KOMENTOVANÉ VYDÁNÍ NORMY ČSN EN ISO 19011:2012 AUTOŘI: Ing. Jan Hnátek Ing. Miroslav Jedlička Ing. Miroslav Staněk Ing. Elena Stibůrková Ing. Milan Trčka LEKTOROVAL: RNDr. Zdeněk Svatoš Česká společnost pro jakost Praha 2012
Česká společnost pro jakost, o. s. ISBN 978-80-02-02416-3 2 Ukázka knihy z internetového knihkupectví www.kosmas.cz
Úvodem Důležitost normy roste s počtem jejích uživatelů. Pokud jde o normy ISO podporující certifikované systémy managementu, dá se očekávat, že budou mít velké množství uživatelů ze strany auditorů i osob organizujících programy auditů. Norma ČSN EN ISO 19011:2012 Směrnice pro auditování systémů managementu je určena všem osobám, které budou dohlížet nad funkčností systémů a procesů jakékoli organizace. Považujeme za nejvýše vhodné, aby kromě postupů pro vytváření podnikové či firemní dokumentace existovaly postupy pro efektivní provádění interních auditů. Záměrem velké revize normy ISO 19011 bylo sjednotit postupy pro auditování a současně najít shodu mezi různými typy auditů. V tomto je směrnice ISO 19011 méně konzervativní, než další související norma ISO/IEC 17021:2011 Posuzování shody Požadavky na orgány poskytující službu auditů a certifikace systémů managementu. Novela ISO/IEC 17021:2011 se zaobírá rozšířením požadavků na kompetence auditorů, přičemž nevymezuje rozdíly v přístupech a technikách auditování rozdílných systémů managementu. Nutno podotknout, že zatím nedošlo k porozumění v oblasti finančních auditů a pojem interní audit bude veřejností neustále vnímán jako samostatná oblast, byť je provádění auditů dle ISO 19011 univerzálním návodem. Zatímco směrnice ISO 19011 obsahuje návod na provádění auditů první a druhou stranou, norma ČSN EN ISO/IEC 17021:2011 obsahuje závazné požadavky pro certifikační orgány a stanovuje kompetence všech osob, podílejících se na provádějící posuzování shody a auditech třetí stranou. Obě normy spolu úzce souvisejí a vymezují činnosti provádění auditů, přičemž ISO 19011 je rozšiřujícím návodem vhodným nejen pro interní auditory. Také organizace provádějící posuzování shody a audit třetí stranou mají vhodně uplatňovat postupy ISO 19011, zejména přílohy A, kde jsou zařazeny názorné příklady znalostí a dovedností specifických pro určitý obor. Autorský kolektiv, složený ze zkušených lektorů a především auditorů ČSJ a zástupců TNK6 ÚNMZ dává záruky, že odborná veřejnost obdrží náležitý odborný výklad a příklady praktické aplikace. Výklad komentovaného vydání je uspořádán tak, aby postihnul přínosy pro uživatele, volitelné metody či přístupy a umožnil uživatelům normy nastavit, udržovat, zlepšovat a rozvíjet auditorskou činnost. Ing. Milan Trčka Předseda TNK6 ÚNMZ a vedoucí projektu 3
Předmluva Tento dokument (EN ISO 19011:2011) vypracovala technická komise ISO/TC 176 Management kvality a prokazování kvality. Této evropské normě je nutno nejpozději do května 2012 dát status národní normy, a to buď vydáním identického textu, nebo schválením k přímému používání, a národní normy, které jsou s ní v rozporu, je nutno zrušit nejpozději do května 2012. Upozorňuje se na možnost, že některé prvky tohoto dokumentu mohou být předmětem patentových práv. CEN [a/nebo CENELEC] nelze činit odpovědným za identifikaci jakéhokoliv nebo všech patentových práv. Tento dokument nahrazuje EN ISO 19011:2002. Podle vnitřních předpisů CEN/CENELEC jsou tuto evropskou normu povinny zavést národní normalizační organizace následujících zemí: Belgie, Bulharska, České republiky, Dánska, Estonska, Finska, Francie, Chorvatska, Irska, Islandu, Itálie, Kypru, Litvy, Lotyšska, Lucemburska, Maďarska, Malty, Německa, Nizozemska, Norska, Polska, Portugalska, Rakouska, Rumunska, Řecka, Slovenska, Slovinska, Spojeného království, Španělska, Švédska a Švýcarska. Oznámení o schválení Text ISO 19011:2011 byl schválen CEN jako EN ISO 19011:2011 bez jakýchkoliv modifikací. A. Proč? Přínos pro uživatele Druhé vydání normy je doplněno o nové poznatky, metody a praktické zkušenosti z auditování jednotlivých systémů managementu. Text normy byl v řadě ustanovení zobecněn, zjednodušen a v mnoha případech doplněn, aby byl pro uživatele srozumitelný, přehledný, jednoznačný a logický. Tato norma slouží organizaci k zavedení interních a externích auditů systémů managementu a může být také využita pro sebeprohlášení organizace o způsobilosti zavedeného systému managementu na základě vlastního posouzení shody systému s požadavky. Vypracováním ISO 19011 byla pověřena subkomise SC 3 Podpůrné technologie v technické komisi ISO/TC 176 Management kvality a prokazování kvality. Pro revizi ISO 19011 byla vytvořena společná pracovní skupina sestávající z odborníků nominovaných z technických komisí ISO/TC 176 Management kvality a prokazování kvality a ISO/TC 207 Management životního prostředí s hlasovacím právem pro schválení normy. K spolupráci na vypracování normy byly vyzvány další technické komise a do pracovní skupiny byli jmenováni zástupci z těchto technických komisí: ISO/TC 8 Supply chain security and ship recycling, ISO/TC 34 Food safety management, ISO/TC 210 Medical devices (Quality management), ISO/TC 223 Societal security business continuity management, ISO/TC 241 Road traffic safety management, ISO/TC 242 Energy management, ISO/TMB WG Risk Management, ISO/IEC JTC1/SC 27 Information security management, ISO/TC 46/SC 11/WG 9 Risk assessment for records systems, OHSAS Group a INLAC The Latinamerican Institute for Quality Assurance. Ve srovnání s prvním vydáním norma zahrnuje tyto základní změny: rozšířuje použití pro všechny systémy managementu (viz název normy) jednoznačně vymezuje vztah a použití mezinárodních norem ISO 19011 a ISO/IEC 17021 (viz Úvod, tabulka 1) doplňuje termíny a definice o nejednoznačně chápané nebo nové pojmy, např. pozorovatel (observer), průvodce (guide), riziko (risk), shoda, systém managementu rozšířuje principy auditování o důvěrnost (informace jsou přístupné pouze oprávněným osobám) doplňuje metody auditování o techniku auditování na dálku (remote auditing) využitelnou pro určité činnosti při auditu rozpracovává koncepci rizik auditování reorganizuje činnosti a odpovědnosti v kapitolách 5, 6 a 7 (logické procesní uspořádání přesunutí a doplnění řady činností v kapitolách) zobecňuje kompetence auditora (vzdělání, výcvik a zkušenosti umožňují auditorovi aplikovat znalosti a dovednosti při auditování systému managementu a jsou dostačující k tomu, aby byl schopen vytvářet správná zjištění a závěry druhé vydání již neuvádí tabulku s příkladem požadavků na vzdělání, pracovní zkušenosti, školení/výcvik auditorů a zkušenosti z auditů) 4
upřednostňuje kompetenci týmu auditorů před kompetencemi jednotlivých členů týmu zjednodušuje proces určování a vyhodnocování kompetence auditora (v prvním vydání překládáno jako odborná způsobilost) nově zařazuje přílohu A s názornými příklady řady specifických oborových znalostí a dovedností a přílohu B s doplňujícími informacemi k plánování a provádění auditů (např. použití auditních metod, přezkoumání dokumentů, příprava pracovních dokumentů, výběr zdrojů informací, vzorkování na základě úsudku nebo s využitím statistických metod atd.) neuvádí již tzv. praktické pomůcky (v prvním vydání doplňující příklady v rámečcích), tyto upravuje a zařazuje přímo do textu nebo informativní přílohy B normu doplňuje o další informace publikované na veřejných stránkách ISO (www.iso.org/19011auditing), na kterých uvádí příklady procesu hodnocení týmu auditorů provádějících interní audit jednoho nebo více systémů (např. QMS, EMS, OHSAS). Veřejné stránky ISO 19011 Auditing budou ještě doplněny o další příklady hodnocení týmů auditorů pro kombinované audity. Tyto stránky jsou veřejnosti volně přístupné a mají uživatelům normy poskytnout doplňující informace, které by zařazením do textu normy navýšily její cenu. 5 Ukázka knihy z internetového knihkupectví www.kosmas.cz
Obsah Strana Předmluva... 4 Úvod... 7 1 Předmět... 9 2 Citované dokumenty... 9 3 Termíny a definice... 10 4 Principy auditování... 15 5 Řízení programu auditů... 17 5.1 Obecně... 17 5.2 Stanovování cílů programu auditů... 19 5.3 Stanovování programu auditů...... 21 5.4 Realizace programu auditů... 26 5.5 Monitorování programu auditů... 33 5.6 Přezkoumávání a zlepšování programu auditů... 34 6 Provádění auditu... 36 6.1 Obecně... 36 6.2 Zahájení auditu... 37 6.3 Příprava činností při auditu... 39 6.4 Provádění činností při auditu... 44 6.5 Příprava a distribuce zprávy z auditu... 54 6.6 Ukončení auditu... 55 6.7 Provádění následného auditu... 56 7 Kompetence a hodnocení auditorů... 57 7.1 Obecně... 57 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů... 59 7.3 Stanovování kritérií hodnocení auditorů... 65 7.4 Výběr vhodných metod hodnocení... 67 7.5 Provádění hodnocení auditora... 69 7.6 Udržování a zlepšování kompetencí auditora... 71 Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů... 72 Příloha B Další návod pro auditory k plánování a provádění auditů... 77 Bibliografie... 87 6
Úvod Od prvního vydání této mezinárodní normy v roce 2002 byla publikována řada nových norem pro systémy managementu. Výsledkem toho vznikla aktuální potřeba vzít v úvahu širší rozsah auditování systémů managementu a poskytnutí obecnějšího návodu. V roce 2006 vytvořila komise ISO pro posuzování shody (CASCO) normu ISO/IEC 17021, která stanovuje požadavky na certifikaci systémů managementu třetí stranou, a která je částečně založena na směrnicích obsažených v prvním vydání této mezinárodní normy. Druhé vydání ISO/IEC 17021, vydané v roce 2011, bylo rozšířeno tak, aby byl návod uvedený v této mezi národní normě přetvořen do požadavků na certifikační audity systémů managementu. Na základě těchtoskutečností druhé vydání této mezinárodní normy poskytuje všem uživatelům včetně malých a středních organizací návod k tomu, co se běžně označuje jako interní audity (audity první stranou) a audity prováděné zákazníky u jejich dodavatelů (audity druhou stranou). I když se všichni, kteří jsou zapojeni do certifikačních auditů systémů managementu, řídí požadavky ISO/IEC 17021:2011, mohou využívat návod uvedený v této mezinárodní normě. Vazby mezi druhým vydáním této mezinárodní normy a ISO/IEC 17021:2011 jsou uvedeny v tabulce 1. Tabulka 1 Předmět této mezinárodní normy ve vztahu k ISO/IEC 17021:2011 Interní audit Externí audit Někdy nazývaný audit první stranou Dodavatelský audit Někdy nazývaný audit druhou stranou Audit třetí stranou Pro účely zákonů a předpisů a obdobné účely Pro účely certifikace (viz také požadavky v ISO/IEC 17021:2011) Tato mezinárodní norma nestanovuje požadavky, ale poskytuje návod k řízení programu auditů, plánování a provádění auditů systému managementu, i ke kompetencím a hodnocení auditora a týmu auditorů. Organizace mohou mít více než jeden systém mana-gementu. Pro lepší srozumitelnost této mezinárodní normy je přednostně užíváno jednotné číslo systém managementu. Uživatel si ale může přizpůsobit realizaci návodu své vlastní konkrétní situaci. Toto také platí pro užití slov osoba a osoby, auditor a auditoři. Tato mezinárodní norma je určena k použití širokému spektru možných uživatelů, včetně auditorů, organizací zavádějících systémy managementu a organizací, které potřebují provádět audity systémů managementu na základě smluvních nebo právních důvodů. Uživatelé této mezinárodní normy mohou návod využít při vytváření vlastních požadavků, týkajících se auditu. Návod obsažený v této mezinárodní normě může být také využit pro účely vlastního prohlášení a může být užitečný pro organizace zabývající se výcvikem auditorů nebo certifikací osob. Návod obsažený v této mezinárodní normě byl vytvořen tak, aby byl flexibilní. Jak je uváděno na různých místech textu, může se použití tohoto návodu lišit v závislosti na velikosti a úrovni vyspělosti systému managementu organizace, typu a složitosti auditované organizace i cílech a předmětu auditů, které mají být prováděny. Tato mezinárodní norma zavádí koncepci rizik do auditování systémů managementu. Přijatý přístup se týká rizika, že proces auditu nedosáhne svých cílů, a potenciální možnosti auditu narušit činnosti a procesy auditované organizece. Neposkytuje specifický návod k procesu managementu rizik organizace, ale respektuje, že organizace mohou zaměřit úsilí v rámci auditu na záležitosti, které mají velký význam pro systém managementu. Tato mezinárodní norma přejímá přístup, že pokud jsou dva nebo více systémů managementu z různých oborů auditovány společně, nazývá se takový audit kombinovaným auditem. Kde jsou tyto systémy integrovány do jediného systému managementu, jsou principy a procesy auditování stejné, jako u kombinovaného auditu. Kapitola 3 stanovuje zásadní termíny a definice používané v této mezinárodní normě. Cílem bylo, aby tyto definice nebyly v konfliktu s definicemi užívanými v jiných normách. 7
Kapitola 4 popisuje principy, na kterých je auditování založeno. Tyto principy pomáhají uživatelům porozumět podstatě auditování a jsou důležité pro pochopení návodů uvedených v kapitolách 5 až 7. Kapitola 5 poskytuje návod k stanovení a řízení programu auditů, stanovení cílů programu auditů a koordinování činností auditu. Kapitola 6 poskytuje návod k plánování a provádění auditu systému managementu. Kapitola 7 poskytuje návod týkající se kompetencí a hodno-cení auditorů systémů managementu a týmů auditorů. Příloha A znázorňuje v kapitole 7 aplikaci návodu pro různé obory. Příloha B poskytuje auditorům další návod k plánování a provádění auditů. Úvodní slovo: Od prvního vydání této mezinárodní normy v roce 2002 se značně rozšířil počet norem systémů managementu pro různé obory a odvětví. Vzhledem k této skutečnosti bylo nutné zobecnit směrnici pro auditování, aby byla použitelná pro všechny obory, odvětví a organizace bez rozdílu jejich velikosti. První vydání normy bylo koncipováno pro auditování systémů managementu kvality a systémů environmentálního managementu jak v oblasti interních, tak i externích auditů. Ve velké míře byla původní norma využívána i certifikačními orgány při certifikačních auditech. Světový vývoj v certifikaci systémů managementu zaznamenal v posledních letech nebývalý nárůst v počtu vydávaných certifikátů. S celosvětovým rozmachem certifikace systémů se začaly vyskytovat i nedostatky v jejich efektivnosti. Na nízkou efektivnost a v některých případech i důvěryhodnost zavedených a certifikovaných systémů poukázala jako první technická komise ISO/TC 176 Management kvality a prokazování kvality a požadovala analýzu příčin v celém dodavatelském řetězci certifikace, tj od udělování akreditací pro certifikační výkony až po zavádění a certifikaci systémů managementu. Analýzou pověřila poradní pracovní skupinu IAG (ISO 9000 Advisory Group) složenou ze zástupců ISO/TC 176, IAF (International Accreditation Forum), IPC (International Personnel Certification Association), ISO/CASCO a ISO/COPOLCO. Výstupem analýzy byl návrh řady opatření (tzv. Bílá listina), která spočívala ve zpřísnění předpisů, postupů a požadavků, v jejich jednoznačnější interpretaci a zejména ve zvýšení odborné způsobilosti pracovníků celého dodavatelského řetězce. Realizace opatření se promítla i do revizí a vydání řady mezinárodních norem (např. ISO 9001 a ISO 9004). Sekretariát ISO zpracoval na svých stránkách (www.iso.org) vysvětlení řady pojmů (např. prohlášení výrobce, certifikace, akreditace atd.). IAF se zaměřila na úpravu předpisů pro akreditaci, širší spolupráci mezi národními a mezinárodními organy a na monitorování certifikačních činností. Pro nová výdání nebo revize mezinárodních norem požadavků systémů managementu byl vypracován nový ISO Guide 83, jehož hlavním cílem je dosáhnout sjednocení struktury norem systémů managementu, termínů a definic, aby se předešlo nesprávné a rozdílné interpretaci požadavků při auditech. V oblasti auditování bylo sekretariátem ISO rozhodnuto harmonizovat postupy pro jakýkoli obor a jakékoli odvětví systémů managementu a vydat dvě základní normy, ve kterých bude oddělen obecný návod pro auditování (směrnice) od požadavků na postupy při certifikaci systémů managementu. Sekretariát pověřil vypracováním těchto norem ISO/CASCO a technickou komisi ISO/TC 176. V roce 2011 byly pro systémy managementu vydány: ISO/IEC 17021:2011 Posuzování shody Požadavky na orgány poskytující služby auditů a certifikace systémů managementu ISO 19011:2011 Směrnice pro auditování systémů managementu Při revizi ISO 19011 byly uplatněny dlouholeté poznatky a zkušenosti s auditováním různých oborů a odvětví. Z pohledu širokého spektra systémů a uživatelů normy byl text v mnoha případech zobecněn, doplněn a logicky uspořádán. Současně byly rozšířeny návody k jednotlivým činnostem, které je potřeba při procesu přípravy programů auditů, procesu auditování a zabezpečování potřebných kompetencí auditorů brát v úvahu. Směrnice pro auditování systémů managementu má spíše charakter podrobnějšího návodu než stručné normy. Někteří uživatelé mohou považovat změny v ISO 19011 za podstatné, jiní na ně mohou pohlížet jako na inspiraci pro zavedení správných postupů všech činností spojených s auditováním. Předložené komentované vydání mezinárodní normy ISO 19011 poskytuje organizacím, které již zavedly nebo se chystají zavést zavádět systém managementu, návod na jejich auditování a současně příležitost porovnat již zavedené postupy auditování s touto směrnicí a identifikovat možností zlepšení nebo doplnění postupů auditování. 8 Ukázka knihy z internetového knihkupectví www.kosmas.cz
1 Předmět Tato mezinárodní norma poskytuje návod k auditování systémů managementu, včetně principů auditování, řízení programu auditů, provádění auditů systému managementu a návod k hodnocení kompetencí jednotlivců, kteří jsou součástí procesu auditu, včetně osob řídících program auditů, auditory a týmy auditorů. Je použitelná ve všech organizacích, které potřebují provádět interní nebo externí audity systémů mana-gementu nebo řídit program auditů. Je použitelná ve všech organizacích, které potřebují provádět interní nebo externí audity systémů managementu nebo řídit program auditů. Aplikace této mezinárodní normy na další typy auditů je možná v případě, že jsou zváženy potřebné specifické kompetence. A. Proč? Přínos pro uživatele Norma poskytuje návod a cenné informace využitelné k auditování jakéhokoli systému managementu formou interních i externích auditů, kombinovaných auditů integrovaných systémů managementu a společných auditů. B. Metody/přístupy Základem dobré auditní praxe je zavedení a dodržování principů auditování, vypracování programu auditů a dále naplánování a realizace individuálních auditů auditory, kteří splňují potřebné požadavky na kompetence stanovené organizací. Důvěryhodnost provedeného auditu a schopnost dosažení stanoveného cíle závisí na kompetencích osob zapojených do plánování a provádění auditu. Na rozdíl od předcházejícího vydání normy z roku 2002, kde byl uveden příklad taxativního výčtu požadavků na dosaženou úroveň vzdělání, praxi, výcvik a zkušeností s auditováním pro získání potřebné kompetence, je v tomto vydání z důvodů auditování různých systémů managementu kompetence pojata obecněji. Předpokládá, že auditor je schopen vytvářet správná zjištění a formulovat závěry s využitím znalostí a dovedností které získal vzděláváním, pracovními zkušenostmi, výcvikem auditora a zkušenostmi z auditů. Kritéria pro získání kompetence si stanovuje každá organizace sama na základě složitostí procesů systému managementu a požadavků zainteresovaných stran v působnosti organizace. C. Jak na to? Jak to nastavit, udržovat, zlepšovat a rozvíjet Pro organizace, které již mají zkušenosti s prováděním auditů podle ISO 19011, se doporučuje porovnat zavedené postupy auditování s tímto novým vydáním a doplnit je o využitelné informace a návody. Pro organizace, které začínají s audtováním, slouží tento podrobný návod s nově zařazenými přílohami k vypracování vlastního postupu pro auditování zavedeného systému managementu. Pro snažší a rychlejší zavedení programu auditu, plánování a realizaci individuálních auditů lze využít rad a zkušeností poradenských organizací. 2 Citované dokumenty Nejsou citovány žádné normativní dokumenty. Tato kapitola je zahrnuta pro dodržení číslování kapitol v souladu s dalšími normami systémů managementu. 9