EA-7/05 Wytyczne EA dotyczące zastosowania normy ISO/IEC 17021:2006 w auditach połączonych

Transkrypt

1 Numer publikacji EA-7/05 Wytyczne EA dotyczące zastosowania normy ISO/IEC 17021:2006 w auditach połączonych CEL Niniejszy dokument został przygotowany przez grupę zadaniową pod kierunkiem Komitetu EA ds. Certyfikacji (European Co-operation for Accreditation) w celu harmonizacji ogólnych zasad, które zaleca się stosować w auditach połączonych systemów zarządzania (bez względu na połączenie). październik 2008 r. wyd. 00 Strona 1 / 16

2 Autorstwo Publikacja została przygotowana przez grupę zadaniową Komitetu EA ds. Certyfikacji. Język oficjalny Niniejszy tekst może być przetłumaczony na inne języki, w razie takiej potrzeby. Angielska wersja językowa jest wersją rozstrzygającą. Prawa autorskie Właścicielem praw autorskich do niniejszego tekstu jest EA. Tekst ten nie może być kopiowany w celu sprzedaży. Dalsze informacje Dalsze informacje o niniejszej publikacji można uzyskać od krajowej jednostki akredytującej członka EA lub Przewodniczącego Komitetu EA ds. Certyfikacji. Aktualne informacje znajdują się na stronach Kategoria 2 Dokumenty wspierające EA MLA Data zatwierdzenia: 25 października 2008 r. Data wdrożenia: 25 października 2009 r. Okres przejściowy: Wprowadzenie do tłumaczenia: Oryginał publikacji: EA-7/05 EA Guidance on the Application of ISO/IEC 17021:2006 for Combined Audits; October 2008, rev00 Tłumaczenie: Polskie Centrum Akredytacji, r., Tekst tłumaczenia nie może być kopiowany w celu sprzedaży. Tekst tłumaczenia uzupełniono odsyłaczami zawierającymi przypisy PCA, dodatkowo objaśniające pewne partie tłumaczenia. październik 2008 r. wyd. 00 Strona 2 / 16

3 Przedmowa Niniejszy dokument został przygotowany przez grupę zadaniową pod kierunkiem Komitetu EA ds. Certyfikacji w celu harmonizacji ogólnych zasad, które zaleca się stosować w auditach połączonych systemów zarządzania (bez względu na połączenie). Grupa robocza składała się z przedstawicieli europejskich jednostek akredytujących oraz udziałowców reprezentujących akredytowane jednostki certyfikujące systemy zarządzania. Układ niniejszego dokumentu odpowiada układowi normy ISO/IEC 17021:2006. Termin powinien 1 jest używany w niniejszym dokumencie do wskazania tych postanowień, które, odzwierciedlając wymagania normy ISO/IEC 17021:2006, są obowiązkowe. Termin zaleca się 2 jest używany w niniejszym dokumencie do wskazania wytycznych, które, chociaż nie są obowiązkowe, zostały przedstawione jako uznany sposób spełnienia wymagań. 1 W oryginale używane jest słowo shall 2 W oryginale używane jest słowo should październik 2008 r. wyd. 00 Strona 3 / 16

4 SPIS TREŚCI WPROWADZENIE ZAKRES POWOŁANIA NORMATYWNE TERMINY I DEFINICJE ZASADY WYMAGANIA OGÓLNE WYMAGANIA DOTYCZĄCE STRUKTURY ORGANIZACYJNEJ WYMAGANIA DOTYCZĄCE ZASOBÓW WYMAGANIA DOTYCZĄCE INFORMACJI Informacje dostępne publicznie Dokumenty certyfikacyjne Wykaz certyfikowanych klientów Powoływanie się na certyfikację i stosowanie znaków Poufność Wymiana informacji pomiędzy jednostką certyfikującą a jej klientami WYMAGANIA DOTYCZĄCE PROCESU Wymagania ogólne Audit certyfikacyjny i certyfikacja Działania w nadzorze Ponowna certyfikacja Audity specjalne Zawieszanie, cofanie lub ograniczanie zakresu certyfikacji Odwołania Skargi Zapisy dotyczące wnioskodawców i klientów WYTYCZNE DOTYCZĄCE SYSTEMU ZARZĄDZANIA JEDNOSTEK CERTYFIKUJĄCYCH ZAŁĄCZNIK 1 SKRÓCENIE CZASU ZAŁĄCZNIK 2 PRZYKŁAD: AUDITOWANIE AUDITU WEWNĘTRZNEGO październik 2008 r. wyd. 00 Strona 4 / 16

5 WPROWADZENIE Niniejszy dokument ustanawia wytyczne dotyczące zastosowania normy ISO/IEC 17021:2006 w planowaniu i przeprowadzaniu auditów połączonych. Wszystkie postanowienia normy ISO/IEC 17021:2006 mają w dalszym ciągu zastosowanie a niniejsze wytyczne nie unieważniają jakichkolwiek wymagań tej normy. Celem niniejszego dokumentu jest ustanowienie wytycznych dotyczących auditów połączonych oraz, jeżeli to jest właściwe, certyfikacji systemu(-ów) zarządzania organizacji w odniesieniu do dwóch lub więcej zbiorów kryteriów auditu. Termin powinien jest stosowany w niniejszym dokumencie do wskazania tych postanowień, które, odzwierciedlając wymagania normy ISO/IEC 17021:2006, są obowiązkowe. Termin zaleca się jest stosowany w niniejszym dokumencie do wskazania wytycznych, które, chociaż nie są obowiązkowe, zostały ustanowione przez EA jako uznany sposób spełnienia wymagań. Jednostki certyfikujące, które przeprowadzają audity połączone oraz nie stosują wytycznych EA pod jakimś względem, będą uprawnione do powoływania się na akredytację na certyfikatach, wydanych w wyniku przeprowadzenia auditu połączonego, tylko wtedy, jeżeli wykażą jednostce akredytującej, że ich rozwiązania w równoważny sposób spełniają stosowne postanowienia normy ISO/IEC 17021:2006. Należy zwrócić uwagę na to, że załączniki na końcu niniejszego dokumentu są także częścią podanych wytycznych i tak je należy traktować. 1. ZAKRES Wytyczne EA do Rozdziału 1 Niniejsze wytyczne skupiają się na sytuacji, w której audit połączony obejmuje normy dotyczące systemów zarządzania, uwzględniające rozmaite elementy ryzyka w organizacji (np. jakość, środowisko, bezpieczeństwo, ochrona, itd.). Bywają sytuacje, w których norma (np. TL 9000, AS/EN 9100, itd.) zawiera wszystkie wymagania innej normy (t.j. ISO 9001). W takich przypadkach, przeprowadzając audit w odniesieniu do jednej normy (np. TL, AS), można także udzielić certyfikacji w odniesieniu do ISO 9001 (o ile zakres jest ten sam) wyłącznie na podstawie auditu w odniesieniu do TL lub AS. Punkt G oraz Załącznik 1 nie zostały opracowane z uwzględnieniem tej sytuacji. 2. POWOŁANIA NORMATYWNE Wytyczne EA dotyczące Rozdziału 2 3. TERMINY I DEFINICJE Wytyczne EA dotyczące Rozdziału 3 G 3.1 Następujące definicje mają zastosowanie w niniejszych wytycznych EA: październik 2008 r. wyd. 00 Strona 5 / 16

6 Audit połączony: Audit połączony jest auditem systemu(-ów) zarządzania organizacji w odniesieniu do 2 lub więcej zbiorów kryteriów auditu / norm, przeprowadzonym w tym samym czasie. Zintegrowany system zarządzania (IMS): Dla celów niniejszego dokumentu, IMS jest jednym pojedynczym systemem zarządzania, używanym przez organizację do zarządzania wieloma aspektami sprawności organizacyjnej w celu spełnienia wymagań więcej niż jednej normy dotyczącej systemu zarządzania. Uwaga 1: Systemy zarządzania mogą znajdować się na różnych poziomach integracji. Patrz Załącznik nr 1. Uwaga 2: Dla celów niniejszego dokumentu, kryteria auditu oznaczają normy dotyczące systemu zarządzania, stosowane jako podstawa w ocenie zgodności oraz certyfikacji (np. ISO 9001, ISO 14001, ISO 27001, itd.). 4. ZASADY Wytyczne EA dotyczące Rozdziału 4 5. WYMAGANIA OGÓLNE Wytyczne EA dotyczące Rozdziału 5 6. WYMAGANIA DOTYCZĄCE STRUKTURY ORGANIZACYJNEJ Wytyczne EA dotyczące Rozdziału 6 7. WYMAGANIA DOTYCZĄCE ZASOBÓW Wytyczne EA dotyczące Rozdziału 7 8. WYMAGANIA DOTYCZĄCE INFORMACJI 8.1 Informacje dostępne publicznie Wytyczne EA dotyczące Rozdziału 8.1 G Informacje te powinny zawierać szczegóły dotyczące procesu prowadzenia auditów połączonych przez jednostkę certyfikującą. 8.2 Dokumenty certyfikacyjne Wytyczne EA dotyczące Rozdziału 8.2 październik 2008 r. wyd. 00 Strona 6 / 16

7 G Zaleca się, aby dokumenty certyfikacyjne, wydawane w wyniku auditu połączonego, były wydawane w formie: pojedynczego certyfikatu, który przywołuje wszystkie normy dotyczące systemów zarządzania, objęte auditem połączonym (patrz Uwaga); i/lub oddzielnych certyfikatów dla każdej normy dotyczącej systemu zarządzania. Uwaga: Zaleca się, aby w sytuacjach, w których cofnięcie certyfikacji jest ograniczone tylko do określonej normy dotyczącej systemu zarządzania, certyfikat był ponownie wydany dla pozostałych norm, których to cofnięcie nie dotyczy. G b) oraz c) Jeżeli cykle certyfikacji nie są zharmonizowane dla poszczególnych norm dotyczących systemów zarządzania, które są objęte certyfikatem połączonym, wówczas wszystkie stosowne daty wydania i daty ważności certyfikacji powinny być uwidocznione na dokumentach certyfikacyjnych. Data upływu ważności certyfikatu połączonego powinna być najwcześniejszą datą spośród poszczególnych dat upływu ważności. 8.3 Wykaz certyfikowanych klientów Wytyczne EA dotyczące Rozdziału Powoływanie się na certyfikację i stosowanie znaków Wytyczne EA dotyczące Rozdziału Poufność Wytyczne EA dotyczące Rozdziału Wymiana informacji pomiędzy jednostką certyfikującą a jej klientami Wytyczne EA dotyczące Rozdziału WYMAGANIA DOTYCZĄCE PROCESU 9.1 Wymagania ogólne Wytyczne EA dotyczące Rozdziału 9.1 G Plan auditu powinien zapewnić, że październik 2008 r. wyd. 00 Strona 7 / 16

8 - wszystkie obszary i działania powiązane z określoną normą dotyczącą systemu zarządzania objętą zakresem wizytacji są oceniane przez odpowiednich, kompetentnych auditorów. - jest przydzielony wystarczający czas na przeprowadzenie pełnego i skutecznego auditu systemu(-ów) zarządzania klienta w odniesieniu do norm dotyczących systemów zarządzania, objętych zakresem auditu. G Zespół auditujący jako całość powinien spełniać wymagania kompetencyjne dla każdego obszaru technicznego jako stosowne w odniesieniu do każdego programu certyfikacji objętego zakresem auditu połączonego. W przypadkach, w których auditor wiodący nie ma kompetencji wymaganych do auditowania w odniesieniu do wszystkich norm dotyczących systemów zarządzania objętych auditem połączonym, poszczególni członkowie zespołu powinni być wyznaczeni jako wiodący dla każdej mającej zastosowanie normy oraz być odpowiedzialni za wszystkie stosowne zalecenia, które nie mieszczą się w kompetencjach auditora wiodącego. G W celu określenia czasu trwania auditu połączonego, obejmującego dwie lub więcej normy dotyczące systemu zarządzania, np. A + B + C, jednostka certyfikująca powinna obliczyć wymagany czas auditu oddzielnie dla każdej normy dotyczącej systemu zarządzania (biorąc pod uwagę wszystkie stosowne czynniki podane w mających zastosowanie wytycznych akredytacyjnych i/lub zasadach programu dotyczących każdej normy); obliczyć czas początkowy T, jako czas trwania auditu połączonego, w postaci sumy otrzymanej z dodania poszczególnych składników (np. T = A + B + C); jeżeli to jest właściwe, zmodyfikować wielkości czasu początkowego poprzez uwzględnienie czynników, które mogą skrócić (patrz Załącznik 1) lub wydłużyć wymagany czas trwania auditu połączonego. Zaleca się, aby do tych czynników należały, między innymi: Dostępność oraz wykorzystanie auditorów mających kompetencje w wielu dziedzinach. Stopień, w jakim system zarządzania organizacji jest zintegrowany. Zdolność personelu organizacji do udzielania odpowiedzi na pytania odnoszące się do więcej niż jednej normy dotyczącej systemu zarządzania. Uwzględnienie w planowaniu auditu efektywnego wykorzystania czasu auditora. Złożoność auditów połączonych w porównaniu z auditami pojedynczego systemu zarządzania. poinformować klienta, że czas trwania auditu połączonego, oparty na zadeklarowanych poziomach integracji systemu, które następnie zostały uznane za bezzasadne, będzie podlegał zmianom. Uwaga: Związane wytyczne znajdują się w G Jest mało prawdopodobne, aby suma wszystkich zmian dokonanych w odniesieniu do danej organizacji, przy uwzględnieniu wszystkich czynników, mogła skrócić wymagany czas trwania auditu połączonego o więcej niż 20 % czasu początkowego, określonego powyżej. październik 2008 r. wyd. 00 Strona 8 / 16

9 Czas początkowy oraz uzasadnienie jego skrócenia powinny być udokumentowane. Zaleca się, aby audity połączone niezintegrowanych systemów zarządzania (chociaż przeprowadzane w tym samym czasie) nie podlegały zasadom skrócenia czasu. G Przy sporządzaniu planu próbkowania dla auditu połączonego powinny być uwzględnione istniejące (akredytacyjne) wytyczne odnoszące się do każdej normy dotyczącej systemu zarządzania. G Powinny być odpowiednio ocenione wszystkie mające zastosowanie elementy każdej normy dotyczącej systemu zarządzania, stosownie do zakresu wizytacji w audicie połączonym. Na przykład, podczas przeprowadzania auditu połączonego zintegrowanego systemu zarządzania obejmującego jakość, bezpieczeństwo i środowisko, byłoby nie do zaakceptowania zweryfikowanie skuteczności systemu w odniesieniu do działań korygujących poprzez auditowanie wyłącznie próbek odnoszących się do jakości. Zaleca się, aby w niektórych obszarach programu auditów było właściwe, aby auditorzy auditowali te aspekty normy dotyczącej systemu zarządzania, w których nie zostali formalnie zakwalifikowani jako auditorzy lub auditorzy wiodący. Poniżej podano przykładowe sytuacje, w których takie podejście jest odpowiednie: Obszary, w których wymagania norm dotyczących systemu zarządzania oraz wiedza techniczna wymagana do przeprowadzenia auditu są zbieżne. Np. nadzór nad dokumentami. Obszary, w których auditor weryfikuje zgodność z wymaganiami, które mają charakter administracyjny patrz Załącznik nr 2, Przykład dotyczący auditów wewnętrznych. Potwierdzenie dowodu/ zamknięcie tropu auditowego. Podczas auditu często jest konieczne zbadanie i potwierdzenie, że w zapisach i/lub procesach organizacji znajduje się element obiektywnego dowodu. Potwierdzenie to może mieć formę pytania zamkniętego oraz często jest stosowane do zamknięcia tropów auditowych, które były podjęte. Typowym przykładem może być ten, w którym po audicie systemu zarządzania jakością, przeprowadzonym w dziale projektowania, wymagane jest potwierdzenie, że w zleceniu zakupu pewnych typów wyrobów jest przywołany konkretny warunek. To potwierdzenie dowodu może być przeprowadzone przez któregokolwiek auditora. Należy zauważyć, że każdy audit skutków technicznych spowodowanych niedostępnością dowodu musi być przeprowadzony przez auditora kompetentnego w zakresie stosownej normy dotyczącej systemu zarządzania. Ogólnie biorąc, możliwości przekazania odpowiedzialności dotyczą procesów administracyjnych, a nie zarządzania procesami. Zaleca się, aby wykorzystywanie tych możliwości miało miejsce tylko po przeprowadzeniu odpowiedniej odprawy przez auditora wiodącego zakwalifikowanego w zakresie określonej normy dotyczącej systemu zarządzania. Zaleca się, aby ustalenia były raportowane zwrotnie auditorowi październik 2008 r. wyd. 00 Strona 9 / 16

10 wiodącemu, który podejmie decyzję w sprawie ewentualnych dalszych działań oraz dokona przeglądu i uzgodni raport dla klienta. Zadania auditowe związane z technicznymi aspektami procesów (np. ich zarządzaniem, środkami nadzoru, możliwością realizacji i skutecznością), które wymagają specjalnych kompetencji technicznych w odniesieniu do kryteriów auditu, nie powinny być zlecane auditorom, którzy nie mają kompetencji w obszarze technicznym stosownie do każdego programu certyfikacji. G Patrz wytyczne do G Zaleca się, aby raporty opracowane w wyniku auditów połączonych były wydawane jako raport połączony (tj. ustalenia odnoszące się do wszystkich norm dotyczących systemów zarządzania objętych auditem połączonym są zawarte w jednym wspólnym raporcie) lub jako oddzielne raporty. Każde ustalenie w raporcie połączonym powinno być powiązane z każdą mającą zastosowanie normą dotyczącą systemu zarządzania. Zaleca się formułowanie oddzielnie niezgodności dla każdej normy dotyczącej systemu zarządzania, chyba, że specyficzne ustalenia odnoszą się do wymagań więcej niż jednej normy dotyczącej systemu zarządzania. Zaleca się, aby jednostka certyfikująca przeanalizowała wpływ niezgodności stwierdzonej w odniesieniu do jednej z norm dotyczących systemu na zgodność systemu(-ów) zarządzania z pozostałymi normami. G Ta analiza przyczyny oraz opis powinny być wykonane dla każdej niezgodności biorąc pod uwagę wymagania każdej normy dotyczącej systemu zarządzania. G Osoby, które ustalają, że korekcje i działania korygujące są akceptowalne, powinny być kompetentne w zakresie każdej z norm dotyczących systemu(-ów) zarządzania, której ta niezgodność dotyczy. 9.2 Audit certyfikacyjny i certyfikacja Wniosek Wytyczne EA dotyczące Rozdziału G Zaleca się, aby w przypadku auditów połączonych informacje te zawierały informacje dotyczące a) poziomu integracji (patrz Załącznik 1) systemu(-ów) zarządzania organizacji, oraz b) zdolności personelu organizacji (w czasie auditu) do udzielania odpowiedzi na pytania odnoszące się do każdej normy dotyczącej systemu zarządzania, objętej auditem połączonym. Organizacje stosują różne podejścia do zarządzania rozmaitymi aspektami swojej działalności biznesowej (np. jakością, zdrowiem i bezpieczeństwem lub środowiskiem), od całkowicie oddzielnych, poprzez częściowo zintegrowane, aż do w pełni zintegrowanych systemów zarządzania. Stopień, w jakim system jest październik 2008 r. wyd. 00 Strona 10 / 16

11 zintegrowany, jest czynnikiem, który będzie wpływał na czas potrzebny do przeprowadzenia auditu połączonego Przegląd wniosku Wytyczne EA dotyczące Rozdziału G W czasie prowadzenia tego przeglądu jednostka certyfikująca powinna wziąć pod uwagę wszystkie dodatkowe działania (ograniczenia) związane z normami dotyczącymi systemów zarządzania, aby je uwzględnić w audicie połączonym (np. specjalne wymagania dotyczące programu sektorowego). G Patrz wytyczne do Audit certyfikacyjny Wytyczne EA dotyczące Rozdziału G d) Zaleca się, aby informacje zebrane w auditach połączonych w pierwszym etapie wizytacji obejmowały informacje dotyczące a) poziomu integracji systemu(-ów) zarządzania organizacji, oraz b) zdolności personelu organizacji do udzielania odpowiedzi na pytania odnoszące się do każdej normy dotyczącej systemu zarządzania w celu weryfikacji uzyskanych informacji oraz decyzji podjętych w czasie przeglądu wniosku (patrz oraz 9.2.2). G e) Jednostka certyfikująca powinna przeprowadzić przegląd oraz, jeżeli jest taka potrzeba, zmienić czas trwania auditu, który był oparty na poziomie integracji systemu, potwierdzonym podczas pierwszego etapu auditu. Należy ustalić, czy poziom integracji pokrywa się z poziomem zadeklarowanym przez klienta. G Patrz wytyczne do Wnioski z auditu certyfikacyjnego Wytyczne EA dotyczące Rozdziału Informacje do udzielenia certyfikacji Wytyczne EA dotyczące Rozdziału Działania w nadzorze Wytyczne EA dotyczące Rozdziału 9.3 październik 2008 r. wyd. 00 Strona 11 / 16

12 G 9.3 Patrz wytyczne do Ponowna certyfikacja Wytyczne EA dotyczące Rozdziału 9.4 G 9.4 Patrz wytyczne do 9.1.2, oraz Audity specjalne Wytyczne EA dotyczące Rozdziału Zawieszanie, cofanie lub ograniczanie zakresu certyfikacji Wytyczne EA dotyczące Rozdziału 9.6 G 9.6 Jeżeli zawieszenie lub cofnięcie wpływa na jedną z norm dotyczących systemu zarządzania, jednostka certyfikująca powinna zbadać, czy wpływa ono także na inne normy dotyczące systemu zarządzania i certyfikat(y). 9.7 Odwołania Wytyczne EA dotyczące Rozdziału Skargi Wytyczne EA dotyczące Rozdziału Zapisy dotyczące wnioskodawców i klientów Wytyczne EA dotyczące Rozdziału WYTYCZNE DOTYCZĄCE SYSTEMU ZARZĄDZANIA JEDNOSTEK CERTYFIKUJĄCYCH Wytyczne EA dotyczące Rozdziału 10 październik 2008 r. wyd. 00 Strona 12 / 16

13 ZAŁĄCZNIK 1 SKRÓCENIE CZASU Rysunek Stopień integracji % Zdolność do przeprowadzenia auditu połączonego % Rysunek 1: Rysunek ilustruje skrócenie ( w %) czasu trwania auditu połączonego oraz jego związek z: oś pionowa, stopień integracji systemu zarządzania organizacji (patrz poniżej) (zaleca się, aby stopień integracji uwzględniał zdolność auditowanych do udzielania odpowiedzi na pytania wieloaspektowe); oraz oś pozioma, zakres, w jakim poszczególni członkowie zespołu auditującego zostali zakwalifikowani do więcej niż jednej normy dotyczącej systemu zarządzania, objętej auditem połączonym (tj. wszechstronność), obliczony przy zastosowaniu następującego wzoru: 100 ((X 1-1) + (X 2-1) + (X 3-1) + (X n -1)) Z(Y-1) Gdzie X 1,2,3 n jest liczbą norm objętych auditem połączonym, do których został zakwalifikowany auditor n; Y jest liczbą norm dotyczących systemów zarządzania, które mają być objęte auditem połączonym; Z jest liczbą auditorów. październik 2008 r. wyd. 00 Strona 13 / 16

14 Przykład: Zespół auditujący w audicie połączonym, obejmującym trzy różne normy dotyczące systemów zarządzania, składa się z 3 auditorów. Pierwszy auditor jest zakwalifikowany do trzech norm; drugi auditor jest zakwalifikowany do dwóch norm; trzeci auditor jest zakwalifikowany do jednej normy. Wartość procentowa do zastosowania na osi poziomej: 100 ((3-1) + (2-1) + (1-1)) = 50 % 3(3-1) Poziom integracji Zintegrowany system zarządzania jest to taki system, który jest jedynym wykorzystywanym przez organizację systemem do zarządzania wielorakimi aspektami sprawności organizacyjnej. Jego cechami charakterystycznymi są: 1. Przeglądy zarządzania, które uwzględniają ogólną strategię biznesową i plan. 2. Zintegrowane podejście do auditów wewnętrznych. 3. Zintegrowane podejście do polityki i celów. 4. Zintegrowane podejście do procesów systemowych. 5. Zintegrowany zbiór dokumentacji obejmujący instrukcje robocze, na dobrym poziomie rozwoju, stosownie do sytuacji. 6. Zintegrowane podejście do mechanizmów doskonalenia (korekcje i działania korygujące; pomiary i ciągłe doskonalenie). 7. Zintegrowane podejście do planowania z dobrym wykorzystaniem całościowego podejścia do zarządzania ryzykiem w działalności. 8. Zunifikowane wsparcie i odpowiedzialność kierownictwa. Jednostka certyfikująca musi podjąć decyzję w sprawie procentowego poziomu integracji w oparciu o stopień, w jakim system zarządzania organizacji spełnia powyższe kryteria. październik 2008 r. wyd. 00 Strona 14 / 16

15 ZAŁĄCZNIK 2 PRZYKŁAD: AUDITOWANIE AUDITU WEWNĘTRZNEGO Rozważmy auditowanie auditu wewnętrznego w czasie wizytacji w audicie połączonym obejmującym Jakość (ISO 9001), Bezpieczeństwo i Higienę Pracy (OHSAS 18001) oraz Środowisko (ISO 14001) w typowym zakładzie produkcyjnym. Niektóre wymagania dotyczące auditu wewnętrznego są wspólne dla wszystkich trzech norm. Wymagania te są prawie w całości administracyjne, związane z istnieniem programów i planów, składaniem sprawozdań i działaniami poauditowymi. Natomiast częstotliwość auditów i czas trwania auditu określa się wychodząc z różnych podstaw. Z punktu widzenia jakości nie ma wymagania dotyczącego auditowania oczyszczalni ścieków lub gospodarki odpadami stałymi, lecz będą one odgrywać znaczącą rolę w programie opartym na normie ISO 14001, oraz zaleca się, aby były uwzględnione w programie dotyczącym bezpieczeństwa i higieny pracy w zależności od rodzaju procesów i działań w zakładzie. Z drugiej strony, z operacją montażu w fabryce elektronicznej wiąże się (jak się oczekuje) wiele kwestii dotyczących jakości oraz bezpieczeństwa i higieny pracy, lecz może być stosunkowo mało kwestii związanych ze środowiskiem. Program auditów powinien odzwierciedlać odpowiednie zagrożenia dla środowiska oraz zagrożenia dla bezpieczeństwa i higieny pracy, jak również ich znaczenie dla jakości. Dlatego zaleca się, aby programy i plany auditów wewnętrznych były poddane przeglądowi przez auditora (-ów) jednostki certyfikującej kompetentnego(-ych) w zakresie każdej normy dotyczącej systemu zarządzania. Zaleca się, aby kompetencje auditorów wewnętrznych organizacji były zdefiniowane w odniesieniu do podstawowego procesu auditu, wiedzy technicznej i dotyczącej przepisów oraz znajomości auditowanych działań. Rzadko można znaleźć prawdziwie wszechstronnych auditorów wewnętrznych, dlatego też zaleca się, aby auditorzy jednostki certyfikującej, zakwalifikowani w zakresie każdej normy dotyczącej systemu zarządzania, objętej auditem połączonym, ocenili także odpowiednie kompetencje auditorów wewnętrznych wykorzystywanych przez organizację. Zaleca się, aby w tym przykładzie auditor jednostki certyfikującej zadał trzy zasadnicze pytania: październik 2008 r. wyd. 00 Strona 15 / 16

16 Pytanie auditora Systemy połączone Kompetencje auditora Czy program auditów wewnętrznych został opracowany w sposób zapewniający ich skuteczność? Czy program auditów wewnętrznych jest realizowany zgodnie z procedurami? Zespół auditujący jednostki certyfikującej powinien potwierdzić, że elementy programu związane z jakością, środowiskiem oraz bezpieczeństwem i higieną pracy są wyważone w zależności od statusu i znaczenia procesów i obszarów, które mają być auditowane, zagrożeń dla środowiska, zagrożeń dla bezpieczeństwa i higieny pracy oraz wyników poprzednich auditów. Może to być potwierdzeniem, że przeszkoleni auditorzy wewnętrzni przeprowadzają audity według planu oraz postępują zgodnie z procedurami. Czy jest skuteczny? Zespół auditujący jednostki certyfikującej powinien ocenić kompetencje auditorów wewnętrznych, stosowność ustaleń oraz odpowiedniość działań korygujących. Wnioski Zespół auditujący jednostki certyfikującej powinien dokonać przeglądu programu auditów w celu rozpatrzenia, czy jest stosowny oraz wystarczający dla każdej normy dotyczącej systemu zarządzania. Zaleca się, aby było to zrealizowane tylko przez kompetentnego(-ych) auditora(-ów) w zakresie każdej normy dotyczącej systemu zarządzania objętej auditem połączonym. Każdy auditor jednostki certyfikującej może ocenić elementy administracyjne w audicie wewnętrznym. Zaleca się, aby było to przeprowadzone tylko przez kompetentnego(-ych) auditora(-ów) w zakresie każdej normy dotyczącej systemu zarządzania objętej auditem połączonym. Zaleca się, aby auditowanie programów i planów auditów wewnętrznych w celu oceny, że częstotliwość i czas trwania auditów zostały ustanowione na podstawie stopnia ryzyka, oraz, że zostali wyznaczeni kompetentni auditorzy wewnętrzni, było przeprowadzone tylko przez auditorów jednostki certyfikującej kompetentnych w zakresie każdej normy dotyczącej systemu zarządzania objętej auditem połączonym; Zaleca się, aby pobieranie próbek odpowiednich raportów z auditów wewnętrznych oraz ich auditowanie w celu potwierdzenia skuteczności programu auditów wewnętrznych (przez auditowanie ich zawartości i porównanie z obserwacjami auditorów) było przeprowadzone tylko przez auditorów jednostki certyfikującej, zakwalifikowanych w zakresie każdej normy dotyczącej systemu zarządzania, objętej auditem połączonym; Zaleca się, żeby aspekty administracyjne w audicie wewnętrznym, takie jak: istnienie udokumentowanej procedury; istnienie programu auditów; planowanie i przeprowadzenie auditów zgodnie z programem; sporządzanie raportów; działania poauditowe i zamykanie auditów wewnętrznych zgodnie z udokumentowaną procedurą, mógł weryfikować dowolny auditor jednostki certyfikującej.. Zaleca się, aby przegląd działań korygujących organizacji pod względem ich skuteczności był przeprowadzony przez auditora kompetentnego w zakresie odpowiedniej normy. październik 2008 r. wyd. 00 Strona 16 / 16