ČSN EN ISO 19011:2012
Směrnice pro auditování systémů managementu
3.10.2012
1
ČSN EN ISO 19011:2012
Nahrazuje ČSN EN ISO 19011 z roku 2003
Hlavní změny:
Rozšíření předmětu auditování i na další systémy managementu Vyjasnění vztahu mezi ISO 19011 a ISO/IEC 17021 Zavedení metody auditu prováděného na dálku a koncepce rizik Zařazen nový princip auditování – důvěrnost
3.10.2012
2
ČSN EN ISO 19011:2012
Hlavní změny:
Přepracování kapitol 5, 6 a 7 Příloha B – Další návod pro auditory k plánování a provádění auditů Posílení procesu určování a hodnocení kompetencí Nová příloha A – zahrnuje Návod a názorné příklady znalostí a dovedností auditorů specifických pro určitý obor
3.10.2012
3
ČSN EN ISO 19011:2012 Je návodem pro všechny organizace k provádění: auditů první stranou (interní audit) a auditů druhou stranou (zákaznické audity). Audit třetí stranou pro účely certifikace – viz požadavky ISO/IEC 17021. Kombinovaný audit - audit dvou nebo více systémů managementu z různých oborů prováděný společně; u integrovaných systémů managementu do jednoho systému, jsou principy a procesy auditování stejné jako u 4 3.10.2012 kombinovaného auditu.
ČSN EN ISO 19011:2012
Nestanovuje požadavky, ale je návodem: – k řízení programu auditů, – k plánování a provádění auditů systému managementu – ke kompetencím a hodnocení auditorů
3.10.2012
5
ČSN EN ISO 19011:2012
Určena pro použití všech možných uživatelů: – Auditorů – Organizací implementujících systémy managementu – Organizací, které provádí audity systému managementu na základě smluvních nebo právních důvodů
Možnost využití jako návodu pro vytvoření vlastních požadavků týkajících se auditu
Pozn.: vlastní postup, směrnice k provádění interních auditů v organizaci
Využití v organizacích zabývajících se výcvikem auditorů nebo certifikací osob
3.10.2012
6
ČSN EN ISO 19011:2012
Zavedení koncepce rizik do auditování - riziko, že proces auditu nedosáhne svých cílů - riziko potenciální možnosti narušení činnosti a procesů auditované organizace Neposkytuje specifický návod k procesu managementu rizik organizace, ale respektuje, že organizace mohou zaměřit úsilí v rámci auditu na záležitosti, které mají velký význam pro systém managementu.
3.10.2012
7
ČSN EN ISO 19011:2012 Kapitola 3 - stanovuje zásadní termíny a definice používané v této normě Kapitola 4 - popisuje principy, na kterých je auditování založeno Kapitola 5 - poskytuje návod ke stanovení a řízení programu auditů, stanovení cílů programu auditů a koordinování činností auditu Kapitola 6 – poskytuje návod k plánování a provádění auditu systému managementu
3.10.2012
8
ČSN EN ISO 19011:2012 Kapitola 7 – poskytuje návod týkající se kompetencí a hodnocení auditorů systému managementu a týmu auditorů. Příloha A – znázorňuje v kapitole 7 aplikaci návodu pro různé obory Příloha B – poskytuje auditorům další návod k plánování a provádění auditů
3.10.2012
9
1
Předmět Tato mezinárodní norma poskytuje návod k auditování systémů managementu, včetně principů auditování, řízení programu auditů, provádění auditů systému managementu a návod k hodnocení kompetencí jednotlivců, kteří jsou součástí procesu auditu, včetně osob řídících program auditů, auditory a týmy auditorů.
3.10.2012
10
1
Předmět
Je použitelná ve všech organizacích, které potřebují provádět interní nebo externí audity systémů managementu nebo řídit program auditů. Aplikace této mezinárodní normy na další typy auditů je možná v případě, že jsou zváženy potřebné specifické kompetence.
3.10.2012
11
2
Citované dokumenty Nejsou citovány žádné normativní dokumenty.
3.10.2012
12
3
Termíny a definice Pro účely tohoto dokumentu platí následující termíny a definice.
Audit systematický, nezávislý a dokumentovaný proces pro získání důkazu z auditu (3.3) a pro jeho objektivní hodnocení s cílem stanovit rozsah, v němž jsou splněna kritéria auditu (3.2)
3.10.2012
13
3
Termíny a definice
POZNÁMKA 1 Interní audity, někdy nazývané audity první stranou, jsou prováděny samotnou organizací nebo v jejím zastoupení pro přezkoumání systému managementu nebo k dalším interním účelům (např. potvrzení efektivnosti systému managementu nebo získání informací pro zlepšování systému managementu). Interní audity mohou být základem pro vlastní prohlášení shody vydané samotnou organizací. V mnoha případech, zejména v malých organizacích, může být nezávislost prokazována vyloučením odpovědnosti za auditovanou činnost nebo vyloučením předpojatosti nebo konfliktu zájmů. POZNÁMKA 2 Externí audity zahrnují audity prováděné druhou a třetí stranou. Audity prováděné druhou stranou provádějí strany, které mají zájem na organizaci, např. zákazníci nebo jiné osoby z jejich pověření. Audity třetí stranou jsou prováděny nezávislými auditorskými organizacemi, jako jsou dozorové orgány nebo organizace poskytující certifikaci. 3.10.2012
14
3
Termíny a definice
POZNÁMKA 3 Pokud jsou dva nebo více systémů managementu z různých oborů (např. kvalita, environment, bezpečnost a ochrana zdraví při práci) auditovány společně, nazývá se takový audit kombinovaným auditem.
POZNÁMKA 4 Pokud dvě nebo více auditujících organizací spolupracují na auditu jedné auditované organizace (3.7), nazývá se takový audit společným auditem. POZNÁMKA 5 Upraveno z ISO 9000:2005, definice 3.9.1
3.10.2012
15
3
Termíny a definice kritéria auditu soubor politik, postupů nebo požadavků používaných jako základ, se kterým se porovnávají důkazy z auditu (3.3)
POZNÁMKA 1 Upraveno z ISO 9000:2005, definice 3.9.3. POZNÁMKA 2 Zahrnují-li kritéria auditu legislativní požadavky (včetně požadavků zákonů a předpisů), jsou ve zjištěních z auditu (3.4) často užívána slova „v souladu“ nebo „v nesouladu“.
3.10.2012
16
3
Termíny a definice důkazy z auditu záznamy, konstatování skutečnosti nebo jiné informace, které souvisejí s kritérii auditu (3.2) a jsou ověřitelné POZNÁMKA Důkazy z auditu mohou být kvantitativní nebo kvalitativní
3.10.2012
17
3
Termíny a definice zjištění z auditu výsledky hodnocení shromážděných důkazů z auditu (3.3) podle kritérií auditu (3.2)
POZNÁMKA 1 Zjištění z auditu indikují shodu nebo neshodu. POZNÁMKA 2 Zjištění z auditu mohou vést k identifikaci příležitostí ke zlepšování nebo mohou být záznamem správných postupů.
POZNÁMKA 3 Jsou-li jako kritéria auditu zvoleny legislativní nebo jiné požadavky, jsou zjištění z auditu označována jako soulad nebo nesoulad s požadavky. POZNÁMKA 4 Upraveno z ISO 9000:2005, definice 3.9.5. 3.10.2012
18
3
Termíny a definice závěr z auditu výstup z auditu (3.1) po zvážení cílů auditu a všech zjištění z auditu (3.4).
POZNÁMKA Upraveno z ISO 9000:2005, definice 3.9.6.
3.10.2012
19
3
Termíny a definice
klient auditu organizace nebo osoba žádající o audit (3.1)
POZNÁMKA 1 V případě interního auditu může být klientem auditu i auditovaná organizace (3.7) nebo osoba řídící program auditů. Žádosti o externí audit mohou pocházet od subjektů, jako jsou dozorové orgány, smluvní strany nebo potenciální klienti. POZNÁMKA 2 Upraveno z ISO 9000:2005, definice 3.9.7.
3.10.2012
20
3
Termíny a definice auditovaná organizace organizace, u které se provádí audit
3.10.2012
21
3
Termíny a definice
auditor osoba provádějící audit (3.1)
tým auditorů jeden nebo více auditorů (3.8), kteří provádějí audit (3.1), podporovaných v případě potřeby technickými experty (3.10)
POZNÁMKA 1 Jeden auditor z týmu auditorů je jmenován vedoucím týmu auditorů. POZNÁMKA 2 Tým auditorů smí zahrnovat i auditory v přípravě. 3.10.2012
22
3
Termíny a definice technický expert osoba, která poskytuje týmu auditorů (3.9) specifické znalosti nebo odborné posudky POZNÁMKA 1 Specifické znalosti nebo odborné posudky jsou ty, které souvisí s organizací, procesem nebo s činností, která má být auditována, nebo jazykem nebo kulturními zvyklostmi. POZNÁMKA 2 Technický expert nejedná v týmu auditorů jako auditor (3.8).
3.10.2012
23
3
Termíny a definice pozorovatel osoba, která doprovází tým auditorů (3.9), ale neprovádí audit POZNÁMKA 1 Pozorovatel není součástí týmu auditorů (3.9) a neovlivňuje provádění auditu (3.1), ani do něj nezasahuje. POZNÁMKA 2 Pozorovatel může být z auditované organizace (3.7), dozorového orgánu nebo další zainteresované strany, která dohlíží na audit (3.1).
3.10.2012
24
3
Termíny a definice průvodce osoba, která pomáhá týmu auditorů (3.9) a je jmenována auditovanou organizací (3.7)
3.10.2012
25
3
Termíny a definice program auditů sestavení souboru jednoho nebo více auditů (3.1) naplánovaných pro určitý časový rámec a zaměřených na specifický účel
3.10.2012
26
3
Termíny a definice
předmět auditu rozsah a vymezení auditu (3.1) POZNÁMKA Předmět auditu obvykle zahrnuje popis fyzických míst, organizačních jednotek, činností a procesu a rovněž časový rozsah auditu.
3.10.2012
27
3
Termíny a definice plán auditu popis činností a uspořádání organizace auditu (3.1)
3.10.2012
28
3
Termíny a definice riziko vliv nejistoty na cíle
POZNÁMKA Upraveno z ISO Pokyn 73:2009, definice 1.1.
3.10.2012
29
3
Termíny a definice kompetence schopnost aplikovat znalosti a dovednosti s cílem dosahovat zamýšlených výsledků POZNÁMKA Tato schopnost předpokládá vhodné uplatnění osobního chování v rámci procesu auditu.
3.10.2012
30
3
Termíny a definice
shoda splnění požadavku
neshoda nesplnění požadavku
3.10.2012
31
3
Termíny a definice systém managementu systém pro stanovení politiky a cílů a k dosažení těchto cílů POZNÁMKA Systém managementu organizace může zahrnovat různé systémy managementu, jako je například systém managementu kvality, systém managementu financí nebo systém environmentálního managementu.
3.10.2012
32
4
Principy auditování
Auditování je postaveno na 6 principech. Jejich dodržování umožňuje, aby byl audit efektivním a spolehlivým nástrojem podpory politik a nástrojů managementu, prostřednictvím poskytování informací, na jejichž základě může organizace jednat s cílem zlepšovat svou výkonnost. Dodržení těchto principů je předpokladem, že závěry z auditu jsou relevantní a dostatečné pro to, aby auditoři, pracující nezávisle na sobě, došli k podobným závěrům za podobných okolností. 3.10.2012
33
4
Principy auditování
a) Integrita: základ profesionality Auditoři a osoby řídící program auditů mají: – vykonávat svou práci poctivě, svědomitě a odpovědně; – sledovat všechny aplikovatelné legislativní požadavky a být s nimi v souladu; – prokazovat kompetence v průběhu výkonu práce; – provádět svou práci nestranným způsobem, tj. ve všech případech být spravedliví a nepodjatí; – vnímat veškeré vlivy, narušující jejich úsudek v rámci provádění auditu. 3.10.2012
34
4
Principy auditování
b) Spravedlivé prezentování: povinnost podávat pravdivé a přesné zprávy Zjištění z auditu, závěry z auditu a zprávy z auditu mají pravdivě a přesně odrážet činnosti při auditu. Mají být podávány zprávy o významných překážkách, na které se při auditu narazilo, a o nevyřešených rozdílech názorů mezi týmem auditorů a auditovanou organizací. Komunikace má být pravdivá, přesná, objektivní, včasná, jasná a úplná.
3.10.2012
35
4
Principy auditování
c) Profesionální přístup: uplatňování pečlivosti a správného úsudku Auditoři mají věnovat svým činnostem náležitou péči, která je v souladu s významem vykonávaného úkolu a důvěrou, kterou v něj vkládá klient auditu nebo další zainteresované strany. Důležitým faktorem při provádění jejich práce s náležitou profesionální péčí je existence schopnosti činit odůvodněná rozhodnutí ve všech situacích, které mohou v rámci auditu nastat.
3.10.2012
36
4
Principy auditování
d) Důvěrnost: bezpečnost informací Auditoři mají být opatrní při využívání a ochraně informací získaných při vykonávání svých povinností. Informace z auditu nemají být auditorem nebo klientem auditu nevhodně využívány k vlastnímu prospěchu, nebo způsobem, který škodí legitimním zájmům auditované organizace. Tento koncept zahrnuje řádné nakládání s citlivými nebo důvěrnými informacemi. 3.10.2012
37
4
Principy auditování Nezávislost: základ nestrannosti auditu a objektivity závěrů z auditu Všude, kde je to proveditelné, mají být auditoři nezávislí na auditované činnosti a mají ve všech případech jednat způsobem, který vylučuje předpojatost nebo konflikt zájmů. U interních auditů mají být auditoři nezávislí na provozních manažerech auditovaných funkcí.
3.10.2012
38
4
Principy auditování Auditoři si mají udržovat objektivitu v rámci celého procesu auditu, aby bylo zajištěno, že jsou zjištění z auditu a závěry z auditu založeny pouze na důkazech z auditu. V malých organizacích nemusí být možné dosáhnout úplné nezávislosti interních auditorů na auditovaných činnostech. Přesto má být snaha o co nejvyšší odstranění možného střetu zájmů a pro podporu objektivity.
3.10.2012
39
4
Principy auditování Průkaznost: racionální metoda dosahování spolehlivých a reprodukovatelných závěrů z auditu v rámci systematického procesu auditu Důkazy z auditu mají být ověřitelné. Jelikož je audit prováděn v rámci omezeného časového úseku a s omezenými zdroji, budou důkazy z auditu založeny na vzorcích dostupných informací. Má být využito vhodné vzorkování, jelikož úzce souvisí se spolehlivostí závěrů z auditu.
3.10.2012
40
5 Řízení programu auditů 5.1 Obecně Organizace, která potřebuje provádět audity, má vytvořit program auditů, který pomáhá při určení efektivnosti systému managementu auditované organizace. Program auditů může zahrnovat audity podle jedné, nebo více norem systémů managementu, které mohou být prováděny odděleně nebo kombinovaně.
3.10.2012
41
5 Řízení programu auditů 5.1 Obecně Vrcholové vedení má zajistit, že jsou stanoveny cíle programu auditů a jmenována jedna nebo více Kompetentních osob pro řízení programů auditů. Rozsah programu auditů má být založen na velikosti a povaze auditované organizace, stejně jako na povaze, funkčnosti, složitosti a vyspělosti auditovaného systému managementu.
3.10.2012
42
5 Řízení programu auditů 5.1 Obecně Prioritou má být přidělování zdrojů programu auditů těm záležitostem, které mají v rámci systému managementu význam. To může zahrnovat hlavní charakteristiky kvality produktu, rizika týkající se bezpečnosti a ochrany zdraví při práci nebo významné environmentální aspekty a jejich řízení. POZNÁMKA Tento koncept je běžně znám jako auditování založené na rizicích. K této záležitosti tato mezinárodní norma neposkytuje další návod.
3.10.2012
43
5 Řízení programu auditů 5.1 Obecně Program auditů má zahrnovat informace a zdroje nezbytné k organizování a provádění auditů efektivním a účinným způsobem v rámci specifikovaných časových rámců. Může také zahrnovat: – cíle programu auditů a jednotlivých auditů; – rozsah/počet/druhy/doby trvání/místa/časové harmonogramy auditů; – řízení programu auditů; – kritéria auditů; – metody auditů; – výběr týmu auditorů; – nezbytné zdroje, včetně cestování a ubytování; – procesy pro zacházení s důvěrnými informacemi, bezpečnosti informací, bezpečnosti a ochrany zdraví při práci a další obdobné záležitosti. 3.10.2012
44
5 Řízení programu auditů 5.1 Obecně Realizace programu auditů má být monitorována a měřena tak, aby bylo zajištěno dosažení cílů. Program auditů má být přezkoumáván s cílem identifikovat možné příležitosti pro jeho zlepšování. Obrázek 1 zobrazuje průběh řízení programu auditů.
3.10.2012
45
3.10.2012
POZNÁMKA 1 Tento obrázek ukazuje užití cyklu plánuj-dělej-kontroluj-jednej v této mezinárodní normě. POZNÁMKA 2 Číslování kapitol/článků se odkazuje na relevantní kapitoly/články této mezinárodní normy.
46
5 Řízení programu auditů 5.2 Stanovování cílů programu auditů Vrcholové vedení má zajistit stanovení cílů programu auditů, které směrují k plánování a provádění jednotlivých auditů a má zajistit, že je program auditů realizován efektivně. Cíle programu auditů mají být v souladu s politikami a cíli systému managementu a měly by je podporovat.
3.10.2012
47
5 Řízení programu auditů 5.2 Stanovování cílů programu auditů Tyto cíle mohou být založeny na zvážení: a) priorit managementu; b) komerčních a dalších podnikatelských záměrů, c) charakteristik procesů, produktů a projektů a všech jejich změn; d) požadavků systémů managementu; e) legislativních a smluvních požadavků a dalších požadavků, k jejichž dodržování se organizace zavázala; f) potřeb hodnocení dodavatelů; g) potřeb a očekávání zainteresovaných stran, včetně zákazníků; h) úrovně výkonnosti auditované organizace, která se odráží ve výskytu chyb, incidentů nebo stížností zákazníka; i) rizik pro auditovanou organizaci; j) výsledků předchozích auditů; 48 3.10.2012 k) úrovně vyspělosti systému managementu.
5 Řízení programu auditů 5.2 Stanovování cílů programu auditů Příklady cílů programu auditů zahrnují: – přispívat ke zlepšování systému managementu a jeho výkonnosti; – plnit externí požadavky, např. certifikace podle normy systému managementu; – ověřovat shodu se smluvními požadavky; – získat a udržovat důvěru ve způsobilost dodavatele; – určovat efektivnost systému managementu; – hodnotit kompatibilitu a shodu cílů systému managementu s politikou systému managementu a celkovými cíli organizace. 3.10.2012
49
5 Řízení programu auditů 5.3 Stanovování programu auditů 5.3.1 Role a odpovědnosti osob řídících program auditů Osoba řídící program auditů má: – určovat rozsah programu auditů; – identifikovat a hodnotit rizika programu auditů; – určovat odpovědnosti v rámci auditu; – určovat postupy programů auditů; – určovat nezbytné zdroje;
3.10.2012
50
5 Řízení programu auditů 5.3 Stanovování programu auditů 5.3.1 Role a odpovědnosti osob řídících program auditů – zajišťovat realizaci programu auditů, včetně stanovování cílů, předmětu a kritérií jednotlivých auditů, určování metod provádění auditu, výběru týmu auditorů a hodnocení auditorů; – řídit a udržovat vhodné záznamy o programu auditů; – monitorovat, přezkoumávat a zlepšovat program auditů.
3.10.2012
51
5 Řízení programu auditů 5.3 Stanovování programu auditů 5.3.1 Role a odpovědnosti osob řídících program auditů Osoba řídící program auditů má informovat vrcholové vedení o obsahu programu auditů a v případě nutnosti žádat o jeho schválení.
3.10.2012
52
5 Řízení programu auditů 5.3 Stanovování programu auditů 5.3.2 Kompetence osoby řídící program auditů Osoba řídící program auditů má mít nezbytné kompetence pro jeho řízení včetně souvisejících rizik efektivním a účinným způsobem, stejně jako znalosti a dovednosti v následujících oblastech: – principy, postupy a metody auditu; – normy systémů managementu a související dokumenty; – činnosti, produkty a procesy auditované organizace; – aplikovatelné legislativní a další požadavky týkající se činností a produktů auditované organizace; – případně znalosti o zákaznících, dodavatelích a dalších zainteresovaných stranách auditované organizace. 3.10.2012
53
5 Řízení programu auditů 5.3 Stanovování programu auditů 5.3.2 Kompetence osoby řídící program auditů Osoba řídící program auditů se má zapojovat do vhodných činností trvalého profesního rozvoje, aby si udržovala znalosti a dovednosti nezbytné pro řízení programu auditů.
3.10.2012
54
5 Řízení programu auditů 5.3 Stanovování programu auditů 5.3.3 Stanovování rozsahu programu auditů Osoba řídící program auditů má určovat rozsah programu auditů, který se může lišit na základě velikosti a typu auditované organizace, stejně jako povaze, funkcích, složitosti a úrovni vyspělosti a významných záležitostí auditovaného systému managementu. POZNÁMKA V některých případech, v závislosti na struktuře auditované organizace a jejích činnostech, může program auditů zahrnovat pouze jeden audit (např. projektování v malém rozsahu). 3.10.2012
55
5 Řízení programu auditů 5.3 Stanovování programu auditů 5.3.3 Stanovování rozsahu programu auditů Další faktory ovlivňující rozsah programu auditů zahrnují: – cíle, předmět a dobu trvání každého auditu a počet auditů, které mají být provedeny a pokud to přichází v úvahu, i včetně činností následujících po auditu; – počet, význam, složitost, podobnost a umístění auditovaných činností; – faktory ovlivňující efektivnost systému managementu; – použitelná kritéria auditu, jako jsou např. plánovaná opatření pro příslušné řízení, normy, legislativní a smluvní požadavky a další požadavky, k jejichž dodržování se organizace zavázala; – závěry z předchozích interních nebo externích auditů; – výsledky předchozích přezkoumání programu auditů; 3.10.2012
56
5 Řízení programu auditů 5.3 Stanovování programu auditů 5.3.3 Stanovování rozsahu programu auditů Další faktory ovlivňující rozsah programu auditů zahrnují: – jazyk, kulturní a sociální otázky; – otázky týkající se zainteresovaných stran, jako jsou stížnosti zákazníka nebo nedodržení legislativních požadavků; – významné změny auditované organizace nebo jejího provozu; – dostupnost informačních a komunikačních technologií pro podporu činností při auditu, zejména využití metod auditu prováděného na dálku (viz kapitola B.1); – výskyt interních a externích událostí, jako jsou chyby produktů, úniky informací, incidenty v oblasti bezpečnosti a ochrany zdraví při práci, trestné činy nebo environmentální incidenty. 3.10.2012
57
5 Řízení programu auditů 5.3 Stanovování programu auditů 5.3.4 Identifikace a hodnocení rizik programu auditů Mohou existovat různá rizika spojená se stanovováním, realizací, monitorováním, přezkoumáváním a zlepšováním programu auditů, která mohou ovlivňovat dosahování jeho cílů. Osoba řídící program auditů má vzít tato rizika v úvahu při vytváření programu auditů. Tato rizika mohou být spojena:
3.10.2012
58
5 Řízení programu auditů 5.3 Stanovování programu auditů 5.3.4 Identifikace a hodnocení rizik programu auditů Tato rizika mohou být spojena: – s plánováním, např. chyba při stanovení relevantních cílů auditu a určení rozsahu programu auditů; – se zdroji, např. přidělení nedostatečného času pro vytváření programu auditů nebo pro provádění auditu; – s výběrem týmu auditorů, např. tým dohromady nemá kompetence pro efektivní provedení auditu; – s realizací, např. neefektivní komunikace o programu auditů; – se záznamy a jejich řízením, např. neschopnost dostatečně chránit záznamy z auditu, které prokazují efektivnost programu auditů; – s monitorováním, přezkoumáváním a zlepšováním programu auditů, např. neefektivní monitorování výsledků programu auditů. 3.10.2012
59
5 Řízení programu auditů 5.3 Stanovování programu auditů 5.3.5 Stanovování postupů programu auditů Pokud to přichází v úvahu, má osoba řídící program auditů vytvořit jeden nebo více postupů, které řeší: – plánování a vytváření časových rozvrhů auditů s přihlédnutím k rizikům programu auditů; – zajišťování bezpečnosti a důvěrnosti informací; – zajišťování kompetencí auditorů a vedoucích týmu auditorů; – výběr vhodných týmů auditorů a přidělování rolí a odpovědností; – provádění auditů, včetně využití vhodných metod vzorkování; – pokud to přichází v úvahu, provádění následného auditu; – podávání zpráv vrcholovému vedení o celkových výsledcích programu auditů; – udržování záznamů o programu auditů; – monitorování a přezkoumávání výkonnosti a rizik a zlepšování efektivnosti 60 3.10.2012 programu auditů.
5 Řízení programu auditů 5.3 Stanovování programu auditů 5.3.6 Identifikace zdrojů programu auditů Při identifikování zdrojů pro program auditů má osoba řídící program auditů zvažovat: – finanční zdroje nezbytné pro vytváření, implementaci, řízení a zlepšování činností při auditu; – metody auditu; – dostupnost auditorů a technických expertů majících kompetence vhodné pro určité cíle programu auditů; – rozsah programu auditů a rizik programu auditu; – dobu na cestu, náklady, ubytování a další potřeby auditu; – dostupnost informačních a komunikačních technologií. 3.10.2012
61
5 Řízení programu auditů 5.4 Realizace programu auditů 5.4.1 Obecně Osoba řídící program auditů má realizovat program auditů prostřednictvím: – oznamování programu auditů příslušným stranám a pravidelného informování o průběhu programu auditů; – stanovování cílů, předmětů a kritérií jednotlivých auditů; – koordinování a plánování konání auditů a dalších činnosti týkající se programu auditů; – zajišťování výběru týmů auditorů s nezbytnými kompetencemi; – poskytování týmům auditorů nezbytné zdroje; – zajišťování provádění auditů v souladu s programem auditů a v odsouhlasených časových rámcích; – zajišťování pořizování záznamů o činnostech při auditu a jejich správné řízení 62 3.10.2012 a udržování.
5 Řízení programu auditů 5.4 Realizace programu auditů 5.4.2 Stanovení cílů, předmětu a kritérií auditu Každý jednotlivý audit má být založen na dokumentovaných cílech, předmětu a kritériích auditu Stanovených osobou řídící program auditů a konzistentních s celkovými cíli programu auditů.
3.10.2012
63
5 Řízení programu auditů 5.4 Realizace programu auditů 5.4.2 Stanovení cílů, předmětu a kritérií auditu Cíle auditu určují, čeho má být auditem dosaženo, a mohou zahrnovat: – stanovení rozsahu shody auditovaného systému managementu, nebo jeho částí, s kritérii auditu; – stanovení úrovně shody činností, procesů a produktů s požadavky a postupy systému managementu; – hodnocení způsobilosti systému managementu zajišťovat shodu s legislativními a smluvními požadavky a dalšími požadavky, k jejichž dodržování se organizace zavázala; – hodnocení efektivnosti systému managementu při plnění jeho specifických cílů; – identifikaci oblastí pro potenciální zlepšování systému managementu. 3.10.2012
64
5 Řízení programu auditů 5.4 Realizace programu auditů 5.4.2 Stanovení cílů, předmětu a kritérií auditu Předmět auditu má být v souladu s programem auditů a cíli auditu. To zahrnuje takové faktory, jako jsou místa auditu, organizační jednotky, činnosti a procesy, které mají být auditovány, stejně jako dobu auditu. Kritéria auditu jsou využívána jako reference, na základě které je určována shoda nebo soulad a mohou zahrnovat použitelné politiky, cíle, postupy, normy, legislativní požadavky, požadavky systémů managementu, smluvní požadavky, odvětvová pravidla chování nebo jiná plánovaná opatření.
3.10.2012
65
5 Řízení programu auditů 5.4 Realizace programu auditů 5.4.2 Stanovení cílů, předmětu a kritérií auditu V případě jakýchkoli změn cílů, předmětu nebo kritérií auditu má být, pokud je to nezbytné, změněn i program auditů. Pokud jsou současně auditovány dva nebo více systémy managementu různých oborů (kombinovaný audit), je důležité, aby byly cíle, předmět a kritéria auditu v souladu s cíli relevantních programů auditů.
3.10.2012
66
5 Řízení programu auditů 5.4 Realizace programu auditů 5.4.3 Výběr metod auditu Osoba řídící program auditů má vybírat a stanovovat metody provádění auditu v závislosti na stanovených cílech, předmětu a kritériích auditu s cílem zajistit efektivní provádění auditu. POZNÁMKA Návod ke stanovování metod auditu je uveden v příloze B.
3.10.2012
67
5 Řízení programu auditů 5.4 Realizace programu auditů 5.4.3 Výběr metod auditu Tam kde společný audit jedné auditované organizace provádějí dvě nebo více auditujících organizací, osoby řídící různé programy auditů se mají dohodnout na Metodách auditu, vzájemně odsouhlasit metody auditu a zvážit dopady na zajišťování zdrojů a plánování auditu. Pokud u auditované organizace fungují dva nebo více různýchsystémů managementu různých oborů, mohou být do programu auditů zahrnuty kombinované audity. 3.10.2012
68
5 Řízení programu auditů 5.4 Realizace programu auditů 5.4.4 Výběr týmu auditorů Osoba řídící program auditů by měla jmenovat členy týmu auditorů, včetně vedoucího týmu auditorů a jakýchkoli technických expertů, kteří jsou potřební pro konkrétní audit. Tým auditorů má být vybrán na základě kompetencí potřebných k dosažení cílů konkrétního auditu ve stanoveném rámci. Jestliže audit provádí pouze jeden auditor, měl by provádět všechny aplikovatelné povinnosti vedoucího týmu auditorů. 3.10.2012 POZNÁMKA Kapitola 7 obsahuje návod ke stanovení potřebných kompetencí členů týmu auditorů a popisuje procesy hodnocení auditorů.
69
5 Řízení programu auditů 5.4 Realizace programu auditů 5.4.4 Výběr týmu auditorů Při rozhodování o velikosti a složení týmu auditorů pro konkrétní audit se má zvážit: a) celková kompetence týmu auditorů potřebná k dosažení cílů auditu, s přihlédnutím k předmětu a kritériím auditu; b) složitost auditu a zda se jedná o kombinovaný nebo společný audit; c) zvolené metody auditu; d) legislativní a smluvní požadavky a další požadavky, k jejichž dodržování se organizace zavázala; e) potřeba zajišťovat nezávislost členů týmu auditorů na auditovaných činnostech a vyhnout se jakémukoli konfliktu zájmů [viz princip e) v kapitole 4]; f) schopnost členů týmu auditorů efektivně jednat se zástupci auditované organizace a spolupracovat; g) jazyk provádění auditu a sociální a kulturní chování auditované organizace. Tyto záležitosti mohou být řešeny dovednostmi auditora nebo prostřednictvím podpory technických expertů. 3.10.2012
70
5 Řízení programu auditů 5.4 Realizace programu auditů 5.4.4 Výběr týmu auditorů Pro zajištění celkových kompetencí týmu auditorů mají být provedeny následující kroky: – identifikace znalostí a dovedností potřebných k dosažení cílů auditu; – výběr členů týmu auditorů provedený tak, aby byly v týmu auditorů přítomny všechny nezbytné znalosti a dovednosti.
3.10.2012
71
5 Řízení programu auditů 5.4 Realizace programu auditů 5.4.4 Výběr týmu auditorů Pokud nejsou všechny nezbytné kompetence pokryty týmem auditorů, mají být do týmu zařazeni techničtí experti s dodatečnými kompetencemi. Techničtí experti mají pracovat pod vedením auditora, ale nemají vystupovat jako auditoři. Auditoři ve výcviku mohou být součástí týmu auditorů, ale mají pracovat pod vedením a dohledem auditora.
3.10.2012
72
5 Řízení programu auditů 5.4 Realizace programu auditů 5.4.4 Výběr týmu auditorů V průběhu auditu mohou být nezbytné úpravy velikosti a složení týmu auditorů z důvodu konfliktu zájmů nebo sporům o kompetence. Pokud nastane takový problém, má být projednán s příslušnými stranami (např. vedoucím týmu auditorů, osobou řídící program auditů, klientem auditu nebo auditovanou organizací) ještě před provedením úprav programu.
3.10.2012
73
5 Řízení programu auditů 5.4 Realizace programu auditů 5.4.5 Přidělování odpovědností za jednotlivý audit vedoucímu týmu auditorů Osoba řídící program auditů má přidělovat odpovědnosti za provádění jednotlivých auditů vedoucímu týmu auditorů. Přidělení má být provedeno s dostatečným předstihem před naplánovaným termínem auditu, aby bylo zajištěno efektivní plánování auditu.
3.10.2012
74
5 Řízení programu auditů 5.4 Realizace programu auditů 5.4.5 Přidělování odpovědností za jednotlivý audit vedoucímu týmu auditorů Aby bylo zajištěno efektivní provedení jednotlivých auditů, mají být vedoucímu týmu auditorů poskytnuty následující informace: a) cíle auditu; b) kritéria auditu a jakékoli referenční dokumenty; c) předmět auditu, včetně identifikace auditovaných organizačních a funkčních jednotek a procesů; d) metody a postupy auditu; e) složení týmu auditorů; f) kontaktní informace auditované organizace, místa, termíny a délky trvání prováděných činností při auditu; g) přidělení příslušných zdrojů pro provádění auditu; h) informace potřebné pro hodnocení a řešení identifikovaných rizik spojených s 75 3.10.2012 dosahováním cílů auditu.
5 Řízení programu auditů 5.4 Realizace programu auditů 5.4.5 Přidělování odpovědností za jednotlivý audit vedoucímu týmu auditorů Informace o přidělení odpovědností mají také vhodně pokrývat: – pracovní jazyk a jazyk, ve kterém budou předkládány zprávy, pokud se liší od jazyka auditora nebo auditované organizace; – obsah zpráv z auditu a jejich distribuci podle požadavků programu auditů; – záležitosti týkající se důvěrnosti a bezpečnosti informací, pokud to vyžaduje program auditů; – jakékoli požadavky kladené na bezpečnost a ochranu zdraví při práci auditorů; – veškeré bezpečnostní a autorizační požadavky; – pokud to přichází v úvahu, jakákoli následná opatření, např. z předchozích auditů; – v případě společného auditu koordinace s dalšími činnostmi při auditu. 3.10.2012
76
5 Řízení programu auditů 5.4 Realizace programu auditů 5.4.5 Přidělování odpovědností za jednotlivý audit vedoucímu týmu auditorů Kde je prováděn společný audit, je mezi organizacemi provádějícími audit důležité před jeho zahájením Dosáhnout dohody o konkrétních odpovědnostech každé strany, zejména pak s ohledem na pravomoci jmenovaného vedoucího týmu auditorů.
3.10.2012
77
5 Řízení programu auditů 5.4 Realizace programu auditů 5.4.6 Řízení výsledků programu auditů Osoba řídící program auditů má zajišťovat, že se provede: – přezkoumání a schválení zpráv z auditu, včetně hodnocení vhodnosti a přiměřenosti zjištění z auditu; – přezkoumání analýzy kořenových příčin a efektivnosti nápravných a preventivních opatření; – distribuce zpráv z auditu vrcholovému vedení a dalším relevantním stranám; – určení nezbytnosti následného auditu.
3.10.2012
78
5 Řízení programu auditů 5.4 Realizace programu auditů 5.4.7 Řízení a udržování záznamů o programu auditů Osoba řídící program auditů by měla zajišťovat, že jsou vytvářeny, řízeny a udržovány záznamy, které prokazují realizaci programu auditů. Mají být vytvořeny procesy zajišťující důvěrnost informací v souvislosti se záznamy z auditu.
3.10.2012
79
5 Řízení programu auditů 5.4 Realizace programu auditů 5.4.7 Řízení a udržování záznamů o programu auditů Záznamy mají zahrnovat: a) záznamy vztahující se k programu auditů, jako jsou: – dokumentované cíle a rozsah programu auditů; – rizika spojená s programem auditů; – přezkoumání efektivnosti programu auditů; b) záznamy týkající se každého jednotlivého auditu, jako jsou: – plány auditu a zprávy z auditu; – zprávy o neshodách; – zprávy o nápravných a preventivních opatřeních; – pokud to přichází v úvahu, zprávy o následných auditech; 3.10.2012
80
5 Řízení programu auditů 5.4 Realizace programu auditů 5.4.7 Řízení a udržování záznamů o programu auditů c) záznamy týkající se pracovníků provádějících audity, které pokrývají například následující témata: – hodnocení kompetencí a výkonnosti členů týmu auditorů; – výběr týmu auditorů a jeho členů; – udržování a zlepšování kompetencí. Forma a stupeň podrobnosti záznamů mají prokázat, že byly dosaženy cíle programu auditů.
3.10.2012
81
5 Řízení programu auditů 5.5 Monitorování programu auditů Osoba řídící program auditů má monitorovat jeho realizaci s ohledem na potřebu: a) hodnotit shodu s programy auditů, časovými harmonogramy a cíli auditu; b) hodnotit výkonnost členů týmu auditorů; c) hodnotit schopnost týmů auditorů implementovat plán auditu; d) hodnotit zpětnou vazbu od vrcholového vedení, auditované organizace, auditorů a dalších zainteresovaných stran. 3.10.2012
82
5 Řízení programu auditů 5.5 Monitorování programu auditů Některé faktory mohou být důvodem ke změně programu auditů. Mezi takové faktory patří: – zjištění z auditu; – prokázaná úroveň efektivnosti systému managementu; – změny u klienta nebo v systému managementu auditované organizace; – změny norem, legislativních a smluvních požadavků a dalších požadavků, k jejichž dodržování se organizace zavázala; – změny dodavatelů. 3.10.2012
83
5
Řízení programu auditů
5.6 Přezkoumávání a zlepšování programu auditů Osoba řídící program auditů má přezkoumávat program auditů, aby posoudila, zda bylo dosaženo jeho cílů. Poučení z přezkoumání programu auditů mají být využita jako vstupy do procesu neustálého zlepšování programu.
3.10.2012
84
5
Řízení programu auditů
5.6 Přezkoumávání a zlepšování programu auditů Přezkoumání programu auditů má brát v úvahu: a) výsledky a trendy zjištěné monitorováním programu auditů; b) shodu s postupy programu auditů; c) vyvíjející se potřeby a očekávání zainteresovaných stran; d) záznamy o programu auditů; e) alternativní nebo nové metody auditu; f) efektivnost opatření pro řešení rizik spojených s programem auditů; g) otázky důvěrnosti a bezpečnosti informací týkajících se programu auditů.
3.10.2012
85
5
Řízení programu auditů
5.6 Přezkoumávání a zlepšování programu auditů Osoba řídící program auditů má přezkoumávat celkovou realizaci programu auditů, identifikovat oblasti pro zlepšování, provádět nezbytné úpravy programu a také: – přezkoumávat trvalý profesní rozvoj auditorů v souladu s 7.4, 7.5 a 7.6; – podávat zprávy o výsledcích přezkoumání programu auditů vrcholovému vedení.
3.10.2012
86
6 Provádění auditu 6.1 Obecně Tato kapitola obsahuje návod k přípravě a provádění činností při auditu jako součásti programu auditů. Obrázek 2 představuje přehled typických činností při auditu. Rozsah použití ustanovení této kapitoly závisí na cílech a předmětu konkrétního auditu.
3.10.2012
87
3.10.2012
88
6 Provádění auditu 6.2 Zahájení auditu 6.2.1 Obecně Ve chvíli zahájení auditu přechází odpovědnost za jeho provedení na určeného vedoucího týmu auditorů (viz 5.4.5), a to až do chvíle dokončení auditu (viz 6.6). Pro rozhodnutí o provedení auditu se mají zvážit kroky uvedené na obrázku 2, jejich posloupnost se ale může lišit v závislosti na auditované organizaci, procesech a specifických podmínkách auditu. 3.10.2012
89
6 Provádění auditu 6.2 Zahájení auditu 6.2.2 Úvodní kontakt s auditovanou organizací Úvodní kontakt s auditovanou organizací může být neformální nebo formální a má být proveden vedoucím týmu auditorů. Účelem úvodního kontaktu je: – zajistit komunikaci se zástupcem auditované organizace; – potvrdit pravomoc provádět audit; – poskytnout informace o cílech, předmětu a metodách auditu a složení týmu auditorů, včetně technických expertů; – vznést požadavek na zpřístupnění relevantních dokumentů a záznamů pro účely plánování; 3.10.2012
90
6 Provádění auditu 6.2 Zahájení auditu – určit příslušné legislativní a smluvní požadavky a další požadavky relevantní vzhledem k činnostem a produktům auditované organizace; – potvrdit dohodu s auditovanou organizací, která se týká rozsahu zpřístupnění a zacházení s důvěrnými informacemi; – provést přípravy auditu, včetně stanovení časových harmonogramů; – určit jakékoli místně specifické požadavky pro přístup, zabezpečení, ochranu zdraví, bezpečnost nebo další požadavky; – odsouhlasit přítomnost pozorovatelů a potřebu průvodců týmu auditorů; – určit jakékoli oblasti zájmu auditované organizace v souvislosti s konkrétním auditem. 3.10.2012
91
6 Provádění auditu 6.2 Zahájení auditu 6.2.3 Určení proveditelnosti auditu Proveditelnost auditu má být stanovena tak, aby Poskytovala přiměřenou jistotu, že cílů auditu je možné dosáhnout.
3.10.2012
92
6 Provádění auditu 6.2 Zahájení auditu Určení proveditelnosti má brát v úvahu takové faktory, jako je dostupnost: – dostatečných a vhodných informací pro plánování a provádění auditu; – dostatečné spolupráce ze strany auditované organizace; – dostatečného času a zdrojů pro provádění auditu. V případě, že audit není možné provést, má klientovi auditu být po dohodě s auditovanou organizací navržena alternativa. 3.10.2012
93
6 Provádění auditu 6.3 Příprava činností při auditu 6.3.1 Přezkoumání dokumentů při přípravě auditu Má být přezkoumána relevantní dokumentace systému managementu auditované organizace za účelem: – shromáždit informace pro přípravu činností při auditu a aplikovatelné pracovní dokumenty (viz 6.3.4), např. dokumentaci týkající se procesů, funkcí; – získat přehled o rozsahu dokumentace systému, aby bylo možné zjistit případné nedostatky. POZNÁMKA Návod k provádění přezkoumání dokumentů je uveden v kapitole B.2. 3.10.2012
94
6 Provádění auditu 6.3 Příprava činností při auditu 6.3.1 Přezkoumání dokumentů při přípravě auditu Dokumentace má zahrnovat dokumenty a záznamy systému managementu, stejně jako zprávy z předchozích auditů. Přezkoumání dokumentů má brát v úvahu velikost, druh/typ a složitost systému managementu a organizačního uspořádání auditované organizace a cíle a předmět auditu.
3.10.2012
95
6 Provádění auditu 6.3 Příprava činností při auditu 6.3.2 Příprava plánu auditu 6.3.2.1 Vedoucí týmu auditorů má připravit plán auditu založený na informacích obsažených v programu auditů a dokumentaci poskytnuté auditovanou organizací. Plán auditu má brát v úvahu vliv činností při auditu na procesy auditované organizace a poskytovat základ pro dohodu o provedení auditu mezi klientem auditu, týmem auditorů a auditovanou organizací. Plán má usnadňovat účelné rozvržení času a koordinování činností při auditu umožňující efektivní dosahování cílů. 3.10.2012
96
6 Provádění auditu 6.3 Příprava činností při auditu Úroveň podrobnosti plánu auditu má odrážet předmět a složitost auditu, stejně jako vliv nejistoty na dosahování cílů auditu. Při přípravě plánu auditu si vedoucí týmu auditorů má být vědom: – vhodné techniky vzorkování (viz kapitola B.3); – složení týmu auditorů a jeho celkové kompetence; – rizika, která vznikají organizaci při auditu.
3.10.2012
97
6 Provádění auditu 6.3 Příprava činností při auditu Rizika pro organizaci mohou vyplývat například z přítomnosti členů týmu auditorů, která ovlivňuje bezpečnost a ochranu zdraví při práci, životní prostředí a kvalitu a představuje hrozbu pro produkty, služby, pracovníky a infrastrukturu auditované organizace (např. kontaminace čistých prostor). U kombinovaných auditů má být věnována zvláštní pozornost vzájemným vlivům provozních procesů a konkurenčním cílům a prioritám různých systémů managementu. 3.10.2012
98
6 Provádění auditu 6.3 Příprava činností při auditu 6.3.2.2 Rozsah a obsah plánu auditu se může lišit. Různé budou například u úvodního a následných auditů i u interních a externích auditů. Plán auditu má být dostatečně flexibilní, aby umožňoval nezbytné změny v průběhu provádění činností při auditu.
3.10.2012
99
6 Provádění auditu 6.3 Příprava činností při auditu Plán auditu má pokrývat, popřípadě se odkazovat na: a) cíle auditu; b) předmět auditu, včetně identifikace auditovaných organizačních a funkčních jednotek i procesů; c) kritéria auditu a jakékoli referenční dokumenty; d) místa, termíny, časy a očekávané trvání činností při auditu, včetně jednání s vedením auditované organizace; e) použité metody auditu, včetně rozsahu vzorkování, které je nezbytné pro získání dostatečných důkazů z auditu, a návrhu plánu vzorkování; f) role a odpovědnosti členů týmu auditorů a také průvodců a pozorovatelů; g) přidělení vhodných zdrojů kritickým oblastem auditu. 3.10.2012
100
6 Provádění auditu 6.3 Příprava činností při auditu Plán auditu může také vhodným způsobem pokrývat: – identifikaci osob, které v rámci auditu zastupují auditovanou organizaci; – pracovní jazyk a jazyk, ve kterém budou předkládány zprávy, pokud se tento jazyk liší od jazyka auditora nebo auditované organizace; – témata zpráv z auditu; – opatření týkající se logistiky a komunikace, včetně specifických opatření pro různá auditovaná místa; – jakákoli specifická opatření pro řešení vlivu nejistoty na dosahování cílů auditu; – záležitosti týkající se důvěrnosti a bezpečnosti informací; – jakákoli následná opatření, která vyplývají z předchozích auditů; – jakékoli činnosti následující po plánovaném auditu; – v případě společného auditu koordinaci s dalšími činnostmi při auditu. 3.10.2012
101
6 Provádění auditu 6.3 Příprava činností při auditu Plán auditu může být přezkoumáván a schvalován klientem auditu a má být prezentován auditované organizaci. Jakékoli námitky auditované organizace k plánu auditu mají být řešeny mezi vedoucím týmu auditorů, auditovanou organizací a klientem auditu.
3.10.2012
102
6 Provádění auditu 6.3 Příprava činností při auditu 6.3.3 Přidělování práce týmu auditorů Vedoucí týmu auditorů má po konzultaci s týmem auditorů přidělit každému členu týmu odpovědnosti za auditování konkrétních procesů, funkcí, míst, oblastí nebo činností. Toto přidělení má brát v úvahu potřebu nezávislosti i kompetence auditora a efektivní využití lidských zdrojů, stejně jako různé role a odpovědnosti auditorů, auditorů ve výcviku a technických expertů.
3.10.2012
103
6 Provádění auditu 6.3 Příprava činností při auditu Pokud je to třeba, mají se konat setkání týmu auditorů, na kterých by vedoucí týmu auditorů přidělil pracovní úkoly a rozhodoval o případných změnách. V průběhu postupu auditu mohou být provedeny změny pracovních úkolů, aby se zajistilo dosažení cílů auditu.
3.10.2012
104
6 Provádění auditu 6.3 Příprava činností při auditu 6.3.4 Příprava pracovních dokumentů Členové týmu auditorů mají shromažďovat a přezkoumávat informace týkající se jejich úkolů v rámci auditu a připravovat pracovní dokumenty, které budou sloužit k zaznamenávání důkazů z auditu.
3.10.2012
105
6 Provádění auditu 6.3 Příprava činností při auditu Tyto pracovní dokumenty mohou zahrnovat: – kontrolní seznamy (checklisty); – – plány vzorkování v rámci auditu; – formuláře pro zaznamenávání informací, jako jsou podpůrné důkazy, zjištění z auditu a záznamy z jednání.
3.10.2012
106
6 Provádění auditu 6.3 Příprava činností při auditu Využití kontrolních seznamů (checklistů) a formulářů nemá omezovat rozsah činností při auditu, které se mohou měnit následkem informací shromážděných v průběhu auditu. POZNÁMKA Návod k přípravě pracovních dokumentů je uveden v kapitole B.4.
3.10.2012
107
6 Provádění auditu 6.3 Příprava činností při auditu Pracovní dokumenty, včetně záznamů vznikajících na základě jejich použití, mají být uchovávány minimálně do doby dokončení auditu. Uchovávání dokumentů po dokončení auditu je popsáno v 6.6. Dokumenty obsahující důvěrné nebo citlivé, patentově chráněné informace mají být členy týmu auditorů vhodně chráněny po celou dobu.
3.10.2012
108
6 Provádění auditu 6.4 Provádění činností při auditu 6.4.1 Obecně Činnosti při auditu se obvykle provádějí v předem stanoveném pořadí podle obrázku 2. Toto pořadí se podle okolností konkrétního auditu může měnit.
3.10.2012
109
6 Provádění auditu 6.4 Provádění činností při auditu 6.4.2 Úvodní jednání a) potvrdit souhlas všech stran (např. auditovaná organizace, tým auditorů) s plánem auditu; b) představit tým auditorů; c) ujistit se, že všechny plánované činnosti při auditu lze provést.
3.10.2012
110
6 Provádění auditu 6.4 Provádění činností při auditu Na úvodním jednání má být přítomno vedení auditované organizace a (kde je to vhodné) osoby odpovědné za auditované funkce a procesy. V průběhu jednání má být dán prostor dotazům. Úroveň podrobností má být v souladu s tím, jak je auditovaná organizace seznámena s procesem auditu. V mnoha případech, například u interních auditů v malých organizacích, může úvodní jednání pouze informovat o tom, že je prováděn audit a vysvětlit povahu auditu. 3.10.2012
111
6 Provádění auditu 6.4 Provádění činností při auditu V jiných situacích může být jednání formální a v tomto případě mají být uchovány záznamy o účasti na jednání. Jednání má být vedeno vedoucím týmu auditorů a v jeho rámci se má případně zvážit: – představení se účastníků, včetně průvodců a naznačení jejich rolí; – potvrzení cílů, předmětu a kritérií auditu; – potvrzení plánu auditu a všech dalších ujednání řešených s auditovanou organizací, jako je například datum a čas konání závěrečného jednání, jakýchkoli dalších porad týmu auditorů a managementu auditované organizace a všechny pozdější změny;
3.10.2012
112
6 Provádění auditu 6.4 Provádění činností při auditu – představení metod, které budou využity k provádění auditu včetně upozornění, že důkazy z auditu budou založeny na vzorku dostupných informací; – představení metod řízení rizik organizace, která mohou vzniknout následkem přítomnosti členů týmu auditorů; – potvrzení formálních komunikačních kanálů mezi týmem auditorů a auditovanou organizací; – potvrzení jazyka, který bude v průběhu auditu používán; – potvrzení, že auditovaná organizace bude o průběhu auditu průběžně informována; – potvrzení dostupnosti zdrojů a zařízení nezbytných pro tým auditorů; – potvrzení záležitostí týkajících se důvěrnosti a bezpečnosti informací; – potvrzení příslušných zdravotních, nouzových a bezpečnostních postupů platných pro tým auditorů; 3.10.2012
113
6 Provádění auditu 6.4 Provádění činností při auditu – informace o metodách podávání zpráv, zjištěních z auditu, včetně jakéhokoli existujícího třídění; – informace o podmínkách, za kterých smí být audit ukončen; – informace o závěrečném jednání; – informace o tom, jak v průběhu auditu nakládat s možnými zjištěními; – informace o jakýchkoli systémech pro zpětnou vazbu od auditované organizace ohledně zjištění nebo závěrů z auditu, včetně stížností nebo odvolání se.
3.10.2012
114
6 Provádění auditu 6.4 Provádění činností při auditu 6.4.3 Přezkoumání dokumentů v průběhu auditu Příslušná dokumentace auditované organizace má být přezkoumána, aby: – byla určena shoda systému s kritérii auditu, pokud je dokumentován; – byly shromážděny informace pro podporu činností při auditu. POZNÁMKA Návod k provádění přezkoumání dokumentů je uveden v kapitole B.2. 3.10.2012
115
6 Provádění auditu 6.4 Provádění činností při auditu Přezkoumání lze provádět v kombinaci s dalšími činnostmi při auditu, a jestliže to neškodí efektivnosti provádění auditu, lze v něm pokračovat po celou dobu jeho trvání. Pokud nemůže být odpovídající dokumentace poskytnuta v časovém rámci daném plánem auditu, má o tom vedoucí týmu auditorů informovat osobu řídící program auditů i auditovanou organizaci. V závislosti na cílech a předmětu auditu má být rozhodnuto, zda bude audit pokračovat, nebo zda bude přerušen do doby, kdy 116 3.10.2012 budou záležitosti dokumentace vyřešeny.
6 Provádění auditu 6.4 Provádění činností při auditu 6.4.4 Komunikace v průběhu auditu V průběhu auditu může být nezbytné provést formální opatření pro komunikaci uvnitř týmu auditorů a komunikaci s auditovanou organizací, klientem auditu a případně externími orgány (např. dozorové orgány), zejména v případech, kdy mohou požadavky legislativy vyžadovat povinné hlášení nesouladu. Tým auditorů má vést pravidelná jednání s cílem výměny informací, posuzování stavu rozpracovanosti auditu a v případě potřeby přerozdělit práci mezi členy týmu 3.10.2012 auditorů.
117
6 Provádění auditu 6.4 Provádění činností při auditu V průběhu auditu má vedoucí týmu auditorů v pravidelných intervalech vhodně sdělovat informace o průběhu auditu a o jakýchkoli dalších významných záležitostech auditované organizaci a klientovi auditu. Důkazy shromážděné v průběhu auditu, které naznačují okamžité a významné riziko pro auditovanou organizaci, mají být bez odkladu vhodně hlášeny auditované organizaci a klientovi auditu. Jakékoli záležitosti týkající se problému mimo předmět auditu mají být zaznamenávány a hlášeny vedoucímu týmu auditorů, aby bylo umožněno jejich případné sdělení klientovi auditu a auditované organizaci.
3.10.2012
118
6 Provádění auditu 6.4 Provádění činností při auditu Kde dostupné důkazy z auditu naznačují, že jsou cíle auditu nedosažitelné, má vedoucí týmu auditorů ohlásit důvody klientovi auditu a auditované organizaci, aby bylo možné stanovit vhodné opatření. Takové opatření může zahrnovat opakované potvrzení nebo modifikaci plánu auditu, změny cílů nebo předmětu auditu nebo ukončení auditu. Jakákoli potřeba změny předmětu auditu, která se může objevit v průběhu činností auditu, má být přezkoumána ve spolupráci s klientem auditu a auditovanou organizací a měla by být těmito subjekty schválena. 3.10.2012
119
6 Provádění auditu 6.4 Provádění činností při auditu 6.4.5 Přidělování rolí a odpovědností průvodcům a pozorovatelům Průvodci a pozorovatelé (např. dozorový orgán nebo jiné zainteresované strany) mohou doprovázet tým auditorů. Nemají ovlivňovat provádění auditu, ani do něj zasahovat. Pokud to nemůže být zajištěno, má mít vedoucí týmu auditorů pravomoc zabránit pozorovatelům účastnit se některých činností při auditu.
3.10.2012
120
6 Provádění auditu 6.4 Provádění činností při auditu Všechny povinnosti pozorovatelů ve vztahu k bezpečnosti a ochraně zdraví při práci, zabezpečení a důvěrnosti mají být řízeny klientem auditu a auditovanou organizací. Průvodci jmenovaní auditovanou organizací mají pomáhat týmu auditorů na žádost vedoucího týmu auditorů.
3.10.2012
121
6 Provádění auditu 6.4 Provádění činností při auditu Jejich odpovědnosti mají zahrnovat: a) pomoc auditorům při určení jednotlivců, kteří se účastní rozhovorů a dále potvrzování časových harmonogramů; b) zajištění přístupu na konkrétní místa auditované organizace; c) zajištění, aby členové auditorského týmu a pozorovatelé byli seznámeni s požadavky na bezpečnost pracoviště a s bezpečnostními postupy na pracovišti a aby tato pravidla respektovali. 3.10.2012
122
6 Provádění auditu 6.4 Provádění činností při auditu Role průvodce může také zahrnovat: – působení v roli svědka za auditovanou organizaci; – poskytování objasnění nebo pomoc při shromažďování informací.
3.10.2012
123
6 Provádění auditu 6.4 Provádění činností při auditu 6.4.6 Shromažďování a ověřování informací Během auditu mají být shromažďovány a vhodným vzorkováním ověřovány informace odpovídající cílům, rozsahu a kritériím auditu, včetně informací o vzájemném vztahu rozhraní mezi funkcemi, činnostmi a procesy. Tyto informace mají být ověřovány. Jako důkaz z auditu mají být akceptovány pouze ověřitelné informace. Pro zjištění z auditu mají být zaznamenávány důkazy z auditu. 3.10.2012
124
6 Provádění auditu 6.4 Provádění činností při auditu Pokud při shromažďování důkazů tým auditorů zjistí nové nebo změněné okolnosti nebo rizika, má být tato situace týmem příslušně řešena.
POZNÁMKA 1 Návod ke vzorkování je uveden v kapitole B.3.
Obrázek 3 poskytuje přehled procesu, od shromažďování informací po dosažení závěrů z auditu. 3.10.2012
125
3.10.2012
126
6 Provádění auditu 6.4 Provádění činností při auditu Metody shromažďování informací zahrnují: – rozhovory; – pozorování; – přezkoumávání dokumentů včetně záznamů.
POZNÁMKA 2 Návod ke zdrojům informací je uveden v kapitole B.5. POZNÁMKA 3 Návod k návštěvám prostor auditované organizace je uveden v kapitole B.6. POZNÁMKA 4 Návod k provádění rozhovorů je uveden v kapitole B.7. 3.10.2012
127
6 Provádění auditu 6.4 Provádění činností při auditu 6.4.7 Zjištění z auditu Zjištění z auditu se mají vytvořit na základě vyhodnocení důkazů z auditu vzhledem ke kritériím auditu. Zjištění z auditu mohou ukazovat na shodu nebo neshodu s kritérii auditu. Pokud je to specifikováno plánem auditu, mají jednotlivá zjištění z auditu zahrnovat existující shody a správné postupy spolu s podpůrnými důkazy, příležitostmi pro zlepšování a všechna doporučení předávaná auditované organizaci. 3.10.2012
128
6 Provádění auditu 6.4 Provádění činností při auditu Mají být zaznamenávány neshody a podpůrné důkazy jejich existence. Neshody mohou být tříděny. Ve spolupráci s auditovanou organizací mají být neshody přezkoumány s cílem potvrdit, že důkazy z auditu jsou přesné a neshody byly pochopeny. Má se vynaložit veškeré úsilí nezbytné k vyřešení všech rozdílných názorů týkajících se důkazů nebo zjištění z auditu. Nevyřešené body se mají zaznamenat.
3.10.2012
129
6 Provádění auditu 6.4 Provádění činností při auditu Tým auditorů se má dle potřeby ve vhodných fázích auditu setkávat k přezkoumání zjištění z auditu. POZNÁMKA Další návod k identifikaci a hodnocení zjištění z auditu je uveden v kapitole B.8.
3.10.2012
130
6 Provádění auditu 6.4 Provádění činností při auditu 6.4.8 Příprava závěrů z auditu Tým auditorů se má před závěrečným jednáním poradit, aby: a) přezkoumal zjištění z auditu a ostatní vhodné informace shromážděné během auditu ve vztahu k cílům auditu; b) odsouhlasil závěry z auditu s uvážením nejistoty spojené s procesem auditu; c) připravil doporučení, pokud je to specifikováno v plánu auditu; d) prodiskutoval činnosti vyplývající z auditu, pokud je to aplikovatelné. 3.10.2012
131
6 Provádění auditu 6.4 Provádění činností při auditu Závěry z auditu mohou zahrnovat: – rozsah shody systému managementu s kritérii auditu, včetně efektivnosti systému managementu při plnění stanovených cílů; – efektivnost realizace, udržování a zlepšování systému managementu; – způsobilost procesu přezkoumání managementu, kterým je zajištěna trvalá vhodnost, přiměřenost, efektivnost a zlepšování systému managementu; – dosažení cílů auditu, pokrytí předmětu auditu a splnění kritérií auditu; – kořenové příčiny zjištění, je-li to zahrnuto v plánu auditu; – obdobná zjištění z jiných oblastí, auditovaných pro účely identifikace trendů. 3.10.2012
132
6 Provádění auditu 6.4 Provádění činností při auditu Pokud je to specifikováno plánem auditu, mohou vést závěry z auditu k doporučení ke zlepšování nebo k budoucím činnostem při auditování.
3.10.2012
133
6 Provádění auditu 6.4 Provádění činností při auditu 6.4.9 Závěrečné jednání Závěrečné jednání, moderované vedoucím týmu auditorů, má prezentovat zjištění a závěry z auditu. Účastníky závěrečného jednání mají být členové vedení auditované organizace a případně osoby odpovědné za auditované funkce nebo procesy. Jednání se může zúčastnit také klient auditu a další strany. Pokud to přichází v úvahu, má vedoucí týmu auditorů upozornit auditovanou organizaci na situace, které v průběhu auditu nastaly a které mohou snižovat důvěryhodnost závěrů z auditu. Pokud je to stanoveno systémem managementu nebo klientem auditu, mají účastníci odsouhlasit časový rámec akčního plánu pro řešení zjištění z auditu. 134 3.10.2012
6 Provádění auditu 6.4 Provádění činností při auditu Úroveň podrobností má být v souladu s tím, jak je auditovaná organizace seznámena s procesem auditu. V některých situacích může být jednání formální a má z něj být vyhotoven a uchován zápis, který obsahuje záznamy o účasti. V jiných případech, například u interních auditů, může být závěrečné jednání méně formální a může zahrnovat pouze sdělení zjištění a závěrů z auditu.
3.10.2012
135
6 Provádění auditu 6.4 Provádění činností při auditu Podle potřeby má být v rámci závěrečného jednání auditované organizaci vysvětleno: – upozornění klienta na to, že shromážděné důkazy z auditu byly založeny na vzorcích informací; – metody podávání zpráv; – procesy řešení zjištění z auditu a možných souvislostí; – prezentace zjištění a závěrů z auditu takovým způsobem, který zajišťuje jejich pochopení a přijetí managementem auditované organizace; – všechny související činnosti následující po auditu (např. realizace nápravných opatření, řešení stížností z auditu, proces odvolání). 3.10.2012
136
6 Provádění auditu 6.4 Provádění činností při auditu Všechny rozdílné názory mezi týmem auditorů a auditovanou organizací, které se týkají zjištění nebo závěrů z auditu, mají být prodiskutovány, a pokud je to možné, také vyřešeny. Nevyřešené záležitosti mají být zaznamenány. Je-li to specifikováno v cílech auditu, mají být prezentována doporučení ke zlepšování. Je třeba zdůraznit, že tato doporučení nejsou závazná.
3.10.2012
137
6 Provádění auditu 6.5 Příprava a distribuce zprávy z auditu 6.5.1 Příprava zprávy z auditu Vedoucí týmu auditorů má podávat zprávy o výsledcích auditu v souladu s postupy programu auditů. Zpráva z auditu má poskytovat ucelený, přesný, stručný a jasný záznam o auditu a má obsahovat, nebo se alespoň odkazovat na: a) cíle auditu; b) předmět auditu, zejména identifikaci auditovaných organizačních a funkčních jednotek nebo procesů; 3.10.2012
138
6 Provádění auditu 6.5 Příprava a distribuce zprávy z auditu c) identifikaci klienta auditu; d) identifikaci týmu auditorů a osob, které se auditu účastnily jménem auditované organizace; e) data a místa, kde byly prováděny činnosti při auditu; f) kritéria auditu; g) zjištění z auditu a související důkazy; h) závěry z auditu; i) prohlášení o rozsahu, ve kterém byla splněna kritéria auditu. 3.10.2012
139
6 Provádění auditu 6.5 Příprava a distribuce zprávy z auditu Pokud je to vhodné, může zpráva z auditu obsahovat, nebo se vhodným způsobem odkazovat také na: – plán auditu, včetně časového harmonogramu; – shrnutí procesu auditu, včetně jakýchkoli překážek, které mohou snižovat spolehlivost závěrů z auditu; – potvrzení, že v rámci předmětu auditu a v souladu s plánem auditu bylo dosaženo cílů auditu; – veškeré oblasti, které spadají do předmětu auditu, ale nebyly pokryty; – shrnutí zahrnující závěry z auditu a zjištění z auditu, která je prokazují; – jakékoli nevyřešené rozdílné názory mezi týmem auditorů a auditovanou organizací; – doporučení ke zlepšování, je-li to specifikováno v plánu auditu; – identifikované správné postupy; – odsouhlasený akční plán činností následujících po auditu, pokud existuje; – prohlášení o důvěrném charakteru obsahu; – jakékoli důsledky pro program auditů a následující audity; – rozdělovník zprávy z auditu. POZNÁMKA Zpráva z auditu může být vytvořena před závěrečným jednáním. 140 3.10.2012
6 Provádění auditu 6.5 Příprava a distribuce zprávy z auditu 6.5.2 Distribuce zprávy z auditu Zpráva z auditu má být vydána v rámci odsouhlaseného časového úseku. Dojde-li ke zpoždění, mají být auditované organizaci a osobě řídící program auditů sděleny příčiny. Zpráva z auditu má být datovaná, přezkoumaná a příslušně schválená v souladu s postupy programu auditů. Zpráva z auditu má poté být distribuována adresátům stanoveným postupem auditu nebo plánem auditu.
3.10.2012
141
6 Provádění auditu 6.6 Ukončení auditu Audit je ukončen ve chvíli, kdy byly provedeny všechny plánované činnosti při auditu nebo za podmínek Odsouhlasených klientem auditu (např. může existovat neočekávaná situace, která zabraňuje dokončení auditu podle plánu). Na základě dohody mezi zúčastněnými stranami a v souladu s postupy programu auditů a použitelnými požadavky mají být dokumenty související s auditem uloženy nebo zlikvidovány. 3.10.2012
142
6 Provádění auditu 6.6 Ukončení auditu Pokud to není požadováno zákonem, tým auditorů a osoby odpovědné za řízení programu auditů nemají zveřejňovat obsah dokumentů, další informace získané v průběhu auditu nebo zprávu z auditu jakékoli další straně bez výslovného schválení klientem auditu, a kde je to vhodné, bez schválení auditovanou organizací. Je-li zveřejnění obsahu dokumentů z auditu požadováno, má o tom být klient auditu a auditovaná organizace co nejdříve informováni. 3.10.2012
143
6 Provádění auditu 6.6 Ukončení auditu Získané poznatky z průběhu auditu májí být vstupem do procesu neustálého zlepšování systému managementu auditovaných organizací.
3.10.2012
144
6 Provádění auditu 6.7 Provádění následného auditu Závěry z auditu mohou, v závislosti na cílech auditu, naznačovat potřebu náprav, nápravných opatření, preventivních opatření nebo opatření ke zlepšování. O takových opatřeních obvykle rozhoduje a provádí je auditovaná organizace v dohodnutém časovém rámci a jsou v tomto časovém rámci auditovanou organizací realizována. Auditovaná organizace má vhodným způsobem o stavu těchto opatření informovat osobu řídící program auditů a tým auditorů. Dokončení těchto opatření a jejich efektivnost má být ověřováno. Toto ověřování může být součástí následného auditu. 3.10.2012
145
7 Kompetence a hodnocení auditorů 7.1 Obecně Důvěryhodnost procesu auditu a schopnost dosahovat jeho cílů závisí na kompetencích jednotlivců zapojených do plánování a provádění auditu, včetně auditorů a vedoucích týmu auditorů. Kompetence mají být hodnoceny v rámci procesu, který bere v úvahu osobní chování a schopnost aplikovat znalosti a dovednosti získané vzděláváním, pracovními zkušenostmi, výcvikem auditora a zkušenostmi z auditu. Tento proces má brát v úvahu potřeby programu auditů a jeho cíle. Některé znalosti a dovednosti popsané v 7.2.3 jsou společné pro auditory všech oborů systémů managementu, další jsou specifické pro jednotlivé obory. Není nezbytné, aby měli všichni auditoři v týmu auditorů stejné kompetence. Celkové kompetence týmu auditorů mají být dostatečné pro dosažení cílů auditu. 3.10.2012
146
7 Kompetence a hodnocení auditorů 7.1 Obecně Hodnocení kompetencí auditora má být plánováno, realizováno a dokumentováno v souladu s programem auditů a mělo by zahrnovat postupy, které zajišťují, že je výsledek objektivní, konzistentní, spravedlivý a spolehlivý. Proces hodnocení má zahrnovat čtyři hlavní kroky: a) určení takových kompetencí osob zapojených do auditu, které splňují potřeby programu auditů; b) vytvoření hodnotících kritérií; c) výběr vhodných metod hodnocení; d) provedení hodnocení. 3.10.2012
147
7 Kompetence a hodnocení auditorů 7.1 Obecně Výsledek procesu hodnocení má poskytovat základ pro: – výběr členů týmu auditorů, jak je popsán v 5.4.4; – určení potřeby zlepšení kompetencí (např. dodatečný výcvik); – pokračující hodnocení výkonnosti auditorů. Auditoři mají vytvářet, udržovat a zlepšovat své kompetence prostřednictvím trvalého profesního rozvoje a pravidelné účasti na auditech (viz 7.6). 3.10.2012
148
7 Kompetence a hodnocení auditorů 7.1 Obecně Proces hodnocení auditorů a vedoucích týmu auditorů je popsán v kapitolách 7.4 a 7.5. Auditoři a vedoucí týmu auditorů mají být hodnoceni podle kritérií uvedených v kapitolách 7.2.2 a 7.2.3. Kompetence požadované u osoby řídící program auditů jsou popsány v kapitole 5.3.2.
3.10.2012
149
7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů 7.2.1 Obecně Při rozhodování o vhodných znalostech a dovednostech auditora má být zváženo: – velikost, druh/typ a složitost auditované organizace; – obory auditovaných systémů managementu; – cíle a rozsah programu auditů; – další požadavky, jako jsou požadavky stanovované externími orgány; – role procesu auditu v systému managementu auditované organizace; – složitost auditovaného systému managementu; – nejistota při dosahování cílů auditu. Tyto informace mají odpovídat informacím uvedeným v 7.2.3.2, 7.2.3.3 a 7.2.3.4. 3.10.2012
150
7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů 7.2.2 Osobní chování Auditoři mají mít všechny nezbytné kvality, které jim umožňují jednat v souladu s principy auditování, které jsou popsány v kapitole 4. Auditoři se mají v průběhu auditování chovat profesionálně.
3.10.2012
151
7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů Chování auditorů má být: – etické; tj. spravedlivé, pravdivé, upřímné, slušné a diskrétní; – přístupné názorům, tj. ochota zvažovat alternativní myšlenky nebo pohledy; – diplomatické, tj. taktní při jednání s lidmi; – pozorné, tj. aktivní pozorování prostředí a činností; – vnímavé, tj. uvědomování si situace a schopnost situaci pochopit; – přizpůsobivé, tj. rychlé přizpůsobení se různým situacím; – vytrvalé, tj. houževnatost, soustředění se na dosahování cílů; – rozhodné, tj. včasné dosahování závěrů založených na logickém zdůvodnění a analýze; 3.10.2012
152
7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů – samostatné, tj. nezávislé jednání a fungování při současné efektivní interakci s ostatními; – statečné, tj. být schopen jednat odpovědně a eticky, i když tyto činnosti nemusí být vždy populární a mohou někdy vést k neshodě nebo konfrontaci; – otevřené ke zlepšování, tj. učení se z různých situací, snaha o lepší výsledky auditu; – citlivé ke kultuře, tj. pozornost a respektování kulturních tradic auditované organizace; – připravené ke spolupráci, tj. efektivně fungovat s ostatními, včetně členů týmu auditorů a pracovníků auditované organizace.
3.10.2012
153
7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů 7.2.3 Znalosti a dovednosti 7.2.3.1 Obecně Auditoři mají mít znalosti a dovednosti nezbytné k dosahování zamýšlených výsledků auditu, který mají provádět. Všichni auditoři mají mít všeobecné znalosti a dovednosti a mělo by se od nich také očekávat, že mají některé znalosti a dovednosti týkající se specifického oboru nebo odvětví. Vedoucí týmu auditorů mají mít další znalosti a dovednosti nezbytné k vedení týmu auditorů. 3.10.2012
154
7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů 7.2.3.2 Všeobecné znalosti a dovednosti auditorů systémů managementu Auditoři mají mít znalosti a dovednosti v níže uvedených oblastech. a) Principy, postupy a metody auditu: znalosti a dovednosti v této oblasti umožňují auditorům aplikovat příslušné principy, postupy a metody v rámci různých auditů a zajišťovat, že jsou audity prováděny konzistentně a systematicky. 3.10.2012
155
7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů Auditor má být schopen: – aplikovat principy, postupy a metody auditu; – efektivně plánovat a organizovat práci; – provést audit v rámci dohodnutého časového harmonogramu; – stanovovat priority a soustředit se na důležité záležitosti; – shromažďovat informace prostřednictvím efektivních rozhovorů, naslouchání, pozorování a přezkoumávání dokumentů, záznamů a dat; – pochopit a zvážit názory expertů;– pochopit vhodnost a následky použití technik vzorkování v rámci auditu; – ověřovat relevanci a přesnost shromážděných informací; 3.10.2012
156
7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů Auditor má být schopen: – potvrzovat dostatečnost a vhodnost důkazů z auditu z hlediska podpory zjištění a závěrů z auditu; – posuzovat ty faktory, které mohou mít vliv na spolehlivost zjištění a závěrů z auditu; – používat pracovní dokumenty k zaznamenávání činností při auditu; – dokumentovat zjištění z auditu a vytvářet příslušné zprávy z auditu; – zachovat důvěrnost a bezpečnost informací, dat, dokumentů a záznamů; – efektivně ústně i písemně komunikovat (osobně nebo prostřednictvím překladatele); – pochopit druhy rizik, která jsou spojená s auditováním 3.10.2012
157
7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů b) Systém managementu a referenční dokumenty: znalosti a dovednosti v této oblasti umožňují auditorovi porozumět předmětu auditu a aplikovat kritéria auditu a mají pokrývat: – normy systémů managementu nebo další dokumenty využívané jako kritéria auditu; – aplikace norem systémů managementu auditovanou organizací a případně dalšími organizacemi; – vzájemné působení částí systému managementu; – rozpoznávání hierarchie referenčních dokumentů; – aplikace referenčních dokumentů v různých situacích auditu. 3.10.2012
158
7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů C) Kontext organizace: znalosti a dovednosti v této oblasti umožňují auditorovi porozumět struktuře, činnostem a postupům managementu auditované organizace a mají pokrývat: – typy organizací, způsob jejich vedení, velikost, strukturu, funkce a vztahy; – obecné koncepce činností organizace a managementu a související terminologie, včetně plánování, rozpočtování a managementu lidských zdrojů; – kulturní a sociální aspekty auditované organizace
3.10.2012
159
7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů d) Aplikovatelné legislativní a smluvní požadavky a další požadavky, které se týkají auditované organizace: znalosti a dovednosti v této oblasti umožňují auditorovi uvědomovat si legislativní a smluvní požadavky na organizaci a pracovat v jejich rámci. Znalosti a dovednosti specifické pro legislativní rámec nebo činnosti a produkty auditované organizace mají pokrývat: – zákony a předpisy a s nimi související instituce; – základní právní terminologii; – uzavírání smluv a závazků.
3.10.2012
160
7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů 7.2.3.3 Znalosti a dovednosti auditorů systémů managementu specifické pro obor a odvětví Auditoři mají mít znalosti a dovednosti specifické pro obor a odvětví, které přísluší auditování jednotlivých typů systémů managementu a jednotlivých odvětví. Není nezbytné, aby měli všichni auditoři v týmu auditorů stejné kompetence, ale celkové kompetence týmu auditorů musí být dostatečné, aby bylo dosaženo cílů auditu. 3.10.2012
161
7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů Znalosti a dovednosti auditorů specifické pro obor a odvětví zahrnují: – požadavky a principy specifické v oboru systémů managementu a
jejich aplikace; – legislativní požadavky relevantní vzhledem k oborům a odvětvím, například že si je auditor vědom specifických požadavků legislativního rámce na povinnosti, činnosti a produkty auditované organizace; – požadavky zainteresovaných stran týkající se specifických oborů; – základní principy oboru a aplikace specifických provozních a technických metod, technik, procesů a postupů, které umožňují auditorovi zkoumat systém managementu a vytvářet vhodná zjištění a závěry z auditu; 162 3.10.2012
7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů – konkrétní znalosti oboru a odvětví, povahy provozních činností nebo auditovaného pracovního prostředí, které jsou dostatečné k tomu, aby auditor mohl hodnotit činnosti, procesy a produkty (zboží a služby) auditované organizace; – principy, metody a techniky managementu rizik ve vztahu k oboru a odvětví, aby auditor mohl hodnotit a řídit rizika související s programem auditů. POZNÁMKA Návod a příklady znalostí a dovedností auditora specifických pro obor jsou uvedeny v příloze A.
3.10.2012
163
7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů 7.2.3.4 Všeobecné znalosti a dovednosti vedoucího týmu auditorů Vedoucí týmu auditorů mají mít další znalosti a dovednosti k řízení a vedení týmu auditorů potřebné k usnadňování účinného a efektivního provádění auditu. Vedoucí týmu auditorů má mít znalosti a dovednosti nezbytné k provedení: a) vyvažování silných a slabých stránek jednotlivých členů týmu auditorů; b) vytváření harmonického pracovního prostředí mezi členy týmu;
3.10.2012
164
7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů c) řízení procesu auditu, včetně: – plánování auditu a efektivního využívání zdrojů v průběhu auditu; – zvládání nejistoty při dosahování cílů auditu; – zajištění bezpečnosti a ochrany zdraví při práci členů týmu auditorů v průběhu auditu, včetně zajištění, že auditoři jednají ve shodě s relevantními požadavky na bezpečnost a ochranu zdraví při práci; – organizování a směrování členů týmu auditorů; – usměrňování a poskytování návodu auditorům ve výcviku; – předcházení a v případě potřeby řešení konfliktů;
3.10.2012
165
7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů d) reprezentování týmu auditorů v komunikaci s klientem auditu a auditovanou organizací; e) vedení týmu auditorů k dosažení závěrů z auditu; f) připravování a kompletování zprávy z auditu.
3.10.2012
166
7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů 7.2.3.5 Znalosti a dovednosti pro auditování systémů managementu, které zahrnují více oborů Auditoři, kteří hodlají být členem týmu auditorů při auditování systémů managementu, které zahrnují více oborů, mají mít kompetence nezbytné pro auditování alespoň jednoho oboru systémů managementu a měli by chápat vzájemné vazby různých systémů managementu a synergické efekty.
3.10.2012
167
7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů Vedoucí týmu auditorů provádějící audity systémů managementu, které zahrnují více oborů, mají chápat požadavky všech zahrnutých norem systémů managementu a znát omezení svých znalostí a dovedností v každém zahrnutém oboru.
3.10.2012
168
7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů 7.2.4 Získávání kompetencí auditora Znalosti a dovednosti auditora mohou být získány prostřednictvím kombinace: – formální vzdělávání nebo výcvik a zkušenosti, které přispívají k rozvoji znalostí a dovedností v oboru systému managementu a odvětví, které auditor hodlá auditovat; – výcvikové programy, které obsahují všeobecné znalosti a dovednosti auditora; – zkušenosti v relevantních technických, řídících nebo profesních pozicích, včetně vytváření úsudků, rozhodování, řešení problémů a komunikace s manažery, experty, spolupracovníky, zákazníky a dalšími zainteresovanými stranami; – zkušenosti s auditováním v oboru získané pod dohledem auditora. 3.10.2012
169
7 Kompetence a hodnocení auditorů 7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů 7.2.5 Vedoucí týmu auditorů Vedoucí týmu auditorů mají mít navíc zkušenosti z auditů, které umožňují rozvoj znalostí a dovedností uvedených v 7.2.3. Tyto další zkušenosti mají být získány v rámci práce pod vedením jiného vedoucího týmu auditorů.
3.10.2012
170
7 Kompetence a hodnocení auditorů 7.3 Stanovování kritérií hodnocení auditorů Kritéria mají být kvalitativní (jako jsou prokazatelné osobní chování, znalosti nebo uplatnění dovedností v rámci výcviku nebo na pracovním místě) a kvantitativní (jako jsou počet let praxe a vzdělání, počet provedených auditů, hodiny výcviku v oblasti auditování).
3.10.2012
171
7 Kompetence a hodnocení auditorů 7.4 Výběr vhodných metod hodnocení Hodnocení má být prováděno za použití dvou nebo více metod zvolených z tabulky 2. Při používání tabulky 2 se má vzít na vědomí: – vyjmenované metody reprezentují řadu možností a nemusí být vhodné pro všechny situace; – různé vyjmenované metody se mohou lišit z hlediska jejich spolehlivosti; – má být využita kombinace několika metod, aby byla zajištěna objektivita, konzistence, spravedlnost a spolehlivost výsledku. 3.10.2012
172
3.10.2012
173
7 Kompetence a hodnocení auditorů 7.5 Provádění hodnocení auditora Informace shromážděné o určité osobě mají být porovnány s kritérii stanovenými podle kapitoly 7.2.3. Pokud osoba, u které se počítá s účastí na programu auditů, nesplňuje kritéria, má být této osobě poskytnut dodatečný výcvik, umožněno získání pracovních zkušeností nebo zkušeností s prováděním auditu a následně má být provedeno opakované hodnocení.
3.10.2012
174
7 Kompetence a hodnocení auditorů 7.6 Udržování a zlepšování kompetencí auditora Auditoři a vedoucí týmů auditorů mají neustále zlepšovat své kompetence. Auditoři mají udržovat své kompetence v oblasti auditování prostřednictvím své pravidelné účasti na auditech systémů managementu a trvalého profesního rozvoje. Trvalý profesní rozvoj zahrnuje udržování i zlepšování kompetencí. Toho lze dosáhnout takovými prostředky, jako jsou další pracovní zkušenosti, výcvik, soukromé studium, koučing, účast na jednáních, seminářích a konferencích a další relevantní činnosti. 3.10.2012
175
7 Kompetence a hodnocení auditorů 7.6 Udržování a zlepšování kompetencí auditora Osoba řídící program auditů má vytvořit vhodný mechanismus pro průběžné hodnocení výkonnosti auditorů a vedoucích týmů auditorů. Činnosti trvalého profesního rozvoje má brát v úvahu: – změny potřeb jednotlivců a organizace odpovědné za provádění auditu; – praxi auditování; – relevantní požadavky norem a další požadavky.
3.10.2012
176
Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů
A.1 Obecně Tato příloha uvádí obecné příklady znalostí a dovedností auditorů systémů managementu podle specifických oborů. Tyto příklady mají sloužit osobě řídící program auditů jako návod k výběru nebo hodnocení auditorů. Pro systémy managementu mohou být vytvořeny i další příklady znalostí a dovedností auditorů podle specifických oborů. Doporučuje se, aby tam, kde je to možné, měly tyto příklady stejnou obecnou strukturu, která zajistí jejich srovnatelnost. 3.10.2012
177
Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů
A.2 Názorné příklady konkrétních znalostí a dovedností auditorů pro management bezpečnosti v dopravě Příklady jsou: – terminologie managementu bezpečnosti; – porozumění bezpečnosti systému; – analyzování lidských faktorů týkajících se managementu bezpečnosti v dopravě; – lidské chování a vztahy; – vzájemné působení lidí, strojů, procesů a pracovního prostředí; – potenciální nebezpečí a další faktory pracovního prostředí ovlivňující bezpečnost; – metody a postupy pro vyšetřování incidentů a monitorování výkonnosti v oblasti bezpečnosti; – hodnocení provozních incidentů a nehod; 3.10.2012 – vytváření aktivních a reaktivních měření a metrik výkonnosti.
178
Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů
A.3 Názorné příklady konkrétních znalostí a dovedností auditorů pro environmentální management Znalosti a dovednosti, specifické pro environmentální management, a aplikace konkrétních metod, technik, procesů a postupů mají být dostačující k tomu, aby auditorovi umožňovaly prověřit systém managementu a vytvářet správná zjištění a závěry z auditu.
3.10.2012
179
Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů
Příklady jsou: – environmentální terminologie; – environmentální ukazatele a statistiky; – vědecká měření a techniky monitorování; – interakce ekosystémů a biodiverzita; – součásti životního prostředí (např. vzduch, voda, půda, fauna, flóra); – techniky stanovování rizik (např. hodnocení environmentálních aspektů a dopadů, včetně metod hodnocení významnosti); – posuzování životního cyklu; – hodnocení environmentálního profilu; 3.10.2012
180
Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů
– prevence a řízení znečištění (např. nejlepší dostupné techniky řízení znečištění nebo energetické účinnosti); – snižování náročnosti na zdroje, minimalizace odpadů, opětovné využití, recyklace a postupy a procesy úpravy odpadů; – užívání nebezpečných látek; – emise skleníkových plynů a jejich řízení; – řízení přírodních zdrojů (např. fosilní paliva, voda, flóra a fauna, půda); – návrh šetrný k životnímu prostředí; – podávání zpráv o životním prostředí a jejich zveřejňování; – péče o produkt; 181 3.10.2012 – obnovitelné a nízkouhlíkové technologie.
Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů
A.4 Názorné příklady konkrétních znalostí a dovedností auditorů pro management kvality Znalosti a dovednosti, specifické pro obor, a aplikace konkrétních metod, technik, procesů a postupů mají být dostačující k tomu, aby auditorovi umožňovaly prověřit systém managementu a vytvářet správná zjištění a závěry z auditu.
3.10.2012
182
Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů
Příklady jsou: – terminologie týkající se kvality, managementu, organizace, procesů a produktů, charakteristik, shody, dokumentace, auditu a procesů měření; – zaměření na zákazníka, procesy týkající se zákazníka, monitorování a měření spokojenosti zákazníka, řešení stížností, pravidla chování, řešení sporů; – vedení a řízení lidí – role vrcholového vedení, řízení trvalého úspěchu organizace – přístup managementu kvality, realizace finančních a ekonomických přínosů prostřednictvím managementu kvality, systémy managementu kvality a modely excelence; – zapojení lidí, lidské faktory, kompetence, výcvik a vědomí závažnosti; – procesní přístup, procesní analýzy, způsobilost a techniky regulace, metody ošetření rizik; 3.10.2012
183
Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů
Příklady jsou: – systémový přístup k managementu (zdůvodnění systémů managementu kvality, systémy managementu kvality a další systémové přístupy k managementu, dokumentace systémů managementu kvality), typy a hodnota, plány kvality, management konfigurace; – neustálé zlepšování, inovace a učení se; – přístup k rozhodování na základě faktů, techniky posuzování rizik (identifikace, analýza a hodnocení rizik), hodnocení managementu kvality (audit, přezkoumávání a sebehodnocení), techniky monitorování a měření, požadavky na proces měření a měřící zařízení, analýza kořenových příčin, statistické techniky; – charakteristiky procesů a produktů, včetně služeb; – vzájemně prospěšné dodavatelsko odběratelské vztahy, požadavky na systémy managementu kvality a požadavky na produkty, zejména požadavky na management kvality v různých odvětvích. 184 3.10.2012
Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů
A.5 Názorné příklady konkrétních znalostí a dovedností auditorů pro management záznamů Znalosti a dovednosti, specifické pro obor, a aplikace konkrétních metod, technik, procesů a postupů mají být dostačující k tomu, aby auditorovi umožňovaly prověřit systém managementu a vytvářet správná zjištění a závěry z auditu.
3.10.2012
185
Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů
Příklady jsou: – záznamy, proces řízení záznamů a terminologie systémů managementu záznamů; – vytváření měřítek a ukazatelů výkonnosti; – zkoumání a hodnocení postupů týkajících se záznamů prostřednictvím rozhovorů, pozorování a validace; – analýzy vzorků záznamů vytvořených v procesech organizace. Hlavní charakteristiky záznamů, systémy záznamů, procesy a nástroje řízení týkající se záznamů; – posuzování rizik (např. posuzování rizik způsobených chybou při vytváření, udržování a řízení dostatečných záznamů o procesech organizace); – výkonnost a dostatečný rozsah procesů vytváření, 3.10.2012 udržování a řízení záznamů;
186
Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů
Příklady jsou: – posuzování přiměřenosti a výkonnosti systémů záznamů (včetně systémů organizace pro vytváření a řízení záznamů), vhodnost využitých technologických nástrojů a vytvořených zařízení a technik; – hodnocení různých úrovní kompetencí v oblasti managementu záznamů vyžadovaných napříč organizací a posuzování těchto kompetencí; – význam obsahu, kontextu, struktury, zastoupení a kontrolních informací (metadat) vyžadovaných pro definování a řízení záznamů a systémů záznamů; – metody vytváření nástrojů specifických pro záznamy; – technologie využívané k vytváření, udržování, konvertování a oběh a dlouhodobé uchovávání elektronických/digitálních záznamů; – identifikace a význam autorizace dokumentace v procesech vytváření záznamů. 3.10.2012
187
Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů
A.6 Názorné příklady konkrétních znalostí a dovedností auditorů pro management odolnosti, bezpečnosti, připravenosti a kontinuity Znalosti a dovednosti, specifické pro obor, a aplikace konkrétních metod, technik, procesů a postupů mají být dostačující k tomu, aby auditorovi umožňovaly prověřit systém managementu a vytvářet správná zjištění a závěry z auditu. Příklady jsou: – procesy, vědecké postupy a technologie podporující odolnost, bezpečnost, připravenost, odezvu, kontinuitu a řízení obnovy; – metody monitorování a shromažďování informací;– řízení rizik nežádoucích událostí (předvídání, vyhnutí se, prevence, ochrana, zmírňování, odezva a obnova po nežádoucí události); 3.10.2012
188
Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů
– posuzování rizik (identifikace a hodnocení aktiv a identifikace, analýza a hodnocení rizik) a analýzy dopadu (týkající se lidí, majetku a vlivu na životní prostředí); – ošetření rizik (adaptivní, proaktivní a reaktivní opatření); – metody a postupy pro integritu a citlivost informací; – metody personální bezpečnosti a ochrany osob; – metody a postupy ochrany aktiv a fyzické bezpečnosti; – metody a postupy prevence, odvrácení hrozby a management bezpečnosti; – metody a postupy zmírňování a odezvy na incidenty a managementu krizí; – metody a postupy týkající se managementu kontinuity, mimořádných událostí a zotavení; – metody a postupy monitorování, měření a podávání zpráv o výkonnosti (včetně metodik nácviku a testování). 3.10.2012
189
Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů
A.7 Názorné příklady konkrétních znalostí a dovedností auditorů pro management bezpečnosti informací Znalosti a dovednosti, specifické pro obor, a aplikace konkrétních metod, technik, procesů a postupů mají být dostačující k tomu, aby auditorovi umožňovaly prověřit systém managementu a vytvářet správná zjištění a závěry z auditu. Příklady jsou: – směrnice z norem, jako jsou ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27003, ISO/IEC 27004 a ISO/IEC 27005; – identifikace a hodnocení požadavků zákazníků a zainteresovaných stran; 3.10.2012
190
Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů
Příklady jsou: – zákony a předpisy týkající se bezpečnosti informací (např. duševní vlastnictví; obsah, ochrana a udržování záznamů organizace; ochrana dat a soukromí; regulace kryptografických nástrojů; opatření proti terorismu; elektronický obchod; elektronické a digitální podpisy; sledování pracovních míst; ergonomie pracovních míst; sledování telekomunikačních prostředků a monitorování dat (např. sledování e-mailů, zneužívání výpočetní techniky, shromažďování elektronických důkazů, testování průniku do systému atd.);
3.10.2012
191
Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů
– procesy, vědecké metody a technologie podporující management bezpečnosti informací; – posuzování rizik (identifikace, analýza a hodnocení) a trendy v technologiích, hrozbách a zranitelnosti; – management rizik bezpečnosti informací; – metody a postupy nástrojů řízení bezpečnosti informací (elektronických a fyzických); – metody a postupy týkající se integrity a citlivosti informací; – metody a postupy měření a hodnocení efektivnosti systémů managementu bezpečnosti informací a souvisejících nástrojů řízení; – metody a postupy měření, monitorování a zaznamenávání výkonnosti (včetně testování, auditů a přezkoumávání).
3.10.2012
192
Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů
A.8 Názorné příklady konkrétních znalostí a dovedností auditorů pro management bezpečnosti a ochrany zdraví při práci A.8.1 Obecné znalosti a dovednosti Znalosti a dovednosti, specifické pro obor, a aplikace konkrétních metod, technik, procesů a postupů mají být dostačující k tomu, aby auditorovi umožňovaly prověřit systém managementu a vytvářet správná zjištění a závěry z auditu.
3.10.2012
193
Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů
Příklady jsou: – identifikace nebezpečí, včetně dalších faktorů ovlivňujících výkonnost lidí na jejich pracovním místě (jako jsou fyzické, chemické a biologické faktory, stejně jako pohlaví, věk, postižení a další fyziologické, psychologické a zdravotní faktory); – posuzování rizik, určování způsobů řízení a komunikace o riziku [určení způsobu řízení má být založeno na „hierarchii způsobů řízení“ (viz OHSAS 18001:2007, 4.3.1)]; – hodnocení zdravotních a lidských faktorů (včetně fyziologických a psychologických faktorů) a principy jejich posuzování; 3.10.2012
194
Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů
– metody monitorování expozice a posuzování rizik bezpečnosti a ochrany zdraví při práci (včetně těch, která vyplývají z výše zmíněných lidských faktorů nebo která se týkají hygieny práce) a související strategie eliminace nebo minimalizace expozice rizikům; – lidské chování, vzájemná interakce lidí a interakce lidí a strojů, procesů a pracovního prostředí (včetně pracovního místa, principů ergonomie a bezpečného návrhu, informačních a komunikačních technologií); – hodnocení různých typů a úrovní požadavků na kompetence v oblasti ochrany a zdraví při práci napříč organizací a posuzování těchto kompetencí; 3.10.2012 zapojení a účasti zaměstnanců;
195
Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů
– metody podpory zdraví, blaha a osobní odpovědnosti zaměstnanců (ve vztahu ke kouření, drogám, alkoholu, problémům s nadváhou, cvičení, stresu, agresivního chování atd.) jak v pracovní době, tak v jejich soukromém životě; – vytváření, užití a hodnocení proaktivních a reaktivních měřítek a metrik výkonnosti; – principy a postupy identifikace potenciálních mimořádných událostí a havarijní plánování, prevence, odezva a obnova; – metody vyšetřování a hodnocení incidentů (včetně pracovních úrazů a nemocí z povolání); – určování a využití zdravotních informací (včetně dat monitorování nemocí a vystavení zdravotním faktorům v rámci práce) – při zvláštním zvážení důvěrnosti některých aspektů takových informací; 3.10.2012
196
Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů
– pochopení zdravotních informací (včetně zdravotnické terminologie dostatečné pro pochopení dat týkajících se prevence úrazů a nemocí); – hodnoty systému „expozičních limitů při práci“; – metody monitorování a podávání zpráv o výkonnosti bezpečnosti a ochrany zdraví při práci; – pochopení legislativních a dalších požadavků týkajících se bezpečnosti a ochrany zdraví při práci v míře dostatečné pro to, aby mohl auditor hodnotit systém managementu bezpečnosti a ochrany zdraví při práci.
3.10.2012
197
Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů
A.8.2 Znalosti a dovednosti týkající se auditovaného odvětví Znalosti a dovednosti, specifické pro obor, a aplikace konkrétních metod, technik, procesů a postupů mají být dostačující k tomu, aby auditorovi umožňovaly prověřit systém managementu a vytvářet správná zjištění a závěry z auditu.i a dovednosti týkající se auditovaného odvětví
3.10.2012
198
Příloha A Návod a názorné příklady znalostí a dovedností auditorů podle specifických oborů
Příklady jsou: – procesy, vybavení, suroviny, nebezpečné látky, procesní cykly, údržba, logistika, pracovní tok v organizaci, pracovní postupy, časový rozpis směn, kultura organizace, vedení a řízení lidí, chování a další záležitosti specifické pro provozní činnosti nebo odvětví; – typická nebezpečí a rizika odvětví, včetně zdravotních a lidských faktorů. POZNÁMKA Další informace viz související normy managementu bezpečnosti a ochrany zdraví při práci vytvářené projektovou skupinou OHSAS.
3.10.2012
199
Příloha B Další návod pro auditory k plánování a provádění auditů
B.1 Aplikace metod auditu K provedení auditu může být využívána řada metod. Vysvětlení běžně užívaných metod auditu lze nalézt v této příloze. Zvolené metody auditu budou záviset na stanovených cílech, předmětu a kritériích auditu i na jeho trvání a místě provedení. Mají být také zváženy dostupné kompetence auditora a všechny nejistoty plynoucí z aplikace metod auditu. Aplikace různých metod auditu a jejich kombinací může optimalizovat účinnost a efektivnost procesu auditu a jeho výstupu. 3.10.2012
200
Příloha B Další návod pro auditory k plánování a provádění auditů
Provádění auditu zahrnuje interakci jednotlivců s Auditovaným systémem managementu a technologií Využívanou v rámci auditu. Tabulka B.1 uvádí příklady metod auditu, které lze samostatně nebo v kombinaci využít k dosažení cílů auditu. Je-li v rámci auditu využíván tým auditorů s více členy, mohou být ve stejném okamžiku využity jak metody provádění auditu na místě, tak metody auditu prováděného na dálku. POZNÁMKA Další informace o návštěvách na místě viz kapitola B.6. 3.10.2012
201
3.10.2012
202
Příloha B Další návod pro auditory k plánování a provádění auditů
Odpovědnost za efektivní aplikaci metod auditu v rámci plánovací fáze jakéhokoli auditu zůstává na osobě řídící program auditů nebo na vedoucím týmu auditorů. Vedoucí týmu auditorů má odpovědnost za provádění činností při auditu. Proveditelnost činností při auditu prováděného na dálku závisí na úrovni důvěry mezi auditorem a pracovníky auditované organizace. Na úrovni programu auditů má být zajištěna vhodnost a vyváženost využití aplikace metod auditu na místě a metod auditu prováděného na dálku, aby bylo zajištěno uspokojivé dosažení cílů programu auditů. 3.10.2012
203
Příloha B Další návod pro auditory k plánování a provádění auditů
B.2 Přezkoumání dokumentů Auditor má zvažovat, zda: – informace v poskytnutých dokumentech jsou: – úplné (v dokumentech je veškerý očekávaný obsah); – správné (obsah je v souladu s dalšími důvěryhodnými zdroji, jako jsou normy a předpisy); – konzistentní (dokument je konzistentní sám o sobě, stejně jako s dalšími dokumenty); – aktuální (obsah je aktuální);
3.10.2012
204
Příloha B Další návod pro auditory k plánování a provádění auditů
– přezkoumávané dokumenty pokrývají předmět auditu a poskytují dostatečné informace pro podporu cílů auditu; – v závislosti na metodách auditu využití informačních a komunikačních technologií podporuje účinné provádění auditu: specifickou péči je třeba věnovat bezpečnosti informací z důvodu aplikace předpisů o ochraně dat (zejména u informací, které jsou mimo předmět auditu, ale jsou přesto obsaženy v dokumentech).
POZNÁMKA Přezkoumání dokumentů může naznačovat efektivnost řízení dokumentů v systému managementu auditované organizace.
3.10.2012
205
Příloha B Další návod pro auditory k plánování a provádění auditů
B.3 Vzorkování B.3.1 Obecně Vzorkování v rámci auditu probíhá v případech, kdy není praktické nebo nákladově efektivní zkoumat v průběhu auditu všechny informace, tj. záznamů je příliš mnoho nebo jsou umístěny na od sebe vzdálených místech, aby bylo možné odůvodnit zkoumání každé jednotky v celém souboru. Vzorkování v rámci auditu u velkých souborů je proces výběru méně než 100% jednotek z celkového dostupného souboru dat k získání a hodnocení důkazů o některých charakteristikách souboru, které umožní formulovat závěry týkající se celého souboru. 3.10.2012
206
Příloha B Další návod pro auditory k plánování a provádění auditů
Cílem vzorkování v rámci auditu je poskytnout auditorovi informace, které mu zaručí, že mohou být nebo budou dosaženy cíle auditu. Rizikem v souvislosti se vzorkováním je, že vzorek nebude reprezentativní vzhledem k celému souboru, ze kterého je vybírán. Tím mohou být narušeny závěry auditora, které se mohou lišit od závěrů, ke kterým by se došlo při zkoumání celého souboru. Mohou existovat i další rizika (např. stratifikace) v závislosti na variabilitě souboru, ze kterého budou odebírány vzorky, a zvolené metodě vzorkování. 3.10.2012
207
Příloha B Další návod pro auditory k plánování a provádění auditů
Vzorkování v rámci auditu zahrnuje následující kroky: – stanovení cílů plánu vzorkování; – výběr rozsahu a složení souboru, ze kterého budou odebírány vzorky; – výběr metody vzorkování; – určení rozsahu výběru; – provedení činností vzorkování; – kompilace, hodnocení, vytvoření zprávy a dokumentace výsledků.
3.10.2012
208
Příloha B Další návod pro auditory k plánování a provádění auditů
Při vzorkování má být zvážena kvalita dostupných údajů, protože vzorkování nedostatečného počtu údajů nebo vzorkování nepřesných údajů neposkytne užitečné výsledky. Volba vhodného vzorku má být založena na metodě vzorkování a druhu požadovaných údajů, např. odhad určitého vzoru chování nebo odhad závěrů o celém souboru. Podávání zpráv o vybraném vzorku může zahrnovat informace o velikosti vzorku, metodě výběru a odhady založené na vzorku a úrovni spolehlivosti. Audity mohou využívat vzorkování založené na úsudku auditora (viz B.3.2) nebo statistické vzorkování (viz B.3.3). 3.10.2012
209
Příloha B Další návod pro auditory k plánování a provádění auditů
B.3.2 Vzorkování založené na úsudku auditora Vzorkování založené na úsudku auditora závisí na znalostech a zkušenostech týmu auditorů (viz kapitola 7). U vzorkování založeného na úsudku auditora může být zváženo: – zkušenosti z předchozích auditů se stejným předmětem auditu; – složitost požadavků (včetně legislativních požadavků) na dosažení cílů auditu; – složitost a vzájemné vazby procesů organizace a prvků systému managementu; – úroveň změn v technologii, lidských faktorech nebo systému; – dříve identifikované hlavní rizikové oblasti a oblasti pro zlepšování; – výstupy z monitorování systémů managementu. Nedostatkem vzorkování založeného na úsudku auditora je, že neexistuje žádný statistický odhad vlivu nejistoty týkající se zjištění z auditu na dosažené závěry. 210 3.10.2012
Příloha B Další návod pro auditory k plánování a provádění auditů
B.3.3 Statistické vzorkování Pokud je rozhodnuto o využití statistického vzorkování, má být plán vzorkování založen na cílech auditu a na tom, co je známo o charakteristikách celého souboru, ze kterého má být vybírán vzorek. – Návrh statistického vzorkování využívá proces výběru vzorků založený na teorii pravděpodobnosti. Atributové vzorkování se využívá tam, kde existují pouze dvě varianty výsledku u každého vzorku (např. správný/špatný nebo vyhovující/nevyhovující). Vzorkování založené na proměnné je využíváno tam, kde výsledky u vzorků nabývají hodnot ze spojité množiny. – Plán vzorkování má brát v úvahu, zda zkoumané výsledky budou založeny na atributech nebo proměnných. Pokud je například hodnocena shoda vyplněných formulářů s požadavky stanovenými v postupu, může být využit přístup založený na atributech. Pokud je zkoumán výskyt incidentů v oblasti bezpečnosti potravin nebo počet narušení bezpečnosti, bude pravděpodobně vhodnější přístup založený na proměnných. 211 3.10.2012
Příloha B Další návod pro auditory k plánování a provádění auditů
– Hlavní prvky ovlivňující plán vzorkování auditu jsou: – velikost organizace; – počet kompetentních auditorů; – frekvence auditů v průběhu roku; – doba trvání jednotlivých auditů; – jakékoli externě požadované úrovně spolehlivosti. – Při vytváření plánu statistického vzorkování je důležitým faktorem úroveň rizika plynoucího ze vzorkování, kterou je auditor ochoten akceptovat. Této úrovni se obvykle říká přijatelná úroveň rizika. Například riziko vzorkování 5 % odpovídá přijatelné úrovni spolehlivosti 95 %. Riziko vzorkování 5 % znamená, že je auditor ochoten akceptovat riziko, že 5 ze 100 (nebo 1 z 20) zkoumaných vzorků nebude odrážet skutečné hodnoty, které by byly pozorovány v případě zkoumání celého souboru. 3.10.2012
212
Příloha B Další návod pro auditory k plánování a provádění auditů
– Při použití statistického vzorkování mají auditoři příslušně dokumentovat provedenou práci. Toto má zahrnovat popis souboru, ze kterého mají být odebrány vzorky, použitá kritéria vzorkování nebo kritéria hodnocení vzorku (tj. co je přijatelný vzorek), statistické parametry a použité metody, počet hodnocených vzorků a získané výsledky.
3.10.2012
213
Příloha B Další návod pro auditory k plánování a provádění auditů
B.4 Příprava pracovních dokumentů Při přípravě pracovních dokumentů má tým auditorů u každého dokumentu zvážit níže uvedené otázky. a) Které záznamy z auditu budou pomocí tohoto pracovního dokumentu vytvořeny? b) Které činnosti při auditu budou ovlivněny tímto pracovním dokumentem? c) Kdo bude uživatelem tohoto pracovního dokumentu d) Jaké informace jsou potřeba pro přípravu tohoto pracovního dokumentu?
3.10.2012
214
Příloha B Další návod pro auditory k plánování a provádění auditů
U kombinovaných auditů mají být pracovní dokumenty vytvořeny tak, aby bylo zabráněno duplicitě činností při auditu prostřednictvím:
– shromažďování stejných požadavků pro různá kritéria; – koordinace obsahu souvisejících kontrolních seznamů (checklistů) a dotazníků. Pracovní dokumenty mají být schopny pokrýt všechny součásti systému managementu spadající do předmětu auditu a mohou být poskytnuty na jakémkoli médiu.
3.10.2012
215
Příloha B Další návod pro auditory k plánování a provádění auditů
B.5 Výběr zdrojů informací Vybrané zdroje informací se mohou lišit v závislosti na předmětu a složitosti auditu a mohou zahrnovat: – rozhovory se zaměstnanci a dalšími osobami; – pozorování činností a okolního pracovního prostředí a pracovních podmínek; – dokumenty, jako jsou politiky, cíle, plány, postupy, normy, instrukce, licence a povolení, specifikace, výkresy, smlouvy a objednávky; – záznamy, jako jsou revizní zprávy, zápisy z jednání, zprávy z auditů, záznamy o monitorovacích programech a výsledky měření; – souhrny dat, analýzy a ukazatele výkonnosti; 3.10.2012
216
Příloha B Další návod pro auditory k plánování a provádění auditů
– informace o plánech vzorkování auditované organizace a o postupech řízení procesů vzorkování a měření; – zprávy z dalších zdrojů, např. zpětná vazba od zákazníka, externí průzkumy a měření, další relevantní informace od externích stran a o hodnocení dodavatele; – databáze a webové stránky; – simulace a modelování.
3.10.2012
217
Příloha B Další návod pro auditory k plánování a provádění auditů
B.6 Návod k návštěvám na místě auditované organizace Pro minimalizaci rušivých vlivů mezi činnostmi při auditu a pracovními procesy auditované organizace a pro zajištění bezpečnosti a ochrany zdraví při práci týmu auditorů v průběhu návštěvy, má být zváženo:
3.10.2012
218
Příloha B Další návod pro auditory k plánování a provádění auditů
a) plánování návštěvy: – zajištění přístupu k těm součástem místa auditované organizace, které mají být podle předmětu auditu navštíveny; – poskytnutí dostatku informací auditorům (např. prostřednictvím briefingu) o bezpečnosti, ochraně zdraví (např. karantény), záležitostech bezpečnosti a ochrany zdraví při práci, kulturních zvyklostech navštěvovaných míst včetně požadovaných a doporučených vakcinací a prohlášení; – pokud to přichází v úvahu, potvrzení od auditované organizace, že budou týmu auditorů k dispozici všechny požadované osobní ochranné pracovní prostředky (OOPP); – mimo neplánovaných ad-hoc auditů, zajištění, že bude navštěvovaný personál informován o cílech a předmětu auditu; 3.10.2012
219
Příloha B Další návod pro auditory k plánování a provádění auditů
b) činnosti na místě: – zabránění jakémukoli narušení provozních procesů, které není nezbytné; – zajištění, že tým auditorů správně používá OOPP; – zajištění sdělení havarijních postupů (např. únikové východy, body pro shromáždění osob při evakuaci); – naplánování komunikace tak, aby byla minimalizována jakákoli narušení; – přizpůsobení velikosti týmu auditorů a počtu průvodců a pozorovatelů v souladu s předmětem auditu tak, aby se co nejvíce zabránilo narušení provozních procesů; 3.10.2012
220
Příloha B Další návod pro auditory k plánování a provádění auditů
– zabránění dotyku nebo manipulaci s vybavením, pokud to není jasně povoleno, a to i v případech existence kompetencí nebo licencí; – vyskytne-li se v průběhu návštěvy na místě incident, má vedoucí týmu auditorů situaci spolu s auditovanou organizací a, je-li to nezbytné, i s klientem auditu přezkoumat a dosáhnout dohody o tom, zda má být audit přerušen, přeplánován nebo zda může pokračovat; – jsou-li pořizovány fotografické nebo filmové materiály, požádat vedení v předstihu o povolení a zvážit otázky bezpečnosti a důvěrnosti a vyvarovat se pořizování fotografií jednotlivců bez jejich svolení; – jsou-li pořizovány kopie dokumentů jakéhokoli druhu, požádat předem o povolení a zvážit záležitosti důvěrnosti a bezpečnosti; –3.10.2012 jsou-li pořizovány poznámky, musí se zabránit shromažďování 221 osobních informací, pokud to nevyžadují cíle nebo kritéria auditu.
Příloha B Další návod pro auditory k plánování a provádění auditů
B.7 Provádění rozhovorů Rozhovory jsou významným prostředkem shromažďování informací a mají být prováděny způsobem přizpůsobeným situaci a dotazované osobě, ať se jedná o osobní dotazování nebo dotazování prostřednictvím komunikačních prostředků. Auditor má mít na paměti, že:
3.10.2012
222
Příloha B Další návod pro auditory k plánování a provádění auditů
– rozhovory mají být prováděny s osobami na příslušných úrovních a ve funkcích, jež vykonávají činnosti a úkoly, které jsou předmětem auditu; – rozhovory mají být vedeny během pracovní doby a pokud možno přímo na pracovišti osoby, s níž je rozhovor veden; – má být vynaložena snaha, aby se osoba, s níž je veden rozhovor, cítila uvolněně jak před tak i během rozhovoru; – má být vysvětlen důvod rozhovoru a důvod činění poznámek;
3.10.2012
223
Příloha B Další návod pro auditory k plánování a provádění auditů
– rozhovor může být zahájen požádáním, aby dotazovaná osoba popsala svou práci; – pečlivý výběr typů použitých otázek (např. otevřené, uzavřené, návodné); – výsledky rozhovoru mají být spolu s dotazovaným shrnuty a přezkoumány; – dotazované osobě má být poděkováno za účast a spolupráci.
3.10.2012
224
Příloha B Další návod pro auditory k plánování a provádění auditů
B.8 Zjištění z auditu B.8.1 Stanovování zjištění z auditu Při stanovování zjištění z auditu má být zváženo: – opatření z předchozích záznamů z auditu a závěrů z auditu; – zjištění překračující běžné postupy, nebo příležitosti ke zlepšování; – velikost vzorku; – kategorizace zjištění z auditu (existují-li nějaká). 3.10.2012
225
Příloha B Další návod pro auditory k plánování a provádění auditů
B.8.2 Zaznamenávání shod U záznamů shody má být zváženo: – identifikace kritérií auditu, na základě kterých je prokazována shoda; – důkazy z auditu prokazující shodu; – pokud to přichází v úvahu, prohlášení o shodě.
3.10.2012
226
Příloha B Další návod pro auditory k plánování a provádění auditů
B.8.3 Zaznamenávání neshod U záznamů neshod má být zváženo: – popis nebo odkaz na kritéria auditu; – prohlášení o neshodě; – důkazy z auditu; – pokud to přichází v úvahu, související zjištění z auditu.
3.10.2012
227
Příloha B Další návod pro auditory k plánování a provádění auditů
B.8.4 Zjištění, která se týkají více kritérií V průběhu auditu je možné identifikovat zjištění, která se týkají více kritérií. Pokud v rámci kombinovaného auditu auditor identifikuje zjištění týkající se jednoho kritéria, má brát v úvahu možný dopad na související nebo stejná kritéria jiných systémů managementu.
3.10.2012
228
Příloha B Další návod pro auditory k plánování a provádění auditů
V závislosti na dohodě s klientem auditu může auditor vydat: – samostatné zjištění pro každé kritérium; nebo – jedno zjištění kombinující odkazy na různá kritéria. V závislosti na dohodě s klientem auditu může auditor auditovanou organizaci navést, jak reagovat na tato zjištění.
3.10.2012
229