INTERNÍ AUDITOR ŠKOLENÍ INTERNÍCH AUDITORŮ QMS a EMS (GARANTŮ) Ing. Vladimír Görner, CSc., MBA říjen 2012
Požadavky normy na audit Obecně provádění auditu všechny procesy systému managementu minimálně 1x ročně Plánování - Program auditů Plán auditu Volba auditora nezávislost a nestrannost na prověřované činnosti Existence dokumentovaného postupu odpovědnosti za plánování a provádění auditu vytvoření záznamů zprávy z auditů a záznamy o neshodách a přijatých NO 2
Audit Systematický, nezávislý a dokumentovaný proces získávání důkazů z auditu a jeho objektivního hodnocení s cílem stanovit rozsah, v němž jsou splněna kritéria auditu tzn. zjištění a popsání míry plnění požadavků normy a interních dokumentů organizace 3
Terminologie auditu I Auditor osoba s odbornou způsobilostí provádět audit je nezávisly na prověřované činnosti Tým auditorů jeden nebo více auditorů, kteří provádějí audit, podporovaný technickými experty, jsou-li potřební Jeden z auditorů týmu auditorů je ustanoven vedoucím auditorského týmu. Tým auditorů může zahrnovat i auditory ve výcviku 4
Terminologie auditu II Technický expert osoba, která poskytuje specifické znalosti a odborné posudky k předmětu auditu Pozorovatel člen týmu, nezasahuje do auditu Program auditu soubor auditů plánovaných pro určitý časový rámec (1 rok) Plán auditu popis činností a uspořádání postupu auditu v místě auditu není nutné využít, jsou-li s předmětem a termínem audity prověřovaní seznámeni jinou formou (např. porada) 5
Terminologie auditu III Plán auditu dokument určující předmět a rozsah konkrétního auditu vč. prověřovaných míst, auditorů, čas. harmonogramu, atd. Neshoda nesplnění požadavku (klasifikace) Záznam o neshodě formulář IA, kde jsou vedeny údaje o zjištěných neshodách Check list (dotazník) pomocný dokument při auditu pro záznam zjištění provedených na místě 6
Terminologie auditu IV Předmět auditu velikost a vymezení / ohraničení auditu, obvykle zahrnuje popis fyzického umístění, organizační jednotky, činnosti a procesy a také časový úsek pokrytý auditem je uváděn v Plánu auditu Kritéria auditu soubor dílčích politik, postupů nebo požadavků, norma, podle které audit probíhá Důkaz z auditu záznamy, konstatování skutečnosti nebo jiné informace, které souvisejí s ověřovanou činností a jsou ověřitelné 7
Terminologie auditu V Zjištění z auditu výsledky hodnocení shromážděných důkazů z auditu, mohou označovat buď shodu nebo neshodu s kritérii auditu, nebo příležitosti ke zlepšování Závěr z auditu výstup z auditu poskytnutý týmem auditorů Klient auditu organizace, organizační jednotka nebo osoba, která je prověřována auditem 8
Auditování Auditování zavedeného systému řízení kvality patří mezi základní nástroje managementu Probíhá vždy podle časového harmonogramu Programu auditů Stěžejní odpovědnost za řízení programu interních auditů má manažer kvality (QM) Vlastní provedení auditu, je odpovědností vedoucího auditora 9
Druhy auditu I Vnitřní (interní) audit audit první stranou - nezávislost, ale odbornost auditorů, přítomnost vedoucího, neshody v systému řízení Vnější (externí) audit audit druhou stranou zákaznické, příp. subdodavatelské audity, vlastní názor zákazníka na systém, nastavení vstupní a výstupní kontroly u subdodavatele, problém provozní slepota Vnější audit audit třetí stranou nezávislá auditorská organizace, hodnotí se funkčnost, efektivnost a účinnost nastavených procesů 10
Druhy auditu II Systémový audit prověření účinnosti systému existence a míry zavedení jednotlivých prvků a procesů, z nichž je systém složen (zpravidla audit 3. stranou) Procesní audit prověření účinnosti jednotlivých procesů systému účelnosti a způsobilost jednotlivých činností v rámci procesů (např. hlavní procesy, proces řízení dokumentace, atd.) Prvkový audit prověření, zda daný prvek / kritérium normy je splněn v plném rozsahu (např. 8.2.1 Spokojenost zákazníka) 11
Druhy auditu III Výrobkový audit předmětem posuzování je výrobek kvalitu výstupu odpovídá požadavkům zákazníka Audit služeb účinnost a efektivnost činností, které jsou požadovány v souvislosti s výrobky (hlavní i doplňková činnost organizace) 12
Druhy auditu IV Plánované v souladu s Programem IA na rok Neplánované = mimořádné mimořádné důvody: při uskutečnění významných změn (reorganizace, revize postupů apod.) jako příprava na externí audit 3. stranou vyžádání vedoucího dané oblasti (ředitel, vedoucí příslušné organizační jednotky, atd.) v rámci smluvních vztahů ověření Dodatkové kontrola účinnosti nápravných opatření (NO), preventivních opatření (PO). 13
Techniky auditu I Pokládání otázek Prozkoumávání objektivních důkazů Pozorování aktivit, činností Naslouchání reakcím Zaznamenávání nálezů, zjištění popis současného stavu popis jak by to mělo být, požadavek, kritérium definuj příčinu a potenciální riziko 14
Techniky auditu II Sledování po směru audit sledující tok procesu, služby Sledování proti směru audit zpětně vyhledává záznamy o realizované činnosti Tvorba záznamu zjištění: hledání objektivního důkazu, že systém funguje, jak je předepsáno, podle požadavku odebrané vzorky jsou požadovaným důkazem 15
Techniky auditu - zjištění Vždy stanovit objektivní důkaz pro zjištěný nesoulad (objevený výskyt může být důsledkem a ne příčinou) Pokud jsou prověřovány procesy, je vhodné prověřit nastavený kontrolní systém procesu, prověření shody se specifikací Záznam se provádí u všech zjištění (negativních i významných pozitivních) Princip zvyšování povědomosti o požadavcích, souvislostech, nastavení procesů 16
Interní audity Program interních auditů celková organizace interních auditů, systém interních auditů Proces interního auditu příprava auditu, provedení auditu, vyhodnocení auditu, záznamy z auditu 17
Řízení Programu IA Pravomoci k Programu auditů STANOVENÍ PROGRAMU AUDITU cíle a rozsah odpovědnost zdroje postupy Odborná způsobilost a hodnocení auditorů Zlepšování programu auditu UPLATŇOVÁNÍ PROGRAMU AUDITU časový plán auditu hodnocení auditorů výběr týmu auditorů nasměrování činností auditů udržování záznamů Činnosti při auditu (vlastní audit) MONITOROVÁNÍ A PŘEZKOUMÁNÍ PROGRAMU AUDITŮ monitorování a přezkoumání analýza NO a PO identifikace příležitostí pro zlepšování 18
Řízení Programu IA Program 1 rok, mění se podle změn v organizaci a v závislosti na okolních podmínkách Program může být ovlivněn: zkušenostmi z předchozích auditů změnami legislativy významnými změnami organizace nebo jejích činností 19
Řízení Programu IA Mezi příklady programů auditů patří: interní audity pokrývající celý systém řízení kvality pro daný rok audity systému managementu potenciálních subdodavatelů - audit druhou stranou audity pro autorizaci (akreditaci, certifikaci) audit třetí stranou 20
Cíle Programu IA Splnit požadavky na interní audity podle normy systému řízení kvality Shodu praxe s požadavky specifikovanými v platných postupech Účinnost vybrané části systému pro splnění celkových cílů Splnění zákonných požadavků, opatření, norem Poskytnout příležitost pro zlepšování systému Audit u subdodavatele potenciální dodavatel 21
Odpovědnost za řízení Programu IA Jeden nebo více zaměstnanců, kteří rozumějí: zásadám auditů odborné způsobilosti auditorů používání technik auditu Odpovědní zaměstnanci - odpovídají např. za: stanovení cíle a rozsah programu auditů, dodržení programu auditů, zajištění přiměřených záznamů programu auditů a monitorování, přezkoumávání a zlepšování programu auditů 22
Zdroje pro Program IA Finanční zdroje nezbytné pro vypracování, zavedení, řízení a zlepšování činností při auditu Dosažení a udržení odborné způsobilosti auditorů a zlepšování jejich dosahované úrovně Dostupnost auditorů a technických expertů, rozsah programu auditů Doba na cestu a jiné potřeby při auditování 23
Formulář Programu IA Jedna z možných variant zpracování: Článek normy Prověř. činnost Pracoviště osoba Rozsah Termín Tým aud. Protokol Neshoda č. Kontrola NO Plánovací část připravuje QM ve spolupráci s vedoucím auditorem každé kritérium normy prověřeno min. 1 x ročně Kontrolní část operativně vyplňuje QM přehled a snadná kontrola realizace NO 24
Uplatnění Programu IA QM, dle Programu IA Auditor, příprava dokumentace Auditor, příprava dokumentace Auditor, příprava dokumentace Auditor, příprava dokumentace Auditor, příprava dokumentace Auditor Předání dokumentace zástupci prověřované oblasti 25
Proces interního auditu (IA) Plánování + příprava auditu oznámení auditu příslušným stranám časový harmonogram výběr týmu auditorů prověření dokumentace Provedení auditu zahajovací jednání, vlastní prověření, vyhodnocení (klasifikace neshod), závěrečné jednání Dokumentování auditu a ukončení protokol, záznamy o neshodě a nápravných opatřeních 26
Proces IA Plán IA na jeden konkrétní audit formulace cíle auditu požadavky na podklady nutné před započetím IA požadavky na dokumenty kontrolované na místě vhodný zejména při prověřování většího počtu org. jednotek není nutné jej vypracovat, jsou-li prověřovaní seznámení s obsahem a termínem IA jiným způsobem vypracování plánu auditu šetří čas auditora i prověřovaných Prezenční listina důkaz o konkrétních osobách, které byly prověřeny, není nutné vypracovávat na uvážení auditora 27
Tvorba auditních otázek IA Okruhy otázek pro různá pracoviště: čím je zaručena platnost a úplnost dokumentovaných postupů na pracovišti? jaké postupy musí být k dispozici přímo na pracovišti? kde je ověřitelná shoda distribuce a aktuálnosti dokumentovaných postupů? kdo odpovídá za předepsané záznamy, kde vznikají? jaká jsou kritéria na způsobilosti pracovníků, postupy a záznamy, zařízení a měřidla, prostředí a které záznamy prokazují jejich stav? kde je ověřitelné, že opatření k nápravě jsou účinná a řízená ve shodě s předpisem? jaké záznamy prokazují, že příprava pracovníků je stanovena a realizována? 28
Provedení IA QM v Programu auditů navrhne složení týmu auditorů a určí vedoucího auditora Vedoucí auditor sestaví plán auditu a připraví další podklady k auditu kontrolní otázky, požadavky na dokumenty, nutné k auditu Předá formuláře ostatním zainteresovaným auditorům Tým auditorů si vyžádá a přezkoumá podklady k auditu, zjistí výsledky předchozích auditů kontrola plnění NO 29
Provedení IA - zahájení Zahájení záleží na uvážení auditora každé pracoviště - určený tým dle plánu auditu vyplnění prezence (nebo v průběhu auditu) sdělení cíle a rozsahu auditu seznámení s výsledky přezkoumaných podkladů Prověřování, průběh popisuje osobní poznámky auditorů, vyplněné záznam / protokol z IA 30
Provedení IA - prověřování Základní způsoby prověřování (taktika auditování): využití připravených otázek kontrola dokumentace všechny prvky jsou dokumentovány, schválení - podpis odp. osoby, aktuálnost prověření procesů (typicky na záznamech) pohovor s prověřovanými znalost a orientace pracovníků v prověřované problematice, dostupnost postupů prověření zařízení, infrastruktury, podpůrných procesů prověření řídicích procesů, schvalování, komunikace Prověření reakce na nestandardní stavy odpovědnosti / pravomoci kompetence, školení 31
Závažnost zjištění IA Jedná se o neshodu, nedostatek? (klasifikace zjištění) Vyskytuje se neshoda příliš často ve spojitosti s jedním procesem / pracovníkem / postupem / útvarem? Jedná se o kritickou situaci, která bezprostředně ohrožuje kvalitu služby / výrobku / bezpečnost pracovníka nebo zákazníka? Jsou přezkoumány všechny důkazy, tak že je jasné, že jde opravdu o neshodu? Lze neshodu odstranit ještě v průběhu auditu? 32
Klasifikace zjištění IA Zjištěné skutečnosti Selhání v dodržování kritických postupů vliv na výsledek činnosti nebo na funkce SM Menší nedostatky SM, které bezprostředně neohrožují jeho funkci, selhání jednotlivce Izolované nebo nahodilé malé nedostatky, nejlepší praxe Kritéria jsou plněna, postupy dodržovány Klasifikace zjištění IA Systémová neshoda Nesystémová neshoda Doporučení Bez neshody Dokumentovat jsme povinni do Záznamu o neshodě systémové a nesystémové neshody, doporučení lze uvést pouze do protokolu. 33
Příklady klasifikace zjištění IA Zjištěné skutečnosti Selhání v dodržování kritických postupů vliv na výsledek činnosti nebo na funkce QMS Klasifikace Závažná neshoda (NESHODA) Příklad: nebyl nalezen postup, který je požadován-řízení dokumentace - tento postup vůbec neexistuje Menší nedostatky QMS, které bezprostředně neohrožují jeho funkci, ale v případě jejich opakovaného výskytu mohou způsobit závažnou neshodu Méně závažná neshoda (NEDOSTATEK) Příklad: nebyl nalezen postup, který požaduje norma: Řízení dokumentace - tento postup nebyl uložen na intranetu, ale existuje Izolované nebo nahodilé malé nedostatky Doporučení Příklad: postup Řízení dokumentace je vypracován, je dostupný na intranetu, ale nemají k němu přímý přístup všichni pracovníci Kritéria jsou plněna, postupy dodržovány Bez neshody 34
Povinné a nepovinné záznamy Program IA na rok Záznam/protokol z IA Záznam o neshodě a nápravných opatření Plán auditu Prezenční listina Checklist kontrolní list s otázkami 35
Další záznamy ve vztahu k IA Výsledky přezkoumání programu auditů Personální záznamy o auditorech, například hodnocení odborné způsobilosti a dosahované úrovně auditora výběr týmu auditorů udržování a zlepšování odborné způsobilosti 36
Způsoby kladení otázek Při dialogu s prověřovanými vycházíme z otázek v checklistu, ale neomezuje se pouze na ně! Klademe vlastní dotazy Příklad: V checklistu: Jsou postupy dostupné? My se ale zeptáme: Podle čeho pracujete? A kde jsou tyto postupy jsou uloženy? Můžete mi prosím jeden ukázat? 37
Příklady kladení otázek Otázky: nečekané: Co uděláte, když...? naivní: Nerozumím, jak to vlastně děláte? na splnění požadavku: Jak zajišťuje, že... dle normy? otevřené nelze odpovědět pouze ano, ne uzavřené ano, ne (nejsou příliš vhodné omezující) V otázkách se používají tato klíčová slova : KDE, KDY, KDO, CO, JAK A PROČ? 38
Příklady kladení otázek V rozhodném okamžiku: Můžete mi ukázat...? NEPOUŽÍVAT otázky: navozující odpověď: Archivuje protokoly určitě ano, že? mnohonásobné: ztrácíme přehled, na něco nám vůbec neodpoví: Existuje postup, máte ho k dispozici a dodržujete jej? 39
Provedení IA vyhodnonocení, závěr IA Poděkování za spolupráci při auditu Zhodnocení průběhu, plnění, neplnění Definice NESHOD, doporučení Zjištěné skutečnosti je nutné na místě ihned probrat s odpovědnou osobou klienta, přítomnými NESHODA musí existovat objektivní důkaz (uveden v Záznamu/protokolu) NO navrhuje odpovědný pracovník na pracovišti Záznam/protokol se zpracuje vždy, i když nejsou identifikovány neshody 40
Přezkoumání Programu IA Cíl: zjistit, zda byly splněny cíle programu a zda byly identifikovány oblasti pro zlepšení, posouzení efektivnosti systému auditů Kdy? vhodné v rámci přezkoumání vedením Jak? nastavení kritérií hodnocení: schopnost týmu auditorů dodržet plán audit shoda s plány a časovým harmonogramem zpětná vazba od klientů analýza zjištění z auditů Co z toho? zlepšení programu na další časové období, zvýšení efektivnosti 41
Přehled typických činností auditora Příprava auditu Přezkoumání dokumentů Příprava na audit na místě Audit na místě Zpracování, schválení a distribuce zprávy z auditu Dokončení auditu Následný audit 42
Charakteristika auditora Odborná způsobilost je založena na prokazování: osobních vlastností schopností používat znalosti a dovednosti získané vzděláním, pracovní zkušeností, auditorským školením a auditorskými zkušenostmi Auditoři rozvíjí, udržují a zlepšují svou odbornou způsobilost neustálým profesním růstem a auditováním 43
Charakteristika auditora Auditor by měl být: ETICKÝ, tj. spravedlivý, pravdivý, upřímný, čestný a ohleduplný PŘÍSTUPNÝ NÁZORŮM, tj. ochotný zvažovat alternativní myšlenky nebo hlediska DIPLOMATICKÝ, tj. taktní v přístupu k lidem VŠÍMAVÝ, tj. aktivně si uvědomuje fyzické okolí a činnosti VNÍMAVÝ, tj. si uvědomuje si své okolí a je schopen porozumět okolním situacím VŠESTRANNÝ, tj. přizpůsobuje se různým situacím HOUŽEVNATÝ, tj. vytrvale se zaměřuje na dosahování cílů ROZHODNÝ, tj. včas dosahuje závěrů založených na logické úvaze a analýze SAMOSTATNÝ, tj. jedná a působí nezávisle, zatímco vzájemné působení s ostatními je efektivní 44
Znalosti a dovednosti auditorů Zásady auditu, postupy a techniky efektivně plánovat a organizovat práci provádět audit ve schváleném časovém rozvrhu zaměřovat se na prioritní a významné věci shromažďovat informace během efektivního pohovoru, poslechu, pozorování a přezkoumávání dok., záznamů a dat ověřovat přesnost shromažďovaných informací připravovat zprávy z auditu dodržovat důvěrnost a ochranu informací efektivně komunikovat 45
Znalosti a dovednosti auditorů Systém managementu QMS a odpovídající dokumenty: umožňují auditorovi obsáhnout předmět auditu a použít kriteria auditu Znalost organizace, souvislosti: umožňuje auditorovi pochopit provozní souvislosti a praxi Příslušné zákony, předpisy a jiné požadavky 46
Znalosti a dovednosti auditorů Auditoři by měli mít následující zkušenosti: ukončené odpovídající vzdělání pracovní zkušenosti, znalosti a dovednosti ukončené školení, které přispívá k rozvoji znalostí a dovedností zkušenost z auditů při auditorských činnostech, tato zkušenost by měla být získávána pod dozorem a za vedení vedoucího auditora 47
Znalosti a dovednosti auditorů Vedoucí auditor musí umět: plánovat audit a efektivně využít zdrojů během auditu organizovat a usměrňovat členy týmu auditorů poskytovat nasměrování a návod auditorům ve výcviku vést tým auditorů tak, aby bylo dosaženo závěrů z auditu předcházet konfliktům v týmu auditorů a umět je řešit připravovat a dokončovat zprávy z auditu 48
Zásady chování auditora Nepředstavovat sporné nebo soutěživé zájmy a odhalit souvislosti, které by mohly ovlivnit jeho úsudek Nediskutovat a neodhalovat jakékoli informace vztahující se k auditu, pokud nejsou autorizovány auditovanými zachovat důvěrnost informací Nepřijímat jakoukoliv pobídku nebo dar od auditovaných 49
Zásady chování auditora Vědomě nepublikovat falešné nebo zavádějící informace Jednat profesionálně, přesně a nezaujatým způsobem Napomáhat rozvoji managementu řízení, zvyšovat jeho kvalitu a úroveň 50
Dotazy Připomínky Diskuze Děkuji za pozornost 51