace: znalosti a dovednosti v této oblasti umožňují auditorovi uvědomovat si legislativní a smluvní požadavky na organizaci a pracovat v jejich rámci. Znalosti a dovednosti specifické pro legislativní rámec nebo činnosti a produkty auditované organizace mají pokrývat: zákony a předpisy a s nimi související instituce; základní právní terminologii; uzavírání smluv a závazků

161 7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů Znalosti a dovednosti auditorů systémů managementu specifické pro obor a odvětví Auditoři mají mít znalosti a dovednosti specifické pro obor a odvětví, které přísluší auditování jednotlivých typů systémů managementu a jednotlivých odvětví. Není nezbytné, aby měli všichni auditoři v týmu auditorů stejné kompetence, ale celkové kompetence týmu auditorů musí být dostatečné, aby bylo dosaženo cílů auditu

162 7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů Znalosti a dovednosti auditorů specifické pro obor a odvětví zahrnují: požadavky a principy specifické v oboru systémů managementu a jejich aplikace; legislativní požadavky relevantní vzhledem k oborům a odvětvím, například že si je auditor vědom specifických požadavků legislativního rámce na povinnosti, činnosti a produkty auditované organizace; požadavky zainteresovaných stran týkající se specifických oborů; základní principy oboru a aplikace specifických provozních a technických metod, technik, procesů a postupů, které umožňují auditorovi zkoumat systém managementu a vytvářet vhodná zjištění a závěry z auditu;

163 7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů konkrétní znalosti oboru a odvětví, povahy provozních činností nebo auditovaného pracovního prostředí, které jsou dostatečné k tomu, aby auditor mohl hodnotit činnosti, procesy a produkty (zboží a služby) auditované organizace; principy, metody a techniky managementu rizik ve vztahu k oboru a odvětví, aby auditor mohl hodnotit a řídit rizika související s programem auditů. POZNÁMKA Návod a příklady znalostí a dovedností auditora specifických pro obor jsou uvedeny v příloze A

164 7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů Všeobecné znalosti a dovednosti vedoucího týmu auditorů Vedoucí týmu auditorů mají mít další znalosti a dovednosti k řízení a vedení týmu auditorů potřebné k usnadňování účinného a efektivního provádění auditu. Vedoucí týmu auditorů má mít znalosti a dovednosti nezbytné k provedení: a) vyvažování silných a slabých stránek jednotlivých členů týmu auditorů; b) vytváření harmonického pracovního prostředí mezi členy týmu;

165 7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů c) řízení procesu auditu, včetně: plánování auditu a efektivního využívání zdrojů v průběhu auditu; zvládání nejistoty při dosahování cílů auditu; zajištění bezpečnosti a ochrany zdraví při práci členů týmu auditorů v průběhu auditu, včetně zajištění, že auditoři jednají ve shodě s relevantními požadavky na bezpečnost a ochranu zdraví při práci; organizování a směrování členů týmu auditorů; usměrňování a poskytování návodu auditorům ve výcviku; předcházení a v případě potřeby řešení konfliktů;

166 7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů d) reprezentování týmu auditorů v komunikaci s klientem auditu a auditovanou organizací; e) vedení týmu auditorů k dosažení závěrů z auditu; f) připravování a kompletování zprávy z auditu

167 7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů Znalosti a dovednosti pro auditování systémů managementu, které zahrnují více oborů Auditoři, kteří hodlají být členem týmu auditorů při auditování systémů managementu, které zahrnují více oborů, mají mít kompetence nezbytné pro auditování alespoň jednoho oboru systémů managementu a měli by chápat vzájemné vazby různých systémů managementu a synergické efekty

168 7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů Vedoucí týmu auditorů provádějící audity systémů managementu, které zahrnují více oborů, mají chápat požadavky všech zahrnutých norem systémů managementu a znát omezení svých znalostí a dovedností v každém zahrnutém oboru

169 7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů Získávání kompetencí auditora Znalosti a dovednosti auditora mohou být získány prostřednictvím kombinace: formální vzdělávání nebo výcvik a zkušenosti, které přispívají k rozvoji znalostí a dovedností v oboru systému managementu a odvětví, které auditor hodlá auditovat; výcvikové programy, které obsahují všeobecné znalosti a dovednosti auditora; zkušenosti v relevantních technických, řídících nebo profesních pozicích, včetně vytváření úsudků, rozhodování, řešení problémů a komunikace s manažery, experty, spolupracovníky, zákazníky a dalšími zainteresovanými stranami; zkušenosti s auditováním v oboru získané pod dohledem auditora

170 7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů Vedoucí týmu auditorů Vedoucí týmu auditorů mají mít navíc zkušenosti z auditů, které umožňují rozvoj znalostí a dovedností uvedených v Tyto další zkušenosti mají být získány v rámci práce pod vedením jiného vedoucího týmu auditorů

171 7 Kompetence a hodnocení auditorů 7.3 Stanovování kritérií hodnocení auditorů Kritéria mají být kvalitativní (jako jsou prokazatelné osobní chování, znalosti nebo uplatnění dovedností v rámci výcviku nebo na pracovním místě) a kvantitativní (jako jsou počet let praxe a vzdělání, počet provedených auditů, hodiny výcviku v oblasti auditování)

172 7 Kompetence a hodnocení auditorů 7.4 Výběr vhodných metod hodnocení Hodnocení má být prováděno za použití dvou nebo více metod zvolených z tabulky 2. Při používání tabulky 2 se má vzít na vědomí: vyjmenované metody reprezentují řadu možností a nemusí být vhodné pro všechny situace; různé vyjmenované metody se mohou lišit z hlediska jejich spolehlivosti; má být využita kombinace několika metod, aby byla zajištěna objektivita, konzistence, spravedlnost a spolehlivost výsledku

173

174 7 Kompetence a hodnocení auditorů 7.5 Provádění hodnocení auditora Informace shromážděné o určité osobě mají být porovnány s kritérii stanovenými podle kapitoly Pokud osoba, u které se počítá s účastí na programu auditů, nesplňuje kritéria, má být této osobě poskytnut dodatečný výcvik, umožněno získání pracovních zkušeností nebo zkušeností s prováděním auditu a následně má být provedeno opakované hodnocení

175 7 Kompetence a hodnocení auditorů 7.6 Udržování a zlepšování kompetencí auditora Auditoři a vedoucí týmů auditorů mají neustále zlepšovat své kompetence. Auditoři mají udržovat své kompetence v oblasti auditování prostřednictvím své pravidelné účasti na auditech systémů managementu a trvalého profesního rozvoje. Trvalý profesní rozvoj zahrnuje udržování i zlepšování kompetencí. Toho lze dosáhnout takovými prostředky, jako jsou další pracovní zkušenosti, výcvik, soukromé studium, koučing, účast na jednáních, seminářích a konferencích a další relevantní činnosti

176 7 Kompetence a hodnocení auditorů 7.6 Udržování a zlepšování kompetencí auditora Osoba řídící program auditů má vytvořit vhodný mechanismus pro průběžné hodnocení výkonnosti auditorů a vedoucích týmů auditorů. Činnosti trvalého profesního rozvoje má brát v úvahu: změny potřeb jednotlivců a organizace odpovědné za provádění auditu; praxi auditování; relevantní požadavky norem a další požadavky

177 Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů A.1 Obecně Tato příloha uvádí obecné příklady znalostí a dovedností auditorů systémů managementu podle specifických oborů. Tyto příklady mají sloužit osobě řídící program auditů jako návod k výběru nebo hodnocení auditorů. Pro systémy managementu mohou být vytvořeny i další příklady znalostí a dovedností auditorů podle specifických oborů. Doporučuje se, aby tam, kde je to možné, měly tyto příklady stejnou obecnou strukturu, která zajistí jejich srovnatelnost

178 Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů A.2 Názorné příklady konkrétních znalostí a dovedností auditorů pro management bezpečnosti v dopravě Příklady jsou: terminologie managementu bezpečnosti; porozumění bezpečnosti systému; analyzování lidských faktorů týkajících se managementu bezpečnosti v dopravě; lidské chování a vztahy; vzájemné působení lidí, strojů, procesů a pracovního prostředí; potenciální nebezpečí a další faktory pracovního prostředí ovlivňující bezpečnost; metody a postupy pro vyšetřování incidentů a monitorování výkonnosti v oblasti bezpečnosti; hodnocení provozních incidentů a nehod; vytváření aktivních a reaktivních měření a metrik výkonnosti.

179 Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů A.3 Názorné příklady konkrétních znalostí a dovedností auditorů pro environmentální management Znalosti a dovednosti, specifické pro environmentální management, a aplikace konkrétních metod, technik, procesů a postupů mají být dostačující k tomu, aby auditorovi umožňovaly prověřit systém managementu a vytvářet správná zjištění a závěry z auditu

180 Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů Příklady jsou: environmentální terminologie; environmentální ukazatele a statistiky; vědecká měření a techniky monitorování; interakce ekosystémů a biodiverzita; součásti životního prostředí (např. vzduch, voda, půda, fauna, flóra); techniky stanovování rizik (např. hodnocení environmentálních aspektů a dopadů, včetně metod hodnocení významnosti); posuzování životního cyklu; hodnocení environmentálního profilu;

181 Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů prevence a řízení znečištění (např. nejlepší dostupné techniky řízení znečištění nebo energetické účinnosti); snižování náročnosti na zdroje, minimalizace odpadů, opětovné využití, recyklace a postupy a procesy úpravy odpadů; užívání nebezpečných látek; emise skleníkových plynů a jejich řízení; řízení přírodních zdrojů (např. fosilní paliva, voda, flóra a fauna, půda); návrh šetrný k životnímu prostředí; podávání zpráv o životním prostředí a jejich zveřejňování; péče o produkt; obnovitelné a nízkouhlíkové technologie. 181

182 Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů A.4 Názorné příklady konkrétních znalostí a dovedností auditorů pro management kvality Znalosti a dovednosti, specifické pro obor, a aplikace konkrétních metod, technik, procesů a postupů mají být dostačující k tomu, aby auditorovi umožňovaly prověřit systém managementu a vytvářet správná zjištění a závěry z auditu

183 Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů Příklady jsou: terminologie týkající se kvality, managementu, organizace, procesů a produktů, charakteristik, shody, dokumentace, auditu a procesů měření; zaměření na zákazníka, procesy týkající se zákazníka, monitorování a měření spokojenosti zákazníka, řešení stížností, pravidla chování, řešení sporů; vedení a řízení lidí role vrcholového vedení, řízení trvalého úspěchu organizace přístup managementu kvality, realizace finančních a ekonomických přínosů prostřednictvím managementu kvality, systémy managementu kvality a modely excelence; zapojení lidí, lidské faktory, kompetence, výcvik a vědomí závažnosti; procesní přístup, procesní analýzy, způsobilost a techniky regulace, metody ošetření rizik;

184 Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů Příklady jsou: systémový přístup k managementu (zdůvodnění systémů managementu kvality, systémy managementu kvality a další systémové přístupy k managementu, dokumentace systémů managementu kvality), typy a hodnota, plány kvality, management konfigurace; neustálé zlepšování, inovace a učení se; přístup k rozhodování na základě faktů, techniky posuzování rizik (identifikace, analýza a hodnocení rizik), hodnocení managementu kvality (audit, přezkoumávání a sebehodnocení), techniky monitorování a měření, požadavky na proces měření a měřící zařízení, analýza kořenových příčin, statistické techniky; charakteristiky procesů a produktů, včetně služeb; vzájemně prospěšné dodavatelsko odběratelské vztahy, požadavky na systémy managementu kvality a požadavky na produkty, zejména požadavky na management kvality v různých odvětvích

185 Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů A.5 Názorné příklady konkrétních znalostí a dovedností auditorů pro management záznamů Znalosti a dovednosti, specifické pro obor, a aplikace konkrétních metod, technik, procesů a postupů mají být dostačující k tomu, aby auditorovi umožňovaly prověřit systém managementu a vytvářet správná zjištění a závěry z auditu

186 Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů Příklady jsou: záznamy, proces řízení záznamů a terminologie systémů managementu záznamů; vytváření měřítek a ukazatelů výkonnosti; zkoumání a hodnocení postupů týkajících se záznamů prostřednictvím rozhovorů, pozorování a validace; analýzy vzorků záznamů vytvořených v procesech organizace. Hlavní charakteristiky záznamů, systémy záznamů, procesy a nástroje řízení týkající se záznamů; posuzování rizik (např. posuzování rizik způsobených chybou při vytváření, udržování a řízení dostatečných záznamů o procesech organizace); výkonnost a dostatečný rozsah procesů vytváření, udržování a řízení záznamů; 186

187 Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů Příklady jsou: posuzování přiměřenosti a výkonnosti systémů záznamů (včetně systémů organizace pro vytváření a řízení záznamů), vhodnost využitých technologických nástrojů a vytvořených zařízení a technik; hodnocení různých úrovní kompetencí v oblasti managementu záznamů vyžadovaných napříč organizací a posuzování těchto kompetencí; význam obsahu, kontextu, struktury, zastoupení a kontrolních informací (metadat) vyžadovaných pro definování a řízení záznamů a systémů záznamů; metody vytváření nástrojů specifických pro záznamy; technologie využívané k vytváření, udržování, konvertování a oběh a dlouhodobé uchovávání elektronických/digitálních záznamů; identifikace a význam autorizace dokumentace v procesech vytváření záznamů

188 Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů A.6 Názorné příklady konkrétních znalostí a dovedností auditorů pro management odolnosti, bezpečnosti, připravenosti a kontinuity Znalosti a dovednosti, specifické pro obor, a aplikace konkrétních metod, technik, procesů a postupů mají být dostačující k tomu, aby auditorovi umožňovaly prověřit systém managementu a vytvářet správná zjištění a závěry z auditu. Příklady jsou: procesy, vědecké postupy a technologie podporující odolnost, bezpečnost, připravenost, odezvu, kontinuitu a řízení obnovy; metody monitorování a shromažďování informací; řízení rizik nežádoucích událostí (předvídání, vyhnutí se, prevence, ochrana, zmírňování, odezva a obnova po nežádoucí události);

189 Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů posuzování rizik (identifikace a hodnocení aktiv a identifikace, analýza a hodnocení rizik) a analýzy dopadu (týkající se lidí, majetku a vlivu na životní prostředí); ošetření rizik (adaptivní, proaktivní a reaktivní opatření); metody a postupy pro integritu a citlivost informací; metody personální bezpečnosti a ochrany osob; metody a postupy ochrany aktiv a fyzické bezpečnosti; metody a postupy prevence, odvrácení hrozby a management bezpečnosti; metody a postupy zmírňování a odezvy na incidenty a managementu krizí; metody a postupy týkající se managementu kontinuity, mimořádných událostí a zotavení; metody a postupy monitorování, měření a podávání zpráv o výkonnosti (včetně metodik nácviku a testování)

190 Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů A.7 Názorné příklady konkrétních znalostí a dovedností auditorů pro management bezpečnosti informací Znalosti a dovednosti, specifické pro obor, a aplikace konkrétních metod, technik, procesů a postupů mají být dostačující k tomu, aby auditorovi umožňovaly prověřit systém managementu a vytvářet správná zjištění a závěry z auditu. Příklady jsou: směrnice z norem, jako jsou ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27003, ISO/IEC a ISO/IEC 27005; identifikace a hodnocení požadavků zákazníků a zainteresovaných stran;

191 Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů Příklady jsou: zákony a předpisy týkající se bezpečnosti informací (např. duševní vlastnictví; obsah, ochrana a udržování záznamů organizace; ochrana dat a soukromí; regulace kryptografických nástrojů; opatření proti terorismu; elektronický obchod; elektronické a digitální podpisy; sledování pracovních míst; ergonomie pracovních míst; sledování telekomunikačních prostředků a monitorování dat (např. sledování ů, zneužívání výpočetní techniky, shromažďování elektronických důkazů, testování průniku do systému atd.);

192 Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů procesy, vědecké metody a technologie podporující management bezpečnosti informací; posuzování rizik (identifikace, analýza a hodnocení) a trendy v technologiích, hrozbách a zranitelnosti; management rizik bezpečnosti informací; metody a postupy nástrojů řízení bezpečnosti informací (elektronických a fyzických); metody a postupy týkající se integrity a citlivosti informací; metody a postupy měření a hodnocení efektivnosti systémů managementu bezpečnosti informací a souvisejících nástrojů řízení; metody a postupy měření, monitorování a zaznamenávání výkonnosti (včetně testování, auditů a přezkoumávání)

193 Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů A.8 Názorné příklady konkrétních znalostí a dovedností auditorů pro management bezpečnosti a ochrany zdraví při práci A.8.1 Obecné znalosti a dovednosti Znalosti a dovednosti, specifické pro obor, a aplikace konkrétních metod, technik, procesů a postupů mají být dostačující k tomu, aby auditorovi umožňovaly prověřit systém managementu a vytvářet správná zjištění a závěry z auditu

194 Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů Příklady jsou: identifikace nebezpečí, včetně dalších faktorů ovlivňujících výkonnost lidí na jejich pracovním místě (jako jsou fyzické, chemické a biologické faktory, stejně jako pohlaví, věk, postižení a další fyziologické, psychologické a zdravotní faktory); posuzování rizik, určování způsobů řízení a komunikace o riziku [určení způsobu řízení má být založeno na hierarchii způsobů řízení (viz OHSAS 18001:2007, 4.3.1)]; hodnocení zdravotních a lidských faktorů (včetně fyziologických a psychologických faktorů) a principy jejich posuzování;

195 Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů metody monitorování expozice a posuzování rizik bezpečnosti a ochrany zdraví při práci (včetně těch, která vyplývají z výše zmíněných lidských faktorů nebo která se týkají hygieny práce) a související strategie eliminace nebo minimalizace expozice rizikům; lidské chování, vzájemná interakce lidí a interakce lidí a strojů, procesů a pracovního prostředí (včetně pracovního místa, principů ergonomie a bezpečného návrhu, informačních a komunikačních technologií); hodnocení různých typů a úrovní požadavků na kompetence v oblasti ochrany a zdraví při práci napříč organizací a posuzování těchto kompetencí; zapojení a účasti zaměstnanců; 195

196 Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů metody podpory zdraví, blaha a osobní odpovědnosti zaměstnanců (ve vztahu ke kouření, drogám, alkoholu, problémům s nadváhou, cvičení, stresu, agresivního chování atd.) jak v pracovní době, tak v jejich soukromém životě; vytváření, užití a hodnocení proaktivních a reaktivních měřítek a metrik výkonnosti; principy a postupy identifikace potenciálních mimořádných událostí a havarijní plánování, prevence, odezva a obnova; metody vyšetřování a hodnocení incidentů (včetně pracovních úrazů a nemocí z povolání); určování a využití zdravotních informací (včetně dat monitorování nemocí a vystavení zdravotním faktorům v rámci práce) při zvláštním zvážení důvěrnosti některých aspektů takových informací;

197 Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů pochopení zdravotních informací (včetně zdravotnické terminologie dostatečné pro pochopení dat týkajících se prevence úrazů a nemocí); hodnoty systému expozičních limitů při práci ; metody monitorování a podávání zpráv o výkonnosti bezpečnosti a ochrany zdraví při práci; pochopení legislativních a dalších požadavků týkajících se bezpečnosti a ochrany zdraví při práci v míře dostatečné pro to, aby mohl auditor hodnotit systém managementu bezpečnosti a ochrany zdraví při práci

198 Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů A.8.2 Znalosti a dovednosti týkající se auditovaného odvětví Znalosti a dovednosti, specifické pro obor, a aplikace konkrétních metod, technik, procesů a postupů mají být dostačující k tomu, aby auditorovi umožňovaly prověřit systém managementu a vytvářet správná zjištění a závěry z auditu.i a dovednosti týkající se auditovaného odvětví

199 Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů Příklady jsou: procesy, vybavení, suroviny, nebezpečné látky, procesní cykly, údržba, logistika, pracovní tok v organizaci, pracovní postupy, časový rozpis směn, kultura organizace, vedení a řízení lidí, chování a další záležitosti specifické pro provozní činnosti nebo odvětví; typická nebezpečí a rizika odvětví, včetně zdravotních a lidských faktorů. POZNÁMKA Další informace viz související normy managementu bezpečnosti a ochrany zdraví při práci vytvářené projektovou skupinou OHSAS

200 Příloha B Další návod pro auditory k plánování a provádění auditů B.1 Aplikace metod auditu K provedení auditu může být využívána řada metod. Vysvětlení běžně užívaných metod auditu lze nalézt v této příloze. Zvolené metody auditu budou záviset na stanovených cílech, předmětu a kritériích auditu i na jeho trvání a místě provedení. Mají být také zváženy dostupné kompetence auditora a všechny nejistoty plynoucí z aplikace metod auditu. Aplikace různých metod auditu a jejich kombinací může optimalizovat účinnost a efektivnost procesu auditu a jeho výstupu

201 Příloha B Další návod pro auditory k plánování a provádění auditů Provádění auditu zahrnuje interakci jednotlivců s Auditovaným systémem managementu a technologií Využívanou v rámci auditu. Tabulka B.1 uvádí příklady metod auditu, které lze samostatně nebo v kombinaci využít k dosažení cílů auditu. Je-li v rámci auditu využíván tým auditorů s více členy, mohou být ve stejném okamžiku využity jak metody provádění auditu na místě, tak metody auditu prováděného na dálku. POZNÁMKA Další informace o návštěvách na místě viz kapitola B

202