ISO 19011:2003 PROVÁDĚNÍ AUDITŮ Ing. Vladimír Görner, CSc., MBA únor 2012
nadpis Normy x audit Norma EN IS0 9001: kap Norma EN IS : kap Norma EN ISO 19011: Směrnice pro auditování systému řízení kvality a/nebo systému environmentálního managementu doporučuje: zásady na řízení programů auditu, návod na provádění externích nebo interních auditů systému řízení kvality (QMS), doporučení odborné způsobilosti auditorů a metody hodnocení auditorů.
nadpis Obecně provádění auditu – všechny procesy systému managementu minimálně 1x ročně Plánování - Program auditů Plán auditu Volba auditora – nezávislost a nestrannost na prověřované činnosti Existence dokumentovaného postupu odpovědnosti za plánování a provádění auditu vytvoření záznamů – zprávy z auditů a záznamy o neshodách a přijatých NO Požadavky normy na audit
nadpis Systematický, nezávislý a dokumentovaný proces získávání důkazů z auditu a jeho objektivního hodnocení s cílem stanovit rozsah, v němž jsou splněna kritéria auditu tzn. zjištění a popsání míry plnění požadavků normy a interních dokumentů organizace Audit
nadpis Terminologie auditu I Technický expert – osoba, která poskytuje specifické znalosti a odborné posudky k předmětu auditu Pozorovatel – člen týmu, nezasahuje do auditu Program auditu – soubor auditů plánovaných pro určitý časový rámec (1 rok) Plán auditu – popis činností a uspořádání postupu auditu v místě auditu – není nutné využít, jsou-li s předmětem a termínem audity prověřovaní seznámeni jinou formou (např. porada)
nadpis Terminologie auditu II Technický expert – osoba, která poskytuje specifické znalosti a odborné posudky k předmětu auditu Pozorovatel – člen týmu, nezasahuje do auditu Program auditu – soubor auditů plánovaných pro určitý časový rámec (1 rok) Plán auditu – popis činností a uspořádání postupu auditu v místě auditu – není nutné využít, jsou-li s předmětem a termínem auditu prověřovaní seznámeni jinou formou (např. porada)
nadpis Plán auditu – dokument určující předmět a rozsah konkrétního auditu vč. prověřovaných míst, auditorů, čas. harmonogramu, atd. Neshoda – nesplnění požadavku (klasifikace) Záznam o neshodě – formulář IA, kde jsou vedeny údaje o zjištěných neshodách Check list (dotazník) – pomocný dokument při auditu pro záznam zjištění provedených na místě Terminologie auditu III
nadpis Terminologie auditu IV Předmět auditu – velikost a vymezení / ohraničení auditu, obvykle zahrnuje popis fyzického umístění, organizační jednotky, činnosti a procesy a také časový úsek pokrytý auditem – je uváděn v Plánu auditu Kritéria auditu – soubor dílčích politik, postupů nebo požadavků, norma, podle které audit probíhá Důkaz z auditu – záznamy, konstatování skutečnosti nebo jiné informace, které souvisejí s ověřovanou činností a jsou ověřitelné
nadpis Zjištění z auditu – výsledky hodnocení shromážděných důkazů z auditu, mohou označovat buď shodu nebo neshodu s kritérii auditu, nebo příležitosti ke zlepšování Závěr z auditu výstup z auditu poskytnutý týmem auditorů Klient auditu organizace, organizační jednotka nebo osoba, která je prověřována auditem Terminologie auditu V
nadpis Auditování zavedeného systému řízení kvality patří mezi základní nástroje managementu Probíhá vždy podle časového harmonogramu – Programu auditů Stěžejní odpovědnost za řízení programu interních auditů má manažer kvality (QM) Vlastní provedení auditu, je odpovědností vedoucího auditora Auditování
nadpis Druhy auditu I Vnitřní (interní) audit – audit první stranou – nezávislost, ale odbornost auditorů, přítomnost vedoucího, neshody v systému řízení Vnější (externí) audit – audit druhou stranou – zákaznické, příp. subdodavatelské audity, vlastní názor zákazníka na systém, nastavení vstupní a výstupní kontroly u subdodavatele, problém „provozní slepota“ Vnější audit – audit třetí stranou – nezávislá auditorská organizace, hodnotí se funkčnost, efektivnost a účinnost nastavených procesů
nadpis Systémový audit – prověření účinnosti systému – existence a míry zavedení jednotlivých prvků a procesů, z nichž je systém složen (zpravidla audit 3. stranou) Procesní audit – prověření účinnosti jednotlivých procesů systému – účelnosti a způsobilost jednotlivých činností v rámci procesů (např. hlavní procesy, proces řízení dokumentace, atd.) Prvkový audit – prověření, zda daný prvek / kritérium normy je splněn v plném rozsahu (např Spokojenost zákazníka) Druhy auditu II
nadpis Druhy auditu III Výrobkový audit – předmětem posuzování je výrobek – kvalitu výstupu odpovídá požadavkům zákazníka Audit služeb – účinnost a efektivnost činností, které jsou požadovány v souvislosti s výrobky (hlavní i doplňková činnost organizace)
nadpis Druhy auditu IV Plánované – v souladu s Programem IA na rok Neplánované = mimořádné – mimořádné důvody: při uskutečnění významných změn (reorganizace, revize postupů apod.) jako příprava na externí audit 3. stranou vyžádání vedoucího dané oblasti (ředitel, vedoucí příslušné organizační jednotky, atd.) v rámci smluvních vztahů – ověření Dodatkové – kontrola účinnosti nápravných opatření (NO), preventivních opatření (PO).
nadpis Techniky auditu I Pokládání otázek Prozkoumávání objektivních důkazů Pozorování aktivit, činností Naslouchání reakcím Zaznamenávání nálezů, zjištění popis současného stavu Popis, jak by to mělo být, požadavek, kritérium definuj příčinu a potenciální riziko
nadpis Techniky auditu II Sledování po směru audit sledující tok procesu, služby Sledování proti směru audit zpětně vyhledává záznamy o realizované činnosti Tvorba záznamu zjištění: hledání objektivního důkazu, že systém funguje, jak je předepsáno, podle požadavku odebrané vzorky jsou požadovaným důkazem
nadpis Vždy stanovit objektivní důkaz pro zjištěný nesoulad (objevený výskyt může být důsledkem a ne příčinou) Pokud jsou prověřovány procesy, je vhodné prověřit nastavený kontrolní systém procesu, prověření shody se specifikací Záznam se provádí u všech zjištění (negativních i významných pozitivních) Princip zvyšování povědomosti o požadavcích, souvislostech, nastavení procesů Techniky auditu - zjištění
nadpis Interní audity Program interních auditů celková organizace interních auditů, systém interních auditů Proces interního auditu příprava auditu, provedení auditu, vyhodnocení auditu, záznamy z auditu
nadpis Pravomoci k “Programu auditů“ UPLATŇOVÁNÍ PROGRAMU AUDITU časový plán auditu hodnocení auditorů výběr týmu auditorů nasměrování činností auditů udržování záznamů Činnosti při auditu (vlastní audit) Odborná způsobilost a hodnocení auditorů MONITOROVÁNÍ A PŘEZKOUMÁNÍ PROGRAMU AUDITŮ monitorování a přezkoumání analýza NO a PO identifikace příležitostí pro zlepšování Zlepšování programu auditu STANOVENÍ PROGRAMU AUDITU cíle a rozsah odpovědnost zdroje postupy 19 Řízení Programu IA (ISO 19011)
nadpis Řízení Programu IA Program – 1 rok, mění se podle změn v organizaci a v závislosti na okolních podmínkách Program může být ovlivněn: zkušenostmi z předchozích auditů změnami legislativy významnými změnami organizace nebo jejích činností
nadpis Řízení Programu IA Mezi příklady programů auditů patří: interní audity pokrývající celý systém řízení kvality pro daný rok audity systému managementu potenciálních subdodavatelů - audit druhou stranou audity pro autorizaci (akreditaci, certifikaci) – audit třetí stranou
nadpis Cíle Programu IA Splnit požadavky na interní audity podle normy systému řízení kvality Shodu praxe s požadavky specifikovanými v platných postupech Účinnost vybrané části systému pro splnění celkových cílů Splnění zákonných požadavků, opatření, norem Poskytnout příležitost pro zlepšování systému Audit u subdodavatele – potenciální dodavatel
nadpis Jeden nebo více zaměstnanců, kteří rozumějí: zásadám auditů odborné způsobilosti auditorů používání technik auditu Odpovědní zaměstnanci - odpovídají např. za: stanovení cíle a rozsah programu auditů, dodržení programu auditů, zajištění přiměřených záznamů programu auditů a monitorování, přezkoumávání a zlepšování programu auditů Odpovědnost za řízení Programu IA
nadpis Zdroje pro Program IA Finanční zdroje nezbytné pro vypracování, zavedení, řízení a zlepšování činností při auditu Dosažení a udržení odborné způsobilosti auditorů a zlepšování jejich dosahované úrovně Dostupnost auditorů a technických expertů, rozsah programu auditů Doba na cestu a jiné potřeby při auditování
nadpis Formulář Programu IA Článek normy Prověř. činnost Pracoviště osoba RozsahTermín Tým aud. Protokol Neshoda č. Kontrola NO ISO 9001:2008 Plánovací část připravuje QM ve spolupráci s vedoucím auditorem každé kritérium normy prověřeno min. 1 x ročně Kontrolní část operativně vyplňuje QM přehled a snadná kontrola realizace NO Jedna z možných variant zpracování:
nadpis Uplatnění Programu IA
nadpis Plánování + příprava auditu oznámení auditu příslušným stranám časový harmonogram výběr týmu auditorů prověření dokumentace Provedení auditu zahajovací jednání, vlastní prověření, vyhodnocení (klasifikace neshod), závěrečné jednání Dokumentování auditu a ukončení protokol, záznamy o neshodě a nápravných opatřeních Proces interního auditu (IA)
nadpis Proces IA Plán IA na jeden konkrétní audit formulace cíle auditu požadavky na podklady nutné před započetím IA požadavky na dokumenty kontrolované na místě vhodný zejména při prověřování většího počtu org. jednotek není nutné jej vypracovat, jsou-li prověřovaní seznámení s obsahem a termínem IA jiným způsobem vypracování plánu auditu šetří čas auditora i prověřovaných Prezenční listina důkaz o konkrétních osobách, které byly prověřeny, není nutné vypracovávat – na uvážení auditora
nadpis Tvorba auditních otázek IA Okruhy otázek pro různá pracoviště: čím je zaručena platnost a úplnost dokumentovaných postupů na pracovišti? jaké postupy musí být k dispozici přímo na pracovišti? kde je ověřitelná shoda distribuce a aktuálnosti dokumentovaných postupů? kdo odpovídá za předepsané záznamy, kde vznikají? jaká jsou kritéria na způsobilosti pracovníků, postupy a záznamy, zařízení a měřidla, prostředí a které záznamy prokazují jejich stav? kde je ověřitelné, že opatření k nápravě jsou účinná a řízená ve shodě s předpisem? jaké záznamy prokazují, že příprava pracovníků je stanovena a realizována?
nadpis Provedení IA QM v Programu auditů navrhne složení týmu auditorů a určí vedoucího auditora Vedoucí auditor sestaví plán auditu a připraví další podklady k auditu – kontrolní otázky, požadavky na dokumenty, nutné k auditu Předá formuláře – ostatním zainteresovaným auditorům Tým auditorů si vyžádá a přezkoumá podklady k auditu, zjistí výsledky předchozích auditů – kontrola plnění NO
nadpis Provedení IA - zahájení Zahájení záleží na uvážení auditora každé pracoviště - určený tým dle plánu auditu vyplnění prezence (nebo v průběhu auditu) sdělení cíle a rozsahu auditu seznámení s výsledky přezkoumaných podkladů Prověřování, průběh popisuje osobní poznámky auditorů, vyplněné záznam / protokol z IA
nadpis Základní způsoby prověřování (taktika auditování): využití připravených otázek kontrola dokumentace – všechny prvky jsou dokumentovány, schválení - podpis odp. osoby, aktuálnost prověření procesů (typicky na záznamech) pohovor s prověřovanými – znalost a orientace pracovníků v prověřované problematice, dostupnost postupů prověření zařízení, infrastruktury, podpůrných procesů prověření řídicích procesů, schvalování, komunikace Prověření reakce na nestandardní stavy odpovědnosti / pravomoci kompetence, školení Provedení IA - prověřování
nadpis Závažnost zjištění IA Jedná se o neshodu, nedostatek? (klasifikace zjištění) Vyskytuje se neshoda příliš často ve spojitosti s jedním procesem / pracovníkem / postupem / útvarem ? Jedná se o kritickou situaci, která bezprostředně ohrožuje kvalitu služby / výrobku / bezpečnost pracovníka nebo zákazníka ? Jsou přezkoumány všechny důkazy tak, že je jasné, že jde opravdu o neshodu? Lze neshodu odstranit ještě v průběhu auditu?
nadpis Klasifikace zjištění IA Zjištěné skutečnosti Klasifikace zjištění IA Selhání v dodržování kritických postupů – vliv na výsledek činnosti nebo na funkce SM Systémová neshoda Menší nedostatky SM, které bezprostředně neohrožují jeho funkci, selhání jednotlivce Nesystémová neshoda Izolované nebo nahodilé malé nedostatky, nejlepší praxe Doporučení Kritéria jsou plněna, postupy dodržovány Bez neshody Dokumentovat jsme povinni do Záznamu o neshodě systémové a nesystémové neshody, doporučení lze uvést pouze do protokolu.
nadpis Příklady klasifikace zjištění IA Zjištěné skutečnostiKlasifikace Selhání v dodržování kritických postupů – vliv na výsledek činnosti nebo na funkce QMS Závažná neshoda (NESHODA) Příklad: nebyl nalezen postup, který požaduje ISO 9001-Řízení dokumentace - tento postup vůbec neexistuje Menší nedostatky QMS, které bezprostředně neohrožují jeho funkci, ale v případě jejich opakovaného výskytu mohou způsobit závažnou neshodu Méně závažná neshoda (NEDOSTATEK) Příklad: nebyl nalezen postup, který požaduje norma: Řízení dokumentace - tento postup nebyl uložen na intranetu, ale existuje Izolované nebo nahodilé malé nedostatkyDoporučení Příklad: postup Řízení dokumentace je vypracován, je dostupný na intranetu, ale nemají k němu přímý přístup všichni pracovníci Kritéria jsou plněna, postupy dodržovány Bez neshody
nadpis Povinné a nepovinné záznamy Program IA na rok Záznam/protokol z IA Záznam o neshodě a nápravných opatření Plán auditu Prezenční listina Checklist – kontrolní list s otázkami
nadpis Další záznamy ve vztahu k IA Výsledky přezkoumání programu auditů Personální záznamy o auditorech, například hodnocení odborné způsobilosti a dosahované úrovně auditora výběr týmu auditorů udržování a zlepšování odborné způsobilosti
nadpis Způsoby kladení otázek Při dialogu s prověřovanými vycházíme z otázek v checklistu, ale neomezuje se pouze na ně! Klademe vlastní dotazy Příklad: V checklistu: Jsou postupy dostupné? My se ale zeptáme: Podle čeho pracujete? A kde jsou tyto postupy uloženy? Můžete mi prosím jeden ukázat?
nadpis Příklady kladení otázek Otázky: nečekané: Co uděláte, když..... ? naivní: Nerozumím, jak to vlastně děláte ? na splnění požadavku: Jak zajišťuje, že.... dle normy? otevřené – nelze odpovědět pouze ano, ne uzavřené – ano, ne (nejsou příliš vhodné – omezující) V otázkách se používají tato klíčová slova : KDE, KDY, KDO, CO, JAK A PROČ?
nadpis V rozhodném okamžiku: Můžete mi ukázat.....? NEPOUŽÍVAT otázky: navozující odpověď: Archivuje protokoly určitě ano, že? mnohonásobné: ztrácíme přehled, na něco nám vůbec neodpoví: Existuje postup, máte ho k dispozici a dodržujete jej? Příklady kladení otázek
nadpis Provedení IA – vyhodnocení, závěr IA Poděkování za spolupráci při auditu Zhodnocení průběhu, plnění, neplnění Definice NESHOD, doporučení Zjištěné skutečnosti je nutné na místě ihned probrat s odpovědnou osobou klienta, přítomnými NESHODA musí existovat objektivní důkaz (uveden v Záznamu/protokolu) NO navrhuje odpovědný pracovník na pracovišti Záznam/protokol – se zpracuje vždy, i když nejsou identifikovány neshody
nadpis Přezkoumání Programu IA Cíl: zjistit, zda byly splněny cíle programu a zda byly identifikovány oblasti pro zlepšení, posouzení efektivnosti systému auditů Kdy? vhodné v rámci přezkoumání vedením Jak? nastavení kritérií hodnocení: schopnost týmu auditorů dodržet plán audit shoda s plány a časovým harmonogramem zpětná vazba od klientů analýza zjištění z auditů Co z toho? zlepšení programu na další časové období, zvýšení efektivnosti
nadpis Přehled typických činností auditora Příprava auditu Přezkoumání dokumentů Příprava na audit na místě Audit na místě Zpracování, schválení a distribuce zprávy z auditu Dokončení auditu Následný audit
nadpis Charakteristika auditora Odborná způsobilost je založena na prokazování: osobních vlastností schopností používat znalosti a dovednosti získané vzděláním, pracovní zkušeností, auditorským školením a auditorskými zkušenostmi Auditoři rozvíjí, udržují a zlepšují svou odbornou způsobilost neustálým profesním růstem a auditováním
nadpis Charakteristika auditora Auditor by měl být: ETICKÝ, tj. spravedlivý, pravdivý, upřímný, čestný a ohleduplný PŘÍSTUPNÝ NÁZORŮM, tj. ochotný zvažovat alternativní myšlenky nebo hlediska DIPLOMATICKÝ, tj. taktní v přístupu k lidem VŠÍMAVÝ, tj. aktivně si uvědomuje fyzické okolí a činnosti VNÍMAVÝ, tj. si uvědomuje si své okolí a je schopen porozumět okolním situacím VŠESTRANNÝ, tj. přizpůsobuje se různým situacím HOUŽEVNATÝ, tj. vytrvale se zaměřuje na dosahování cílů ROZHODNÝ, tj. včas dosahuje závěrů založených na logické úvaze a analýze SAMOSTATNÝ, tj. jedná a působí nezávisle, zatímco vzájemné působení s ostatními je efektivní
nadpis Znalosti a dovednosti auditorů Zásady auditu, postupy a techniky efektivně plánovat a organizovat práci provádět audit ve schváleném časovém rozvrhu zaměřovat se na prioritní a významné věci shromažďovat informace během efektivního pohovoru, poslechu, pozorování a přezkoumávání dok., záznamů a dat ověřovat přesnost shromažďovaných informací připravovat zprávy z auditu dodržovat důvěrnost a ochranu informací efektivně komunikovat
nadpis Znalosti a dovednosti auditorů Systém managementu QMS a odpovídající dokumenty: umožňují auditorovi obsáhnout předmět auditu a použít kriteria auditu Znalost organizace, souvislosti: umožňuje auditorovi pochopit provozní souvislosti a praxi Příslušné zákony, předpisy a jiné požadavky
nadpis Znalosti a dovednosti auditorů Auditoři by měli mít následující zkušenosti: ukončené odpovídající vzdělání pracovní zkušenosti, znalosti a dovednosti ukončené školení, které přispívá k rozvoji znalostí a dovedností zkušenost z auditů při auditorských činnostech, tato zkušenost by měla být získávána pod dozorem a za vedení vedoucího auditora
nadpis Znalosti a dovednosti auditorů Vedoucí auditor musí umět: plánovat audit a efektivně využít zdrojů během auditu organizovat a usměrňovat členy týmu auditorů poskytovat nasměrování a návod auditorům ve výcviku vést tým auditorů tak, aby bylo dosaženo závěrů z auditu předcházet konfliktům v týmu auditorů a umět je řešit připravovat a dokončovat zprávy z auditu
nadpis Zásady chování auditora Nepředstavovat sporné nebo soutěživé zájmy a odhalit souvislosti, které by mohly ovlivnit jeho úsudek Nediskutovat a neodhalovat jakékoli informace vztahující se k auditu, pokud nejsou autorizovány auditovanými – zachovat důvěrnost informací Nepřijímat jakoukoliv pobídku nebo dar od auditovaných
nadpis Zásady chování auditora Vědomě nepublikovat falešné nebo zavádějící informace Jednat profesionálně, přesně a nezaujatým způsobem Napomáhat rozvoji managementu řízení, zvyšovat jeho kvalitu a úroveň
nadpis Jednání v případě problémů Neochota plně spolupracovat ze strany auditovaných nutno rozpoznat co nejdříve Mezi příznaky neochoty patří: vyhýbavé odpovědi na položené otázky neochota poskytovat důkazy odmítání předložení dokumentace časté přerušování Změny v odsouhlaseném plánu auditu
nadpis Kvalifikace auditora – ISO Externí auditor musí umět: Vzdělání: středoškolské vzdělání Celková pracovní zkušenost 5 let Pracovní zkušenost v oblasti QMS nejméně 2 roky z celkových 5 let Auditor v přípravě – absolvování 40 h školení Auditorské zkušenosti: 4 kompletní audity, celkově 20 auditodnů jako auditor v přípravě pod vedením odborně způsobilého vedoucího auditora Audity by měly být dokončeny nejméně během tří posledních let Udržování a zlepšování odborné způsobilosti
nadpis Odborný růst auditorů Plánovaný výcvik, školení „Kalibrace“ interních auditorů - sjednocení názorů (pohledů) auditorů na prověřované skutečnosti (cvičení: 1 neshoda, 5 auditorů, min 3 řešení klasifikace neshody, výsledek cvičení: 1 odsouhlasené řešení) provádění Nejdůležitějším kritériem zvyšování odborné způsobilosti je samotné provádění interních auditů
nadpis Dotazy Připomínky Diskuze Děkuji za pozornost