PN-EN ISO 19011

Transkrypt

PN-EN ISO 19011

PKN – Licencja dla DQS Polska Sp.z o.o.
Data nagrania: 2012-12-03
Wersja jednostanowiskowa. Kopiowanie zabronione
POLSKA NORMA
ICS 03.120.10; 13.020.10
PN-EN ISO 19011
listopad 2012
Wprowadza
EN ISO 19011:2011, IDT
ISO 19011:2011, IDT
Zastępuje
PN-EN ISO 19011:2012
Wytyczne dotyczące auditowania
systemów zarządzania
Norma Europejska EN ISO 19011:2011 ma status Polskiej Normy
© Copyright by PKN, Warszawa 2012
nr ref. PN-EN ISO 19011:2012
Wszelkie prawa autorskie zastrzeżone. Żadna część niniejszej publikacji nie może być
zwielokrotniana jakąkolwiek techniką bez pisemnej zgody Prezesa Polskiego Komitetu
Normalizacyjnego
2
PN-EN ISO 19011:2012
Przedmowa krajowa
Niniejsza norma została opracowana przez KT nr 6 ds. Systemów Zarządzania i zatwierdzona przez Prezesa
PKN dnia 23 listopada 2012 r.
Jest tłumaczeniem – bez jakichkolwiek zmian – angielskiej wersji Normy Europejskiej EN ISO 19011:2011,
stanowiącej wprowadzenie – bez jakichkolwiek zmian – Normy Międzynarodowej ISO 19011:2011.
Niniejsza norma zastępuje PN-EN ISO 19011:2012.
W sprawach merytorycznych dotyczących treści normy można zwracać się do właściwego Komitetu Technicznego lub właściwej Rady Sektorowej PKN, kontakt: www.pkn.pl
EN ISO 19011
NORMA EUROPEJSKA
EUROPEAN STANDARD
NORME EUROPÉENNE
EUROPÄISCHE NORM
listopad 2011
ICS 03.120.10; 13.020.10
Zastępuje EN ISO 19011:2002
Wersja polska
Wytyczne dotyczące auditowania systemów zarządzania (ISO 19011:2011)
Guidelines for auditing management
systems
(ISO 19011:2011)
Lignes directrices pour l’audit des
systèmes de management
(ISO 19011:2011)
Leitfaden zur Auditierung von
Managementsystemen
(ISO 19011:2011)
Niniejsza norma jest polską wersją Normy Europejskiej EN ISO 19011:2011. Została ona przetłumaczona przez Polski
Komitet Normalizacyjny i ma ten sam status co wersje oficjalne.
Niniejsza Norma Europejska została przyjęta przez CEN 5 listopada 2011 r.
Zgodnie z Przepisami wewnętrznymi CEN/CENELEC członkowie CEN są zobowiązani do nadania Normie
Europejskiej statusu normy krajowej bez wprowadzania jakichkolwiek zmian. Aktualne wykazy norm krajowych,
łącznie z ich danymi bibliograficznymi, można otrzymać na zamówienie w Centrum Zarządzania CEN-CENELEC
lub w krajowych jednostkach normalizacyjnych będących członkami CEN.
Niniejsza Norma Europejska istnieje w trzech oficjalnych wersjach (angielskiej, francuskiej i niemieckiej). Wersja
w każdym innym języku, przetłumaczona na odpowiedzialność danego członka CEN na jego własny język
i notyfikowana w Centrum Zarządzania CEN-CENELEC, ma ten sam status co wersje oficjalne.
Członkami CEN są krajowe jednostki normalizacyjne następujących państw: Austrii, Belgii, Bułgarii, Chorwacji,
Cypru, Danii, Estonii, Finlandii, Francji, Grecji, Hiszpanii, Holandii, Irlandii, Islandii, Litwy, Luksemburga, Łotwy,
Malty, Niemiec, Norwegii, Polski, Portugalii, Republiki Czeskiej, Rumunii, Słowacji, Słowenii, Szwajcarii, Szwecji,
Węgier, Włoch i Zjednoczonego Królestwa.
CEN
Europejski Komitet Normalizacyjny
European Committee for Standardization
Comité Européen de Normalisation
Europäisches Komitee für Normung
Centrum Zarządzania: Avenue Marnix 17, B-1000 Brussels
© 2011 CEN
All rights of exploitation in any form and by any means
reserved worldwide for CEN national Members.
nr ref. EN ISO 19011:2011 E
EN ISO 19011:2011
Spis treści
Stronica
Przedmowa..................................................................................................................................................... 3
Wprowadzenie................................................................................................................................................ 4
1
Zakres normy........................................................................................................................................ 6
2
Powołania normatywne....................................................................................................................... 6
3
Terminy i definicje................................................................................................................................ 6
4
Zasady auditowania............................................................................................................................. 9
5
5.1
5.2
5.3
5.4
5.5
5.6
Zarządzanie programem auditów....................................................................................................... 10
Postanowienia ogólne......................................................................................................................... 10
Ustalanie celów programu auditów.................................................................................................... 11
Ustalanie programu auditów............................................................................................................... 12
Wdrażanie programu auditów............................................................................................................. 14
Monitorowanie programu auditów...................................................................................................... 18
Przegląd i doskonalenie programu auditów...................................................................................... 18
6
6.1
6.2
6.3
6.4
6.5
6.6
6.7
Przeprowadzanie auditu...................................................................................................................... 18
Inicjowanie auditu................................................................................................................................ 19
Przygotowanie działań auditowych.................................................................................................... 20
Przeprowadzanie działań auditowych................................................................................................ 22
Przygotowanie i rozpowszechnianie raportu z auditu...................................................................... 27
Zakończenie auditu.............................................................................................................................. 28
Przeprowadzenie działań poauditowych........................................................................................... 28
7
7.1
7.2
7.3
7.4
7.5
7.6
Kompetencje i ocena auditorów......................................................................................................... 28
Określenie kompetencji auditora niezbędnych do spełnienia potrzeb programu auditów.......... 29
Ustalenie kryteriów oceny auditora.................................................................................................... 33
Wybór odpowiedniej metody oceny auditora.................................................................................... 33
Dokonywanie oceny auditora............................................................................................................. 33
Utrzymywanie i doskonalenie kompetencji auditora........................................................................ 34
Załącznik A (informacyjny) Wytyczne i przykłady przedstawiające specyficzne dla danej dziedziny
wiedzę i umiejętności auditorów........................................................................................................ 35
Załącznik B (informacyjny) Dodatkowe wytyczne dla auditorów dotyczące planowania
i przeprowadzania auditów.................................................................................................................. 41
Bibliografia......................................................................................................................................................47
2
EN ISO 19011:2011
Przedmowa
Niniejszy dokument (EN ISO 19011:2011) został opracowany przez Komitet Techniczny ISO/TC 176 „Zarządzanie jakością i zapewnienie jakości”.
Niniejsza Norma Europejska powinna uzyskać status normy krajowej, przez opublikowanie identycznego tekstu lub uznanie, najpóźniej do maja 2012 r., a normy krajowe sprzeczne z daną normą powinny być wycofane
najpóźniej do maja 2012 r.
Zwraca się uwagę, że niektóre elementy niniejszego dokumentu mogą być przedmiotem praw patentowych.
CEN [i/lub CENELEC] nie będzie[-ą] ponosić odpowiedzialności za zidentyfikowanie jakichkolwiek ani wszystkich takich praw patentowych.
Niniejszy dokument zastępuje EN ISO 19011:2002.
Zgodnie z Przepisami Wewnętrznymi CEN/CENELEC do wprowadzenia niniejszej Normy Europejskiej są zobowiązane krajowe jednostki normalizacyjne następujących państw: Austrii, Belgii, Bułgarii, Chorwacji, Cypru,
Danii, Estonii, Finlandii, Francji, Grecji, Hiszpanii, Holandii, Irlandii, Islandii, Litwy, Luksemburga, Łotwy, Malty,
Niemiec, Norwegii, Portugalii, Polski, Republiki Czeskiej, Rumunii, Słowacji, Słowenii, Szwajcarii, Szwecji,
Węgier, Włoch i Zjednoczonego Królestwa.
Nota uznaniowa
Tekst ISO 19011:2011 został zatwierdzony przez CEN jako EN ISO 19011:2011 bez żadnych modyfikacji.
3
EN ISO 19011:2011
Wprowadzenie
Od pierwszego wydania niniejszej Normy Międzynarodowej w 2002 roku opublikowano szereg nowych norm
dotyczących systemów zarządzania. W efekcie zaistniała potrzeba zarówno rozważenia szerszego zakresu
auditowania systemu zarządzania, jak i dostarczenia bardziej ogólnych wytycznych.
W 2006 roku Komitet ISO ds. Oceny Zgodności (CASCO) opracował normę ISO/IEC 17021, częściowo opartą
na pierwszym wydaniu tej normy, zawierającą wymagania do certyfikacji systemów zarządzania przez stronę
trzecią.
Drugie wydanie ISO/EIC 17021, opublikowane w 2011 roku, zostało rozszerzone, aby przekształcić wcześniejsze
wytyczne, zawarte w tej Normie Międzynarodowej, w wymagania dla auditów certyfikujących systemów zarządzania. W tym kontekście, drugie wydanie niniejszej Normy Międzynarodowej zawiera wytyczne dla wszystkich użytkowników, łącznie z małymi i średnimi organizacjami oraz koncentruje się na auditach powszechnie
nazywanych „auditami wewnętrznymi” (audity strony pierwszej) oraz na „auditach przeprowadzanych przez
klientów u swoich dostawców” (audity strony drugiej). Jednakże zaangażowani w audity certyfikacyjne systemów
zarządzania stosując się do wymagań ISO/IEC 17021:2011, mogą także uznać za pomocne wytyczne podane
w niniejszej Normie Międzynarodowej.
Zależność między drugim wydaniem niniejszej Normy Międzynarodowej a ISO/IEC 17021:2011 przedstawiono
w Tablicy 1.
Tablica 1 – Zakres niniejszej Normy Międzynarodowej i powiązania z ISO/IEC 17021:2011
Auditowanie wewnętrzne
Czasem nazywane auditami
strony pierwszej
Auditowanie zewnętrzne
Audit dostawcy
Audit strony trzeciej
Dla celów prawnych, regulacyjnych
lub podobnych
Czasem nazywane auditami strony drugiej
Dla celów certyfikacji (patrz także
wymagania w ISO/IEC 17021:2011)
W niniejszej Normie Międzynarodowej nie zawarto wymagań, ale wytyczne dotyczące zarządzania programami
auditów, planowania i prowadzenia auditów systemów zarządzania, jak również dotyczące kompetencji i oceny
auditorów i zespołu auditującego.
Organizacje mogą wprowadzić więcej niż jeden system zarządzania. W celu lepszej czytelności niniejszej Normy
Międzynarodowej, preferowana jest liczba pojedyncza „system zarządzania”, ale czytelnik może dostosować
wprowadzenie wytycznych do własnych szczególnych sytuacji. To samo dotyczy użycia terminów „osoba”
i „ludzie”, jak i „auditor” oraz „auditorzy”.
Niniejsza Norma Międzynarodowa jest przeznaczona do stosowania przez szerokie gremium potencjalnych
użytkowników, w tym auditorów, organizacje wdrażające systemy zarządzania, organizacje potrzebujące
przeprowadzać audity systemów zarządzania z przyczyn wynikających z umów lub prawnych. Użytkownicy
niniejszej Normy Międzynarodowej mogą ponadto stosować zawarte w niej wytyczne do rozwijania własnych
wymagań związanych z auditowaniem.
Wytyczne podane w niniejszej Normie Międzynarodowej mogą także być wykorzystywane dla potrzeb wystawianych przez siebie deklaracji oraz mogą być przydatne dla organizacji zaangażowanych w szkolenia auditorów
lub certyfikację personelu.
Celem niniejszej Normy Międzynarodowej jest elastyczność przedstawionych w niej wytycznych. Jak wskazano w wielu punktach tekstu, stosowanie niniejszych wytycznych może być różne w zależności od wielkości,
poziomu dojrzałości systemu zarządzania organizacji oraz od charakteru i złożoności auditowanej organizacji,
jak również od celów i zakresu auditów, które będą przeprowadzone.
4
EN ISO 19011:2011
Niniejsza Norma Międzynarodowa wprowadza pojęcie ryzyka do auditowania systemów zarządzania. Przyjęte podejście odnosi się zarówno do ryzyka nieosiągnięcia celów procesu auditu, jak i potencjalnego ryzyka
zakłócania działań i procesów auditowanego. Nie podano specyficznych wytycznych dotyczących procesu zarządzania ryzykiem organizacji, ale uznaje się, że organizacje mogą ukierunkować audity na sprawy znaczące
dla systemu zarządzania.
W niniejszej Normie Międzynarodowej przyjęto podejście, że kiedy dwa lub więcej systemów zarządzania
różnych dziedzin są auditowane razem, określa się taki audit mianem „auditu połączonego”. Jeżeli systemy
zarządzania są zintegrowane w jeden system zarządzania, zasady i proces auditowania pozostają takie same
jak dla auditu połączonego.
W Rozdziale 3 podano kluczowe terminy i definicje stosowane w niniejszej Normie Międzynarodowej. Podjęto
wszelkie starania, aby definicje nie były sprzeczne z definicjami stosowanymi w innych normach.
W Rozdziale 4 opisano zasady, na których opiera się auditowanie. Zasady te pomagają użytkownikowi zrozumieć istotę auditowania i są ważne z punktu widzenia zrozumienia wytycznych zawartych w Rozdziałach 5 i 7.
W Rozdziale 5 podano wytyczne dotyczące ustalania i zarządzania programami auditów, ustalania celów programu auditów oraz koordynowania działań auditowych.
W Rozdziale 6 podano wytyczne dotyczące planowania i prowadzenia auditów systemu zarządzania.
W Rozdziale 7 podano wytyczne dotyczące kompetencji i oceny auditorów systemu zarządzania i zespołów
auditujących.
Załącznik A zawiera przykłady zastosowania wytycznych Rozdziału 7 dla różnych dziedzin.
W Załączniku B podano dodatkowe wytyczne dla auditorów dotyczące planowania i przeprowadzania auditów.
5
EN ISO 19011:2011
Wytyczne dotyczące auditowania systemów zarządzania
1 Zakres normy
W niniejszej Normie Międzynarodowej podano wytyczne dotyczące auditowania systemów zarządzania, łącznie
z zasadami auditowania, zarządzania programami auditów i prowadzenia auditów systemu zarządzania, jak
również wytyczne dotyczące oceny kompetencji osób zaangażowanych w proces auditu, w tym osoby zarządzającej programem auditów, auditorów i zespołów auditujących.
Norma ma zastosowanie do wszystkich organizacji, które mają potrzebę przeprowadzenia wewnętrznych lub
zewnętrznych auditów systemu zarządzania lub zarządzania programem auditów.
Stosowanie niniejszej Normy Międzynarodowej do innych rodzajów auditów jest możliwe, pod warunkiem
zwrócenia szczególnej uwagi na potrzebne specyficzne kompetencje.
2 Powołania normatywne
Nie zostały zamieszczone żadne powołania normatywne. Niniejszy rozdział został włączony w celu zachowania
numeracji rozdziałów identycznej jak w innych normach ISO dotyczących systemów zarządzania.
3 Terminy i definicje
Dla celów niniejszego dokumentu stosuje się terminy i definicje wymienione niżej.
3.1
audit
systematyczny, niezależny i udokumentowany proces uzyskiwania dowodów z auditu (3.3) oraz jego obiektywnej oceny w celu określenia stopnia spełnienia kryteriów auditu (3.2)
UWAGA 1 Audity wewnętrzne, nazywane czasami auditami strony pierwszej, są przeprowadzane przez samą organizację lub w jej imieniu dla potrzeb przeglądu zarządzania oraz do innych celów wewnętrznych (np. w celu potwierdzenia
skuteczności systemu zarządzania lub w celu uzyskania informacji dotyczących jego doskonalenia). Audity wewnętrzne
mogą stanowić dla organizacji podstawę do zadeklarowania przez nią zgodności. W wielu przypadkach, w szczególności
w małych organizacjach, niezależność może być wykazana przez brak odpowiedzialności za działania będące przedmiotem
auditu lub przez brak uprzedzeń i konfliktu interesów.
UWAGA 2 Audity zewnętrzne obejmują audity strony drugiej i audity strony trzeciej. Audity strony drugiej są przeprowadzane przez strony zainteresowane organizacją, takie jak klienci, lub przez inne osoby występujące w ich imieniu. Audity
strony trzeciej są przeprowadzane przez niezależne organizacje auditujące, takie jak instytucje regulacyjne lub jednostki
certyfikujące.
UWAGA 3 Jeżeli co najmniej dwa systemy zarządzania z różnych dziedzin (np. jakości, środowiska, bezpieczeństwa
i higieny pracy) są auditowane razem, to audit taki nazywa się auditem połączonym.
UWAGA 4 Jeżeli co najmniej dwie organizacje auditujące współpracują w celu przeprowadzenia auditu jednego auditowanego (3.7), to audit taki nazywa się auditem wspólnym.
UWAGA 5 Zaadaptowano z ISO 9000:2005, definicja 3.9.1.
3.2
kryteria auditu
zestaw polityk, procedur lub wymagań używanych jako odniesienie, do których porównuje się dowody z auditu (3.3)
UWAGA 2 Jeżeli kryteria auditu wynikają z przepisów prawnych (wraz z ustawowymi lub regulacyjnymi) często w ustaleniach z auditu (3.4) używa się terminu „zgodny” lub „niezgodny”.
6
EN ISO 19011:2011
3.3
dowód z auditu
zapisy, stwierdzenia faktu lub inne informacje, które są istotne ze względu na kryteria auditu (3.2) i możliwe
do zweryfikowania
UWAGA Dowód z auditu może być jakościowy lub ilościowy.
[ISO 9000:2005, definicja 3.9.4]
3.4
ustalenia z auditu
wyniki oceny zebranych dowodów z auditu (3.3) w stosunku do kryteriów auditu (3.2)
UWAGA 1 Ustalenia z auditu wskazują na zgodność albo niezgodność.
UWAGA 2 Ustalenia z auditu mogą prowadzić do zidentyfikowania możliwości doskonalenia lub zarejestrowania dobrych
praktyk.
UWAGA 3 Jeżeli kryteria auditu wynikają z wymagań prawnych lub innych, ustalenia z auditu określa się jako zgodność
lub niezgodność.
3.5
wniosek z auditu
wynik auditu (3.1), po rozważeniu celów auditu i wszystkich ustaleń z auditu (3.4)
UWAGA Zaadaptowano z ISO 9000:2005, definicja 3.9.6.
3.6
klient auditu
organizacja lub osoba zlecająca przeprowadzenie auditu (3.1)
UWAGA 1 W przypadku auditu wewnętrznego, klientem auditu może być auditowany (3.7) lub osoba zarządzająca programem auditów. Zlecenie auditu zewnętrznego może pochodzić z takich źródeł jak instytucje regulacyjne, strony umowy
lub potencjalni klienci.
3.7
auditowany
organizacja, która jest auditowana
[ISO 9000:2005, definicja 3.9.8]
3.8
auditor
osoba, która przeprowadza audit (3.1)
3.9
zespół auditujący
jeden lub więcej auditorów (3.8) przeprowadzających audit (3.1), wspieranych przez ekspertów technicznych
(3.10), jeżeli jest to wymagane
UWAGA 1 Jeden z auditorów zespołu auditującego jest wyznaczony jako auditor wiodący.
UWAGA 2 Do zespołu auditującego mogą być włączeni auditorzy szkolący się.
[ISO 9000:2005, definicja 3.9.10]
3.10
ekspert techniczny
osoba, która służy zespołowi auditującemu (3.9) specjalistyczną wiedzą lub umiejętnościami
7
EN ISO 19011:2011
UWAGA 1 Określona wiedza lub umiejętności specjalistyczne odnoszą się do organizacji, procesu lub działalności podlegających auditowaniu oraz do znajomości języka lub kultury.
UWAGA 2 Ekspert techniczny nie działa w zespole auditującym jako auditor (3.8).
[ISO 9000:2005, definicja 3.9.11]
3.11
obserwator
osoba, która towarzyszy zespołowi auditującemu (3.9), ale nie przeprowadza auditu
UWAGA 1 Obserwator nie jest częścią zespołu auditującego (3.9) i nie ma wpływu na audit (3.1) ani nie ingeruje w jego
przeprowadzanie.
UWAGA 2 Obserwator jako osoba obserwująca audit (3.1) może być przedstawicielem auditowanego (3.7), administracji
państwowej lub innej strony zainteresowanej.
3.12
przewodnik
osoba wyznaczona przez auditowanego (3.7) w celu asystowania zespołowi auditującemu (3.9)
3.13
program auditów
ustalony zestaw auditów (3.1), jednego lub większej ich liczby, zaplanowanych w określonych ramach czasowych i mających określony cel
UWAGA Zaadaptowano z ISO 9000:2005, definicja 3.9.2.
3.14
zakres auditu
obszar i granice auditu (3.1)
UWAGA Zakres auditu zwykle obejmuje opis fizycznych lokalizacji, jednostek organizacyjnych, działalności i procesów,
jak również ramy czasowe.
[ISO 9000:2005, definicja 3.9.13]
3.15
plan auditu
opis działań oraz ustaleń organizacyjnych związanych z auditem (3.1)
[ISO 9000:2005, definicja 3.9.12]
3.16
ryzyko
wpływ niepewności na cele
UWAGA Zaadoptowano z ISO Guide 73:2009, definicja 1.1.
3.17
kompetencje
zdolność stosowania wiedzy i umiejętności w celu osiągnięcia zamierzonych rezultatów
UWAGA Zdolność obejmuje stosowanie odpowiednich postaw i zachowań podczas procesu auditowania.
3.18
zgodność
spełnienie wymagania
[ISO 9000:2005, definicja 3.6.1]
8
EN ISO 19011:2011
3.19
niezgodność
niespełnienie wymagania
[ISO 9000:2005, definicja 3.6.2]
3.20
system zarządzania
system do ustanawiania polityki i celów oraz osiągania tych celów
UWAGA System zarządzania organizacją może obejmować różne systemy zarządzania, takie jak system zarządzania
jakością, system zarządzania finansami lub system zarządzania środowiskowego.
[ISO 9000:2005, definicja 3.2.2]
4 Zasady auditowania
Auditowanie charakteryzowane jest na podstawie kilka zasad. Dzięki nim, audit staje się skutecznym i wiarygodnym narzędziem wspierającym politykę i nadzór kierownictwa dostarczając informacji, na podstawie których
organizacja może doskonalić swoją działalność. Przestrzeganie tych zasad jest warunkiem koniecznym do
zapewnienia, że wnioski z auditu są właściwe i wystarczające oraz do umożliwienia auditorom, pracującym
niezależnie od siebie, dochodzenia do podobnych wniosków w podobnych okolicznościach.
Wytyczne zawarte w Rozdziałach 5 do 7 są oparte na poniższych sześciu zasadach.
a) Rzetelność: podstawa profesjonalizmu
Zaleca się, aby auditorzy oraz osoba zarządzająca programem auditów:
– wykonywali swoją pracę uczciwie, sumiennie i odpowiedzialnie;
– stosowali się do wszystkich mających zastosowanie wymagań prawnych;
– wykazywali się kompetencją podczas wykonywania swojej pracy;
– wykonywali swoją pracę w sposób bezstronny, tj. byli uczciwi i działali bez uprzedzeń;
– byli wyczuleni na wszelkie wpływy, które mogą oddziaływać na dokonywane oceny podczas przeprowadzania auditu.
b) Uczciwe przedstawianie wyników: obowiązek przedstawiania spraw dokładnie i zgodnie z prawdą
Zaleca się, aby ustalenia z auditu, wnioski z auditu oraz raporty z auditu odzwierciedlały działania auditowe
dokładnie i zgodnie z prawdą. Zaleca się odnotowywanie w raporcie znaczących przeszkód napotkanych
podczas auditu oraz nierozstrzygniętych lub rozbieżnych opinii pomiędzy zespołem auditującym a auditowanym. Zaleca się, aby komunikacja była zgodna z prawdą, dokładna, obiektywna, na czas, zrozumiała
i pełna.
c) Należyta staranność zawodowa: pracowitość i rozsądek w auditowaniu
Zaleca się, aby auditorzy wykazywali się starannością odpowiednią do ważności zadań, jakie wykonują,
oraz do zaufania, jakie mają do nich klienci auditu i inne strony zainteresowane. Ważnym czynnikiem
w wykonywaniu ich pracy z należytą starannością zawodową jest zdolność do racjonalnego osądzania we
wszystkich sytuacjach auditowych.
d) Poufność: bezpieczeństwo informacji
Zaleca się, aby auditorzy wykazywali się dyskrecją w użyciu i ochronie informacji, do których mają dostęp
w wyniku wykonywania swoich obowiązków. Zaleca się, aby informacje auditowe nie były wykorzystywane
dla osobistych korzyści auditora, klienta auditu czy też w sposób szkodliwy dla uzasadnionych interesów
auditowanego. Zasada ta obejmuje poprawne obchodzenie się z wrażliwymi i poufnymi informacjami.
9
EN ISO 19011:2011
e) Niezależność: podstawa bezstronności auditu oraz obiektywności wniosków z auditu
Zaleca się, aby auditorzy byli niezależni od działań poddanych auditowi, gdy tylko jest to możliwe oraz, aby
we wszystkich przypadkach działali w sposób wolny od uprzedzeń i konfliktu interesów. W przypadku auditów
wewnętrznych, zaleca się, aby auditorzy byli niezależni od kierowników operacyjnych odpowiedzialnych za
auditowany obszar. Zaleca się, aby auditorzy zachowywali obiektywizm podczas całego procesu auditu,
aby zapewnić, że ustalenia i wnioski z auditu będą oparte wyłącznie na dowodach z auditu.
W przypadku małych organizacji, może nie być możliwe zachowanie przez auditorów wewnętrznych pełnej
niezależności od auditowanych działań, jednakże zaleca się podjęcie wszelkich starań, aby wyeliminować
stronniczość oraz zachęcić do obiektywności.
f) Podejście oparte na dowodach: racjonalna metoda uzyskiwania wiarygodnych i odtwarzalnych wniosków
z auditu w systematycznym procesie auditu
Zaleca się, aby dowód z auditu był weryfikowalny. Z reguły audit opiera się na próbkach dostępnych informacji
oraz prowadzony jest w ograniczonym czasie z użyciem ograniczonych zasobów. Zaleca się odpowiedni
dobór próbki, ponieważ jest to ściśle związane z zaufaniem, jakie można mieć do wniosków z auditu.
5 Zarządzanie programem auditów
5.1 Postanowienia ogólne
Zaleca się, aby organizacja, która potrzebuje przeprowadzać audity, ustaliła program auditów, który przyczynia
się do określenia skuteczności systemu zarządzania auditowanego. Program auditów może uwzględniać audity
jednego lub więcej systemów zarządzania, przeprowadzanych oddzielnie lub jako połączone.
Zaleca się, aby najwyższe kierownictwo zapewniło, że cele programu auditów są ustalone i wyznaczyło jedną
lub więcej kompetentnych osób do zarządzania programem auditów. Zaleca się, aby zakres programu auditów
był dostosowany do wielkości i charakteru auditowanej organizacji, jak i również do charakteru, funkcjonalności,
złożoności i poziomu dojrzałości auditowanego systemu zarządzania. Przydzielając zasoby programu auditów,
zaleca się przypisywanie wyższego priorytetu tym obszarom, które mają szczególne znaczenie dla danego
systemu zarządzania. Mogą to być kluczowe właściwości jakościowe wyrobu lub zagrożenia dotyczące zdrowia
i bezpieczeństwa lub znaczące aspekty środowiskowe i ich nadzorowanie.
UWAGA Koncepcja ta jest powszechnie znana jako auditowanie oparte na ryzyku. Niniejsza Norma Międzynarodowa
nie podaje dalszych wytycznych na temat tej koncepcji.
Zaleca się, aby program auditów zawierał informacje dotyczące zasobów niezbędnych do zorganizowania
i przeprowadzenia auditów skutecznie i efektywnie w określonym ramach czasowych, a także, aby obejmował:
– cele programu auditów jak i poszczególnych auditów;
– zakres/liczbę/rodzaje/czas trwania/lokalizację/harmonogram auditów;
– procedury programu auditów;
– kryteria auditu;
– metody auditu;
– wyznaczenie zespołów auditujących;
– niezbędne zasoby, w tym dotyczące podróży i zakwaterowania;
– procesy dotyczące postępowania z poufnością, bezpieczeństwa informacji, zdrowia i bezpieczeństwa oraz
innych podobnych spraw.
Zaleca się monitorowanie i ocenianie wdrożenia programu auditów w celu zapewnienia, że jego cele zostały osiągnięte. Zaleca się dokonywanie przeglądów programu auditów w celu zidentyfikowania możliwych doskonaleń.
Na Rysunku 1 przedstawiono przebieg procesu zarządzania programem auditów.
10
EN ISO 19011:2011
UWAGA 1 Niniejszy rysunek ilustruje zastosowanie w niniejszej Normie Międzynarodowej cyklu Planuj – Wykonaj –
Sprawdź – Działaj.
UWAGA 2 Numeracja rozdziałów/podrozdziałów odnosi się do odpowiednich rozdziałów/podrozdziałów niniejszej Normy
Międzynarodowej.
Rysunek 1 – Ilustracja przebiegu procesu zarządzania programem auditów
5.2 Ustalanie celów programu auditów
Zaleca się, aby najwyższe kierownictwo zapewniło ustalenie celów programu auditów, które ukierunkują planowanie i prowadzenie auditów, oraz zapewniło skuteczne wdrożenie programu auditów. Zaleca się, aby cele
programu auditów wspierały politykę i cele systemu zarządzania i aby były z nimi spójne.
Cele te mogą wynikać z rozważenia:
a) priorytetów kierownictwa;
b) handlowych i innych biznesowych zamierzeń;
11
EN ISO 19011:2011
c) właściwości procesów, wyrobów i projektów oraz wszelkich ich zmian;
d) wymagań systemu zarządzania;
e) wymagań prawnych i wynikających z umów oraz innych wymagań, do których organizacja się zobowiązała;
f) potrzeby oceny dostawców;
g) potrzeb i oczekiwań stron zainteresowanych, łącznie z klientami;
h) poziomu osiągnięć auditowanego, odzwierciedlonego w występowaniu błędów, incydentów lub reklamacji
klientów;
i) ryzyk dla auditowanego;
j) wyników poprzednich auditów;
k) poziomu dojrzałości auditowanego systemu zarządzania.
Przykłady celów programu auditów obejmują:
– wspieranie doskonalenia systemu zarządzania i jego funkcjonowania;
– spełnienie zewnętrznych wymagań np. certyfikacji zgodnie z normą systemu zarządzania;
– weryfikację zgodności z wymaganiami wynikającymi z umów;
– uzyskanie i utrzymanie zaufania do zdolności dostawcy;
– ocenę skuteczności systemu zarządzania;
– ocenę kompatybilności i spójności celów systemu zarządzania z polityką systemu zarządzania i ogólnymi
celami organizacji.
5.3 Ustalanie programu auditów
5.3.1 Rola i odpowiedzialność osoby zarządzającej programem auditów
Zaleca się, aby osoba zarządzająca programem auditów:
– ustaliła zakres programu auditów;
– zidentyfikowała i oszacowała ryzyka związane z programem auditów;
– określiła odpowiedzialności związane z auditem;
– ustaliła procedury dla programu auditów;
– określiła niezbędne zasoby;
– zapewniła wdrożenie programu auditów, łącznie z określeniem celów, zakresu i kryteriów poszczególnych
auditów, określiła metody auditu i wyznaczyła zespół auditujący oraz oceniła auditorów;
– zapewniła, że właściwe zapisy dotyczące programu auditów są zarządzane i utrzymywane;
– monitorowała, przeglądała i doskonaliła program auditów.
Zaleca się, aby osoba zarządzająca programem auditów informowała najwyższe kierownictwo o treści programu
auditów i jeżeli to koniecznie, także wymagała jego akceptacji.
5.3.2 Kompetencje osoby zarządzającej programem auditów
Zaleca się, aby osoba zarządzająca programem auditów posiadała niezbędne kompetencje do skutecznego
i efektywnego zarządzania programem i związanymi z nim ryzykami, jak i również wiedzę i umiejętności z następujących obszarów:
12
EN ISO 19011:2011
– zasady, procedury i metody auditu;
– normy systemu zarządzania i dokumenty odniesienia;
– działania, wyroby i procesy auditowanego;
– mające zastosowanie wymagania prawne i inne, dotyczące działań i wyrobów auditowanego;
– klienci, dostawcy i inne strony zainteresowane, jeśli ma to zastosowanie.
Zaleca się, aby osoba zarządzająca programem auditów dbała o ciągły rozwój zawodowy, aby utrzymywać
niezbędną wiedzę i umiejętności do zarządzania programem auditów.
5.3.3 Ustalanie zakresu programu auditów
Zaleca się, aby osoba zarządzająca programem auditów określiła zakres programu auditów, który może być
różny w zależności od wielkości i charakteru auditowanego, jak również od charakteru, funkcjonalności, złożoności i poziomu dojrzałości, oraz znaczących kwestii dotyczących auditowanego systemu zarządzania.
UWAGA W pewnych przypadkach, zależnie od struktury auditowanego lub jego działalności, program auditów może się
składać tylko z jednego auditu (np. mały projekt działalności).
Inne czynniki wpływające na zakres programu auditów obejmują:
– cel, zakres i czas trwania każdego auditu, oraz liczbę auditów, które mają być przeprowadzone, łącznie
z działaniami poauditowymi, jeżeli ma to zastosowanie;
– liczbę, ważność, złożoność, podobieństwa oraz lokalizacje działań, które mają być auditowane;
– te czynniki, które wpływają na skuteczność systemu zarządzania;
– mające zastosowanie kryteria auditu, takie jak zaplanowane ustalenia dla danych norm zarządzania, wymagania prawne i wynikające z umów oraz inne wymagania, do których organizacja jest zobowiązana;
– wnioski z poprzednich auditów wewnętrznych lub zewnętrznych;
– wyniki poprzedniego przeglądu programu auditów;
– język, kwestie kulturowe i społeczne;
– uwagi stron zainteresowanych, takie jak reklamacje klientów lub niezgodności z wymaganiami prawnymi;
– znaczące zmiany auditowanego lub jego działań;
– dostępność informacji i technik komunikacyjnych wspierających działania auditowe, w szczególności stosowanie zdalnych metod auditu (patrz Rozdział B.1);
– występowanie wewnętrznych i zewnętrznych zdarzeń, takich jak defekty wyrobów, wycieki informacji, incydenty dotyczące zdrowia i bezpieczeństwa, akty przestępstwa lub incydenty środowiskowe.
5.3.4 Identyfikowanie i oszacowanie ryzyk związanych z programem auditów
Występuje wiele różnych ryzyk związanych z ustalaniem, wdrażaniem, monitorowaniem, przeglądem i doskonaleniem programu auditów, które mogą mieć wpływ na osiągnięcie jego celów. Zaleca się, aby osoba
zarządzająca programem brała te ryzyka pod uwagę przy jego opracowywaniu. Ryzyka mogą być związane z:
– planowaniem, np. błąd w wyznaczeniu istotnych celów auditu i określeniu zakresu programu auditów;
– zasobami, np. przeznaczenie niewystarczającego czasu na przygotowanie programu auditów lub przeprowadzenie auditu;
– wyborem zespołu auditującego, np. zespół łącznie nie ma kompetencji, aby przeprowadzić audit skutecznie;
– wdrożeniem, np. nieskuteczna komunikacja związana z programem auditów;
13
EN ISO 19011:2011
– zapisami i ich nadzorowaniem, np. uchybienia w odpowiedniej ochronie zapisów z auditu w celu wykazania
skuteczności programu auditów;
– monitorowaniem, przeglądem i doskonaleniem programu auditów, np. nieskuteczne monitorowanie wyników
programu auditów.
5.3.5 Ustalanie procedur dla programu auditów
Zaleca się, jeśli ma to zastosowanie, aby osoba zarządzająca programem auditów ustaliła jedną lub więcej
procedur, obejmujących:
– planowanie i ustalanie terminów auditów z uwzględnieniem ryzyka programu auditów;
– zapewnienie bezpieczeństwa informacji i poufności;
– zapewnienie kompetencji auditorów i auditorów wiodących;
– dobór odpowiednich zespołów auditujących i przydzielenie ról i odpowiedzialności;
– przeprowadzenia auditów, łącznie ze stosowaniem właściwych metod pobierania próbek;
– przeprowadzanie działań poauditowych, jeśli ma to zastosowanie;
– składanie najwyższemu kierownictwu raportów o ogólnych wynikach programu auditów;
– utrzymywanie zapisów dotyczących programu auditów;
– monitorowanie i przegląd działalności i ryzyk oraz doskonalenie skuteczności programu auditów.
5.3.6 Identyfikowanie zasobów dla programu auditów
Podczas identyfikowania zasobów dla programu auditów, zaleca się, aby osoba zarządzająca programem
auditów uwzględniała:
– zasoby finansowe niezbędne do opracowania, wdrożenia, zarządzania i doskonalenia działań auditowych;
– metody auditu;
– dostępność auditorów i ekspertów technicznych mających odpowiednie kompetencje do poszczególnych
celów programu auditów;
– zakres programu auditu i jego ryzyk;
– czas i koszt podróży, zakwaterowania i innych potrzeb związanych z auditowaniem;
– dostępność technologii informacyjnych i komunikacyjnych.
5.4 Wdrażanie programu auditów
5.4.1 Postanowienia ogólne
Zaleca się, aby osoba zarządzająca programem auditów wdrożyła program auditów poprzez:
– informowanie odpowiednich stron o istotnych obszarach programu auditów oraz okresowo na temat postępów w jego realizacji;
– określenie celów, zakresu i kryteriów każdego danego auditu;
– koordynowanie i ustalanie terminów auditów oraz innych działań związanych z programem auditów;
– zapewnienie doboru zespołów auditujących uwzględniającego niezbędne kompetencje;
– zapewnienie zespołom auditującym wymaganych zasobów;
– zapewnienie prowadzenia auditów zgodnie z programem auditów oraz w określonych ramach czasowych;
– zapewnienie, że działania auditowe są dokumentowane i że zapisy są właściwie zarządzane i utrzymywane.
14
EN ISO 19011:2011
5.4.2 Określenie celów, zakresu i kryteriów dla danego auditu
Zaleca się, aby poszczególne audity były oparte na udokumentowanych celach, zakresie i kryteriach. Zaleca
się, aby powyższe były określone przez osobę zarządzającą programem auditów i spójne z ogólnymi celami
programu auditów.
Cele auditu określają, co należy osiągnąć w następstwie auditu, i mogą obejmować:
– określenie zakresu zgodności auditowanego systemu zarządzania, lub jego części, z kryteriami auditu;
– określenie zakresu zgodności działań, procesów i wyrobów z wymaganiami i procedurami systemu zarządzania;
– ocenę zdolności systemu zarządzania do zapewnienia zgodności z wymaganiami prawnymi i wynikającymi
z umów, a także innymi wymaganiami, do których organizacja jest zobowiązana;
– ocenę skuteczności systemu zarządzania w osiąganiu określonych celów;
– identyfikację obszarów potencjalnego doskonalenia systemu zarządzania.
Zaleca się, aby zakres auditu był spójny z programem auditów i celami auditu. Obejmuje on takie czynniki
jak fizyczne lokalizacje, jednostki organizacyjne, działania i procesy, które mają być auditowane, oraz ramy
czasowe auditów.
Kryteria auditu są stosowane jako odniesienie, w stosunku do którego określana jest zgodność, i mogą obejmować mające zastosowanie polityki, procedury, normy, wymagania prawne, wymagania systemu zarządzania,
wymagania wynikające z umów lub kodeksy postępowania w danym sektorze lub inne zaplanowane ustalenia.
W przypadku zmian w celach, zakresie lub kryteriach auditu, zaleca się, aby jeżeli jest to potrzebne, program
auditów został zmodyfikowany.
Jeżeli dwa lub więcej systemów zarządzania różnych dziedzin są auditowane razem (audit połączony), ważne
jest, aby cele, zakres i kryteria auditu były spójne z celami odpowiednich programów auditów.
5.4.3 Wybór metod auditu
Zaleca się, aby osoba zarządzająca programem auditów wybrała i określiła metody skutecznego przeprowadzenia auditu, zależnie od wcześniej określonych celów, zakresu i kryteriów auditu.
UWAGA
Wytyczne, jak określać metody auditu opisano w Załączniku B.
Jeżeli dwie lub więcej organizacji auditujących przeprowadzają wspólny audit jednego auditowanego, zaleca
się, aby osoby zarządzające różnymi programami auditów uzgodniły metodę auditu i rozważyły jej wpływ na
zasoby i planowanie auditu. Jeżeli auditowany posiada dwa lub więcej systemów zarządzania w różnych dziedzinach, audity połączone mogą być włączone do programu auditów.
5.4.4 Wybór członków zespołu auditującego
Zaleca się, aby osoba zarządzająca programem auditów wyznaczyła członków zespołu auditującego, łącznie
z auditorem wiodącym, jak i wszystkich ekspertów technicznych potrzebnych do przeprowadzenia danego auditu.
Zaleca się wyznaczenie zespołu auditującego biorąc pod uwagę kompetencje potrzebne do osiągnięcia celów
danego auditu w ramach określonego zakresu. Jeżeli jest tylko jeden auditor, zaleca się, aby wykonywał on
wszystkie mające zastosowanie obowiązki auditora wiodącego.
UWAGA Rozdział 7 zawiera wytyczne dotyczące określania kompetencji wymaganych od członków zespołu auditującego
i opis procesu oceny auditorów.
Podejmując decyzję dotyczącą wielkości i składu zespołu na poszczególny audit, zaleca się wzięcie pod uwagę:
a) łącznych kompetencji zespołu auditującego, niezbędnych do osiągnięcia celów auditu biorąc pod uwagę
zakres i kryteria auditu;
15
EN ISO 19011:2011
b) złożoności auditu oraz kwestii, czy audit jest auditem połączonym czy wspólnym;
c) wybranych metod auditu;
d) wymagań prawnych i wynikających z umów oraz innych wymagań, do których organizacja jest zobowiązana;
e) potrzeby zapewnienia niezależności członków zespołu auditującego wobec działań, które mają być auditowane oraz w celu uniknięcia konfliktu interesów [patrz Rozdziale 4, zasada e)];
f) zdolności członków zespołu auditującego do wspólnej pracy oraz do skutecznego współdziałania z auditowanym;
g) języka auditu oraz społecznych i kulturowych uwarunkowań auditowanego. Zagadnienia te mogą być rozwiązane poprzez własne umiejętności auditora, albo poprzez wsparcie ze strony eksperta technicznego.
W celu zapewnienia łącznych kompetencji zespołu auditującego, zaleca się wykonanie następujących kroków:
– identyfikacja wiedzy i umiejętności potrzebnych do osiągnięcia celów auditu;
– taki dobór członków zespołu auditującego, aby zespół ten miał pełną konieczną wiedzę i umiejętności.
Jeżeli auditorzy zespołu auditującego nie mają wszystkich niezbędnych kompetencji, mogą one być uzupełnione
przez włączenie do zespołu ekspertów technicznych. Zaleca się, aby eksperci techniczni działali pod kierunkiem
auditora, ale nie działali jak auditorzy.
Auditorzy szkolący się mogą być włączeni do zespołu auditującego, ale zaleca się, aby brali udział w audicie
pod kierunkiem i według wytycznych auditora.
Korekta wielkości i składu zespołu auditującego może być konieczna podczas auditu, tj., jeżeli powstanie
konflikt interesów lub pojawią się kwestie dotyczące kompetencji. Jeżeli taka sytuacja powstanie, zaleca się
przedyskutowanie jej z właściwymi stronami (np. auditorem wiodącym, osobą zarządzającą programem auditów,
klientem auditu lub auditowanym) przed dokonaniem jakichkolwiek zmian.
5.4.5 Przydzielanie odpowiedzialności za dany audit auditorowi wiodącemu
Zaleca się, aby osoba zarządzająca programem auditów przydzieliła odpowiedzialność auditorowi wiodącemu
za przeprowadzenie danego auditu.
Zaleca się, aby miało to miejsce wystarczająco wcześniej przed wyznaczoną datą auditu, w celu zapewnienia
skutecznego zaplanowania auditu.
W celu zapewnienia skutecznego przeprowadzenia poszczególnych auditów, zaleca się, aby auditor wiodący
otrzymał następujące informacje:
a) cele auditu;
b) kryteria auditu i wszelkie dokumenty odniesienia;
c) zakres auditu, łącznie z identyfikacją jednostek organizacyjnych i funkcjonalnych oraz procesów podlegających auditowaniu;
d) metody i procedury auditu;
e) skład zespołu auditującego;
f) dane kontaktowe do auditowanego, lokalizację, daty i czas trwania działań auditowych;
g) przydzielenie odpowiednich zasobów w celu przeprowadzenia auditu;
h) informacje potrzebne do oceny i uwzględnienia zidentyfikowanych ryzyk dotyczących osiągnięcia celów auditu.
Jeżeli jest to właściwie, zaleca się, aby przekazywane informacje dotyczyły także:
– języka, w którym prowadzony będzie audit oraz sporządzony raport, jeżeli jest on różny od języka auditora
lub auditowanego, lub od obu tych języków;
16
EN ISO 19011:2011
– zawartości raportu z auditu i jego dystrybucji zgodnie z programem auditów;
– kwestii związanych z poufnością i bezpieczeństwem informacji, jeżeli wymagane jest to przez program
auditów;
– wszelkich wymagań dla auditorów dotyczących zdrowia i bezpieczeństwa;
– wszelkich wymagań dotyczących zabezpieczeń i upoważnień;
– wszelkich działań poauditowych, np. z poprzedniego auditu, jeżeli ma to zastosowanie;
– koordynacji z innymi działaniami auditowymi, w przypadku auditu wspólnego.
Gdy prowadzony jest audit wspólny, ważne jest, aby przed rozpoczęciem auditu organizacje auditujące osiągnęły
porozumienie co do odpowiedzialności każdej strony, w szczególności w odniesieniu do uprawnień auditora
wiodącego wyznaczonego do auditu.
5.4.6 Zarządzanie wynikami programu auditów
Zaleca się, aby osoba zarządzająca programem auditów zapewniła wykonanie następujących działań:
– przegląd i zatwierdzenie raportów z auditu, łącznie z oceną przydatności i adekwatności ustaleń z auditu;
– przegląd analizy źródłowych przyczyn oraz skuteczności działań korygujących i zapobiegawczych;
– dystrybucja raportów z auditu do najwyższego kierownictwa i innych odpowiednich stron;
– określenie konieczności podjęcia działań poauditowych.
5.4.7 Zarządzanie i utrzymywanie zapisów dotyczących programu auditów
Zaleca się, aby osoba zarządzająca programem auditów zapewniała tworzenie, zarządzanie i utrzymywanie
zapisów z auditu w celu wykazania wdrożenia programu auditów. Zaleca się ustanowienie procesów w celu
zapewnienia poufności zapisów z auditu.
Zaleca się, aby zapisy obejmowały:
a) zapisy dotyczące programu auditów, takie jak:
– udokumentowane cele i zakres programu auditów;
– odnoszące się do ryzyk dotyczących programu auditów;
– przeglądy skuteczności programu auditów;
b) zapisy z poszczególnych auditów, takie jak:
– plany auditu i raporty z auditu;
– raporty niezgodności;
– raporty z działań korygujących i zapobiegawczych;
– raporty z działań poauditowych, jeżeli ma to zastosowanie;
c) zapisy dotyczące personelu auditującego obejmujące zagadnienia, takie jak:
– ocenę kompetencji i działań członków zespołu auditującego;
– dobór zespołów auditujących i ich członków;
– utrzymywanie i doskonalenie kompetencji.
Zaleca się, aby forma i poziom szczegółowości zapisów odzwierciedlały osiągnięcie celów programu auditów.
17
EN ISO 19011:2011
5.5 Monitorowanie programu auditów
Zaleca się, aby osoba zarządzająca programem auditów monitorowała jego wdrożenie, uwzględniając potrzebę:
a) oceny zgodności z programami auditów, harmonogramami i celami auditu;
b) oceny pracy członków zespołu auditującego;
c) oceny zdolności zespołów auditujących do wdrożenia planu auditu;
d) oceny informacji zwrotnej od najwyższego kierownictwa, auditowanych, auditorów i innych stron zainteresowanych.
Niektóre czynniki mogą determinować potrzebę modyfikacji programu auditów, przykładowo:
– ustalenia z auditu;
– wykazany poziom skuteczności systemu zarządzania;
– zmiany w systemie zarządzania klienta lub auditowanego;
– zmiany w normach, wymaganiach prawnych lub wynikających z umów oraz innych, do których organizacja
jest zobowiązana;
– zmiany dostawcy.
5.6 Przegląd i doskonalenie programu auditów
Zaleca się, aby osoba zarządzająca programem auditów dokonywała przeglądów programu auditów w celu
oceny czy jego cele zostały osiągnięte. Zaleca się, aby wnioski wyniesione z przeglądu programu auditów były
wykorzystywane jako dane wejściowe do procesu ciągłego doskonalenia programu.
Zaleca się, aby przegląd programu auditów zawierał:
a) wyniki i trendy z monitorowania programu;
b) zgodność z procedurami programu auditów;
c) zmieniające się potrzeby i oczekiwania stron zainteresowanych;
d) zapisy dotyczące programu auditów;
e) alternatywne lub nowe praktyki auditowania;
f) skuteczność środków odnoszących się do ryzyk związanych z programem auditów;
g) kwestie poufności i bezpieczeństwa informacji związanych z programem auditów.
Zaleca się, aby osoba zarządzająca programem auditów dokonywała ogólnego przeglądu wdrożenia programu
auditów, identyfikacji obszarów do doskonalenia, zmiany programu, jeżeli jest to konieczne, oraz:
– dokonywała przeglądu ciągłego rozwoju zawodowego auditorów, zgodnie z 7.4, 7.5 i 7.6;
– raportowała wyniki przeglądu programu auditów do najwyższego kierownictwa.
6 Przeprowadzanie auditu
Niniejszy rozdział zawiera wytyczne dotyczące przygotowania i prowadzenia działań auditowych jako części
programu auditów. Na rysunku 2 przedstawiono przegląd typowych działań auditowych. Zakres, w jakim postanowienia niniejszego rozdziału mają zastosowanie, zależy od celów i zakresu konkretnego auditu.
18
EN ISO 19011:2011
UWAGA
Numeracja podrozdziałów odnosi się do odpowiednich podrozdziałów niniejszej Normy Międzynarodowej
Rysunek 2 – Typowe działania auditowe
6.2 Inicjowanie auditu
Kiedy audit zostaje zainicjowany, odpowiedzialność za jego przeprowadzenie ponosi wyznaczony auditor wiodący (patrz 5.4.5) aż do momentu zakończenia auditu (patrz 6.6).
W celu zainicjowania auditu, zaleca się podjąć kroki przedstawione na Rysunku 2, jednakże ich kolejność może
się różnić w zależności od auditowanego, procesów i specyficznych okoliczności auditu.
19
EN ISO 19011:2011
6.2.2 Nawiązanie pierwszego kontaktu z auditowanym
Pierwszy kontakt z auditowanym w celu przeprowadzenia auditu może być nieformalny lub formalny i zaleca
się, aby był nawiązany przez auditora wiodącego. Celem pierwszego kontaktu jest:
– ustalenie komunikacji z przedstawicielami auditowanego;
– potwierdzenie uprawnień do przeprowadzenia auditu;
– dostarczenie informacji na temat celów, zakresu i metod auditu oraz składu zespołu auditującego, łącznie
z ekspertami technicznymi;
– wnioskowanie o dostęp do odpowiednich dokumentów i zapisów w celach planowania;
– określenie mających zastosowanie wymagań prawnych i wynikających z umów oraz innych wymagań
właściwych dla działań i wyrobów auditowanego;
– potwierdzenie uzgodnień z auditowanym dotyczących zakresu ujawnienia poufnych informacji i postępowania z nimi;
– dokonanie ustaleń dotyczących auditu, łącznie z harmonogramem i datami;
– określenie wszelkich specyficznych wymagań dotyczących dostępu, zabezpieczenia, ochrony zdrowia
i bezpieczeństwa lub innych, dotyczących poszczególnych lokalizacji;
– uzgodnienie uczestnictwa obserwatorów oraz potrzeby przewodników dla zespołu auditującego;
– określenie obszarów zainteresowania lub ważnych dla auditowanego w przypadku danego auditu.
6.2.3 Określenie wykonalności auditu
Zaleca się określenie wykonalności auditu w celu uzyskania uzasadnionego zaufania, że cele auditu mogą
być osiągnięte.
Zaleca się określenie wykonalności auditu z uwzględnieniem takich czynników jak:
– wystarczająca i odpowiednia informacja do planowania i przeprowadzenia auditu;
– możliwość adekwatnej współpracy z auditowanym;
– odpowiedni czas i zasoby do przeprowadzenia auditu.
Jeżeli dany audit jest niewykonalny, zaleca się, w uzgodnieniu z auditowanym, zaproponowanie klientowi auditu
alternatywnego rozwiązania.
6.3 Przygotowanie działań auditowych
6.3.1 Przeprowadzanie przeglądu dokumentów w ramach przygotowania do auditu
Zaleca się przeprowadzanie przeglądu odpowiedniej dokumentacji dotyczącej systemu zarządzania auditowanego w celu:
– zebrania informacji w celu przygotowania działań auditowych i mających zastosowanie dokumentów roboczych (patrz 6.3.4), np. dotyczących procesów, funkcji;
– dokonanie przeglądu zakresu dokumentacji systemu, aby wykryć możliwe braki.
UWAGA
Wytyczne jak przeprowadzać przegląd dokumentów podano w Rozdziale B.2.
Zaleca się, aby dokumentacja zawierała, o ile ma to zastosowanie, dokumenty i zapisy dotyczące systemu
zarządzania, jak i również raporty z poprzednich auditów. Zaleca się, aby przy przeglądzie dokumentów uwzględniać wielkość, charakter i złożoność auditowanego systemu zarządzania i organizacji oraz cele i zakres auditu.
20
EN ISO 19011:2011
6.3.2 Przygotowanie planu auditu
6.3.2.1 Zaleca się, aby auditor wiodący przygotował plan auditu na podstawie informacji zawartych w programie
auditów i w dokumentacji dostarczonej przez auditowanego. Zaleca się, aby plan auditu uwzględniał wpływ
działań auditowych na procesy auditowanego i stanowił podstawę do uzgodnień pomiędzy klientem auditu,
zespołem auditującym i auditowanym w zakresie przeprowadzenia auditu. Zaleca się, aby plan auditu ułatwiał
ustalenie terminów i koordynację działań auditowych w celu skutecznego osiągnięcia założonych celów.
Zaleca się, aby ilość szczegółów zawarta w planie auditu odzwierciedlała zakres oraz złożoność auditu, jak
również wpływ niepewności co do osiągnięcia celów auditu. Zaleca się, aby przy przygotowywaniu planu auditu,
auditor wiodący uwzględniał następujące aspekty:
– odpowiednie techniki pobierania próbek (patrz Rozdział B.3);
– skład zespołu auditującego i jego zbiorowe kompetencje;
– ryzyka dla organizacji spowodowane auditem.
Na przykład ryzyko dla organizacji może wynikać z obecności członków zespołu auditującego wpływającej na
zdrowie i bezpieczeństwo, środowisko i jakość oraz ich obecności stanowiącej zagrożenie dla wyrobów, usług,
personelu lub infrastruktury auditowanego (np. zanieczyszczenie w tzw. czystych obszarach).
W przypadku auditów połączonych, zaleca się zwrócenie szczególnej uwagi na interakcje pomiędzy procesami
operacyjnymi, a konkurencyjnymi celami i priorytetami różnych systemów zarządzania.
6.3.2.2 Skala i zawartość planu auditu może być różna, na przykład dla auditu pierwszego i następnych,
a także dla auditów wewnętrznych i zewnętrznych. Zaleca się, aby plan auditu był wystarczająco elastyczny,
tak aby możliwe były zmiany, które mogą okazać się konieczne w miarę realizacji działań auditowych.
Zaleca się, aby plan auditu zawierał lub odnosił się do:
a) celów auditu;
b) zakresu auditu, łącznie z identyfikacją jednostek organizacyjnych i funkcjonalnych oraz procesów, które
mają być auditowane;
c) kryteriów auditu i wszystkich dokumentów odniesienia;
d) lokalizacji, dat, przewidywanych godzin i czasu trwania działań auditowych, łącznie ze spotkaniami z kierownictwem auditowanego;
e) metod auditu, jakie mają być użyte, łącznie z określeniem zakresu pobierania próbek potrzebnych do
zgromadzenia wystarczających dowodów z auditu oraz opracowania planu pobierania próbek, jeśli ma to
zastosowanie;
f) roli i odpowiedzialności członków zespołu auditującego oraz przewodników i obserwatorów;
g) przydzielenia odpowiednich zasobów do krytycznych obszarów auditu.
Zaleca się, aby plan auditu obejmował także, jeśli to właściwe:
– identyfikację przedstawiciela auditowanego dla potrzeb auditu;
– język pracy oraz raportowania dla danego auditu, jeżeli jest on różny od języka auditora lub auditowanego
lub obydwu;
– tematy raportu z auditu;
– ustalenia logistyczne i komunikacyjne, łącznie ze specyficznymi ustaleniami lokalizacji podlegających auditowaniu;
– wszelkie specyficzne środki jakie mają być podjęte w odniesieniu do wpływu niepewności na osiągnięcie
celów auditu;
21
EN ISO 19011:2011
– sprawy związane z poufnością i bezpieczeństwem informacji;
– wszelkie działania poauditowe wynikające z poprzedniego auditu;
– wszelkie działania poauditowe wynikające z zaplanowanego auditu;
– koordynację z innymi działaniami auditowymi, w przypadku auditu wspólnego.
Plan auditu może być przejrzany i zaakceptowany przez klienta auditu. Zaleca się, aby był przedstawiony auditowanemu. Zaleca się, aby wszelkie zastrzeżenia auditowanego do planu auditu były rozstrzygnięte pomiędzy
auditorem wiodącym, auditowanym i klientem auditu.
6.3.3 Przydzielenie pracy zespołowi auditującemu
Zaleca się, aby auditor wiodący, w porozumieniu z zespołem auditującym, określił dla każdego członka zespołu
zakres odpowiedzialności za auditowanie poszczególnych procesów, działań, funkcji lub miejsc. Dokonując tego,
zaleca się wzięcie pod uwagę niezależności i kompetencji auditorów oraz skutecznego wykorzystania zasobów,
jak również różnej roli i odpowiedzialności auditorów, auditorów szkolących się i ekspertów technicznych.
Zaleca się organizowanie przez auditora wiodącego odpraw zespołu auditującego w celu przypisania zadań
i zadecydowania o możliwych zmianach. Zmiany w podziale pracy mogą być dokonywane w miarę realizacji
auditu, aby zapewnić osiągnięcie celów auditu.
6.3.4 Przygotowanie dokumentów roboczych
Zaleca się, aby członkowie zespołu auditującego zebrali i dokonali przeglądu odpowiednich informacji związanych z przydzieloną w ramach auditu pracą i przygotowali dokumenty robocze potrzebne jako odniesienie
i w celu odnotowania dowodów z auditu. Dokumenty robocze mogą obejmować:
– listy kontrolne;
– plany pobierania próbek auditowych;
– formularze do zapisywania informacji, takich jak dowody pomocnicze, ustalenia z auditu i zapisy ze spotkań.
Zaleca się, aby stosowanie listy kontrolnej i formularzy nie ograniczało zakresu działań auditowych, który może
się zmienić w wyniku informacji zebranych podczas auditu.
UWAGA
Wytyczne dotyczące przygotowania dokumentów roboczych podano w Rozdziale B.4.
Zaleca się, aby dokumenty robocze, łącznie z zapisami wynikającymi z ich stosowania, były zachowane przynajmniej do zakończenia auditu lub jak określono w planie auditu. Przechowywanie dokumentów po zakończeniu
auditu jest opisane w 6.6. Zaleca się, aby dokumenty zawierające informacje poufne lub podlegające prawu
własności cały czas były odpowiednio chronione przez członków zespołu auditującego.
6.4 Przeprowadzanie działań auditowych
Działania auditowe są zwykle przeprowadzane w określonej kolejności, jak przedstawiono na Rysunku 2. Kolejność ta może być inna w celu dostosowania się do okoliczności konkretnych auditów.
6.4.2 Przeprowadzenie spotkania otwierającego
Celem spotkania otwierającego jest:
a) potwierdzenie uzgodnień ze wszystkimi stronami (np. auditowany, zespół auditujący) dotyczących planu
auditu;
b) przedstawienie zespołu auditującego;
c) upewnienie się, że wszystkie zaplanowane działania auditowe mogą być przeprowadzone.
22
EN ISO 19011:2011
Zaleca się przeprowadzenie spotkania otwierającego z kierownictwem auditowanego oraz, jeżeli to właściwe,
z osobami odpowiedzialnymi za funkcje lub procesy, które będą auditowane. Zaleca się umożliwienie zadawania
pytań podczas tego spotkania.
Zaleca się, aby stopień szczegółowości był spójny ze stopniem znajomości procesu auditowania przez auditowanego. W wielu przypadkach, na przykład auditów wewnętrznych w małej organizacji, spotkanie otwierające może
po prostu polegać na zakomunikowaniu, że będzie prowadzony audit, oraz na wyjaśnieniu charakteru auditu.
Zaleca się, aby w innych sytuacjach auditowych spotkanie było formalne oraz aby były zachowane zapisy
obecności. Zaleca się, aby spotkanie było prowadzone przez auditora wiodącego oraz aby wzięto pod uwagę
niżej podane elementy, jeżeli jest to właściwe:
– przedstawienie uczestników, łącznie z obserwatorami i przewodnikami, oraz nakreślenie ich roli;
– potwierdzenie celów, zakresu i kryteriów auditu;
– potwierdzenie planu auditu i innych istotnych ustaleń, takich jak: data i czas spotkania zamykającego, wszelkie
pośrednie spotkania zespołu auditującego z kierownictwem auditowanego oraz wszelkie późniejsze zmiany;
– przedstawienie metod stosowanych do przeprowadzenia auditu, łącznie z poinformowaniem auditowanego,
że dowody auditu będą oparte na próbce udostępnionych informacji;
– wprowadzenie metod zarządzania ryzykiem w organizacji, które może wynikać z obecności członków zespołu auditującego;
– potwierdzenie formalnego sposobu komunikowania się pomiędzy zespołem auditującym a auditowanym;
– potwierdzenie języka, w jakim będzie przeprowadzany audit;
– potwierdzenie, że w czasie auditu auditowany będzie informowany na bieżąco o jego postępie;
– potwierdzenie dostępności zasobów i wyposażenia niezbędnego dla zespołu auditującego;
– potwierdzenie spraw związanych z poufnością i bezpieczeństwem informacji;
– potwierdzenie istotnych procedur bezpieczeństwa pracy, procedur awaryjnych i ochrony dla zespołu auditującego;
– informację o metodzie raportowania ustaleń z auditu, łącznie z ich stopniowaniem, jeżeli jest stosowane;
– informację o warunkach, w jakich może nastąpić przerwanie auditu;
– informację o spotkaniu zamykającym;
– informację dotyczącą postępowania z możliwymi ustaleniami podczas auditu;
– informację o systemie przekazywania informacji zwrotnej od auditowanego na temat ustaleń lub wniosków
z auditu, łącznie ze skargami lub odwołaniami.
6.4.3 Przeprowadzenie przeglądu dokumentacji podczas przeprowadzania auditu
Zaleca się, aby odpowiednia dokumentacja auditowanego została przejrzana w celu:
– określenia zgodności systemu, w zakresie w jakim został udokumentowany, z kryteriami auditu;
– zebrania informacji do wsparcia działań auditowych.
UWAGA
Wytyczne jak przeprowadzać przegląd dokumentów podano w Rozdziale B.2.
Przegląd może być połączony z innymi działaniami auditowymi i może być kontynuowany podczas auditu, pod
warunkiem że nie będzie to miało negatywnego wpływu na skuteczność prowadzonego auditu.
Jeżeli adekwatna dokumentacja nie może być dostarczona w czasie określonym w planie auditu, zaleca się,
aby auditor wiodący poinformował o tym zarówno osobę zarządzającą programem auditów, jak i auditowanego.
Zależnie od celów i zakresu auditu, zaleca się podjęcie decyzji o kontynuowaniu auditu lub o jego zawieszeniu
wtedy, gdy kwestie dotyczące dokumentacji zostaną rozwiązane.
23
EN ISO 19011:2011
6.4.4 Komunikowanie się podczas auditu
Podczas auditu konieczne mogą być formalne ustalenia co do komunikowania się w ramach zespołu auditującego, jak i z auditowanym, klientem auditu oraz potencjalnie z instytucjami zewnętrznymi (np. instytucjami
regulacyjnymi), szczególnie, kiedy wymagania prawne wymagają obowiązkowego raportowania wszelkich
niezgodności.
Zaleca się, aby zespół auditujący okresowo wymieniał informacje, oceniał postępy auditu i zmieniał podział
pracy pomiędzy auditorami, jeżeli zajdzie taka potrzeba.
Zaleca się, aby podczas auditu auditor wiodący przedstawiał okresowo auditowanemu i klientowi auditu postępy
auditu oraz wszelkie uwagi, jeżeli to właściwe. Zaleca się, aby dowody zebrane podczas auditu, które wskazują na bezpośrednie i znaczące ryzyko dla auditowanego, były bezzwłocznie przekazywane auditowanemu
i, jeżeli to właściwe, klientowi auditu. Zaleca się, aby każda sprawa dotycząca problemu wybiegającego poza
zakres auditu była odnotowana i przedstawiona auditorowi wiodącemu, w celu ewentualnego zakomunikowania
klientowi auditu i auditowanemu.
Jeżeli dostępne dowody z auditu wskazują, że cele auditu są niemożliwe do osiągnięcia, zaleca się, aby auditor
wiodący przedstawił klientowi auditu i auditowanemu przyczyny, w celu podjęcia określonych działań. Działania te mogą obejmować potwierdzenie lub zmianę planu auditu, zmiany celów auditu lub zakresu auditu, lub
zakończenie auditu.
Zaleca się, aby każda potrzeba zmiany planu auditu, która może powstać w wyniku realizacji działań auditowych,
była przejrzana i zatwierdzona, jeżeli to właściwe, zarówno przez osobę zarządzającą programem auditów, jak
i przez auditowanego.
6.4.5 Wyznaczenie roli i odpowiedzialności przewodników i obserwatorów
Przewodnicy i obserwatorzy (np. instytucje regulacyjne lub inne strony zainteresowane) mogą towarzyszyć
zespołowi auditującemu. Zaleca się, aby nie mieli oni wpływu na audit ani nie ingerowali w jego prowadzenie.
Jeżeli nie można tego zapewnić, zaleca się, aby auditor wiodący miał prawo odmowy uczestniczenia obserwatorów w wybranych częściach działań auditowych.
Zaleca się, aby wszelkie wymagania w stosunku do obserwatorów, które są związane z procedurami dotyczącymi
bezpieczeństwa i ochrony zdrowia oraz ochrony były rozstrzygnięte pomiędzy klientem auditu a auditowanym.
Zaleca się, aby przewodnicy wyznaczeni przez auditowanego towarzyszyli zespołowi auditującemu i działali
zgodnie z życzeniem auditora wiodącego. Zaleca się, aby ich obowiązki obejmowały:
a) pomoc auditorom w wyznaczeniu osób biorących udział w rozmowach i potwierdzanie czasu ich trwania;
b) zapewnienie dostępu do poszczególnych lokalizacji auditowanego;
c) zapewnienie, że zasady dotyczące procedur bezpieczeństwa i ochrony w danej lokalizacji są znane i przestrzegane przez członków zespołu auditującego oraz obserwatorów.
Role przewodników mogą także obejmować:
– pełnienie roli obserwującego audit w imieniu auditowanego;
– dostarczanie wyjaśnień lub pomoc w zbieraniu informacji.
6.4.6 Zbieranie i weryfikowanie informacji
Zaleca się, aby informacje związane z celami, zakresem oraz kryteriami auditu, łącznie z informacją związaną
z oddziaływaniem pomiędzy funkcjami, działaniami i procesami, były gromadzone poprzez odpowiednie pobieranie próbek auditowych podczas auditu i weryfikowane. Tylko informacja możliwa do zweryfikowania może być
zaakceptowana jako dowód z auditu. Zaleca się, aby dowód z auditu, który prowadzi do ustaleń z auditu, został
zapisany. Jeżeli podczas zbierania dowodów zespół auditujący staje się świadomy nowych lub zmienionych
okoliczności lub ryzyk, zaleca się, aby zespół odpowiednio na nie reagował.
UWAGA 1 Wytyczne dotyczące pobierania próbek podano w Rozdziale B.3.
24
EN ISO 19011:2011
Na Rysunku 3 przedstawiono przebieg procesu od zebrania informacji do sformułowania wniosków z auditu.
Rysunek 3 – Przebieg procesu od zebrania informacji do sformułowania wniosków
Zaleca się, aby metody zbierania informacji obejmowały:
– rozmowy;
– obserwacje;
– przegląd dokumentów, łącznie z zapisami.
UWAGA 2 Wytyczne dotyczące źródeł informacji podano w Rozdziale B.5.
UWAGA 3 Wytyczne dotyczące wizytowania lokalizacji auditowanego podano w Rozdziale B.6.
UWAGA 4 Wytyczne dotyczące prowadzenia rozmów podano w Rozdziale B.7.
6.4.7 Opracowanie ustaleń z auditu
Zaleca się, aby dowody z auditu były oceniane w odniesieniu do kryteriów auditu w celu opracowania ustaleń
z auditu. Ustalenia z auditu mogą wskazywać na zgodność lub niezgodność z kryteriami auditu. Jeżeli to określono w planie auditu, poszczególne ustalenia z auditu mogą zawierać zgodności i dobre praktyki razem ze
wspierającymi je dowodami, możliwości do doskonalenia i wszelkie rekomendacje dla auditowanego.
Zaleca się, aby niezgodności i wspierające je dowody z auditu były zapisane. Niezgodności mogą być stopniowane. Zaleca się, aby były one przejrzane z auditowanym w celu uzyskania potwierdzenia, że dowód z auditu
jest dokładny oraz, że niezgodności są zrozumiałe. Zaleca się podjęcie próby rozwiązania wszelkich różnic
opinii dotyczących dowodów z auditu lub ustaleń oraz zaleca się, aby sprawy nierozwiązane zostały zapisane.
Zaleca się, aby zespół auditujący spotykał się, jeśli to potrzebne, w celu przejrzenia ustaleń z auditu na odpowiednich etapach podczas auditu.
UWAGA
Dodatkowe wytyczne dotyczące identyfikacji i oceny ustaleń z auditu podano w Rozdziale B.8.
25
EN ISO 19011:2011
6.4.8 Przygotowanie wniosków z auditu
Zaleca się, aby zespół auditujący naradził się przed spotkaniem zamykającym w celu:
a) przeglądu ustaleń z auditu i innych odpowiednich informacji zebranych podczas auditu w odniesieniu do
celów auditu;
b) uzgodnienia wniosków z auditu, biorąc pod uwagę niepewność wbudowaną w proces auditowania;
c) przygotowania rekomendacji, jeżeli określono to w planie auditu;
d) przedyskutowania działań poauditowych, jeśli ma to zastosowanie.
Wnioski z auditu mogą dotyczyć takich spraw jak:
– stopień zgodności systemu zarządzania z kryteriami auditu i silne strony systemu zarządzania, łącznie ze
skutecznością systemu zarządzania w spełnianiu określonych celów;
– skuteczne wdrożenie, utrzymanie i doskonalenie systemu zarządzania;
– zdolność procesu przeglądu zarządzania do zapewnienia ciągłej przydatności, adekwatności, skuteczności
i doskonalenia systemu zarządzania;
– osiągnięcie celów auditu, pokrycie zakresu auditu oraz spełnienie kryteriów auditu;
– źródłowe przyczyny ustaleń, jeżeli zostały uwzględnione w planie auditu;
– podobne ustalenia dokonane w różnych obszarach, które były auditowane w celach identyfikacji trendu.
Jeżeli jest to określone w planie auditu, wnioski z auditu mogą prowadzić do rekomendacji związanych z doskonaleniem lub przyszłymi działaniami auditowymi.
6.4.9 Przeprowadzanie spotkania zamykającego
Zaleca się, aby spotkanie zamykające prowadzone przez auditora wiodącego było przeprowadzone w celu
przedstawienia ustaleń z auditu oraz wniosków. Zaleca się, aby w spotkaniu zamykającym uczestniczyło
kierownictwo auditowanego oraz, jeżeli ma to zastosowanie, osoby odpowiedzialne za funkcje lub procesy,
które były auditowane, a także mogą w nim uczestniczyć klient auditu i inne strony. Jeżeli ma to zastosowanie,
zaleca się, aby auditor wiodący poinformował auditowanego o sytuacjach napotkanych w trakcie auditu, które
mogą obniżyć zaufanie do wniosków z auditu. Jeżeli zdefiniowano tak w systemie zarządzania lub uzgodniono
z klientem auditu, zaleca się, aby uczestnicy spotkania uzgodnili ramy czasowe dla planu działania dotyczącego
ustaleń z auditu.
Zaleca się, aby stopień szczegółowości był spójny ze stopniem znajomości procesu auditowania przez auditowanego . W niektórych sytuacjach auditowych spotkanie może mieć charakter formalny oraz zalecane jest
zachowanie protokołu ze spotkania, łącznie z listą obecności. W pozostałych przypadkach, np. w przypadku
auditów wewnętrznych, spotkanie zamykające jest mniej formalne i może polegać tylko na zakomunikowaniu
ustaleń i wniosków z auditu.
Jeżeli jest to właściwe, zaleca się, aby następujące kwestie zostały wytłumaczone auditowanemu podczas
spotkania zamykającego:
– poinformowanie o tym, że dowody z auditu zostały zebrane na podstawie próbek opartych na dostępnych
informacjach;
– metoda raportowania;
– proces postępowania z ustaleniami z auditu i ewentualne konsekwencje;
– prezentacja ustaleń i wniosków z auditu w taki sposób, aby były zrozumiałe i potwierdzone przez kierownictwo auditowanego;
– wszelkie związane działania poauditowe (np. wdrożenie działań korygujących, postępowanie ze skargami
auditowymi, proces odwoławczy).
26
EN ISO 19011:2011
Zaleca się, aby wszelkie rozbieżne opinie pomiędzy zespołem auditującym a auditowanym dotyczące ustaleń
lub wniosków z auditu, były przedyskutowane i, jeżeli jest to możliwe, rozwiązane. Zaleca się zapisanie opinii
w przypadku braku rozwiązania.
Jeżeli jest to określone w celach auditu, można przedstawić rekomendacje do doskonalenia. Zaleca się podkreślić, że rekomendacje nie są obowiązujące.
6.5 Przygotowanie i rozpowszechnianie raportu z auditu
6.5.1 Przygotowanie raportu z auditu
Zaleca się, aby auditor wiodący raportował wyniki auditu zgodnie z procedurami programu auditów.
Zaleca się, aby raport z auditu zawierał kompletne, dokładne, zwięzłe i jasne zapisy z auditu oraz obejmował
lub powoływał się na:
a) cele auditu;
b) zakres auditu, w szczególności identyfikację auditowanych jednostek organizacyjnych i funkcjonalnych lub
auditowanych procesów;
c) identyfikację klienta auditu;
d) identyfikację zespołu auditującego i przedstawicieli auditowanego w audicie;
e) daty i lokalizacje, gdzie przeprowadzono działania auditowe;
f) kryteria auditu;
g) ustalenia z auditu i odpowiednie dowody;
h) wnioski z auditu;
i) oświadczenie dotyczące stopnia spełnienia kryteriów auditu.
Raport z auditu może także zawierać lub, jeżeli to właściwe, powoływać się na:
– plan auditu, łącznie z harmonogramem;
– podsumowanie procesu auditu łącznie z napotkanymi przeszkodami, które mogą obniżyć wiarygodność
wniosków z auditu;
– potwierdzenie, że cele auditu zostały osiągnięte w ramach zakresu auditu zgodnie z planem auditu;
– wszelkie nie poddane auditowi obszary, które były w zakresie auditu;
– podsumowanie obejmujące wnioski z auditu i wspierające je główne ustalenia z auditu;
– wszelkie nierozstrzygnięte rozbieżne opinie pomiędzy zespołem auditującym a auditowanym;
– możliwości doskonalenia, jeżeli określono to w planie auditu;
– zidentyfikowane dobre praktyki;
– uzgodnione plany działań poauditowych, jeżeli występują;
– oświadczenie o poufnym charakterze treści raportu;
– wszelkie implikacje związane z programem auditów lub następnymi auditami;
– lista dystrybucyjna raportu z auditu.
UWAGA
Raport z auditu może być przygotowany przed spotkaniem zamykającym.
27
EN ISO 19011:2011
6.5.2 Rozpowszechnianie raportu z auditu
Zaleca się, aby raport z auditu był wydany w uzgodnionym terminie. Jeżeli jest opóźniony, zaleca się, aby
przyczyny opóźnienia były zakomunikowane auditowanemu i osobie zarządzającej programem auditów.
Zaleca się, aby raport z auditu był datowany oraz poddany przeglądowi i zatwierdzony, jeśli to właściwe, zgodnie
z procedurami dotyczącymi programu auditów.
Zaleca się, aby raport z auditu był następnie rozesłany do odbiorców określonych w procedurach auditu lub
planie auditu.
6.6 Zakończenie auditu
Audit jest zakończony, jeżeli wszystkie zaplanowane działania auditowe lub uzgodnione z klientem auditu
zostały wykonane (np. mogą występować nieprzewidziane sytuacje, które uniemożliwiają dokończenie auditu
zgodnie z planem).
Zaleca się, aby dokumenty dotyczące auditu były zachowane lub zniszczone na podstawie uzgodnień pomiędzy
stronami uczestniczącymi oraz zgodnie z procedurami programu auditów i mającymi zastosowanie wymaganiami.
Zaleca się, aby zespół auditujący oraz osoba odpowiedzialna za zarządzanie programem auditów nie ujawniali
żadnej innej stronie zawartości dokumentów oraz innych informacji uzyskanych podczas auditu lub raportu
z auditu, bez jasno wyrażonego pozwolenia klienta auditu i, jeżeli to właściwe, auditowanego, chyba że działanie
takie jest wymagane przez prawo. Jeżeli jest wymagane ujawnienie zawartości dokumentu auditu, zaleca się
poinformowanie o tym jak najszybciej klienta auditu i auditowanego.
Zaleca się, aby doświadczenie z przeprowadzenia auditu zostało uwzględnione w procesie ciągłego doskonalenia systemu zarządzania auditowanych organizacji.
6.7 Przeprowadzenie działań poauditowych
Wnioski z auditu mogą, zależnie od celów auditu, wskazywać na potrzebę podjęcia korekcji lub działań korygujących, zapobiegawczych lub doskonalących. Działania takie są zwykle określane i podejmowane przez
auditowanego w uzgodnionym terminie. Jeżeli jest to właściwe, zaleca się, aby auditowany informował osobę
zarządzającą programem auditów oraz zespół auditujący o statusie tych działań.
Zaleca się weryfikację zakończenia i skuteczności tych działań. Weryfikacja ta może być częścią następnego
auditu.
7 Kompetencje i ocena auditorów
Zaufanie do procesu auditu i zdolność do osiągania jego celów zależy od kompetencji osób, które są zaangażowane w planowanie i przeprowadzanie auditów, łącznie z auditorami i auditorami wiodącymi. Zaleca się, aby
kompetencje były oceniane poprzez proces, który uwzględnia postawy i zachowania i zdolność do stosowania
wiedzy i umiejętności uzyskanych poprzez wykształcenie, doświadczenie w pracy, szkolenie auditorskie oraz
doświadczenie w auditowaniu. Zaleca się, aby taki proces uwzględniał potrzeby programu auditów i jego cele.
Część wiedzy i umiejętności opisanych w 7.2.3 jest wspólna dla auditorów każdej dziedziny systemu zarządzania, inne są charakterystyczne dla poszczególnych dziedzin systemów zarządzania. Nie jest konieczne, aby
każdy z auditorów w zespole auditującym miał takie same kompetencje, jednak łączne kompetencje zespołu
auditującego powinny być wystarczające do osiągnięcia celów auditu.
Zaleca się, aby ocena kompetencji auditorów była zaplanowana, wdrożona i udokumentowana zgodnie z programem auditów, łącznie z jego procedurami, aby dostarczać wyniki, które są obiektywne, spójne, uczciwe
i wiarygodne. Zaleca się, aby proces oceny składał się z następujących czterech głównych etapów:
28
EN ISO 19011:2011
a) określenie kompetencji personelu auditującego, aby spełnić potrzeby programu auditów;
b) ustalenie kryteriów oceny;
c) wybór odpowiedniej metody oceny;
d) przeprowadzenie oceny.
Zaleca się, aby wynik procesu oceny dostarczał podstawy do:
– wyboru członków zespołu audytującego, jak opisano w 5.4.4;
– określenia potrzeby poprawy kompetencji (np. dodatkowe szkolenia);
– ciągłej oceny pracy auditorów.
Zaleca się, aby auditorzy rozwijali, utrzymywali i doskonalili swoje kompetencje poprzez ciągły rozwój zawodowy
oraz regularne uczestnictwo w auditach (patrz 7.6).
Proces oceny auditorów i auditorów wiodących opisano w 7.4 i 7.5.
Zaleca się, aby auditorzy i auditorzy wiodący byli oceniani według kryteriów zawartych w 7.2.2 i 7.2.3.
Kompetencje, których się wymaga od osoby zarządzającej programem auditów opisano w 5.3.2.
7.2 Określenie kompetencji auditora niezbędnych do spełnienia potrzeb programu auditów
Zaleca się, aby decyzja o tym, czy wiedza i umiejętności auditora są odpowiednie, była podejmowana z uwzględnieniem następujących aspektów:
– wielkość, charakter i złożoność organizacji, która ma być auditowana;
– dziedziny systemu zarządzania, który ma być auditowany;
– cele i zakres programu auditów;
– inne wymagania, takie jak narzucone przez instytucje zewnętrzne, jeżeli jest to właściwe;
– rola procesu auditowania w systemie zarządzania auditowanego;
– złożoność auditowanego systemu zarządzania;
– niepewność w osiągnięciu celów auditu.
Zaleca się, aby powyższe informacje zostały porównane z wymienionymi w 7.2.3.2, 7.2.3.3 i 7.2.3.4.
7.2.2 Postawy i zachowania
Zaleca się, aby auditorzy mieli niezbędne cechy, które im pozwolą działać zgodnie z zasadami auditowania
opisanymi w Rozdziale 4. Zaleca się, aby auditorzy wykazywali się profesjonalnym postępowaniem podczas
wykonywania działań auditowych, łącznie z byciem:
– etycznym, tj. prawym, prawdomównym, szczerym, uczciwym i rozważnym;
– otwartym, tj. chętnym do rozważenia alternatywnych pomysłów lub punktów widzenia;
– dyplomatycznym, tj. taktownym w postępowaniu z ludźmi;
– spostrzegawczym, tj. aktywnie obserwującym fizyczne warunki otoczenia i działania;
– percepcyjnym, tj. świadomym sytuacji i zdolnym do jej zrozumienia;
29
EN ISO 19011:2011
– elastycznym, tj. zdolnym do łatwego przystosowania się do różnych sytuacji;
– wytrwałym, tj. ciągle ukierunkowanym na osiąganie celów;
– zdecydowanym, tj. zdolnym do wyciągania w porę wniosków logicznie uzasadnionych i opartych na analizie;
– samodzielnym, tj. zdolnym do działania i funkcjonowania niezależnie, a jednocześnie skutecznie współdziałając z innymi;
– zdolnym do działania odpowiedzialnie i etycznie, nawet jeżeli takie działanie nie zawsze będzie popularne
i może czasami skutkować brakiem porozumienia lub konfrontacją;
– otwartym na doskonalenie, tj. chętnym do wyciągania wniosków z sytuacji i starającym się o lepsze wyniki
auditu;
– wrażliwym kulturowo, tj. przestrzegającym i szanującym kulturę auditowanego;
– zdolnym do współpracy, tj. skutecznie współpracującym z innymi, łącznie z członkami zespołu auditującego
i personelem auditowanego.
7.2.3 Wiedza i umiejętności
7.2.3.1 Postanowienia ogólne
Zaleca się, aby auditorzy posiadali wiedzę i umiejętności niezbędne do osiągnięcia zamierzonych wyników
przeprowadzanych przez nich auditów. Zaleca się, aby wszyscy auditorzy mieli wiedzę ogólną i umiejętności,
a także wiedzę specjalistyczną z zakresu niektórych dziedzin lub sektorów. Zaleca się, aby auditor wiodący
posiadał dodatkowo wiedzę i umiejętności niezbędne do kierowania zespołem auditującym.
7.2.3.2 Ogólna wiedza i umiejętności auditorów systemu zarządzania
Zaleca się, aby auditorzy mieli wiedzę i umiejętności w niżej podanych obszarach.
a) Zasady, procedury i metody auditu: wiedza i umiejętności z tego obszaru umożliwiają auditorowi zastosowanie odpowiednich zasad, procedur i metod do różnych auditów oraz zapewnienia przeprowadzania
auditów w sposób spójny i systematyczny. Zaleca się, aby auditor potrafił:
– stosować zasady, procedury i metody auditu;
– skutecznie planować i organizować pracę;
– prowadzić audit w uzgodnionym czasie;
– dokonywać wyboru priorytetów i skupiać się na znaczących sprawach;
– zbierać informacje w wyniku skutecznych rozmów, słuchania, obserwowania i przeglądania dokumentów,
zapisów oraz danych;
– rozumieć i brać pod uwagę opinie ekspertów;
– rozumieć odpowiedniość i konsekwencje stosowania technik pobierania próbek w auditowaniu;
– weryfikować wagę i dokładność zebranych informacji;
– potwierdzać, że dowody z auditu są wystarczające i odpowiednie do wsparcia ustaleń i wniosków
z auditu;
– ocenić czynniki, które mogą wpływać na wiarygodność ustaleń i wniosków z auditu;
– stosować dokumenty robocze do dokonywania zapisów z działań auditowych;
– dokumentować ustalenia z auditu i przygotować odpowiednie raporty z auditu;
– zachować poufność i bezpieczeństwo informacji, danych, dokumentów i zapisów;
30
EN ISO 19011:2011
– porozumiewać się skutecznie, słownie lub pisemnie (osobiście lub za pośrednictwem kompetentnego
tłumacza);
– rozumieć rodzaje ryzyka związanego z auditowaniem.
b) System zarządzania i dokumenty odniesienia: wiedza i umiejętności w tym obszarze umożliwiają auditorowi zrozumienie zakresu auditu i zastosowania kryteriów auditu; zaleca się, aby wiedza i umiejętności
obejmowały:
– normy systemu zarządzania lub inne dokumenty używane jako kryteria auditu;
– stosowanie norm systemu zarządzania przez auditowanego i inne organizacje, jeśli jest to właściwe;
– oddziaływanie pomiędzy elementami systemu zarządzania;
– rozpoznanie hierarchii dokumentów odniesienia;
– stosowanie dokumentów odniesienia do różnych sytuacji auditowych.
c) Kontekst organizacyjny: wiedza i umiejętności w tym obszarze, umożliwiają auditorowi zrozumienie struktury auditowanego, praktyk biznesowych i zarządczych; zaleca się, aby wiedza i umiejętności obejmowały:
– typy organizacji, zarządzanie, wielkość, strukturę, funkcje i wzajemne powiązania;
– ogólne koncepcje biznesowe i zarządzania, procesy i związaną terminologię, łącznie z planowaniem,
budżetowaniem i zarządzaniem personelem;
– kulturowe i społeczne aspekty auditowanego.
d) Mające zastosowanie wymagania prawne i wynikające z umów oraz wszelkie inne wymagania, które
mają zastosowanie do auditowanego: wiedza i umiejętności w tym obszarze umożliwiają auditorowi bycie
świadomym i uwzględnianie w pracy prawnych i wynikających z umów wymagań w stosunku do organizacji. Zaleca się, aby wiedza i umiejętności specyficzne dla systemu prawnego lub dla działań i wyrobów
auditowanego obejmowały:
– prawo i przepisy oraz właściwe agencje rządowe;
– podstawową terminologię prawną;
– zawieranie umów i zobowiązania.
7.2.3.3 Specyficzna dla dziedziny i sektora wiedza i umiejętności auditorów systemu zarządzania
Zaleca się, aby auditorzy posiadali specyficzne dla dziedziny i sektora wiedzę i umiejętności, które są odpowiednie do auditowania danego, szczególnego typu systemu zarządzania i sektora.
Nie jest konieczne, aby każdy z auditorów w zespole auditującym miał takie same kompetencje, jednak łączne
kompetencje zespołu auditującego powinny być wystarczające do osiągnięcia celów auditu.
Zaleca się, aby specyficzne dla dziedziny i sektora wiedza i umiejętności auditorów obejmowały:
– specyficzne dla dziedziny wymagania i zasady systemu zarządzania oraz ich stosowanie;
– wymagania prawne istotne dla dziedziny i sektora, tak, aby auditor był świadomy wymagań specyficznych
dla danego systemu prawnego oraz zobowiązań, działań i wyrobów auditowanego;
– wymagania stron zainteresowanych istotne dla określonej dziedziny;
– podstawy danej dziedziny oraz stosowanie metod, technik, procesów i praktyk biznesowych i technicznych
specyficznych dla dziedziny, wystarczających do umożliwienia auditorowi zbadanie systemu zarządzania
i przygotowanie odpowiednich ustaleń i wniosków z auditu;
– specyficzną dla dziedziny wiedzę związaną z danym sektorem, charakterem operacji lub miejscem pracy
poddanym auditowi, wystarczająca do oceny przez auditora działań, procesów i wyrobów (towarów i usług)
auditowanego;
31
EN ISO 19011:2011
– zasady zarządzania ryzykiem, metody i techniki właściwe dla dziedziny i sektora, tak aby auditor mógł
ocenić i nadzorować ryzyko związane z programem auditów.
UWAGA
Wytyczne i przykłady wiedzy i umiejętności auditorów specyficzne dla danej dziedziny podano w Załączniku A.
7.2.3.4 Ogólna wiedza i umiejętności auditorów wiodących
Zaleca się, aby auditorzy wiodący posiadali dodatkową wiedzę i umiejętności do kierowania i przewodzenia
zespołem auditującym, w celu umożliwienia przeprowadzenia auditu w sposób skuteczny i efektywny. Zaleca
się, aby auditor wiodący posiadał wiedzę i umiejętności niezbędne do:
a) wyczucia i wykorzystania silnych i słabych stron poszczególnych członków zespołu auditującego;
b) zbudowania harmonijnych relacji roboczych pomiędzy członkami zespołu auditującego;
c) zarządzania procesem auditu, łącznie z:
– planowaniem auditu i skutecznym wykorzystywaniem zasobów podczas auditu;
– zarządzaniem niepewnością osiągnięcia celów auditu;
– ochroną zdrowia i bezpieczeństwa członków zespołu auditującego podczas auditu, łącznie z zapewnieniem postępowania auditorów zgodnie z odpowiednimi wymaganiami dotyczącymi zdrowia, bezpieczeństwa i ochrony;
– organizowaniem i kierowaniem członkami zespołu auditującego;
– przekazywaniem wskazówek i wytycznych auditorom szkolącym się;
– zapobieganiem i rozwiązywaniem konfliktów, jeżeli to konieczne;
d) reprezentowania zespołu auditującego w kontaktach z osobą zarządzającą programem auditów, klientem
auditu i auditowanym;
e) kierowania zespołem auditującym tak, aby doprowadzić do sformułowania wniosków z auditu;
f) przygotowania i sporządzenia raportu z auditu.
7.2.3.5 Wiedza i umiejętności do auditowania systemów zarządzania w wielu dziedzinach
Zaleca się, aby auditorzy, którzy jako członkowie zespołu audytującego mają zamiar brać udział w auditowaniu systemów zarządzania dotyczących kilku dziedzin, posiadali kompetencje niezbędne do auditowania co
najmniej jednej dziedziny systemu zarządzania i rozumieli powiązania i synergię pomiędzy różnymi systemami
zarządzania.
Zaleca się, aby auditorzy wiodący przeprowadzający audity systemów zarządzania dotyczących wielu dziedzin,
rozumieli wymagania każdej normy systemu zarządzania i rozpoznawali ograniczenia swojej wiedzy i umiejętności w każdej z dziedzin.
7.2.4 Nabywanie kompetencji przez auditora
Wiedza i umiejętności auditora mogą być uzyskane poprzez kombinację:
– formalnego wykształcenia/szkoleń i doświadczenia, które przyczyniają się do rozwoju wiedzy i umiejętności
w dziedzinie systemu zarządzania i sektorze, w którym auditor zamierza auditować;
– programów szkoleniowych obejmujących ogólną wiedzę i umiejętności auditora;
– doświadczenia na odpowiednim technicznym, kierowniczym lub innym profesjonalnym stanowisku związanym
z wykonywaniem oceny, podejmowaniem decyzji, rozwiązywaniem problemów i komunikacją z kierownikami,
specjalistami, obserwatorami, klientami i innymi stronami zainteresowanymi;
– doświadczenia w auditowaniu nabytego pod nadzorem auditora w tej samej dziedzinie.
32
EN ISO 19011:2011
7.2.5 Auditorzy wiodący
Zaleca się, aby auditor wiodący nabył dodatkowe doświadczenie w auditowaniu w celu uzyskania wiedzy
i umiejętności opisanych w 7.2.3. Zaleca się, aby to dodatkowe doświadczenie było zdobyte podczas pracy
pod nadzorem i kierunkiem innego auditora wiodącego.
7.3 Ustalenie kryteriów oceny auditora
Zaleca się, aby kryteria były jakościowe (takie jak wykazane podczas szkolenia lub w miejscu pracy postawy
i zachowania, wiedza lub umiejętności) i ilościowe (takie jak liczba lat doświadczenia w pracy i wykształcenie,
liczba przeprowadzonych auditów, liczba godzin szkolenia).
7.4 Wybór odpowiedniej metody oceny auditora
Zaleca się, aby ocena była dokonywana z wykorzystaniem jednej lub więcej metod spośród podanych w Tablicy 2. Podczas stosowania Tablicy 2 zaleca się zwrócenie uwagi na to, że:
– pokazane metody przedstawiają różne możliwości i mogą nie mieć zastosowania we wszystkich sytuacjach;
– wiarygodność przedstawionych różnych metod może być różna;
– zaleca się stosowanie kombinacji metod w celu zapewnienia, że wynik jest obiektywny, spójny, rzetelny
i wiarygodny.
Tablica 2 – Możliwe metody oceny
Metoda oceny
Cele
Przykłady
Przegląd zapisów
Zweryfikować dotychczasowe dokonania
auditora
Analiza zapisów dotyczących wykształcenia,
szkolenia, zatrudnienia, referencji zawodowych i doświadczenia w auditowaniu
Informacje zwrotne
Dostarczyć informacje o tym, jak jest postrzegane działanie auditora
Badanie opinii, kwestionariusze, referencje
osobiste, świadectwa, skargi, ocena działania,
przegląd (przez równoważnego specjalistę)
Rozmowa
Ocenić postawy i zachowania i umiejętności
komunikowania się, zweryfikować informacje, sprawdzić wiedzę, uzyskać dodatkowe
informacje
Rozmowy bezpośrednie
Obserwacja
Ocenić postawy i zachowania oraz stosowanie
umiejętności i wiedzy
Odgrywanie roli, audity obserwowane, wykonywanie pracy
Badanie
Ocenić postawy i zachowania oraz wiedzę
i umiejętności i ich stosowanie
Ustne i pisemne egzaminy, badanie psychometryczne
Przegląd po audicie
Dostarczyć informacje o działaniach auditora
podczas działań auditowych, zidentyfikować
mocne i słabe strony
Przegląd raportu z auditu oraz rozmowy
z auditorem wiodącym, zespołem auditującym
i jeśli ma to zastosowanie, informacja zwrotna
od auditowanego
7.5 Dokonywanie oceny auditora
Zaleca się, aby zebrane informacje dotyczące ocenianej osoby były porównywane z kryteriami ustalonymi
w 7.2.3. Jeżeli osoba, która ma zamiar brać udział w programie auditów, nie spełnia kryteriów, zalecane jest
dodatkowe szkolenie, nabranie doświadczenia w pracy lub doświadczenia w auditowaniu oraz zaleca się dokonanie ponownej oceny.
33
EN ISO 19011:2011
7.6 Utrzymywanie i doskonalenie kompetencji auditora
Zaleca się, aby auditorzy i auditorzy wiodący ciągle doskonalili swoje kompetencje. Zaleca się, aby auditorzy
utrzymywali swoje kompetencje do auditowania poprzez regularny udział w auditach systemów zarządzania
i ciągłym rozwoju zawodowym. Ciągły rozwój zawodowy obejmuje utrzymywanie i doskonalenie kompetencji.
Można to osiągnąć poprzez takie środki, jak dodatkowe doświadczenie w pracy, szkolenie, indywidualne dokształcanie się, coaching, udział w spotkaniach, seminariach, konferencjach lub przez inne odpowiednie działania.
Zaleca się, aby osoba zarządzająca programem auditów ustaliła odpowiednie mechanizmy do stałej oceny
pracy auditorów i auditorów wiodących.
Zaleca się, aby działania dotyczące ciągłego rozwoju zawodowego uwzględniały:
– zmiany dotyczące potrzeb poszczególnych osób i organizacji odpowiedzialnych za przeprowadzanie auditu;
– praktyczne auditowanie;
– odpowiednie normy i inne wymagania.
34
EN ISO 19011:2011
Załącznik A
(informacyjny)
Wytyczne i przykłady przedstawiające specyficzne dla danej dziedziny wiedzę
i umiejętności auditorów
A.1 Postanowienia ogólne
W niniejszym załączniku podano ogólne przykłady wiedzy i umiejętności auditorów systemu zarządzania
specyficznych dla danej dziedziny, które są przeznaczone jako wytyczne dla osoby zarządzającej programem
auditów pomocne do wyboru i oceny auditorów.
Inne przykłady specyficznej dla danej dziedziny wiedzy i umiejętności auditorów mogą być także opracowane
dla systemów zarządzania. Sugeruje się, aby tam gdzie to jest możliwe, takie przykłady zachowywały taką
samą ogólną strukturę w celu zachowania porównywalności.
A.2 Przykłady przedstawiające specyficzne dla danej dziedziny wiedzę i umiejętności
auditorów w zarządzaniu bezpieczeństwem w transporcie
Zaleca się, aby wiedza i umiejętności związane z zarządzaniem bezpieczeństwem w transporcie i stosowanie
metod, technik, procesów i praktyk zarządzania bezpieczeństwem w transporcie były wystarczające do umożliwienia auditorowi badanie systemu zarządzania i opracowanie odpowiednich ustaleń i wniosków z auditu.
Przykłady:
– terminologia z zakresu zarządzania bezpieczeństwem;
– rozumienie podejścia do systemu bezpieczeństwa;
– ocena ryzyka i jego ograniczanie;
– analiza czynnika ludzkiego związanego z zarządzaniem bezpieczeństwem w transporcie;
– ludzkie zachowanie i interakcje;
– interakcje pomiędzy człowiekiem, maszynami, procesami i środowiskiem pracy;
– potencjalne zagrożenia i inne czynniki związane z miejscem pracy wpływające na bezpieczeństwo;
– metody i praktyki badania incydentów i monitorowania efektów działań związanych z bezpieczeństwem;
– ocena incydentów i wypadków operacyjnych;
– rozwijanie proaktywnych i reaktywnych miar i wskaźników działań.
UWAGA Dodatkowe informacje, patrz przyszła norma ISO 39001 przygotowywana przez ISO/PC 241 dotycząca systemów zarządzania bezpieczeństwem ruchu drogowego.
auditorów w zarządzaniu środowiskowym
Zaleca się, aby wiedza i umiejętności związane z daną dziedziną i stosowaniem specyficznych dla niej metod,
technik, procesów i praktyk były wystarczające do umożliwienia auditorowi badanie systemu zarządzania
i opracowanie odpowiednich ustaleń i wniosków z auditu.
35
EN ISO 19011:2011
Przykłady:
– terminologia z zakresu środowiska;
– miary i statystyki środowiskowe;
– metrologia i techniki monitorowania;
– interakcje ekosystemów i różnorodności biologicznej;
– elementy środowiskowe (np. powietrze, woda, gleba, fauna, flora);
– techniki określania ryzyka (np. ocena aspektów/wpływów środowiskowych, łącznie z metodami oceny ich
znaczenia);
– ocena cyklu życia;
– ocena efektów działań środowiskowych;
– zapobieganie zanieczyszczeniom i ich nadzorowanie (np. najlepsze dostępne techniki nadzoru nad zanieczyszczeniami lub efektywności energetycznej);
– ograniczenie źródeł, minimalizacja odpadów, ponowne użycie, recykling oraz procesy i praktyki postępowania z odpadami;
– stosowanie substancji niebezpiecznych;
– rejestrowanie emisji gazów cieplarnianych i zarządzanie tą emisją;
– zarządzanie zasobami naturalnymi (np. paliwami kopalnymi, wodą, florą i fauną, glebą);
– projektowanie pod kątem środowiska;
– raportowanie i ujawnianie informacji środowiskowych;
– zarządzanie wyrobem;
– technologie odnawialne i niskowęglowe.
UWAGA Dodatkowe informacje, patrz powiązane normy opracowane przez ISO/TC 207 dotyczące zarządzania środowiskowego.
auditorów w zarządzaniu jakością
Zaleca się, aby wiedza i umiejętności związane z daną dziedziną i stosowaniem specyficznej dla niej metod,
technik, procesów i praktyk były wystarczające do umożliwienia auditorowi badanie systemu zarządzania
Przykłady:
– terminologia związana z jakością, zarządzaniem, organizacją, procesami i wyrobami, właściwościami,
zgodnością, dokumentacją, auditami i procesami pomiarowymi;
– zorientowanie na klienta, procesy związane z klientem, monitorowanie i pomiary zadowolenia klienta, postępowanie z reklamacjami, kodeks postępowania, rozwiązywanie sporów;
– przywództwo – rola najwyższego kierownictwa, zarządzanie prowadzące do trwałego sukcesu organizacji – podejście wykorzystujące zarządzanie jakością, realizowanie korzyści finansowych i ekonomicznych
z zarządzania jakością, systemy zarządzania jakością i modele doskonałości;
– zaangażowanie ludzi, czynnik ludzki, kompetencje, szkolenie i świadomość;
– podejście procesowe, analiza procesów, zdolność i techniki nadzorowania, metody postępowania z ryzykiem;
36
EN ISO 19011:2011
– podejście systemowe do zarządzania (podstawy systemów zarządzania jakością, najważniejsze kwestie
systemów zarządzania jakością i innych systemów zarządzania, dokumentacja systemu zarządzania jakością), rodzaje i wartości, projekty, plany jakości, zarządzanie konfiguracją;
– ciągłe doskonalenie, innowacyjność i uczenie się;
– podejmowanie decyzji na podstawie faktów, techniki oceny ryzyka (identyfikacja ryzyka, analiza i ewaluacja),
ocena zarządzania jakością (audit, przegląd i samoocena), techniki pomiarowe i monitorowania, wymagania dotyczące procesów pomiarowych i wyposażenia do pomiarów, analiza przyczyn źródłowych, techniki
statystyczne;
– cechy procesów i wyrobów, łącznie z usługami;
– wzajemnie korzystne powiązania z dostawcami, wymagania systemu zarządzania jakością i wymagania
dotyczące wyrobów, szczególne wymagania dotyczące zarządzania jakością w różnych sektorach.
UWAGA
jakością.
Dodatkowe informacje, patrz powiązane normy opracowywane przez ISO/TC 176 dotyczące zarządzania
auditorów w zarządzaniu zapisami
technik, procesów i praktyk, były wystarczające do umożliwienia auditorowi badania systemu zarządzania
i opracowania odpowiednich ustaleń i wniosków z auditu.
Przykłady:
– zapisy, procesy zarządzania zapisami i systemy zarządzania terminologią zapisów;
– opracowywanie pomiarów i mierników dotyczących efektów działania;
– badanie i ocena praktyk dotyczących zarządzania zapisami poprzez rozmowy, obserwację i weryfikację;
– analiza próbek zapisów powstałych w procesach biznesowych. Kluczowe właściwości zapisów, systemy
prowadzenia zapisów, procesy prowadzenia zapisów i środki nadzoru;
– ocena ryzyka (np. ocena ryzyk związanych z błędami w tworzeniu odpowiednich zapisów dotyczących
procesów biznesowych organizacji, ich utrzymywaniu i nadzorze nad nimi);
– funkcjonowanie i adekwatność procesów prowadzenia zapisów w zakresie tworzenia, zachowywania
i utrzymywania zapisów;
– ocena adekwatności i funkcjonowania systemu zapisów (łącznie z systemami biznesowymi do tworzenia
zapisów i nadzoru nad nimi), przydatność użytych narzędzi technologicznych i stosowanego wyposażenia
oraz urządzeń;
– ocena różnych poziomów kompetencji w zarządzaniu zapisami wymaganych w całej organizacji oraz ocena
tych kompetencji;
– znaczenie treści, kontekstu, struktury, reprezentacji i kontroli informacji (metadane) wymaganych do określenia i zarządzania zapisami i systemem zapisów;
– metody rozwoju instrumentów specyficznych dla zapisów;
– technologie użyte do tworzenia, zachowywania, konwersji i migracji oraz długoterminowej ochrony elektronicznych/cyfrowych zapisów;
– identyfikacja i znaczenie autoryzacji dokumentów dla procesów dotyczących zapisów.
UWAGA
zapisami.
Dodatkowe informacje, patrz powiązane normy opracowane przez ISO/PC 46/SC 11 dotyczące zarządzania
37
EN ISO 19011:2011
A.6 Przykłady przedstawiające specyficzne dla danej dziedziny wiedzę i umiejętności auditorów w zarządzaniu rezyliencją, bezpieczeństwem, gotowością i ciągłością
działania
technik, procesów i praktyk, były wystarczające do umożliwienia auditorowi badania systemu zarządzania
i opracowania odpowiednich ustaleń i wniosków z auditu.
Przykłady:
– procesy, nauka i technologia leżące u podstaw zarządzania rezyliencją, bezpieczeństwem, gotowością,
reakcją, ciągłością działania i odtwarzaniem działalności;
– metody zbierania i monitorowania informacji;
– zarządzanie ryzykami wystąpienia zdarzeń zakłócających (przewidywanie, unikanie, zapobieganie, ochrona,
łagodzenie, reakcja na zdarzenie zakłócające i odtwarzanie działalności po jego wystąpieniu);
– ocena ryzyka (identyfikacja i wycena aktywów; oraz identyfikacja, analiza i ewaluacja) oraz analiza wpływu
(dotyczącego człowieka, materialnych i niematerialnych aktywów, a także środowiska);
– postępowanie z ryzykiem (mierniki adaptywne, proaktywne i reaktywne);
– metody i praktyki dotyczące integralności i wrażliwości informacji;
– metody dotyczące bezpieczeństwa personelu i ochrony osób;
– metody i praktyki dotyczące ochrony aktywów i fizycznej ochrony;
– metody i praktyki dotyczące zapobiegania, powstrzymywania i zarządzania bezpieczeństwem;
– metody i praktyki dotyczące łagodzenia efektów incydentów, reagowania w sytuacjach awaryjnych i zarządzania kryzysowego;
– metody i praktyki dotyczące zarządzania ciągłością działania, zarządzania w sytuacjach awaryjnych oraz
odtwarzaniem działalności;
– metody i praktyki dotyczące monitorowania, pomiaru i raportowania efektywności działań (łącznie z metodologią ćwiczeniową i testową).
UWAGA Dodatkowe informacje, patrz powiązane normy opracowane przez ISO/TC 8, ISO/TC 223 i ISO/TC 247 dotyczące zarządzania rezyliencją, bezpieczeństwem, gotowością i ciągłością działania.
auditorów w zarządzaniu bezpieczeństwem informacji
technik, procesów i praktyk, były wystarczające do umożliwienia auditorowi badanie systemu zarządzania
Przykłady:
– wytyczne zawarte w normach takich jak ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27003,
ISO/IEC 27004 oraz ISO/IEC 27005;
– identyfikacja i ocena wymagań klientów i stron zainteresowanych;
– prawo i przepisy dotyczące bezpieczeństwa informacji (np. własność intelektualna; treść, ochrona i przechowywanie zapisów organizacji; ochrona i prywatność danych; przepisy dotyczące zabezpieczeń kryptograficznych; antyterroryzm; handel elektroniczny; elektroniczne i cyfrowe podpisy; nadzór nad miejscem
pracy; ergonomia miejsca pracy; przechwycenie telekomunikacyjne i monitorowanie danych (np. e-mail),
nadużycie komputerów, zbieranie dowodów elektronicznych, testowanie penetracyjne itd.);
38
EN ISO 19011:2011
– procesy, nauka i technologia leżące u podstaw zarządzania bezpieczeństwem informacji;
– ocena ryzyka (identyfikacja, analiza i ewaluacja) i trendy w technologii, zagrożenia i podatności;
– zarządzanie ryzykiem bezpieczeństwa informacji;
– metody i praktyki dotyczące środków zabezpieczeń informacji (elektroniczne i fizyczne);
– metody i praktyki dotyczące integralności i wrażliwości informacji;
– metody i praktyki dotyczące pomiaru i oceny skuteczności systemu zarządzania bezpieczeństwem informacji
i powiązanych środków kontroli;
– metody i praktyki dotyczące pomiaru, monitorowania i zapisu efektów działania (łącznie z testami, auditami
i przeglądami).
UWAGA Dodatkowe informacje, patrz powiązane normy opracowane przez ISO/IEC JTC 1/SC 27 dotyczące zarządzania
bezpieczeństwem informacji.
auditorów w zakresie zarządzania bezpieczeństwem i higieną pracy
A.8.1 Ogólna wiedza i umiejętności
technik, procesów i praktyk, były wystarczające do umożliwienia auditorowi badanie systemu zarządzania
Przykłady:
– identyfikacja zagrożeń, łącznie z wymienionymi i innymi czynnikami mającymi wpływ na działanie człowieka
w miejscu pracy (takie jak czynniki fizyczne, chemiczne i biologiczne, jak również płeć, wiek, niepełnosprawność lub inne czynniki fizjologiczne, psychologiczne lub zdrowotne);
– ocena ryzyka, określenie środków nadzoru oraz komunikacji odnośnie do ryzyka [zaleca się, aby określanie
środków nadzoru opierało się na „hierarchii środków nadzoru” (patrz OHSAS 18001:2007, 4.3.1)];
– ocena czynników ludzkich i zdrowotnych (łącznie z czynnikami fizjologicznymi i psychologicznymi) oraz
zasady ich oceny;
– metody monitorowania narażenia i oceny ryzyka zawodowego (w tym wynikającego z czynników ludzkich
wymienionych powyżej lub dotyczących higieny pracy) i związane z nimi strategie eliminowania lub minimalizacji narażenia;
– ludzkie zachowania, interakcje między osobami oraz między człowiekiem a maszynami, procesami i środowiskiem pracy (w tym miejsce pracy, zasady projektowania z uwzględnieniem bezpieczeństwa i ergonomii),
technologie informacyjne i komunikacyjne;
– ocena różnych typów i poziomów kompetencji w zakresie bezpieczeństwa i higieny pracy, wymaganych
w całej organizacji i ocena tych kompetencji;
– metody zachęcania do udziału i zaangażowania pracowników;
– metody zachęcania pracowników do dbania o zdrowie lub dobre samopoczucie i do samoodpowiedzialności
za własne zdrowie (w związku z paleniem tytoniu, używaniem narkotyków i alkoholu, problemów związanych
z wagą, aktywnością fizyczną, stresem, agresją itp.) zarówno w godzinach pracy jak i w życiu prywatnym;
– rozwój, stosowanie i ocena proaktywnych i reaktywnych miar i mierników działalności;
– zasady i praktyki identyfikowania potencjalnych sytuacji awaryjnych oraz planowania na wypadek awarii,
zapobiegania, reakcji i odtwarzania działalności po sytuacji awaryjnej;
– metody badania i oceny zdarzeń (łącznie z wypadkami przy pracy i chorobami zawodowymi);
39
EN ISO 19011:2011
– określanie i wykorzystywanie informacji dotyczących zdrowia (łącznie z monitorowaniem danych dotyczących narażeń zawodowych i zachorowań) – ale ze szczególnym uwzględnieniem poufności poszczególnych
aspektów takich informacji;
– rozumienie informacji medycznej (łącznie z terminologią medyczną w stopniu wystarczającym do zrozumienia danych związanych z zapobieganiem urazom i zachorowaniom);
– systemy granicznych wartości „ekspozycji zawodowej”;
– metody monitorowania i raportowania efektów działań związanych z bezpieczeństwem i higieną pracy;
– rozumienie prawnych i pozostałych wymagań odnoszących się do zdrowia i bezpieczeństwa pracy w stopniu
wystarczającym do tego, aby auditor mógł dokonać oceny systemu zarządzania bezpieczeństwem i higieną
pracy.
A.8.2 Wiedza i umiejętności związane z auditowanym sektorem
Zaleca się, aby wiedza i umiejętności związane z auditowanym sektorem były wystarczające do umożliwienia
auditorowi badania systemu zarządzania w ramach kontekstu sektora i opracowania odpowiednich ustaleń
i wniosków z auditu.
Przykłady:
– procesy, wyposażenie, surowce, substancje niebezpieczne, cykle procesów, utrzymanie, logistyka, organizacja przepływu pracy, praktyki pracy, harmonogram zmianowości, kultura organizacyjna, przywództwo,
zachowania oraz inne aspekty specyficzne dla działania lub sektora;
– typowe zagrożenia i ryzyka dotyczące sektora, łącznie z czynnikami ludzkimi i zdrowotnymi.
UWAGA Dodatkowe informacje, patrz powiązane normy opracowane przez grupę projektową OHSAS dotyczące zarządzania bezpieczeństwem i higieną pracy.
40
EN ISO 19011:2011
Załącznik B
(informacyjny)
Dodatkowe wytyczne dla auditorów dotyczące planowania
i przeprowadzania auditów
B.1 Stosowanie metod auditu
Audit może być przeprowadzony z zastosowaniem szeregu metod auditu. W niniejszym załączniku zamieszczono
wyjaśnienie dotyczące powszechnie stosowanych metod auditu. Wybrana metoda auditu zależy zarówno od
zdefiniowanych celów, zakresu i kryteriów auditu, jak i od czasu jego trwania i lokalizacji. Zaleca się uwzględnianie także dostępnych kompetencji auditora i wszelkich niepewności wynikających ze stosowania metody
auditu. Stosowanie różnych metod i ich kombinacji może zoptymalizować efektywność i skuteczność procesu
auditowania i jego wyników.
Wykonanie auditu wiąże się z interakcją pomiędzy pojedynczymi osobami a auditowanym systemem zarządzania i technikami używanymi do przeprowadzenia auditu. W Tablicy B.1 przedstawiono przykłady metod auditu,
które mogą być stosowane pojedynczo lub w połączeniu, w celu osiągnięcia celów auditu. Jeżeli audit angażuje
wieloosobowy zespół auditujący, zarówno metody na miejscu jak i zdalne mogą być stosowane jednocześnie.
UWAGA
Dodatkowe informacje na temat wizyt na miejscu podano w Rozdziale B.6.
Tablica B.1 – Stosowane metody auditu
Zakres zaangażowania
pomiędzy auditorem
i auditowanym
Interakcja osobowa
Lokalizacja auditora
Na miejscu
Zdalna
Przeprowadzanie rozmów.
Przez interaktywne środki komunikacji:
Wypełnianie list kontrolnych i kwestionariuszy z udziałem auditowanego.
– przeprowadzanie rozmów;
Dokonywanie przeglądu
z udziałem auditowanego.
dokumentacji
Pobieranie próbek.
Dokonywanie przeglądu dokumentacji (np.
zapisów, analiza danych).
Brak interakcji osobowej
Obserwacja wykonywanej pracy.
Przeprowadzanie wizyt na miejscu.
Wypełnianie list kontrolnych.
Pobieranie próbek (np. wyrobów)
–wypełnianie list kontrolnych i kwestionariuszy;
–dokonywanie przeglądu dokumentacji
z udziałem auditowanego
Dokonywanie przeglądu dokumentacji (np.
zapisów, analiza danych).
Obserwacja wykonywanej pracy przez środki
nadzoru, z uwzględnieniem wymagań socjalnych i prawnych.
Analizowanie danych
Działania auditowe na miejscu są wykonywane w miejscu lokalizacji auditowanego. Zdalne działania auditowe są wykonywane w jakimkolwiek miejscu innym niż lokalizacja auditowanego, niezależnie od odległości.
Interaktywne działania auditowe wiążą się z interakcją pomiędzy personelem auditowanego a zespołem auditującym.
Nieinteraktywne działania auditowe wiążą się z brakiem interakcji osobowej z osobami reprezentującymi auditowanego,
ale wiążą się z interakcją ze sprzętem, wyposażeniem i dokumentacją.
Odpowiedzialność za skuteczne zastosowanie metod auditu na etapie planowania danego auditu ponosi
osoba zarządzająca programem auditów albo auditor wiodący. Auditor wiodący ponosi odpowiedzialność za
przeprowadzenie działań auditowych.
Wykonalność zdalnych metod auditu może zależeć od poziomu zaufania pomiędzy auditorem a personelem
auditowanego.
Zaleca się, aby na poziomie programu auditów, zapewnić, że użycie metod auditu zdalnych i na miejscu jest
odpowiednie i wyważone, w celu zapewnienia satysfakcjonującego osiągnięcia celów programu auditów.
41
EN ISO 19011:2011
B.2 Przeprowadzanie przeglądu dokumentów
Zaleca się, aby auditorzy zwracali uwagę, czy:
– informacja zawarta w dokumentacji jest:
– kompletna (oczekiwana zawartość jest zawarta w dokumencie);
– poprawna (zawartość jest zgodna z innymi wiarygodnymi źródłami, takimi jak normy i przepisy);
– spójna (dokument jest spójny wewnętrznie i z dokumentami związanymi);
– aktualna (zawartość jest zaktualizowana);
– dokumenty podlegające przeglądowi obejmują zakres auditu i dostarczają informacji wystarczających do
wpierania celów auditu;
– użycie technologii informacyjnych i komunikacyjnych, zależnie od metod auditu, wspiera efektywne przeprowadzanie auditu: szczególną uwagę należy zwrócić na bezpieczeństwo informacji wynikające z mających
zastosowanie przepisów o ochronie danych (w szczególności informacji, które wykraczają poza zakres
auditu, ale są zawarte w dokumentach).
UWAGA Przegląd dokumentów może wskazywać na skuteczność nadzorowania dokumentów w ramach systemu zarządzania auditowanego.
B.3 Pobieranie próbek
B.3.1 Postanowienia ogólne
Pobieranie próbek auditowych ma miejsce, kiedy zbadanie wszystkich dostępnych informacji podczas auditu
jest niepraktyczne i nieefektywne kosztowo, np. zapisy są zbyt liczne lub za bardzo rozproszone geograficznie,
aby uzasadnić zbadanie każdego elementu w populacji. Pobieranie próbek auditowych z dużej populacji jest
procesem wyboru mniej niż 100 % elementów ze wszystkich dostępnych zbiorów w danych (populacji) mającym na celu otrzymanie i ocenę dowodu na temat niektórych właściwości tej populacji, w celu sformułowania
wniosku dotyczącego populacji.
Celem pobierania próbek auditowych jest dostarczenie informacji auditorowi, aby mieć pewność, że cele auditu
będą lub mogą być osiągnięte.
Ryzyko związane z pobieraniem próbki polega na tym, że próbki mogą nie być reprezentatywne dla populacji,
z której zostały pobrane, i z tego powodu wnioski auditora mogą być stronnicze i różne od osiągniętych, gdyby
cała populacja była badana. W zależności od zmienności w populacji, z której pobierane są próbki i wybranej
metody mogą wystąpić inne ryzyka.
Pobieranie próbek auditowych zwykle obejmuje następujące etapy:
– określenie celów planu pobierania próbek;
– wybór zakresu i składu populacji, podlegającej pobieraniu próbek;
– wybór metody pobierania próbek;
– określenie rozmiaru pobieranej próbki;
– realizację pobierania próbek;
– kompilację, ocenianie, raportowanie i dokumentowanie wyników.
Podczas pobierania próbek, zaleca się wziąć pod uwagę jakość dostępnych danych, ponieważ pobieranie próbek
niewystarczających i niedokładnych danych nie doprowadzi do użytecznego wyniku. Zaleca się, aby wyboru
odpowiedniej próbki dokonywać na podstawie zarówno metody pobierania próbek, jak i rodzaju wymaganych
danych, np. aby wyciągnąć wnioski co do konkretnego wzoru zachowań lub nakreślić wnioski dotyczące całej
populacji.
42
EN ISO 19011:2011
W raportowaniu na temat wybranej próbki można wziąć pod uwagę rozmiar próbki, metodę wyboru i oceny
dokonane na podstawie próbki oraz poziom ufności oceny.
W audicie można stosować pobieranie próbek oparte na osądzie (patrz B.3.2) lub statystyczne pobieranie
próbek (patrz B.3.3).
B.3.2 Pobieranie próbek oparte na osądzie
Pobieranie próbek oparte na osądzie zależy od wiedzy, umiejętności i doświadczenia zespołu auditującego
(patrz Rozdział 7).
W przypadku pobierania próbek opartych na osądzie można uwzględnić:
– poprzednie doświadczenia auditowe w ramach zakresu auditu;
– złożoność wymagań (łącznie z wymaganiami prawnymi) do osiągnięcia celów auditu;
– złożoność i interakcję procesów organizacji i elementów systemu zarządzania;
– stopień zmian w technologii, czynnik ludzki lub system zarządzania;
– poprzednio zidentyfikowane kluczowe obszary ryzyka i obszary doskonalenia;
– wynik z monitorowania systemów zarządzania.
Wadą pobierania próbek na podstawie osądu jest brak statystycznego oszacowania wpływu niepewności na
ustalenia i wnioski z auditu.
B.3.3 Statystyczne pobieranie próbek
Jeżeli zdecydowano się stosować statystyczne pobieranie próbek, zaleca się, aby plan pobierania próbek był
oparty na celach auditu i na tym, co wiadomo o właściwościach całej populacji, z której próbki będą pobierane.
– W projekcie statystycznego pobierania próbek stosuje się proces wyboru próbki na podstawie teorii prawdopodobieństwa. Pobieranie próbek w celu oceny metodą alternatywną jest stosowane, gdy możliwe są tylko
dwa wyniki oceny dla każdej próbki (np. poprawny/niepoprawny lub udany/nieudany). Pobieranie próbek
w celu oceny metodą liczbową jest stosowane, gdy wyniki oceny próbki występują w skali ciągłej.
– Zaleca się, aby plan pobierania próbek uwzględniał, czy badane wyniki mają cechy bardziej danych alternatywnych czy liczbowych. Na przykład kiedy ocenia się zgodność wypełnionych formularzy z wymaganiami
zawartymi w procedurze, można zastosować metodę alternatywną. Kiedy bada się występowanie incydentów
dotyczących bezpieczeństwa żywności lub liczbę złamań zasad bezpieczeństwa, metoda liczbowa byłaby
prawdopodobnie bardziej odpowiednia.
– Kluczowe elementy, które wypływają na plan pobierania próbek, to:
– wielkość organizacji;
– liczba kompetentnych auditorów;
– częstość auditów w roku;
– czas danego auditu;
– zewnętrznie wymagany poziom ufności.
– Ważnym aspektem przy opracowywaniu planu pobierania próbek jest poziom ryzyka związany z pobieraniem
próbek, który auditor jest w stanie zaakceptować. Często określa się to jako akceptowalny poziom ufności.
Na przykład, ryzyko pobierania próbek 5 % odpowiada akceptowalnemu poziomowi ufności 95 %. Ryzyko
pobierania próbek o wartości 5 % oznacza, że auditor jest w stanie zaakceptować ryzyko, że 5 na 100 (lub
1 na 20) zbadanych próbek nie będzie odzwierciedlać faktycznych wartości, które byłyby uzyskane, gdyby
badaniu podlegała cała populacja.
43
EN ISO 19011:2011
– Zaleca się, aby auditorzy odpowiednio dokumentowali swoją pracę, kiedy stosowane jest statystyczne
pobieranie próbek. Zaleca się, aby uwzględniać opis populacji przewidzianej do pobrania próbki, użyte do
oceny kryteria pobierania próbek (np. co jest próbką akceptowalną), parametry i metody statystyczne, które
zastosowano, liczbę ocenionych próbek i uzyskane wyniki.
B.4 Przygotowanie dokumentów roboczych
Podczas przygotowania dokumentów roboczych, zaleca się, aby zespół auditujący uwzględnił poniższe pytania
dla każdego dokumentu:
a) Jakie zapisy z auditu powstaną z wykorzystaniem tego dokumentu roboczego?
b) Które działanie auditowe jest związane z tym konkretnym dokumentem roboczym?
c) Kto będzie użytkownikiem tego dokumentu roboczego?
d) Jakie informacje są potrzebne do przygotowania tego dokumentu roboczego?
W przypadku auditów połączonych, w celu uniknięcia powielania działań auditowych, zaleca się przygotowanie
dokumentów roboczych poprzez:
– grupowanie podobnych wymagań z różnych kryteriów;
– koordynowanie zawartości powiązanych ze sobą list kontrolnych i kwestionariuszy.
Zaleca się, aby dokumenty robocze uwzględniały wszystkie elementy systemu zarządzania w ramach zakresu
auditu i mogły być przestawione w dowolnej formie.
B.5 Wybór źródeł informacji
Źródła wybranych informacji mogą się różnić w zależności od zakresu i złożoności auditu i mogą obejmować:
– rozmowy z zatrudnionymi i innymi osobami;
– obserwacje działań oraz warunków otoczenia i środowiska pracy;
– dokumenty, takie jak polityka, cele, plany, procedury, normy, instrukcje, licencje i pozwolenia, specyfikacje,
rysunki, umowy i zamówienia;
– zapisy, takie jak zapisy z kontroli, protokoły spotkań, raporty z auditu, zapisy z programów monitorowania
i wyniki pomiarów;
– podsumowania danych, analizy i wskaźniki działalności;
– informacje dotyczące planów pobierania próbek stosowanych przez auditowanego i procedur nadzorowania
procesów pobierania próbek i procesów pomiarowych;
– raporty z innych źródeł, np. informacje zwrotne od klienta, badania i pomiary zewnętrzne oraz inne istotne
informacje od stron zewnętrznych oraz oceny dostawców;
– bazy danych i strony internetowe;
– symulacje i modelowanie.
B.6 Wytyczne dotyczące wizytowania lokalizacji auditowanego
Aby minimalizować zakłócenie działaniami auditowymi procesu pracy auditowanego oraz aby podczas wizyty
zapewnić zdrowie i bezpieczeństwo zespołowi auditującemu, zaleca się zwrócenie uwagi na:
44
EN ISO 19011:2011
a) planowanie wizyty:
– zapewnić pozwolenia i dostęp to tych części lokalizacji auditowanego, które mają być wizytowane
zgodnie z zakresem auditu;
– dostarczyć odpowiednich informacji (np. poprzez odprawy) auditorom na temat bezpieczeństwa i higieny pracy (np. kwarantanny), spraw związanych z bezpieczeństwem i higieną pracy oraz standardów
kulturowych w czasie wizyty, łącznie z wymaganymi i zalecanymi szczepieniami i pozwoleniami, jeśli
ma to zastosowanie;
– potwierdzić z auditowanym, że wszelkie wymagane środki ochrony indywidualnej (PPE) będą dostępne
dla zespołu auditującego, jeśli ma to zastosowanie;
– z wyjątkiem nieplanowanych auditów ad hoc, potwierdzić, że personel zostanie poinformowany o celach
i zakresie auditu;
b) działania na miejscu:
– unikać niepotrzebnych zakłóceń w procesach operacyjnych;
– zapewnić, aby zespół auditujący odpowiednio używał PPE;
– zapewnić, aby procedury awaryjne zostały zakomunikowane (np. wyjścia ewakuacyjne, miejsca zbiórki);
– zaplanować komunikację, aby zminimalizować dezorganizację;
– przystosować wielkość zespołu auditującego i liczbę przewodników i obserwatorów zgodnie z zakresem
auditu, w celu uniknięcia przeszkadzania w procesach operacyjnych tak dalece, jak to jest praktycznie
wykonalne;
– nie dotykać ani nie manipulować jakimkolwiek sprzętem, chyba że wyraźnie na to zezwolono, nawet
kiedy posiada się do tego kompetencje i stosowne uprawnienia;
– jeżeli zdarzy się incydent podczas wizyty na miejscu, zaleca się, aby auditor wiodący dokonał przeglądu sytuacji z auditowanym, i jeżeli to konieczne, z klientem auditu i osiągnął porozumienie czy audit
powinien zostać przerwany, przełożony na później czy kontynuowany;
– w przypadku robienia zdjęć lub materiału wideo, zapytać wcześniej kierownictwo o pozwolenie i wziąć
pod uwagę sprawę bezpieczeństwa i poufności oraz unikać robienia zdjęć poszczególnym osobom bez
ich zezwolenia;
– w przypadku kopiowania dokumentów jakiegokolwiek rodzaju, spytać wcześniej o pozwolenie i wziąć
pod uwagę sprawę bezpieczeństwa i poufności;
– przy robieniu notatek, unikać zbierania informacji osobistych, chyba że w celach lub kryteriach jest to
wymagane.
B.7 Prowadzenie rozmów
Rozmowy są jednym z ważniejszych sposobów zbierania informacji i zaleca się, aby były przeprowadzone
w sposób dostosowany do sytuacji i osób, z którymi prowadzona jest rozmowa, zarówno bezpośrednio, jak i za
pomocą innych środków komunikacyjnych. Jednak zaleca się, aby auditor rozważył:
– prowadzenie rozmów z osobami z właściwych szczebli i funkcji wykonujących czynności lub zadania w ramach zakresu auditu;
– prowadzenie rozmów podczas normalnych godzin ich pracy i jeżeli to praktyczne, w normalnym miejscu
pracy osób auditowanych;
– podejmowanie starań w celu ograniczenia zdenerwowania osoby auditowanej zarówno przed rozmową,
jak i w jej trakcie;
– wyjaśnianie powodu prowadzenia rozmowy oraz robienia notatek;
45
EN ISO 19011:2011
– możliwość rozpoczęcia rozmowy od poproszenia osób o opisanie swojej pracy;
– staranne dobieranie rodzaju zadawanych pytań (np. otwarte, zamknięte, naprowadzające);
– podsumowanie i przegląd wyników rozmowy z osobą, z którą była ona prowadzona;
– podziękowanie osobom, z którymi prowadzono rozmowy, za ich udział i współpracę.
B.8 Ustalenia z auditu
B.8.1 Określanie ustaleń z auditu
Podczas określania ustaleń z auditu zaleca się rozważyć:
– sprawdzenie zapisów i wniosków z poprzedniego auditu;
– wymagania klienta auditu;
– ustalenia wykraczające poza zwykłą praktykę lub możliwości doskonalenia;
– rozmiar próbki;
– kategoryzowanie (jeżeli dotyczy) ustaleń z auditu.
B.8.2 Odnotowywanie zgodności
W przypadku odnotowywania zgodności zaleca się rozważyć:
– identyfikację kryteriów auditu z którymi wykazuje się zgodność;
– dowód z auditu potwierdzający zgodność;
– deklarację zgodności, jeśli ma to zastosowanie.
B.8.3 Odnotowywanie niezgodności
W przypadku odnotowywania niezgodności zaleca się rozważyć:
– opis lub odniesienie się do kryteriów auditu;
– deklarację niezgodności;
– dowód z auditu;
– związane ustalenia z auditu, jeśli ma to zastosowanie.
B.8.4 Postępowanie z ustaleniami odnoszącymi się do wielu kryteriów
Podczas auditu możliwe jest zidentyfikowanie ustaleń odnoszących się do wielu kryteriów. Jeżeli auditor podczas
auditu połączonego, zidentyfikuje ustalenie powiązane z jednym kryterium, zaleca się, aby zwrócił uwagę na
możliwy wpływ na odpowiednie lub podobne kryteria innych systemów zarządzania.
W zależności od uzgodnień z klientem auditu, auditor może określić albo:
– oddzielne ustalenia dla każdego kryterium; albo
– jedno ustalenie, łącznie z odniesieniami do wielu kryteriów.
W zależności od uzgodnień z klientem auditu, auditor może dać wskazówki auditowanemu, jak odpowiedzieć
na takie ustalenia.
46
EN ISO 19011:2011
Bibliografia
[1]
ISO 2859-4, Sampling procedures for inspection by attributes – Part 4: Procedures for assessment of
declared quality levels
[2]
ISO 9000:2005, Quality management systems – Fundamentals and vocabulary
[3]
ISO 9001, Quality management systems – Requirements
[4]
ISO 14001, Environmental management systems – Requirements with guidance for use
[5]
ISO 14050, Environmental management – Vocabulary
[6]
ISO/IEC 17021:2011, Conformity assessment – Requirements for bodies providing audit and certification
of management systems
[7]
ISO/IEC 20000-1, Information technology – Service management – Part 1: Service management system
requirements
[8]
ISO 22000, Food safety management systems – Requirements for any organization in the food chain
[9]
ISO/IEC 27000, Information technology – Security techniques – Information security management systems – Overview and vocabulary
[10] ISO/IEC 27001, Information technology – Security techniques – Information security management systems – Requirements
[11] ISO/IEC 27002, Information technology – Security techniques – Code of practice for information security
management
[12] ISO/IEC 27003, Information technology – Security techniques – Information security management system
implementation guidance
[13] ISO/IEC 27004, Information technology – Security techniques – Information security management – Measurement
[14] ISO/IEC 27005, Information technology – Security techniques – Information security risk management
[15] ISO 28000, Specification for security management systems for the supply chain
[16] ISO 303011), Information and documentation – Management system for records – Requirements
[17] ISO 31000, Risk management – Principles and guidelines
[18] ISO 390012), Road traffic safety (RTS) management systems – Requirements with guidance for use
[19] ISO 50001, Energy management systems – Requirements with guidance for use
[20] ISO Guide 73:2009, Risk management – Vocabulary
[21] OHSAS 18001:2007, Occupational health and safety management systems – Requirements
[22] ISO 9001 Auditing Practices Group, dokumenty dostępne na stronie internetowej:
www.iso.org/tc176/ISO9001AuditingPracticesGroup
[23] ISO 19011 additional guidelines2) dostępne na stronie internetowej: www.iso.org/19011auditing
1)
2)
Zostanie opublikowana.
W opracowaniu.
47
ISBN 978-83-275-0435-7
Polski Komitet Normalizacyjny
ul. Świętokrzyska 14, 00-050 Warszawa
http://www.pkn.pl

PN-EN ISO 19011

Transkrypt

Podobne dokumenty

opis szkolenia

bez tytułu

certyfikat

Raport z auditu

Wewnętrzne audity jakości

QMS LAC-PL Opis kursu Zapraszamy!