PKN Licencja dla DQS Polska Sp.z o.o. Data nagrania: Wersja jednostanowiskowa. Kopiowanie zabronione

Transkrypt

1 POLSKA NORMA ICS ; PN-EN ISO listopad 2012 Wprowadza, IDT ISO 19011:2011, IDT Zastępuje PN-EN ISO 19011:2012 Wytyczne dotyczące auditowania systemów zarządzania Norma Europejska ma status Polskiej Normy Copyright by PKN, Warszawa 2012 nr ref. PN-EN ISO 19011:2012 Wszelkie prawa autorskie zastrzeżone. Żadna część niniejszej publikacji nie może być zwielokrotniana jakąkolwiek techniką bez pisemnej zgody Prezesa Polskiego Komitetu Normalizacyjnego

2 2 PN-EN ISO 19011:2012 Przedmowa krajowa Niniejsza norma została opracowana przez KT nr 6 ds. Systemów Zarządzania i zatwierdzona przez Prezesa PKN dnia 23 listopada 2012 r. Jest tłumaczeniem bez jakichkolwiek zmian angielskiej wersji Normy Europejskiej, stanowiącej wprowadzenie bez jakichkolwiek zmian Normy Międzynarodowej ISO 19011:2011. Niniejsza norma zastępuje PN-EN ISO 19011:2012. W sprawach merytorycznych dotyczących treści normy można zwracać się do właściwego Komitetu Technicznego lub właściwej Rady Sektorowej PKN, kontakt:

3 NORMA EUROPEJSKA EUROPEAN STANDARD NORME EUROPÉENNE EUROPÄISCHE NORM EN ISO listopad 2011 ICS ; Zastępuje EN ISO 19011:2002 Wersja polska Wytyczne dotyczące auditowania systemów zarządzania (ISO 19011:2011) Guidelines for auditing management systems (ISO 19011:2011) Lignes directrices pour l audit des systèmes de management (ISO 19011:2011) Leitfaden zur Auditierung von Managementsystemen (ISO 19011:2011) Niniejsza norma jest polską wersją Normy Europejskiej. Została ona przetłumaczona przez Polski Komitet Normalizacyjny i ma ten sam status co wersje oficjalne. Niniejsza Norma Europejska została przyjęta przez CEN 5 listopada 2011 r. Zgodnie z Przepisami wewnętrznymi CEN/CENELEC członkowie CEN są zobowiązani do nadania Normie Europejskiej statusu normy krajowej bez wprowadzania jakichkolwiek zmian. Aktualne wykazy norm krajowych, łącznie z ich danymi bibliograficznymi, można otrzymać na zamówienie w Centrum Zarządzania CEN-CENELEC lub w krajowych jednostkach normalizacyjnych będących członkami CEN. Niniejsza Norma Europejska istnieje w trzech oficjalnych wersjach (angielskiej, francuskiej i niemieckiej). Wersja w każdym innym języku, przetłumaczona na odpowiedzialność danego członka CEN na jego własny język i notyfikowana w Centrum Zarządzania CEN-CENELEC, ma ten sam status co wersje oficjalne. Członkami CEN są krajowe jednostki normalizacyjne następujących państw: Austrii, Belgii, Bułgarii, Chorwacji, Cypru, Danii, Estonii, Finlandii, Francji, Grecji, Hiszpanii, Holandii, Irlandii, Islandii, Litwy, Luksemburga, Łotwy, Malty, Niemiec, Norwegii, Polski, Portugalii, Republiki Czeskiej, Rumunii, Słowacji, Słowenii, Szwajcarii, Szwecji, Węgier, Włoch i Zjednoczonego Królestwa. CEN Europejski Komitet Normalizacyjny European Committee for Standardization Comité Européen de Normalisation Europäisches Komitee für Normung Centrum Zarządzania: Avenue Marnix 17, B-1000 Brussels 2011 CEN All rights of exploitation in any form and by any means reserved worldwide for CEN national Members. nr ref. E

4 Spis treści Stronica Przedmowa... 3 Wprowadzenie Zakres normy Powołania normatywne Terminy i definicje Zasady auditowania Zarządzanie programem auditów Postanowienia ogólne Ustalanie celów programu auditów Ustalanie programu auditów Wdrażanie programu auditów Monitorowanie programu auditów Przegląd i doskonalenie programu auditów Przeprowadzanie auditu Postanowienia ogólne Inicjowanie auditu Przygotowanie działań auditowych Przeprowadzanie działań auditowych Przygotowanie i rozpowszechnianie raportu z auditu Zakończenie auditu Przeprowadzenie działań poauditowych Kompetencje i ocena auditorów Postanowienia ogólne Określenie kompetencji auditora niezbędnych do spełnienia potrzeb programu auditów Ustalenie kryteriów oceny auditora Wybór odpowiedniej metody oceny auditora Dokonywanie oceny auditora Utrzymywanie i doskonalenie kompetencji auditora...34 Załącznik A (informacyjny) Wytyczne i przykłady przedstawiające specyficzne dla danej dziedziny wiedzę i umiejętności auditorów...35 Załącznik B (informacyjny) Dodatkowe wytyczne dla auditorów dotyczące planowania i przeprowadzania auditów...41 Bibliografia

5 Przedmowa Niniejszy dokument () został opracowany przez Komitet Techniczny ISO/TC 176 Zarządzanie jakością i zapewnienie jakości. Niniejsza Norma Europejska powinna uzyskać status normy krajowej, przez opublikowanie identycznego tekstu lub uznanie, najpóźniej do maja 2012 r., a normy krajowe sprzeczne z daną normą powinny być wycofane najpóźniej do maja 2012 r. Zwraca się uwagę, że niektóre elementy niniejszego dokumentu mogą być przedmiotem praw patentowych. CEN [i/lub CENELEC] nie będzie[-ą] ponosić odpowiedzialności za zidentyfikowanie jakichkolwiek ani wszystkich takich praw patentowych. Niniejszy dokument zastępuje EN ISO 19011:2002. Zgodnie z Przepisami Wewnętrznymi CEN/CENELEC do wprowadzenia niniejszej Normy Europejskiej są zobowiązane krajowe jednostki normalizacyjne następujących państw: Austrii, Belgii, Bułgarii, Chorwacji, Cypru, Danii, Estonii, Finlandii, Francji, Grecji, Hiszpanii, Holandii, Irlandii, Islandii, Litwy, Luksemburga, Łotwy, Malty, Niemiec, Norwegii, Portugalii, Polski, Republiki Czeskiej, Rumunii, Słowacji, Słowenii, Szwajcarii, Szwecji, Węgier, Włoch i Zjednoczonego Królestwa. Nota uznaniowa Tekst ISO 19011:2011 został zatwierdzony przez CEN jako bez żadnych modyfikacji. 3

6 Wprowadzenie Od pierwszego wydania niniejszej Normy Międzynarodowej w 2002 roku opublikowano szereg nowych norm dotyczących systemów zarządzania. W efekcie zaistniała potrzeba zarówno rozważenia szerszego zakresu auditowania systemu zarządzania, jak i dostarczenia bardziej ogólnych wytycznych. W 2006 roku Komitet ISO ds. Oceny Zgodności (CASCO) opracował normę ISO/IEC 17021, częściowo opartą na pierwszym wydaniu tej normy, zawierającą wymagania do certyfikacji systemów zarządzania przez stronę trzecią. Drugie wydanie ISO/EIC 17021, opublikowane w 2011 roku, zostało rozszerzone, aby przekształcić wcześniejsze wytyczne, zawarte w tej Normie Międzynarodowej, w wymagania dla auditów certyfikujących systemów zarządzania. W tym kontekście, drugie wydanie niniejszej Normy Międzynarodowej zawiera wytyczne dla wszystkich użytkowników, łącznie z małymi i średnimi organizacjami oraz koncentruje się na auditach powszechnie nazywanych auditami wewnętrznymi (audity strony pierwszej) oraz na auditach przeprowadzanych przez klientów u swoich dostawców (audity strony drugiej). Jednakże zaangażowani w audity certyfikacyjne systemów zarządzania stosując się do wymagań ISO/IEC 17021:2011, mogą także uznać za pomocne wytyczne podane w niniejszej Normie Międzynarodowej. Zależność między drugim wydaniem niniejszej Normy Międzynarodowej a ISO/IEC 17021:2011 przedstawiono w Tablicy 1. Tablica 1 Zakres niniejszej Normy Międzynarodowej i powiązania z ISO/IEC 17021:2011 Auditowanie wewnętrzne Audit dostawcy Auditowanie zewnętrzne Audit strony trzeciej Czasem nazywane auditami strony pierwszej Czasem nazywane auditami strony drugiej Dla celów prawnych, regulacyjnych lub podobnych Dla celów certyfikacji (patrz także wymagania w ISO/IEC 17021:2011) W niniejszej Normie Międzynarodowej nie zawarto wymagań, ale wytyczne dotyczące zarządzania programami auditów, planowania i prowadzenia auditów systemów zarządzania, jak również dotyczące kompetencji i oceny auditorów i zespołu auditującego. Organizacje mogą wprowadzić więcej niż jeden system zarządzania. W celu lepszej czytelności niniejszej Normy Międzynarodowej, preferowana jest liczba pojedyncza system zarządzania, ale czytelnik może dostosować wprowadzenie wytycznych do własnych szczególnych sytuacji. To samo dotyczy użycia terminów osoba i ludzie, jak i auditor oraz auditorzy. Niniejsza Norma Międzynarodowa jest przeznaczona do stosowania przez szerokie gremium potencjalnych użytkowników, w tym auditorów, organizacje wdrażające systemy zarządzania, organizacje potrzebujące przeprowadzać audity systemów zarządzania z przyczyn wynikających z umów lub prawnych. Użytkownicy niniejszej Normy Międzynarodowej mogą ponadto stosować zawarte w niej wytyczne do rozwijania własnych wymagań związanych z auditowaniem. Wytyczne podane w niniejszej Normie Międzynarodowej mogą także być wykorzystywane dla potrzeb wystawianych przez siebie deklaracji oraz mogą być przydatne dla organizacji zaangażowanych w szkolenia auditorów lub certyfikację personelu. Celem niniejszej Normy Międzynarodowej jest elastyczność przedstawionych w niej wytycznych. Jak wskazano w wielu punktach tekstu, stosowanie niniejszych wytycznych może być różne w zależności od wielkości, poziomu dojrzałości systemu zarządzania organizacji oraz od charakteru i złożoności auditowanej organizacji, jak również od celów i zakresu auditów, które będą przeprowadzone. 4

7 Niniejsza Norma Międzynarodowa wprowadza pojęcie ryzyka do auditowania systemów zarządzania. Przyjęte podejście odnosi się zarówno do ryzyka nieosiągnięcia celów procesu auditu, jak i potencjalnego ryzyka zakłócania działań i procesów auditowanego. Nie podano specyficznych wytycznych dotyczących procesu zarządzania ryzykiem organizacji, ale uznaje się, że organizacje mogą ukierunkować audity na sprawy znaczące dla systemu zarządzania. W niniejszej Normie Międzynarodowej przyjęto podejście, że kiedy dwa lub więcej systemów zarządzania różnych dziedzin są auditowane razem, określa się taki audit mianem auditu połączonego. Jeżeli systemy zarządzania są zintegrowane w jeden system zarządzania, zasady i proces auditowania pozostają takie same jak dla auditu połączonego. W Rozdziale 3 podano kluczowe terminy i definicje stosowane w niniejszej Normie Międzynarodowej. Podjęto wszelkie starania, aby definicje nie były sprzeczne z definicjami stosowanymi w innych normach. W Rozdziale 4 opisano zasady, na których opiera się auditowanie. Zasady te pomagają użytkownikowi zrozumieć istotę auditowania i są ważne z punktu widzenia zrozumienia wytycznych zawartych w Rozdziałach 5 i 7. W Rozdziale 5 podano wytyczne dotyczące ustalania i zarządzania programami auditów, ustalania celów programu auditów oraz koordynowania działań auditowych. W Rozdziale 6 podano wytyczne dotyczące planowania i prowadzenia auditów systemu zarządzania. W Rozdziale 7 podano wytyczne dotyczące kompetencji i oceny auditorów systemu zarządzania i zespołów auditujących. Załącznik A zawiera przykłady zastosowania wytycznych Rozdziału 7 dla różnych dziedzin. W Załączniku B podano dodatkowe wytyczne dla auditorów dotyczące planowania i przeprowadzania auditów. 5

8 Wytyczne dotyczące auditowania systemów zarządzania 1 Zakres normy W niniejszej Normie Międzynarodowej podano wytyczne dotyczące auditowania systemów zarządzania, łącznie z zasadami auditowania, zarządzania programami auditów i prowadzenia auditów systemu zarządzania, jak również wytyczne dotyczące oceny kompetencji osób zaangażowanych w proces auditu, w tym osoby zarządzającej programem auditów, auditorów i zespołów auditujących. Norma ma zastosowanie do wszystkich organizacji, które mają potrzebę przeprowadzenia wewnętrznych lub zewnętrznych auditów systemu zarządzania lub zarządzania programem auditów. Stosowanie niniejszej Normy Międzynarodowej do innych rodzajów auditów jest możliwe, pod warunkiem zwrócenia szczególnej uwagi na potrzebne specyficzne kompetencje. 2 Powołania normatywne Nie zostały zamieszczone żadne powołania normatywne. Niniejszy rozdział został włączony w celu zachowania numeracji rozdziałów identycznej jak w innych normach ISO dotyczących systemów zarządzania. 3 Terminy i definicje Dla celów niniejszego dokumentu stosuje się terminy i definicje wymienione niżej. 3.1 audit systematyczny, niezależny i udokumentowany proces uzyskiwania dowodów z auditu (3.3) oraz jego obiektywnej oceny w celu określenia stopnia spełnienia kryteriów auditu (3.2) UWAGA 1 Audity wewnętrzne, nazywane czasami auditami strony pierwszej, są przeprowadzane przez samą organizację lub w jej imieniu dla potrzeb przeglądu zarządzania oraz do innych celów wewnętrznych (np. w celu potwierdzenia skuteczności systemu zarządzania lub w celu uzyskania informacji dotyczących jego doskonalenia). Audity wewnętrzne mogą stanowić dla organizacji podstawę do zadeklarowania przez nią zgodności. W wielu przypadkach, w szczególności w małych organizacjach, niezależność może być wykazana przez brak odpowiedzialności za działania będące przedmiotem auditu lub przez brak uprzedzeń i konfliktu interesów. UWAGA 2 Audity zewnętrzne obejmują audity strony drugiej i audity strony trzeciej. Audity strony drugiej są przeprowadzane przez strony zainteresowane organizacją, takie jak klienci, lub przez inne osoby występujące w ich imieniu. Audity strony trzeciej są przeprowadzane przez niezależne organizacje auditujące, takie jak instytucje regulacyjne lub jednostki certyfikujące. UWAGA 3 Jeżeli co najmniej dwa systemy zarządzania z różnych dziedzin (np. jakości, środowiska, bezpieczeństwa i higieny pracy) są auditowane razem, to audit taki nazywa się auditem połączonym. UWAGA 4 Jeżeli co najmniej dwie organizacje auditujące współpracują w celu przeprowadzenia auditu jednego auditowanego (3.7), to audit taki nazywa się auditem wspólnym. UWAGA 5 Zaadaptowano z ISO 9000:2005, definicja kryteria auditu zestaw polityk, procedur lub wymagań używanych jako odniesienie, do których porównuje się dowody z auditu (3.3) UWAGA 1 Zaadaptowano z ISO 9000:2005, definicja UWAGA 2 Jeżeli kryteria auditu wynikają z przepisów prawnych (wraz z ustawowymi lub regulacyjnymi) często w ustaleniach z auditu (3.4) używa się terminu zgodny lub niezgodny. 6

9 3.3 dowód z auditu zapisy, stwierdzenia faktu lub inne informacje, które są istotne ze względu na kryteria auditu (3.2) i możliwe do zweryfikowania UWAGA Dowód z auditu może być jakościowy lub ilościowy. [ISO 9000:2005, definicja 3.9.4] 3.4 ustalenia z auditu wyniki oceny zebranych dowodów z auditu (3.3) w stosunku do kryteriów auditu (3.2) UWAGA 1 Ustalenia z auditu wskazują na zgodność albo niezgodność. UWAGA 2 Ustalenia z auditu mogą prowadzić do zidentyfikowania możliwości doskonalenia lub zarejestrowania dobrych praktyk. UWAGA 3 Jeżeli kryteria auditu wynikają z wymagań prawnych lub innych, ustalenia z auditu określa się jako zgodność lub niezgodność. UWAGA 4 Zaadaptowano z ISO 9000:2005, definicja wniosek z auditu wynik auditu (3.1), po rozważeniu celów auditu i wszystkich ustaleń z auditu (3.4) UWAGA Zaadaptowano z ISO 9000:2005, definicja klient auditu organizacja lub osoba zlecająca przeprowadzenie auditu (3.1) UWAGA 1 W przypadku auditu wewnętrznego, klientem auditu może być auditowany (3.7) lub osoba zarządzająca programem auditów. Zlecenie auditu zewnętrznego może pochodzić z takich źródeł jak instytucje regulacyjne, strony umowy lub potencjalni klienci. UWAGA 2 Zaadaptowano z ISO 9000:2005, definicja auditowany organizacja, która jest auditowana [ISO 9000:2005, definicja 3.9.8] 3.8 auditor osoba, która przeprowadza audit (3.1) 3.9 zespół auditujący jeden lub więcej auditorów (3.8) przeprowadzających audit (3.1), wspieranych przez ekspertów technicznych (3.10), jeżeli jest to wymagane UWAGA 1 Jeden z auditorów zespołu auditującego jest wyznaczony jako auditor wiodący. UWAGA 2 Do zespołu auditującego mogą być włączeni auditorzy szkolący się. [ISO 9000:2005, definicja ] 3.10 ekspert techniczny osoba, która służy zespołowi auditującemu (3.9) specjalistyczną wiedzą lub umiejętnościami 7

10 UWAGA 1 Określona wiedza lub umiejętności specjalistyczne odnoszą się do organizacji, procesu lub działalności podlegających auditowaniu oraz do znajomości języka lub kultury. UWAGA 2 Ekspert techniczny nie działa w zespole auditującym jako auditor (3.8). [ISO 9000:2005, definicja ] 3.11 obserwator osoba, która towarzyszy zespołowi auditującemu (3.9), ale nie przeprowadza auditu UWAGA 1 Obserwator nie jest częścią zespołu auditującego (3.9) i nie ma wpływu na audit (3.1) ani nie ingeruje w jego przeprowadzanie. UWAGA 2 Obserwator jako osoba obserwująca audit (3.1) może być przedstawicielem auditowanego (3.7), administracji państwowej lub innej strony zainteresowanej przewodnik osoba wyznaczona przez auditowanego (3.7) w celu asystowania zespołowi auditującemu (3.9) 3.13 program auditów ustalony zestaw auditów (3.1), jednego lub większej ich liczby, zaplanowanych w określonych ramach czasowych i mających określony cel UWAGA Zaadaptowano z ISO 9000:2005, definicja zakres auditu obszar i granice auditu (3.1) UWAGA Zakres auditu zwykle obejmuje opis fizycznych lokalizacji, jednostek organizacyjnych, działalności i procesów, jak również ramy czasowe. [ISO 9000:2005, definicja ] 3.15 plan auditu opis działań oraz ustaleń organizacyjnych związanych z auditem (3.1) [ISO 9000:2005, definicja ] 3.16 ryzyko wpływ niepewności na cele UWAGA Zaadoptowano z ISO Guide 73:2009, definicja kompetencje zdolność stosowania wiedzy i umiejętności w celu osiągnięcia zamierzonych rezultatów UWAGA Zdolność obejmuje stosowanie odpowiednich postaw i zachowań podczas procesu auditowania zgodność spełnienie wymagania [ISO 9000:2005, definicja 3.6.1] 8

11 3.19 niezgodność niespełnienie wymagania [ISO 9000:2005, definicja 3.6.2] 3.20 system zarządzania system do ustanawiania polityki i celów oraz osiągania tych celów UWAGA System zarządzania organizacją może obejmować różne systemy zarządzania, takie jak system zarządzania jakością, system zarządzania finansami lub system zarządzania środowiskowego. [ISO 9000:2005, definicja 3.2.2] 4 Zasady auditowania Auditowanie charakteryzowane jest na podstawie kilka zasad. Dzięki nim, audit staje się skutecznym i wiarygodnym narzędziem wspierającym politykę i nadzór kierownictwa dostarczając informacji, na podstawie których organizacja może doskonalić swoją działalność. Przestrzeganie tych zasad jest warunkiem koniecznym do zapewnienia, że wnioski z auditu są właściwe i wystarczające oraz do umożliwienia auditorom, pracującym niezależnie od siebie, dochodzenia do podobnych wniosków w podobnych okolicznościach. Wytyczne zawarte w Rozdziałach 5 do 7 są oparte na poniższych sześciu zasadach. a) Rzetelność: podstawa profesjonalizmu Zaleca się, aby auditorzy oraz osoba zarządzająca programem auditów: wykonywali swoją pracę uczciwie, sumiennie i odpowiedzialnie; stosowali się do wszystkich mających zastosowanie wymagań prawnych; wykazywali się kompetencją podczas wykonywania swojej pracy; wykonywali swoją pracę w sposób bezstronny, tj. byli uczciwi i działali bez uprzedzeń; byli wyczuleni na wszelkie wpływy, które mogą oddziaływać na dokonywane oceny podczas przeprowadzania auditu. b) Uczciwe przedstawianie wyników: obowiązek przedstawiania spraw dokładnie i zgodnie z prawdą Zaleca się, aby ustalenia z auditu, wnioski z auditu oraz raporty z auditu odzwierciedlały działania auditowe dokładnie i zgodnie z prawdą. Zaleca się odnotowywanie w raporcie znaczących przeszkód napotkanych podczas auditu oraz nierozstrzygniętych lub rozbieżnych opinii pomiędzy zespołem auditującym a auditowanym. Zaleca się, aby komunikacja była zgodna z prawdą, dokładna, obiektywna, na czas, zrozumiała i pełna. c) Należyta staranność zawodowa: pracowitość i rozsądek w auditowaniu Zaleca się, aby auditorzy wykazywali się starannością odpowiednią do ważności zadań, jakie wykonują, oraz do zaufania, jakie mają do nich klienci auditu i inne strony zainteresowane. Ważnym czynnikiem w wykonywaniu ich pracy z należytą starannością zawodową jest zdolność do racjonalnego osądzania we wszystkich sytuacjach auditowych. d) Poufność: bezpieczeństwo informacji Zaleca się, aby auditorzy wykazywali się dyskrecją w użyciu i ochronie informacji, do których mają dostęp w wyniku wykonywania swoich obowiązków. Zaleca się, aby informacje auditowe nie były wykorzystywane dla osobistych korzyści auditora, klienta auditu czy też w sposób szkodliwy dla uzasadnionych interesów auditowanego. Zasada ta obejmuje poprawne obchodzenie się z wrażliwymi i poufnymi informacjami. 9

12 e) Niezależność: podstawa bezstronności auditu oraz obiektywności wniosków z auditu Zaleca się, aby auditorzy byli niezależni od działań poddanych auditowi, gdy tylko jest to możliwe oraz, aby we wszystkich przypadkach działali w sposób wolny od uprzedzeń i konfliktu interesów. W przypadku auditów wewnętrznych, zaleca się, aby auditorzy byli niezależni od kierowników operacyjnych odpowiedzialnych za auditowany obszar. Zaleca się, aby auditorzy zachowywali obiektywizm podczas całego procesu auditu, aby zapewnić, że ustalenia i wnioski z auditu będą oparte wyłącznie na dowodach z auditu. W przypadku małych organizacji, może nie być możliwe zachowanie przez auditorów wewnętrznych pełnej niezależności od auditowanych działań, jednakże zaleca się podjęcie wszelkich starań, aby wyeliminować stronniczość oraz zachęcić do obiektywności. f) Podejście oparte na dowodach: racjonalna metoda uzyskiwania wiarygodnych i odtwarzalnych wniosków z auditu w systematycznym procesie auditu Zaleca się, aby dowód z auditu był weryfikowalny. Z reguły audit opiera się na próbkach dostępnych informacji oraz prowadzony jest w ograniczonym czasie z użyciem ograniczonych zasobów. Zaleca się odpowiedni dobór próbki, ponieważ jest to ściśle związane z zaufaniem, jakie można mieć do wniosków z auditu. 5 Zarządzanie programem auditów 5.1 Postanowienia ogólne Zaleca się, aby organizacja, która potrzebuje przeprowadzać audity, ustaliła program auditów, który przyczynia się do określenia skuteczności systemu zarządzania auditowanego. Program auditów może uwzględniać audity jednego lub więcej systemów zarządzania, przeprowadzanych oddzielnie lub jako połączone. Zaleca się, aby najwyższe kierownictwo zapewniło, że cele programu auditów są ustalone i wyznaczyło jedną lub więcej kompetentnych osób do zarządzania programem auditów. Zaleca się, aby zakres programu auditów był dostosowany do wielkości i charakteru auditowanej organizacji, jak i również do charakteru, funkcjonalności, złożoności i poziomu dojrzałości auditowanego systemu zarządzania. Przydzielając zasoby programu auditów, zaleca się przypisywanie wyższego priorytetu tym obszarom, które mają szczególne znaczenie dla danego systemu zarządzania. Mogą to być kluczowe właściwości jakościowe wyrobu lub zagrożenia dotyczące zdrowia i bezpieczeństwa lub znaczące aspekty środowiskowe i ich nadzorowanie. UWAGA Koncepcja ta jest powszechnie znana jako auditowanie oparte na ryzyku. Niniejsza Norma Międzynarodowa nie podaje dalszych wytycznych na temat tej koncepcji. Zaleca się, aby program auditów zawierał informacje dotyczące zasobów niezbędnych do zorganizowania i przeprowadzenia auditów skutecznie i efektywnie w określonym ramach czasowych, a także, aby obejmował: cele programu auditów jak i poszczególnych auditów; zakres/liczbę/rodzaje/czas trwania/lokalizację/harmonogram auditów; procedury programu auditów; kryteria auditu; metody auditu; wyznaczenie zespołów auditujących; niezbędne zasoby, w tym dotyczące podróży i zakwaterowania; procesy dotyczące postępowania z poufnością, bezpieczeństwa informacji, zdrowia i bezpieczeństwa oraz innych podobnych spraw. Zaleca się monitorowanie i ocenianie wdrożenia programu auditów w celu zapewnienia, że jego cele zostały osiągnięte. Zaleca się dokonywanie przeglądów programu auditów w celu zidentyfikowania możliwych doskonaleń. Na Rysunku 1 przedstawiono przebieg procesu zarządzania programem auditów. 10

13 UWAGA 1 Niniejszy rysunek ilustruje zastosowanie w niniejszej Normie Międzynarodowej cyklu Planuj Wykonaj Sprawdź Działaj. UWAGA 2 Numeracja rozdziałów/podrozdziałów odnosi się do odpowiednich rozdziałów/podrozdziałów niniejszej Normy Międzynarodowej. Rysunek 1 Ilustracja przebiegu procesu zarządzania programem auditów 5.2 Ustalanie celów programu auditów Zaleca się, aby najwyższe kierownictwo zapewniło ustalenie celów programu auditów, które ukierunkują planowanie i prowadzenie auditów, oraz zapewniło skuteczne wdrożenie programu auditów. Zaleca się, aby cele programu auditów wspierały politykę i cele systemu zarządzania i aby były z nimi spójne. Cele te mogą wynikać z rozważenia: a) priorytetów kierownictwa; b) handlowych i innych biznesowych zamierzeń; 11

14 c) właściwości procesów, wyrobów i projektów oraz wszelkich ich zmian; d) wymagań systemu zarządzania; e) wymagań prawnych i wynikających z umów oraz innych wymagań, do których organizacja się zobowiązała; f) potrzeby oceny dostawców; g) potrzeb i oczekiwań stron zainteresowanych, łącznie z klientami; h) poziomu osiągnięć auditowanego, odzwierciedlonego w występowaniu błędów, incydentów lub reklamacji klientów; i) ryzyk dla auditowanego; j) wyników poprzednich auditów; k) poziomu dojrzałości auditowanego systemu zarządzania. Przykłady celów programu auditów obejmują: wspieranie doskonalenia systemu zarządzania i jego funkcjonowania; spełnienie zewnętrznych wymagań np. certyfikacji zgodnie z normą systemu zarządzania; weryfikację zgodności z wymaganiami wynikającymi z umów; uzyskanie i utrzymanie zaufania do zdolności dostawcy; ocenę skuteczności systemu zarządzania; ocenę kompatybilności i spójności celów systemu zarządzania z polityką systemu zarządzania i ogólnymi celami organizacji. 5.3 Ustalanie programu auditów Rola i odpowiedzialność osoby zarządzającej programem auditów Zaleca się, aby osoba zarządzająca programem auditów: ustaliła zakres programu auditów; zidentyfikowała i oszacowała ryzyka związane z programem auditów; określiła odpowiedzialności związane z auditem; ustaliła procedury dla programu auditów; określiła niezbędne zasoby; zapewniła wdrożenie programu auditów, łącznie z określeniem celów, zakresu i kryteriów poszczególnych auditów, określiła metody auditu i wyznaczyła zespół auditujący oraz oceniła auditorów; zapewniła, że właściwe zapisy dotyczące programu auditów są zarządzane i utrzymywane; monitorowała, przeglądała i doskonaliła program auditów. Zaleca się, aby osoba zarządzająca programem auditów informowała najwyższe kierownictwo o treści programu auditów i jeżeli to koniecznie, także wymagała jego akceptacji Kompetencje osoby zarządzającej programem auditów Zaleca się, aby osoba zarządzająca programem auditów posiadała niezbędne kompetencje do skutecznego i efektywnego zarządzania programem i związanymi z nim ryzykami, jak i również wiedzę i umiejętności z następujących obszarów: 12

15 zasady, procedury i metody auditu; normy systemu zarządzania i dokumenty odniesienia; działania, wyroby i procesy auditowanego; mające zastosowanie wymagania prawne i inne, dotyczące działań i wyrobów auditowanego; klienci, dostawcy i inne strony zainteresowane, jeśli ma to zastosowanie. Zaleca się, aby osoba zarządzająca programem auditów dbała o ciągły rozwój zawodowy, aby utrzymywać niezbędną wiedzę i umiejętności do zarządzania programem auditów Ustalanie zakresu programu auditów Zaleca się, aby osoba zarządzająca programem auditów określiła zakres programu auditów, który może być różny w zależności od wielkości i charakteru auditowanego, jak również od charakteru, funkcjonalności, złożoności i poziomu dojrzałości, oraz znaczących kwestii dotyczących auditowanego systemu zarządzania. UWAGA W pewnych przypadkach, zależnie od struktury auditowanego lub jego działalności, program auditów może się składać tylko z jednego auditu (np. mały projekt działalności). Inne czynniki wpływające na zakres programu auditów obejmują: cel, zakres i czas trwania każdego auditu, oraz liczbę auditów, które mają być przeprowadzone, łącznie z działaniami poauditowymi, jeżeli ma to zastosowanie; liczbę, ważność, złożoność, podobieństwa oraz lokalizacje działań, które mają być auditowane; te czynniki, które wpływają na skuteczność systemu zarządzania; mające zastosowanie kryteria auditu, takie jak zaplanowane ustalenia dla danych norm zarządzania, wymagania prawne i wynikające z umów oraz inne wymagania, do których organizacja jest zobowiązana; wnioski z poprzednich auditów wewnętrznych lub zewnętrznych; wyniki poprzedniego przeglądu programu auditów; język, kwestie kulturowe i społeczne; uwagi stron zainteresowanych, takie jak reklamacje klientów lub niezgodności z wymaganiami prawnymi; znaczące zmiany auditowanego lub jego działań; dostępność informacji i technik komunikacyjnych wspierających działania auditowe, w szczególności stosowanie zdalnych metod auditu (patrz Rozdział B.1); występowanie wewnętrznych i zewnętrznych zdarzeń, takich jak defekty wyrobów, wycieki informacji, incydenty dotyczące zdrowia i bezpieczeństwa, akty przestępstwa lub incydenty środowiskowe Identyfikowanie i oszacowanie ryzyk związanych z programem auditów Występuje wiele różnych ryzyk związanych z ustalaniem, wdrażaniem, monitorowaniem, przeglądem i doskonaleniem programu auditów, które mogą mieć wpływ na osiągnięcie jego celów. Zaleca się, aby osoba zarządzająca programem brała te ryzyka pod uwagę przy jego opracowywaniu. Ryzyka mogą być związane z: planowaniem, np. błąd w wyznaczeniu istotnych celów auditu i określeniu zakresu programu auditów; zasobami, np. przeznaczenie niewystarczającego czasu na przygotowanie programu auditów lub przeprowadzenie auditu; wyborem zespołu auditującego, np. zespół łącznie nie ma kompetencji, aby przeprowadzić audit skutecznie; wdrożeniem, np. nieskuteczna komunikacja związana z programem auditów; 13

16 zapisami i ich nadzorowaniem, np. uchybienia w odpowiedniej ochronie zapisów z auditu w celu wykazania skuteczności programu auditów; monitorowaniem, przeglądem i doskonaleniem programu auditów, np. nieskuteczne monitorowanie wyników programu auditów Ustalanie procedur dla programu auditów Zaleca się, jeśli ma to zastosowanie, aby osoba zarządzająca programem auditów ustaliła jedną lub więcej procedur, obejmujących: planowanie i ustalanie terminów auditów z uwzględnieniem ryzyka programu auditów; zapewnienie bezpieczeństwa informacji i poufności; zapewnienie kompetencji auditorów i auditorów wiodących; dobór odpowiednich zespołów auditujących i przydzielenie ról i odpowiedzialności; przeprowadzenia auditów, łącznie ze stosowaniem właściwych metod pobierania próbek; przeprowadzanie działań poauditowych, jeśli ma to zastosowanie; składanie najwyższemu kierownictwu raportów o ogólnych wynikach programu auditów; utrzymywanie zapisów dotyczących programu auditów; monitorowanie i przegląd działalności i ryzyk oraz doskonalenie skuteczności programu auditów Identyfikowanie zasobów dla programu auditów Podczas identyfikowania zasobów dla programu auditów, zaleca się, aby osoba zarządzająca programem auditów uwzględniała: zasoby finansowe niezbędne do opracowania, wdrożenia, zarządzania i doskonalenia działań auditowych; metody auditu; dostępność auditorów i ekspertów technicznych mających odpowiednie kompetencje do poszczególnych celów programu auditów; zakres programu auditu i jego ryzyk; czas i koszt podróży, zakwaterowania i innych potrzeb związanych z auditowaniem; dostępność technologii informacyjnych i komunikacyjnych. 5.4 Wdrażanie programu auditów Postanowienia ogólne Zaleca się, aby osoba zarządzająca programem auditów wdrożyła program auditów poprzez: informowanie odpowiednich stron o istotnych obszarach programu auditów oraz okresowo na temat postępów w jego realizacji; określenie celów, zakresu i kryteriów każdego danego auditu; koordynowanie i ustalanie terminów auditów oraz innych działań związanych z programem auditów; zapewnienie doboru zespołów auditujących uwzględniającego niezbędne kompetencje; zapewnienie zespołom auditującym wymaganych zasobów; zapewnienie prowadzenia auditów zgodnie z programem auditów oraz w określonych ramach czasowych; zapewnienie, że działania auditowe są dokumentowane i że zapisy są właściwie zarządzane i utrzymywane. 14

17 5.4.2 Określenie celów, zakresu i kryteriów dla danego auditu Zaleca się, aby poszczególne audity były oparte na udokumentowanych celach, zakresie i kryteriach. Zaleca się, aby powyższe były określone przez osobę zarządzającą programem auditów i spójne z ogólnymi celami programu auditów. Cele auditu określają, co należy osiągnąć w następstwie auditu, i mogą obejmować: określenie zakresu zgodności auditowanego systemu zarządzania, lub jego części, z kryteriami auditu; określenie zakresu zgodności działań, procesów i wyrobów z wymaganiami i procedurami systemu zarządzania; ocenę zdolności systemu zarządzania do zapewnienia zgodności z wymaganiami prawnymi i wynikającymi z umów, a także innymi wymaganiami, do których organizacja jest zobowiązana; ocenę skuteczności systemu zarządzania w osiąganiu określonych celów; identyfikację obszarów potencjalnego doskonalenia systemu zarządzania. Zaleca się, aby zakres auditu był spójny z programem auditów i celami auditu. Obejmuje on takie czynniki jak fizyczne lokalizacje, jednostki organizacyjne, działania i procesy, które mają być auditowane, oraz ramy czasowe auditów. Kryteria auditu są stosowane jako odniesienie, w stosunku do którego określana jest zgodność, i mogą obejmować mające zastosowanie polityki, procedury, normy, wymagania prawne, wymagania systemu zarządzania, wymagania wynikające z umów lub kodeksy postępowania w danym sektorze lub inne zaplanowane ustalenia. W przypadku zmian w celach, zakresie lub kryteriach auditu, zaleca się, aby jeżeli jest to potrzebne, program auditów został zmodyfikowany. Jeżeli dwa lub więcej systemów zarządzania różnych dziedzin są auditowane razem (audit połączony), ważne jest, aby cele, zakres i kryteria auditu były spójne z celami odpowiednich programów auditów Wybór metod auditu Zaleca się, aby osoba zarządzająca programem auditów wybrała i określiła metody skutecznego przeprowadzenia auditu, zależnie od wcześniej określonych celów, zakresu i kryteriów auditu. UWAGA Wytyczne, jak określać metody auditu opisano w Załączniku B. Jeżeli dwie lub więcej organizacji auditujących przeprowadzają wspólny audit jednego auditowanego, zaleca się, aby osoby zarządzające różnymi programami auditów uzgodniły metodę auditu i rozważyły jej wpływ na zasoby i planowanie auditu. Jeżeli auditowany posiada dwa lub więcej systemów zarządzania w różnych dziedzinach, audity połączone mogą być włączone do programu auditów Wybór członków zespołu auditującego Zaleca się, aby osoba zarządzająca programem auditów wyznaczyła członków zespołu auditującego, łącznie z auditorem wiodącym, jak i wszystkich ekspertów technicznych potrzebnych do przeprowadzenia danego auditu. Zaleca się wyznaczenie zespołu auditującego biorąc pod uwagę kompetencje potrzebne do osiągnięcia celów danego auditu w ramach określonego zakresu. Jeżeli jest tylko jeden auditor, zaleca się, aby wykonywał on wszystkie mające zastosowanie obowiązki auditora wiodącego. UWAGA Rozdział 7 zawiera wytyczne dotyczące określania kompetencji wymaganych od członków zespołu auditującego i opis procesu oceny auditorów. Podejmując decyzję dotyczącą wielkości i składu zespołu na poszczególny audit, zaleca się wzięcie pod uwagę: a) łącznych kompetencji zespołu auditującego, niezbędnych do osiągnięcia celów auditu biorąc pod uwagę zakres i kryteria auditu; 15

18 b) złożoności auditu oraz kwestii, czy audit jest auditem połączonym czy wspólnym; c) wybranych metod auditu; d) wymagań prawnych i wynikających z umów oraz innych wymagań, do których organizacja jest zobowiązana; e) potrzeby zapewnienia niezależności członków zespołu auditującego wobec działań, które mają być auditowane oraz w celu uniknięcia konfliktu interesów [patrz Rozdziale 4, zasada e)]; f) zdolności członków zespołu auditującego do wspólnej pracy oraz do skutecznego współdziałania z auditowanym; g) języka auditu oraz społecznych i kulturowych uwarunkowań auditowanego. Zagadnienia te mogą być rozwiązane poprzez własne umiejętności auditora, albo poprzez wsparcie ze strony eksperta technicznego. W celu zapewnienia łącznych kompetencji zespołu auditującego, zaleca się wykonanie następujących kroków: identyfikacja wiedzy i umiejętności potrzebnych do osiągnięcia celów auditu; taki dobór członków zespołu auditującego, aby zespół ten miał pełną konieczną wiedzę i umiejętności. Jeżeli auditorzy zespołu auditującego nie mają wszystkich niezbędnych kompetencji, mogą one być uzupełnione przez włączenie do zespołu ekspertów technicznych. Zaleca się, aby eksperci techniczni działali pod kierunkiem auditora, ale nie działali jak auditorzy. Auditorzy szkolący się mogą być włączeni do zespołu auditującego, ale zaleca się, aby brali udział w audicie pod kierunkiem i według wytycznych auditora. Korekta wielkości i składu zespołu auditującego może być konieczna podczas auditu, tj., jeżeli powstanie konflikt interesów lub pojawią się kwestie dotyczące kompetencji. Jeżeli taka sytuacja powstanie, zaleca się przedyskutowanie jej z właściwymi stronami (np. auditorem wiodącym, osobą zarządzającą programem auditów, klientem auditu lub auditowanym) przed dokonaniem jakichkolwiek zmian Przydzielanie odpowiedzialności za dany audit auditorowi wiodącemu Zaleca się, aby osoba zarządzająca programem auditów przydzieliła odpowiedzialność auditorowi wiodącemu za przeprowadzenie danego auditu. Zaleca się, aby miało to miejsce wystarczająco wcześniej przed wyznaczoną datą auditu, w celu zapewnienia skutecznego zaplanowania auditu. W celu zapewnienia skutecznego przeprowadzenia poszczególnych auditów, zaleca się, aby auditor wiodący otrzymał następujące informacje: a) cele auditu; b) kryteria auditu i wszelkie dokumenty odniesienia; c) zakres auditu, łącznie z identyfikacją jednostek organizacyjnych i funkcjonalnych oraz procesów podlegających auditowaniu; d) metody i procedury auditu; e) skład zespołu auditującego; f) dane kontaktowe do auditowanego, lokalizację, daty i czas trwania działań auditowych; g) przydzielenie odpowiednich zasobów w celu przeprowadzenia auditu; h) informacje potrzebne do oceny i uwzględnienia zidentyfikowanych ryzyk dotyczących osiągnięcia celów auditu. Jeżeli jest to właściwie, zaleca się, aby przekazywane informacje dotyczyły także: języka, w którym prowadzony będzie audit oraz sporządzony raport, jeżeli jest on różny od języka auditora lub auditowanego, lub od obu tych języków; 16

19 zawartości raportu z auditu i jego dystrybucji zgodnie z programem auditów; kwestii związanych z poufnością i bezpieczeństwem informacji, jeżeli wymagane jest to przez program auditów; wszelkich wymagań dla auditorów dotyczących zdrowia i bezpieczeństwa; wszelkich wymagań dotyczących zabezpieczeń i upoważnień; wszelkich działań poauditowych, np. z poprzedniego auditu, jeżeli ma to zastosowanie; koordynacji z innymi działaniami auditowymi, w przypadku auditu wspólnego. Gdy prowadzony jest audit wspólny, ważne jest, aby przed rozpoczęciem auditu organizacje auditujące osiągnęły porozumienie co do odpowiedzialności każdej strony, w szczególności w odniesieniu do uprawnień auditora wiodącego wyznaczonego do auditu Zarządzanie wynikami programu auditów Zaleca się, aby osoba zarządzająca programem auditów zapewniła wykonanie następujących działań: przegląd i zatwierdzenie raportów z auditu, łącznie z oceną przydatności i adekwatności ustaleń z auditu; przegląd analizy źródłowych przyczyn oraz skuteczności działań korygujących i zapobiegawczych; dystrybucja raportów z auditu do najwyższego kierownictwa i innych odpowiednich stron; określenie konieczności podjęcia działań poauditowych Zarządzanie i utrzymywanie zapisów dotyczących programu auditów Zaleca się, aby osoba zarządzająca programem auditów zapewniała tworzenie, zarządzanie i utrzymywanie zapisów z auditu w celu wykazania wdrożenia programu auditów. Zaleca się ustanowienie procesów w celu zapewnienia poufności zapisów z auditu. Zaleca się, aby zapisy obejmowały: a) zapisy dotyczące programu auditów, takie jak: udokumentowane cele i zakres programu auditów; odnoszące się do ryzyk dotyczących programu auditów; przeglądy skuteczności programu auditów; b) zapisy z poszczególnych auditów, takie jak: plany auditu i raporty z auditu; raporty niezgodności; raporty z działań korygujących i zapobiegawczych; raporty z działań poauditowych, jeżeli ma to zastosowanie; c) zapisy dotyczące personelu auditującego obejmujące zagadnienia, takie jak: ocenę kompetencji i działań członków zespołu auditującego; dobór zespołów auditujących i ich członków; utrzymywanie i doskonalenie kompetencji. Zaleca się, aby forma i poziom szczegółowości zapisów odzwierciedlały osiągnięcie celów programu auditów. 17

20 5.5 Monitorowanie programu auditów Zaleca się, aby osoba zarządzająca programem auditów monitorowała jego wdrożenie, uwzględniając potrzebę: a) oceny zgodności z programami auditów, harmonogramami i celami auditu; b) oceny pracy członków zespołu auditującego; c) oceny zdolności zespołów auditujących do wdrożenia planu auditu; d) oceny informacji zwrotnej od najwyższego kierownictwa, auditowanych, auditorów i innych stron zainteresowanych. Niektóre czynniki mogą determinować potrzebę modyfikacji programu auditów, przykładowo: ustalenia z auditu; wykazany poziom skuteczności systemu zarządzania; zmiany w systemie zarządzania klienta lub auditowanego; zmiany w normach, wymaganiach prawnych lub wynikających z umów oraz innych, do których organizacja jest zobowiązana; zmiany dostawcy. 5.6 Przegląd i doskonalenie programu auditów Zaleca się, aby osoba zarządzająca programem auditów dokonywała przeglądów programu auditów w celu oceny czy jego cele zostały osiągnięte. Zaleca się, aby wnioski wyniesione z przeglądu programu auditów były wykorzystywane jako dane wejściowe do procesu ciągłego doskonalenia programu. Zaleca się, aby przegląd programu auditów zawierał: a) wyniki i trendy z monitorowania programu; b) zgodność z procedurami programu auditów; c) zmieniające się potrzeby i oczekiwania stron zainteresowanych; d) zapisy dotyczące programu auditów; e) alternatywne lub nowe praktyki auditowania; f) skuteczność środków odnoszących się do ryzyk związanych z programem auditów; g) kwestie poufności i bezpieczeństwa informacji związanych z programem auditów. Zaleca się, aby osoba zarządzająca programem auditów dokonywała ogólnego przeglądu wdrożenia programu auditów, identyfikacji obszarów do doskonalenia, zmiany programu, jeżeli jest to konieczne, oraz: dokonywała przeglądu ciągłego rozwoju zawodowego auditorów, zgodnie z 7.4, 7.5 i 7.6; raportowała wyniki przeglądu programu auditów do najwyższego kierownictwa. 6 Przeprowadzanie auditu 6.1 Postanowienia ogólne Niniejszy rozdział zawiera wytyczne dotyczące przygotowania i prowadzenia działań auditowych jako części programu auditów. Na rysunku 2 przedstawiono przegląd typowych działań auditowych. Zakres, w jakim postanowienia niniejszego rozdziału mają zastosowanie, zależy od celów i zakresu konkretnego auditu. 18

21 UWAGA Numeracja podrozdziałów odnosi się do odpowiednich podrozdziałów niniejszej Normy Międzynarodowej Rysunek 2 Typowe działania auditowe 6.2 Inicjowanie auditu Postanowienia ogólne Kiedy audit zostaje zainicjowany, odpowiedzialność za jego przeprowadzenie ponosi wyznaczony auditor wiodący (patrz 5.4.5) aż do momentu zakończenia auditu (patrz 6.6). W celu zainicjowania auditu, zaleca się podjąć kroki przedstawione na Rysunku 2, jednakże ich kolejność może się różnić w zależności od auditowanego, procesów i specyficznych okoliczności auditu. 19

22 6.2.2 Nawiązanie pierwszego kontaktu z auditowanym Pierwszy kontakt z auditowanym w celu przeprowadzenia auditu może być nieformalny lub formalny i zaleca się, aby był nawiązany przez auditora wiodącego. Celem pierwszego kontaktu jest: ustalenie komunikacji z przedstawicielami auditowanego; potwierdzenie uprawnień do przeprowadzenia auditu; dostarczenie informacji na temat celów, zakresu i metod auditu oraz składu zespołu auditującego, łącznie z ekspertami technicznymi; wnioskowanie o dostęp do odpowiednich dokumentów i zapisów w celach planowania; określenie mających zastosowanie wymagań prawnych i wynikających z umów oraz innych wymagań właściwych dla działań i wyrobów auditowanego; potwierdzenie uzgodnień z auditowanym dotyczących zakresu ujawnienia poufnych informacji i postępowania z nimi; dokonanie ustaleń dotyczących auditu, łącznie z harmonogramem i datami; określenie wszelkich specyficznych wymagań dotyczących dostępu, zabezpieczenia, ochrony zdrowia i bezpieczeństwa lub innych, dotyczących poszczególnych lokalizacji; uzgodnienie uczestnictwa obserwatorów oraz potrzeby przewodników dla zespołu auditującego; określenie obszarów zainteresowania lub ważnych dla auditowanego w przypadku danego auditu Określenie wykonalności auditu Zaleca się określenie wykonalności auditu w celu uzyskania uzasadnionego zaufania, że cele auditu mogą być osiągnięte. Zaleca się określenie wykonalności auditu z uwzględnieniem takich czynników jak: wystarczająca i odpowiednia informacja do planowania i przeprowadzenia auditu; możliwość adekwatnej współpracy z auditowanym; odpowiedni czas i zasoby do przeprowadzenia auditu. Jeżeli dany audit jest niewykonalny, zaleca się, w uzgodnieniu z auditowanym, zaproponowanie klientowi auditu alternatywnego rozwiązania. 6.3 Przygotowanie działań auditowych Przeprowadzanie przeglądu dokumentów w ramach przygotowania do auditu Zaleca się przeprowadzanie przeglądu odpowiedniej dokumentacji dotyczącej systemu zarządzania auditowanego w celu: zebrania informacji w celu przygotowania działań auditowych i mających zastosowanie dokumentów roboczych (patrz 6.3.4), np. dotyczących procesów, funkcji; dokonanie przeglądu zakresu dokumentacji systemu, aby wykryć możliwe braki. UWAGA Wytyczne jak przeprowadzać przegląd dokumentów podano w Rozdziale B.2. Zaleca się, aby dokumentacja zawierała, o ile ma to zastosowanie, dokumenty i zapisy dotyczące systemu zarządzania, jak i również raporty z poprzednich auditów. Zaleca się, aby przy przeglądzie dokumentów uwzględniać wielkość, charakter i złożoność auditowanego systemu zarządzania i organizacji oraz cele i zakres auditu. 20

23 6.3.2 Przygotowanie planu auditu Zaleca się, aby auditor wiodący przygotował plan auditu na podstawie informacji zawartych w programie auditów i w dokumentacji dostarczonej przez auditowanego. Zaleca się, aby plan auditu uwzględniał wpływ działań auditowych na procesy auditowanego i stanowił podstawę do uzgodnień pomiędzy klientem auditu, zespołem auditującym i auditowanym w zakresie przeprowadzenia auditu. Zaleca się, aby plan auditu ułatwiał ustalenie terminów i koordynację działań auditowych w celu skutecznego osiągnięcia założonych celów. Zaleca się, aby ilość szczegółów zawarta w planie auditu odzwierciedlała zakres oraz złożoność auditu, jak również wpływ niepewności co do osiągnięcia celów auditu. Zaleca się, aby przy przygotowywaniu planu auditu, auditor wiodący uwzględniał następujące aspekty: odpowiednie techniki pobierania próbek (patrz Rozdział B.3); skład zespołu auditującego i jego zbiorowe kompetencje; ryzyka dla organizacji spowodowane auditem. Na przykład ryzyko dla organizacji może wynikać z obecności członków zespołu auditującego wpływającej na zdrowie i bezpieczeństwo, środowisko i jakość oraz ich obecności stanowiącej zagrożenie dla wyrobów, usług, personelu lub infrastruktury auditowanego (np. zanieczyszczenie w tzw. czystych obszarach). W przypadku auditów połączonych, zaleca się zwrócenie szczególnej uwagi na interakcje pomiędzy procesami operacyjnymi, a konkurencyjnymi celami i priorytetami różnych systemów zarządzania Skala i zawartość planu auditu może być różna, na przykład dla auditu pierwszego i następnych, a także dla auditów wewnętrznych i zewnętrznych. Zaleca się, aby plan auditu był wystarczająco elastyczny, tak aby możliwe były zmiany, które mogą okazać się konieczne w miarę realizacji działań auditowych. Zaleca się, aby plan auditu zawierał lub odnosił się do: a) celów auditu; b) zakresu auditu, łącznie z identyfikacją jednostek organizacyjnych i funkcjonalnych oraz procesów, które mają być auditowane; c) kryteriów auditu i wszystkich dokumentów odniesienia; d) lokalizacji, dat, przewidywanych godzin i czasu trwania działań auditowych, łącznie ze spotkaniami z kierownictwem auditowanego; e) metod auditu, jakie mają być użyte, łącznie z określeniem zakresu pobierania próbek potrzebnych do zgromadzenia wystarczających dowodów z auditu oraz opracowania planu pobierania próbek, jeśli ma to zastosowanie; f) roli i odpowiedzialności członków zespołu auditującego oraz przewodników i obserwatorów; g) przydzielenia odpowiednich zasobów do krytycznych obszarów auditu. Zaleca się, aby plan auditu obejmował także, jeśli to właściwe: identyfikację przedstawiciela auditowanego dla potrzeb auditu; język pracy oraz raportowania dla danego auditu, jeżeli jest on różny od języka auditora lub auditowanego lub obydwu; tematy raportu z auditu; ustalenia logistyczne i komunikacyjne, łącznie ze specyficznymi ustaleniami lokalizacji podlegających auditowaniu; wszelkie specyficzne środki jakie mają być podjęte w odniesieniu do wpływu niepewności na osiągnięcie celów auditu; 21

24 sprawy związane z poufnością i bezpieczeństwem informacji; wszelkie działania poauditowe wynikające z poprzedniego auditu; wszelkie działania poauditowe wynikające z zaplanowanego auditu; koordynację z innymi działaniami auditowymi, w przypadku auditu wspólnego. Plan auditu może być przejrzany i zaakceptowany przez klienta auditu. Zaleca się, aby był przedstawiony auditowanemu. Zaleca się, aby wszelkie zastrzeżenia auditowanego do planu auditu były rozstrzygnięte pomiędzy auditorem wiodącym, auditowanym i klientem auditu Przydzielenie pracy zespołowi auditującemu Zaleca się, aby auditor wiodący, w porozumieniu z zespołem auditującym, określił dla każdego członka zespołu zakres odpowiedzialności za auditowanie poszczególnych procesów, działań, funkcji lub miejsc. Dokonując tego, zaleca się wzięcie pod uwagę niezależności i kompetencji auditorów oraz skutecznego wykorzystania zasobów, jak również różnej roli i odpowiedzialności auditorów, auditorów szkolących się i ekspertów technicznych. Zaleca się organizowanie przez auditora wiodącego odpraw zespołu auditującego w celu przypisania zadań i zadecydowania o możliwych zmianach. Zmiany w podziale pracy mogą być dokonywane w miarę realizacji auditu, aby zapewnić osiągnięcie celów auditu Przygotowanie dokumentów roboczych Zaleca się, aby członkowie zespołu auditującego zebrali i dokonali przeglądu odpowiednich informacji związanych z przydzieloną w ramach auditu pracą i przygotowali dokumenty robocze potrzebne jako odniesienie i w celu odnotowania dowodów z auditu. Dokumenty robocze mogą obejmować: listy kontrolne; plany pobierania próbek auditowych; formularze do zapisywania informacji, takich jak dowody pomocnicze, ustalenia z auditu i zapisy ze spotkań. Zaleca się, aby stosowanie listy kontrolnej i formularzy nie ograniczało zakresu działań auditowych, który może się zmienić w wyniku informacji zebranych podczas auditu. UWAGA Wytyczne dotyczące przygotowania dokumentów roboczych podano w Rozdziale B.4. Zaleca się, aby dokumenty robocze, łącznie z zapisami wynikającymi z ich stosowania, były zachowane przynajmniej do zakończenia auditu lub jak określono w planie auditu. Przechowywanie dokumentów po zakończeniu auditu jest opisane w 6.6. Zaleca się, aby dokumenty zawierające informacje poufne lub podlegające prawu własności cały czas były odpowiednio chronione przez członków zespołu auditującego. 6.4 Przeprowadzanie działań auditowych Postanowienia ogólne Działania auditowe są zwykle przeprowadzane w określonej kolejności, jak przedstawiono na Rysunku 2. Kolejność ta może być inna w celu dostosowania się do okoliczności konkretnych auditów Przeprowadzenie spotkania otwierającego Celem spotkania otwierającego jest: a) potwierdzenie uzgodnień ze wszystkimi stronami (np. auditowany, zespół auditujący) dotyczących planu auditu; b) przedstawienie zespołu auditującego; c) upewnienie się, że wszystkie zaplanowane działania auditowe mogą być przeprowadzone. 22

25 Zaleca się przeprowadzenie spotkania otwierającego z kierownictwem auditowanego oraz, jeżeli to właściwe, z osobami odpowiedzialnymi za funkcje lub procesy, które będą auditowane. Zaleca się umożliwienie zadawania pytań podczas tego spotkania. Zaleca się, aby stopień szczegółowości był spójny ze stopniem znajomości procesu auditowania przez auditowanego. W wielu przypadkach, na przykład auditów wewnętrznych w małej organizacji, spotkanie otwierające może po prostu polegać na zakomunikowaniu, że będzie prowadzony audit, oraz na wyjaśnieniu charakteru auditu. Zaleca się, aby w innych sytuacjach auditowych spotkanie było formalne oraz aby były zachowane zapisy obecności. Zaleca się, aby spotkanie było prowadzone przez auditora wiodącego oraz aby wzięto pod uwagę niżej podane elementy, jeżeli jest to właściwe: przedstawienie uczestników, łącznie z obserwatorami i przewodnikami, oraz nakreślenie ich roli; potwierdzenie celów, zakresu i kryteriów auditu; potwierdzenie planu auditu i innych istotnych ustaleń, takich jak: data i czas spotkania zamykającego, wszelkie pośrednie spotkania zespołu auditującego z kierownictwem auditowanego oraz wszelkie późniejsze zmiany; przedstawienie metod stosowanych do przeprowadzenia auditu, łącznie z poinformowaniem auditowanego, że dowody auditu będą oparte na próbce udostępnionych informacji; wprowadzenie metod zarządzania ryzykiem w organizacji, które może wynikać z obecności członków zespołu auditującego; potwierdzenie formalnego sposobu komunikowania się pomiędzy zespołem auditującym a auditowanym; potwierdzenie języka, w jakim będzie przeprowadzany audit; potwierdzenie, że w czasie auditu auditowany będzie informowany na bieżąco o jego postępie; potwierdzenie dostępności zasobów i wyposażenia niezbędnego dla zespołu auditującego; potwierdzenie spraw związanych z poufnością i bezpieczeństwem informacji; potwierdzenie istotnych procedur bezpieczeństwa pracy, procedur awaryjnych i ochrony dla zespołu auditującego; informację o metodzie raportowania ustaleń z auditu, łącznie z ich stopniowaniem, jeżeli jest stosowane; informację o warunkach, w jakich może nastąpić przerwanie auditu; informację o spotkaniu zamykającym; informację dotyczącą postępowania z możliwymi ustaleniami podczas auditu; informację o systemie przekazywania informacji zwrotnej od auditowanego na temat ustaleń lub wniosków z auditu, łącznie ze skargami lub odwołaniami Przeprowadzenie przeglądu dokumentacji podczas przeprowadzania auditu Zaleca się, aby odpowiednia dokumentacja auditowanego została przejrzana w celu: określenia zgodności systemu, w zakresie w jakim został udokumentowany, z kryteriami auditu; zebrania informacji do wsparcia działań auditowych. UWAGA Wytyczne jak przeprowadzać przegląd dokumentów podano w Rozdziale B.2. Przegląd może być połączony z innymi działaniami auditowymi i może być kontynuowany podczas auditu, pod warunkiem że nie będzie to miało negatywnego wpływu na skuteczność prowadzonego auditu. Jeżeli adekwatna dokumentacja nie może być dostarczona w czasie określonym w planie auditu, zaleca się, aby auditor wiodący poinformował o tym zarówno osobę zarządzającą programem auditów, jak i auditowanego. Zależnie od celów i zakresu auditu, zaleca się podjęcie decyzji o kontynuowaniu auditu lub o jego zawieszeniu wtedy, gdy kwestie dotyczące dokumentacji zostaną rozwiązane. 23

26 6.4.4 Komunikowanie się podczas auditu Podczas auditu konieczne mogą być formalne ustalenia co do komunikowania się w ramach zespołu auditującego, jak i z auditowanym, klientem auditu oraz potencjalnie z instytucjami zewnętrznymi (np. instytucjami regulacyjnymi), szczególnie, kiedy wymagania prawne wymagają obowiązkowego raportowania wszelkich niezgodności. Zaleca się, aby zespół auditujący okresowo wymieniał informacje, oceniał postępy auditu i zmieniał podział pracy pomiędzy auditorami, jeżeli zajdzie taka potrzeba. Zaleca się, aby podczas auditu auditor wiodący przedstawiał okresowo auditowanemu i klientowi auditu postępy auditu oraz wszelkie uwagi, jeżeli to właściwe. Zaleca się, aby dowody zebrane podczas auditu, które wskazują na bezpośrednie i znaczące ryzyko dla auditowanego, były bezzwłocznie przekazywane auditowanemu i, jeżeli to właściwe, klientowi auditu. Zaleca się, aby każda sprawa dotycząca problemu wybiegającego poza zakres auditu była odnotowana i przedstawiona auditorowi wiodącemu, w celu ewentualnego zakomunikowania klientowi auditu i auditowanemu. Jeżeli dostępne dowody z auditu wskazują, że cele auditu są niemożliwe do osiągnięcia, zaleca się, aby auditor wiodący przedstawił klientowi auditu i auditowanemu przyczyny, w celu podjęcia określonych działań. Działania te mogą obejmować potwierdzenie lub zmianę planu auditu, zmiany celów auditu lub zakresu auditu, lub zakończenie auditu. Zaleca się, aby każda potrzeba zmiany planu auditu, która może powstać w wyniku realizacji działań auditowych, była przejrzana i zatwierdzona, jeżeli to właściwe, zarówno przez osobę zarządzającą programem auditów, jak i przez auditowanego Wyznaczenie roli i odpowiedzialności przewodników i obserwatorów Przewodnicy i obserwatorzy (np. instytucje regulacyjne lub inne strony zainteresowane) mogą towarzyszyć zespołowi auditującemu. Zaleca się, aby nie mieli oni wpływu na audit ani nie ingerowali w jego prowadzenie. Jeżeli nie można tego zapewnić, zaleca się, aby auditor wiodący miał prawo odmowy uczestniczenia obserwatorów w wybranych częściach działań auditowych. Zaleca się, aby wszelkie wymagania w stosunku do obserwatorów, które są związane z procedurami dotyczącymi bezpieczeństwa i ochrony zdrowia oraz ochrony były rozstrzygnięte pomiędzy klientem auditu a auditowanym. Zaleca się, aby przewodnicy wyznaczeni przez auditowanego towarzyszyli zespołowi auditującemu i działali zgodnie z życzeniem auditora wiodącego. Zaleca się, aby ich obowiązki obejmowały: a) pomoc auditorom w wyznaczeniu osób biorących udział w rozmowach i potwierdzanie czasu ich trwania; b) zapewnienie dostępu do poszczególnych lokalizacji auditowanego; c) zapewnienie, że zasady dotyczące procedur bezpieczeństwa i ochrony w danej lokalizacji są znane i przestrzegane przez członków zespołu auditującego oraz obserwatorów. Role przewodników mogą także obejmować: pełnienie roli obserwującego audit w imieniu auditowanego; dostarczanie wyjaśnień lub pomoc w zbieraniu informacji Zbieranie i weryfikowanie informacji Zaleca się, aby informacje związane z celami, zakresem oraz kryteriami auditu, łącznie z informacją związaną z oddziaływaniem pomiędzy funkcjami, działaniami i procesami, były gromadzone poprzez odpowiednie pobieranie próbek auditowych podczas auditu i weryfikowane. Tylko informacja możliwa do zweryfikowania może być zaakceptowana jako dowód z auditu. Zaleca się, aby dowód z auditu, który prowadzi do ustaleń z auditu, został zapisany. Jeżeli podczas zbierania dowodów zespół auditujący staje się świadomy nowych lub zmienionych okoliczności lub ryzyk, zaleca się, aby zespół odpowiednio na nie reagował. UWAGA 1 Wytyczne dotyczące pobierania próbek podano w Rozdziale B.3. 24

27 Na Rysunku 3 przedstawiono przebieg procesu od zebrania informacji do sformułowania wniosków z auditu. Rysunek 3 Przebieg procesu od zebrania informacji do sformułowania wniosków Zaleca się, aby metody zbierania informacji obejmowały: rozmowy; obserwacje; przegląd dokumentów, łącznie z zapisami. UWAGA 2 Wytyczne dotyczące źródeł informacji podano w Rozdziale B.5. UWAGA 3 Wytyczne dotyczące wizytowania lokalizacji auditowanego podano w Rozdziale B.6. UWAGA 4 Wytyczne dotyczące prowadzenia rozmów podano w Rozdziale B Opracowanie ustaleń z auditu Zaleca się, aby dowody z auditu były oceniane w odniesieniu do kryteriów auditu w celu opracowania ustaleń z auditu. Ustalenia z auditu mogą wskazywać na zgodność lub niezgodność z kryteriami auditu. Jeżeli to określono w planie auditu, poszczególne ustalenia z auditu mogą zawierać zgodności i dobre praktyki razem ze wspierającymi je dowodami, możliwości do doskonalenia i wszelkie rekomendacje dla auditowanego. Zaleca się, aby niezgodności i wspierające je dowody z auditu były zapisane. Niezgodności mogą być stopniowane. Zaleca się, aby były one przejrzane z auditowanym w celu uzyskania potwierdzenia, że dowód z auditu jest dokładny oraz, że niezgodności są zrozumiałe. Zaleca się podjęcie próby rozwiązania wszelkich różnic opinii dotyczących dowodów z auditu lub ustaleń oraz zaleca się, aby sprawy nierozwiązane zostały zapisane. Zaleca się, aby zespół auditujący spotykał się, jeśli to potrzebne, w celu przejrzenia ustaleń z auditu na odpowiednich etapach podczas auditu. UWAGA Dodatkowe wytyczne dotyczące identyfikacji i oceny ustaleń z auditu podano w Rozdziale B.8. 25

28 6.4.8 Przygotowanie wniosków z auditu Zaleca się, aby zespół auditujący naradził się przed spotkaniem zamykającym w celu: a) przeglądu ustaleń z auditu i innych odpowiednich informacji zebranych podczas auditu w odniesieniu do celów auditu; b) uzgodnienia wniosków z auditu, biorąc pod uwagę niepewność wbudowaną w proces auditowania; c) przygotowania rekomendacji, jeżeli określono to w planie auditu; d) przedyskutowania działań poauditowych, jeśli ma to zastosowanie. Wnioski z auditu mogą dotyczyć takich spraw jak: stopień zgodności systemu zarządzania z kryteriami auditu i silne strony systemu zarządzania, łącznie ze skutecznością systemu zarządzania w spełnianiu określonych celów; skuteczne wdrożenie, utrzymanie i doskonalenie systemu zarządzania; zdolność procesu przeglądu zarządzania do zapewnienia ciągłej przydatności, adekwatności, skuteczności i doskonalenia systemu zarządzania; osiągnięcie celów auditu, pokrycie zakresu auditu oraz spełnienie kryteriów auditu; źródłowe przyczyny ustaleń, jeżeli zostały uwzględnione w planie auditu; podobne ustalenia dokonane w różnych obszarach, które były auditowane w celach identyfikacji trendu. Jeżeli jest to określone w planie auditu, wnioski z auditu mogą prowadzić do rekomendacji związanych z doskonaleniem lub przyszłymi działaniami auditowymi Przeprowadzanie spotkania zamykającego Zaleca się, aby spotkanie zamykające prowadzone przez auditora wiodącego było przeprowadzone w celu przedstawienia ustaleń z auditu oraz wniosków. Zaleca się, aby w spotkaniu zamykającym uczestniczyło kierownictwo auditowanego oraz, jeżeli ma to zastosowanie, osoby odpowiedzialne za funkcje lub procesy, które były auditowane, a także mogą w nim uczestniczyć klient auditu i inne strony. Jeżeli ma to zastosowanie, zaleca się, aby auditor wiodący poinformował auditowanego o sytuacjach napotkanych w trakcie auditu, które mogą obniżyć zaufanie do wniosków z auditu. Jeżeli zdefiniowano tak w systemie zarządzania lub uzgodniono z klientem auditu, zaleca się, aby uczestnicy spotkania uzgodnili ramy czasowe dla planu działania dotyczącego ustaleń z auditu. Zaleca się, aby stopień szczegółowości był spójny ze stopniem znajomości procesu auditowania przez auditowanego. W niektórych sytuacjach auditowych spotkanie może mieć charakter formalny oraz zalecane jest zachowanie protokołu ze spotkania, łącznie z listą obecności. W pozostałych przypadkach, np. w przypadku auditów wewnętrznych, spotkanie zamykające jest mniej formalne i może polegać tylko na zakomunikowaniu ustaleń i wniosków z auditu. Jeżeli jest to właściwe, zaleca się, aby następujące kwestie zostały wytłumaczone auditowanemu podczas spotkania zamykającego: poinformowanie o tym, że dowody z auditu zostały zebrane na podstawie próbek opartych na dostępnych informacjach; metoda raportowania; proces postępowania z ustaleniami z auditu i ewentualne konsekwencje; prezentacja ustaleń i wniosków z auditu w taki sposób, aby były zrozumiałe i potwierdzone przez kierownictwo auditowanego; wszelkie związane działania poauditowe (np. wdrożenie działań korygujących, postępowanie ze skargami auditowymi, proces odwoławczy). 26

29 Zaleca się, aby wszelkie rozbieżne opinie pomiędzy zespołem auditującym a auditowanym dotyczące ustaleń lub wniosków z auditu, były przedyskutowane i, jeżeli jest to możliwe, rozwiązane. Zaleca się zapisanie opinii w przypadku braku rozwiązania. Jeżeli jest to określone w celach auditu, można przedstawić rekomendacje do doskonalenia. Zaleca się podkreślić, że rekomendacje nie są obowiązujące. 6.5 Przygotowanie i rozpowszechnianie raportu z auditu Przygotowanie raportu z auditu Zaleca się, aby auditor wiodący raportował wyniki auditu zgodnie z procedurami programu auditów. Zaleca się, aby raport z auditu zawierał kompletne, dokładne, zwięzłe i jasne zapisy z auditu oraz obejmował lub powoływał się na: a) cele auditu; b) zakres auditu, w szczególności identyfikację auditowanych jednostek organizacyjnych i funkcjonalnych lub auditowanych procesów; c) identyfikację klienta auditu; d) identyfikację zespołu auditującego i przedstawicieli auditowanego w audicie; e) daty i lokalizacje, gdzie przeprowadzono działania auditowe; f) kryteria auditu; g) ustalenia z auditu i odpowiednie dowody; h) wnioski z auditu; i) oświadczenie dotyczące stopnia spełnienia kryteriów auditu. Raport z auditu może także zawierać lub, jeżeli to właściwe, powoływać się na: plan auditu, łącznie z harmonogramem; podsumowanie procesu auditu łącznie z napotkanymi przeszkodami, które mogą obniżyć wiarygodność wniosków z auditu; potwierdzenie, że cele auditu zostały osiągnięte w ramach zakresu auditu zgodnie z planem auditu; wszelkie nie poddane auditowi obszary, które były w zakresie auditu; podsumowanie obejmujące wnioski z auditu i wspierające je główne ustalenia z auditu; wszelkie nierozstrzygnięte rozbieżne opinie pomiędzy zespołem auditującym a auditowanym; możliwości doskonalenia, jeżeli określono to w planie auditu; zidentyfikowane dobre praktyki; uzgodnione plany działań poauditowych, jeżeli występują; oświadczenie o poufnym charakterze treści raportu; wszelkie implikacje związane z programem auditów lub następnymi auditami; lista dystrybucyjna raportu z auditu. UWAGA Raport z auditu może być przygotowany przed spotkaniem zamykającym. 27

30 6.5.2 Rozpowszechnianie raportu z auditu Zaleca się, aby raport z auditu był wydany w uzgodnionym terminie. Jeżeli jest opóźniony, zaleca się, aby przyczyny opóźnienia były zakomunikowane auditowanemu i osobie zarządzającej programem auditów. Zaleca się, aby raport z auditu był datowany oraz poddany przeglądowi i zatwierdzony, jeśli to właściwe, zgodnie z procedurami dotyczącymi programu auditów. Zaleca się, aby raport z auditu był następnie rozesłany do odbiorców określonych w procedurach auditu lub planie auditu. 6.6 Zakończenie auditu Audit jest zakończony, jeżeli wszystkie zaplanowane działania auditowe lub uzgodnione z klientem auditu zostały wykonane (np. mogą występować nieprzewidziane sytuacje, które uniemożliwiają dokończenie auditu zgodnie z planem). Zaleca się, aby dokumenty dotyczące auditu były zachowane lub zniszczone na podstawie uzgodnień pomiędzy stronami uczestniczącymi oraz zgodnie z procedurami programu auditów i mającymi zastosowanie wymaganiami. Zaleca się, aby zespół auditujący oraz osoba odpowiedzialna za zarządzanie programem auditów nie ujawniali żadnej innej stronie zawartości dokumentów oraz innych informacji uzyskanych podczas auditu lub raportu z auditu, bez jasno wyrażonego pozwolenia klienta auditu i, jeżeli to właściwe, auditowanego, chyba że działanie takie jest wymagane przez prawo. Jeżeli jest wymagane ujawnienie zawartości dokumentu auditu, zaleca się poinformowanie o tym jak najszybciej klienta auditu i auditowanego. Zaleca się, aby doświadczenie z przeprowadzenia auditu zostało uwzględnione w procesie ciągłego doskonalenia systemu zarządzania auditowanych organizacji. 6.7 Przeprowadzenie działań poauditowych Wnioski z auditu mogą, zależnie od celów auditu, wskazywać na potrzebę podjęcia korekcji lub działań korygujących, zapobiegawczych lub doskonalących. Działania takie są zwykle określane i podejmowane przez auditowanego w uzgodnionym terminie. Jeżeli jest to właściwe, zaleca się, aby auditowany informował osobę zarządzającą programem auditów oraz zespół auditujący o statusie tych działań. Zaleca się weryfikację zakończenia i skuteczności tych działań. Weryfikacja ta może być częścią następnego auditu. 7 Kompetencje i ocena auditorów 7.1 Postanowienia ogólne Zaufanie do procesu auditu i zdolność do osiągania jego celów zależy od kompetencji osób, które są zaangażowane w planowanie i przeprowadzanie auditów, łącznie z auditorami i auditorami wiodącymi. Zaleca się, aby kompetencje były oceniane poprzez proces, który uwzględnia postawy i zachowania i zdolność do stosowania wiedzy i umiejętności uzyskanych poprzez wykształcenie, doświadczenie w pracy, szkolenie auditorskie oraz doświadczenie w auditowaniu. Zaleca się, aby taki proces uwzględniał potrzeby programu auditów i jego cele. Część wiedzy i umiejętności opisanych w jest wspólna dla auditorów każdej dziedziny systemu zarządzania, inne są charakterystyczne dla poszczególnych dziedzin systemów zarządzania. Nie jest konieczne, aby każdy z auditorów w zespole auditującym miał takie same kompetencje, jednak łączne kompetencje zespołu auditującego powinny być wystarczające do osiągnięcia celów auditu. Zaleca się, aby ocena kompetencji auditorów była zaplanowana, wdrożona i udokumentowana zgodnie z programem auditów, łącznie z jego procedurami, aby dostarczać wyniki, które są obiektywne, spójne, uczciwe i wiarygodne. Zaleca się, aby proces oceny składał się z następujących czterech głównych etapów: 28

31 a) określenie kompetencji personelu auditującego, aby spełnić potrzeby programu auditów; b) ustalenie kryteriów oceny; c) wybór odpowiedniej metody oceny; d) przeprowadzenie oceny. Zaleca się, aby wynik procesu oceny dostarczał podstawy do: wyboru członków zespołu audytującego, jak opisano w 5.4.4; określenia potrzeby poprawy kompetencji (np. dodatkowe szkolenia); ciągłej oceny pracy auditorów. Zaleca się, aby auditorzy rozwijali, utrzymywali i doskonalili swoje kompetencje poprzez ciągły rozwój zawodowy oraz regularne uczestnictwo w auditach (patrz 7.6). Proces oceny auditorów i auditorów wiodących opisano w 7.4 i 7.5. Zaleca się, aby auditorzy i auditorzy wiodący byli oceniani według kryteriów zawartych w i Kompetencje, których się wymaga od osoby zarządzającej programem auditów opisano w Określenie kompetencji auditora niezbędnych do spełnienia potrzeb programu auditów Postanowienia ogólne Zaleca się, aby decyzja o tym, czy wiedza i umiejętności auditora są odpowiednie, była podejmowana z uwzględnieniem następujących aspektów: wielkość, charakter i złożoność organizacji, która ma być auditowana; dziedziny systemu zarządzania, który ma być auditowany; cele i zakres programu auditów; inne wymagania, takie jak narzucone przez instytucje zewnętrzne, jeżeli jest to właściwe; rola procesu auditowania w systemie zarządzania auditowanego; złożoność auditowanego systemu zarządzania; niepewność w osiągnięciu celów auditu. Zaleca się, aby powyższe informacje zostały porównane z wymienionymi w , i Postawy i zachowania Zaleca się, aby auditorzy mieli niezbędne cechy, które im pozwolą działać zgodnie z zasadami auditowania opisanymi w Rozdziale 4. Zaleca się, aby auditorzy wykazywali się profesjonalnym postępowaniem podczas wykonywania działań auditowych, łącznie z byciem: etycznym, tj. prawym, prawdomównym, szczerym, uczciwym i rozważnym; otwartym, tj. chętnym do rozważenia alternatywnych pomysłów lub punktów widzenia; dyplomatycznym, tj. taktownym w postępowaniu z ludźmi; spostrzegawczym, tj. aktywnie obserwującym fizyczne warunki otoczenia i działania; percepcyjnym, tj. świadomym sytuacji i zdolnym do jej zrozumienia; 29

32 elastycznym, tj. zdolnym do łatwego przystosowania się do różnych sytuacji; wytrwałym, tj. ciągle ukierunkowanym na osiąganie celów; zdecydowanym, tj. zdolnym do wyciągania w porę wniosków logicznie uzasadnionych i opartych na analizie; samodzielnym, tj. zdolnym do działania i funkcjonowania niezależnie, a jednocześnie skutecznie współdziałając z innymi; zdolnym do działania odpowiedzialnie i etycznie, nawet jeżeli takie działanie nie zawsze będzie popularne i może czasami skutkować brakiem porozumienia lub konfrontacją; otwartym na doskonalenie, tj. chętnym do wyciągania wniosków z sytuacji i starającym się o lepsze wyniki auditu; wrażliwym kulturowo, tj. przestrzegającym i szanującym kulturę auditowanego; zdolnym do współpracy, tj. skutecznie współpracującym z innymi, łącznie z członkami zespołu auditującego i personelem auditowanego Wiedza i umiejętności Postanowienia ogólne Zaleca się, aby auditorzy posiadali wiedzę i umiejętności niezbędne do osiągnięcia zamierzonych wyników przeprowadzanych przez nich auditów. Zaleca się, aby wszyscy auditorzy mieli wiedzę ogólną i umiejętności, a także wiedzę specjalistyczną z zakresu niektórych dziedzin lub sektorów. Zaleca się, aby auditor wiodący posiadał dodatkowo wiedzę i umiejętności niezbędne do kierowania zespołem auditującym Ogólna wiedza i umiejętności auditorów systemu zarządzania Zaleca się, aby auditorzy mieli wiedzę i umiejętności w niżej podanych obszarach. a) Zasady, procedury i metody auditu: wiedza i umiejętności z tego obszaru umożliwiają auditorowi zastosowanie odpowiednich zasad, procedur i metod do różnych auditów oraz zapewnienia przeprowadzania auditów w sposób spójny i systematyczny. Zaleca się, aby auditor potrafił: stosować zasady, procedury i metody auditu; skutecznie planować i organizować pracę; prowadzić audit w uzgodnionym czasie; dokonywać wyboru priorytetów i skupiać się na znaczących sprawach; zbierać informacje w wyniku skutecznych rozmów, słuchania, obserwowania i przeglądania dokumentów, zapisów oraz danych; rozumieć i brać pod uwagę opinie ekspertów; rozumieć odpowiedniość i konsekwencje stosowania technik pobierania próbek w auditowaniu; weryfikować wagę i dokładność zebranych informacji; potwierdzać, że dowody z auditu są wystarczające i odpowiednie do wsparcia ustaleń i wniosków z auditu; ocenić czynniki, które mogą wpływać na wiarygodność ustaleń i wniosków z auditu; stosować dokumenty robocze do dokonywania zapisów z działań auditowych; dokumentować ustalenia z auditu i przygotować odpowiednie raporty z auditu; zachować poufność i bezpieczeństwo informacji, danych, dokumentów i zapisów; 30

33 porozumiewać się skutecznie, słownie lub pisemnie (osobiście lub za pośrednictwem kompetentnego tłumacza); rozumieć rodzaje ryzyka związanego z auditowaniem. b) System zarządzania i dokumenty odniesienia: wiedza i umiejętności w tym obszarze umożliwiają auditorowi zrozumienie zakresu auditu i zastosowania kryteriów auditu; zaleca się, aby wiedza i umiejętności obejmowały: normy systemu zarządzania lub inne dokumenty używane jako kryteria auditu; stosowanie norm systemu zarządzania przez auditowanego i inne organizacje, jeśli jest to właściwe; oddziaływanie pomiędzy elementami systemu zarządzania; rozpoznanie hierarchii dokumentów odniesienia; stosowanie dokumentów odniesienia do różnych sytuacji auditowych. c) Kontekst organizacyjny: wiedza i umiejętności w tym obszarze, umożliwiają auditorowi zrozumienie struktury auditowanego, praktyk biznesowych i zarządczych; zaleca się, aby wiedza i umiejętności obejmowały: typy organizacji, zarządzanie, wielkość, strukturę, funkcje i wzajemne powiązania; ogólne koncepcje biznesowe i zarządzania, procesy i związaną terminologię, łącznie z planowaniem, budżetowaniem i zarządzaniem personelem; kulturowe i społeczne aspekty auditowanego. d) Mające zastosowanie wymagania prawne i wynikające z umów oraz wszelkie inne wymagania, które mają zastosowanie do auditowanego: wiedza i umiejętności w tym obszarze umożliwiają auditorowi bycie świadomym i uwzględnianie w pracy prawnych i wynikających z umów wymagań w stosunku do organizacji. Zaleca się, aby wiedza i umiejętności specyficzne dla systemu prawnego lub dla działań i wyrobów auditowanego obejmowały: prawo i przepisy oraz właściwe agencje rządowe; podstawową terminologię prawną; zawieranie umów i zobowiązania Specyficzna dla dziedziny i sektora wiedza i umiejętności auditorów systemu zarządzania Zaleca się, aby auditorzy posiadali specyficzne dla dziedziny i sektora wiedzę i umiejętności, które są odpowiednie do auditowania danego, szczególnego typu systemu zarządzania i sektora. Nie jest konieczne, aby każdy z auditorów w zespole auditującym miał takie same kompetencje, jednak łączne kompetencje zespołu auditującego powinny być wystarczające do osiągnięcia celów auditu. Zaleca się, aby specyficzne dla dziedziny i sektora wiedza i umiejętności auditorów obejmowały: specyficzne dla dziedziny wymagania i zasady systemu zarządzania oraz ich stosowanie; wymagania prawne istotne dla dziedziny i sektora, tak, aby auditor był świadomy wymagań specyficznych dla danego systemu prawnego oraz zobowiązań, działań i wyrobów auditowanego; wymagania stron zainteresowanych istotne dla określonej dziedziny; podstawy danej dziedziny oraz stosowanie metod, technik, procesów i praktyk biznesowych i technicznych specyficznych dla dziedziny, wystarczających do umożliwienia auditorowi zbadanie systemu zarządzania i przygotowanie odpowiednich ustaleń i wniosków z auditu; specyficzną dla dziedziny wiedzę związaną z danym sektorem, charakterem operacji lub miejscem pracy poddanym auditowi, wystarczająca do oceny przez auditora działań, procesów i wyrobów (towarów i usług) auditowanego; 31

34 zasady zarządzania ryzykiem, metody i techniki właściwe dla dziedziny i sektora, tak aby auditor mógł ocenić i nadzorować ryzyko związane z programem auditów. UWAGA Wytyczne i przykłady wiedzy i umiejętności auditorów specyficzne dla danej dziedziny podano w Załączniku A Ogólna wiedza i umiejętności auditorów wiodących Zaleca się, aby auditorzy wiodący posiadali dodatkową wiedzę i umiejętności do kierowania i przewodzenia zespołem auditującym, w celu umożliwienia przeprowadzenia auditu w sposób skuteczny i efektywny. Zaleca się, aby auditor wiodący posiadał wiedzę i umiejętności niezbędne do: a) wyczucia i wykorzystania silnych i słabych stron poszczególnych członków zespołu auditującego; b) zbudowania harmonijnych relacji roboczych pomiędzy członkami zespołu auditującego; c) zarządzania procesem auditu, łącznie z: planowaniem auditu i skutecznym wykorzystywaniem zasobów podczas auditu; zarządzaniem niepewnością osiągnięcia celów auditu; ochroną zdrowia i bezpieczeństwa członków zespołu auditującego podczas auditu, łącznie z zapewnieniem postępowania auditorów zgodnie z odpowiednimi wymaganiami dotyczącymi zdrowia, bezpieczeństwa i ochrony; organizowaniem i kierowaniem członkami zespołu auditującego; przekazywaniem wskazówek i wytycznych auditorom szkolącym się; zapobieganiem i rozwiązywaniem konfliktów, jeżeli to konieczne; d) reprezentowania zespołu auditującego w kontaktach z osobą zarządzającą programem auditów, klientem auditu i auditowanym; e) kierowania zespołem auditującym tak, aby doprowadzić do sformułowania wniosków z auditu; f) przygotowania i sporządzenia raportu z auditu Wiedza i umiejętności do auditowania systemów zarządzania w wielu dziedzinach Zaleca się, aby auditorzy, którzy jako członkowie zespołu audytującego mają zamiar brać udział w auditowaniu systemów zarządzania dotyczących kilku dziedzin, posiadali kompetencje niezbędne do auditowania co najmniej jednej dziedziny systemu zarządzania i rozumieli powiązania i synergię pomiędzy różnymi systemami zarządzania. Zaleca się, aby auditorzy wiodący przeprowadzający audity systemów zarządzania dotyczących wielu dziedzin, rozumieli wymagania każdej normy systemu zarządzania i rozpoznawali ograniczenia swojej wiedzy i umiejętności w każdej z dziedzin Nabywanie kompetencji przez auditora Wiedza i umiejętności auditora mogą być uzyskane poprzez kombinację: formalnego wykształcenia/szkoleń i doświadczenia, które przyczyniają się do rozwoju wiedzy i umiejętności w dziedzinie systemu zarządzania i sektorze, w którym auditor zamierza auditować; programów szkoleniowych obejmujących ogólną wiedzę i umiejętności auditora; doświadczenia na odpowiednim technicznym, kierowniczym lub innym profesjonalnym stanowisku związanym z wykonywaniem oceny, podejmowaniem decyzji, rozwiązywaniem problemów i komunikacją z kierownikami, specjalistami, obserwatorami, klientami i innymi stronami zainteresowanymi; doświadczenia w auditowaniu nabytego pod nadzorem auditora w tej samej dziedzinie. 32

35 7.2.5 Auditorzy wiodący Zaleca się, aby auditor wiodący nabył dodatkowe doświadczenie w auditowaniu w celu uzyskania wiedzy i umiejętności opisanych w Zaleca się, aby to dodatkowe doświadczenie było zdobyte podczas pracy pod nadzorem i kierunkiem innego auditora wiodącego. 7.3 Ustalenie kryteriów oceny auditora Zaleca się, aby kryteria były jakościowe (takie jak wykazane podczas szkolenia lub w miejscu pracy postawy i zachowania, wiedza lub umiejętności) i ilościowe (takie jak liczba lat doświadczenia w pracy i wykształcenie, liczba przeprowadzonych auditów, liczba godzin szkolenia). 7.4 Wybór odpowiedniej metody oceny auditora Zaleca się, aby ocena była dokonywana z wykorzystaniem jednej lub więcej metod spośród podanych w Tablicy 2. Podczas stosowania Tablicy 2 zaleca się zwrócenie uwagi na to, że: pokazane metody przedstawiają różne możliwości i mogą nie mieć zastosowania we wszystkich sytuacjach; wiarygodność przedstawionych różnych metod może być różna; zaleca się stosowanie kombinacji metod w celu zapewnienia, że wynik jest obiektywny, spójny, rzetelny i wiarygodny. Tablica 2 Możliwe metody oceny Metoda oceny Cele Przykłady Przegląd zapisów Informacje zwrotne Rozmowa Obserwacja Badanie Przegląd po audicie Zweryfikować dotychczasowe dokonania auditora Dostarczyć informacje o tym, jak jest postrzegane działanie auditora Ocenić postawy i zachowania i umiejętności komunikowania się, zweryfikować informacje, sprawdzić wiedzę, uzyskać dodatkowe informacje Ocenić postawy i zachowania oraz stosowanie umiejętności i wiedzy Ocenić postawy i zachowania oraz wiedzę i umiejętności i ich stosowanie Dostarczyć informacje o działaniach auditora podczas działań auditowych, zidentyfikować mocne i słabe strony Analiza zapisów dotyczących wykształcenia, szkolenia, zatrudnienia, referencji zawodowych i doświadczenia w auditowaniu Badanie opinii, kwestionariusze, referencje osobiste, świadectwa, skargi, ocena działania, przegląd (przez równoważnego specjalistę) Rozmowy bezpośrednie Odgrywanie roli, audity obserwowane, wykonywanie pracy Ustne i pisemne egzaminy, badanie psychometryczne Przegląd raportu z auditu oraz rozmowy z auditorem wiodącym, zespołem auditującym i jeśli ma to zastosowanie, informacja zwrotna od auditowanego 7.5 Dokonywanie oceny auditora Zaleca się, aby zebrane informacje dotyczące ocenianej osoby były porównywane z kryteriami ustalonymi w Jeżeli osoba, która ma zamiar brać udział w programie auditów, nie spełnia kryteriów, zalecane jest dodatkowe szkolenie, nabranie doświadczenia w pracy lub doświadczenia w auditowaniu oraz zaleca się dokonanie ponownej oceny. 33

36 7.6 Utrzymywanie i doskonalenie kompetencji auditora Zaleca się, aby auditorzy i auditorzy wiodący ciągle doskonalili swoje kompetencje. Zaleca się, aby auditorzy utrzymywali swoje kompetencje do auditowania poprzez regularny udział w auditach systemów zarządzania i ciągłym rozwoju zawodowym. Ciągły rozwój zawodowy obejmuje utrzymywanie i doskonalenie kompetencji. Można to osiągnąć poprzez takie środki, jak dodatkowe doświadczenie w pracy, szkolenie, indywidualne dokształcanie się, coaching, udział w spotkaniach, seminariach, konferencjach lub przez inne odpowiednie działania. Zaleca się, aby osoba zarządzająca programem auditów ustaliła odpowiednie mechanizmy do stałej oceny pracy auditorów i auditorów wiodących. Zaleca się, aby działania dotyczące ciągłego rozwoju zawodowego uwzględniały: zmiany dotyczące potrzeb poszczególnych osób i organizacji odpowiedzialnych za przeprowadzanie auditu; praktyczne auditowanie; odpowiednie normy i inne wymagania. 34

37 Załącznik A (informacyjny) Wytyczne i przykłady przedstawiające specyficzne dla danej dziedziny wiedzę i umiejętności auditorów A.1 Postanowienia ogólne W niniejszym załączniku podano ogólne przykłady wiedzy i umiejętności auditorów systemu zarządzania specyficznych dla danej dziedziny, które są przeznaczone jako wytyczne dla osoby zarządzającej programem auditów pomocne do wyboru i oceny auditorów. Inne przykłady specyficznej dla danej dziedziny wiedzy i umiejętności auditorów mogą być także opracowane dla systemów zarządzania. Sugeruje się, aby tam gdzie to jest możliwe, takie przykłady zachowywały taką samą ogólną strukturę w celu zachowania porównywalności. A.2 Przykłady przedstawiające specyficzne dla danej dziedziny wiedzę i umiejętności auditorów w zarządzaniu bezpieczeństwem w transporcie Zaleca się, aby wiedza i umiejętności związane z zarządzaniem bezpieczeństwem w transporcie i stosowanie metod, technik, procesów i praktyk zarządzania bezpieczeństwem w transporcie były wystarczające do umożliwienia auditorowi badanie systemu zarządzania i opracowanie odpowiednich ustaleń i wniosków z auditu. Przykłady: terminologia z zakresu zarządzania bezpieczeństwem; rozumienie podejścia do systemu bezpieczeństwa; ocena ryzyka i jego ograniczanie; analiza czynnika ludzkiego związanego z zarządzaniem bezpieczeństwem w transporcie; ludzkie zachowanie i interakcje; interakcje pomiędzy człowiekiem, maszynami, procesami i środowiskiem pracy; potencjalne zagrożenia i inne czynniki związane z miejscem pracy wpływające na bezpieczeństwo; metody i praktyki badania incydentów i monitorowania efektów działań związanych z bezpieczeństwem; ocena incydentów i wypadków operacyjnych; rozwijanie proaktywnych i reaktywnych miar i wskaźników działań. UWAGA Dodatkowe informacje, patrz przyszła norma ISO przygotowywana przez ISO/PC 241 dotycząca systemów zarządzania bezpieczeństwem ruchu drogowego. A.3 Przykłady przedstawiające specyficzne dla danej dziedziny wiedzę i umiejętności auditorów w zarządzaniu środowiskowym Zaleca się, aby wiedza i umiejętności związane z daną dziedziną i stosowaniem specyficznych dla niej metod, technik, procesów i praktyk były wystarczające do umożliwienia auditorowi badanie systemu zarządzania i opracowanie odpowiednich ustaleń i wniosków z auditu. 35

38 Przykłady: terminologia z zakresu środowiska; miary i statystyki środowiskowe; metrologia i techniki monitorowania; interakcje ekosystemów i różnorodności biologicznej; elementy środowiskowe (np. powietrze, woda, gleba, fauna, flora); techniki określania ryzyka (np. ocena aspektów/wpływów środowiskowych, łącznie z metodami oceny ich znaczenia); ocena cyklu życia; ocena efektów działań środowiskowych; zapobieganie zanieczyszczeniom i ich nadzorowanie (np. najlepsze dostępne techniki nadzoru nad zanieczyszczeniami lub efektywności energetycznej); ograniczenie źródeł, minimalizacja odpadów, ponowne użycie, recykling oraz procesy i praktyki postępowania z odpadami; stosowanie substancji niebezpiecznych; rejestrowanie emisji gazów cieplarnianych i zarządzanie tą emisją; zarządzanie zasobami naturalnymi (np. paliwami kopalnymi, wodą, florą i fauną, glebą); projektowanie pod kątem środowiska; raportowanie i ujawnianie informacji środowiskowych; zarządzanie wyrobem; technologie odnawialne i niskowęglowe. UWAGA Dodatkowe informacje, patrz powiązane normy opracowane przez ISO/TC 207 dotyczące zarządzania środowiskowego. A.4 Przykłady przedstawiające specyficzne dla danej dziedziny wiedzę i umiejętności auditorów w zarządzaniu jakością Zaleca się, aby wiedza i umiejętności związane z daną dziedziną i stosowaniem specyficznej dla niej metod, technik, procesów i praktyk były wystarczające do umożliwienia auditorowi badanie systemu zarządzania i opracowanie odpowiednich ustaleń i wniosków z auditu. Przykłady: terminologia związana z jakością, zarządzaniem, organizacją, procesami i wyrobami, właściwościami, zgodnością, dokumentacją, auditami i procesami pomiarowymi; zorientowanie na klienta, procesy związane z klientem, monitorowanie i pomiary zadowolenia klienta, postępowanie z reklamacjami, kodeks postępowania, rozwiązywanie sporów; przywództwo rola najwyższego kierownictwa, zarządzanie prowadzące do trwałego sukcesu organizacji podejście wykorzystujące zarządzanie jakością, realizowanie korzyści finansowych i ekonomicznych z zarządzania jakością, systemy zarządzania jakością i modele doskonałości; zaangażowanie ludzi, czynnik ludzki, kompetencje, szkolenie i świadomość; podejście procesowe, analiza procesów, zdolność i techniki nadzorowania, metody postępowania z ryzykiem; 36

39 podejście systemowe do zarządzania (podstawy systemów zarządzania jakością, najważniejsze kwestie systemów zarządzania jakością i innych systemów zarządzania, dokumentacja systemu zarządzania jakością), rodzaje i wartości, projekty, plany jakości, zarządzanie konfiguracją; ciągłe doskonalenie, innowacyjność i uczenie się; podejmowanie decyzji na podstawie faktów, techniki oceny ryzyka (identyfikacja ryzyka, analiza i ewaluacja), ocena zarządzania jakością (audit, przegląd i samoocena), techniki pomiarowe i monitorowania, wymagania dotyczące procesów pomiarowych i wyposażenia do pomiarów, analiza przyczyn źródłowych, techniki statystyczne; cechy procesów i wyrobów, łącznie z usługami; wzajemnie korzystne powiązania z dostawcami, wymagania systemu zarządzania jakością i wymagania dotyczące wyrobów, szczególne wymagania dotyczące zarządzania jakością w różnych sektorach. UWAGA jakością. Dodatkowe informacje, patrz powiązane normy opracowywane przez ISO/TC 176 dotyczące zarządzania A.5 Przykłady przedstawiające specyficzne dla danej dziedziny wiedzę i umiejętności auditorów w zarządzaniu zapisami Zaleca się, aby wiedza i umiejętności związane z daną dziedziną i stosowaniem specyficznych dla niej metod, technik, procesów i praktyk, były wystarczające do umożliwienia auditorowi badania systemu zarządzania i opracowania odpowiednich ustaleń i wniosków z auditu. Przykłady: zapisy, procesy zarządzania zapisami i systemy zarządzania terminologią zapisów; opracowywanie pomiarów i mierników dotyczących efektów działania; badanie i ocena praktyk dotyczących zarządzania zapisami poprzez rozmowy, obserwację i weryfikację; analiza próbek zapisów powstałych w procesach biznesowych. Kluczowe właściwości zapisów, systemy prowadzenia zapisów, procesy prowadzenia zapisów i środki nadzoru; ocena ryzyka (np. ocena ryzyk związanych z błędami w tworzeniu odpowiednich zapisów dotyczących procesów biznesowych organizacji, ich utrzymywaniu i nadzorze nad nimi); funkcjonowanie i adekwatność procesów prowadzenia zapisów w zakresie tworzenia, zachowywania i utrzymywania zapisów; ocena adekwatności i funkcjonowania systemu zapisów (łącznie z systemami biznesowymi do tworzenia zapisów i nadzoru nad nimi), przydatność użytych narzędzi technologicznych i stosowanego wyposażenia oraz urządzeń; ocena różnych poziomów kompetencji w zarządzaniu zapisami wymaganych w całej organizacji oraz ocena tych kompetencji; znaczenie treści, kontekstu, struktury, reprezentacji i kontroli informacji (metadane) wymaganych do określenia i zarządzania zapisami i systemem zapisów; metody rozwoju instrumentów specyficznych dla zapisów; technologie użyte do tworzenia, zachowywania, konwersji i migracji oraz długoterminowej ochrony elektronicznych/cyfrowych zapisów; identyfikacja i znaczenie autoryzacji dokumentów dla procesów dotyczących zapisów. UWAGA zapisami. Dodatkowe informacje, patrz powiązane normy opracowane przez ISO/PC 46/SC 11 dotyczące zarządzania 37

40 A.6 Przykłady przedstawiające specyficzne dla danej dziedziny wiedzę i umiejętności auditorów w zarządzaniu rezyliencją, bezpieczeństwem, gotowością i ciągłością działania Zaleca się, aby wiedza i umiejętności związane z daną dziedziną i stosowaniem specyficznych dla niej metod, technik, procesów i praktyk, były wystarczające do umożliwienia auditorowi badania systemu zarządzania i opracowania odpowiednich ustaleń i wniosków z auditu. Przykłady: procesy, nauka i technologia leżące u podstaw zarządzania rezyliencją, bezpieczeństwem, gotowością, reakcją, ciągłością działania i odtwarzaniem działalności; metody zbierania i monitorowania informacji; zarządzanie ryzykami wystąpienia zdarzeń zakłócających (przewidywanie, unikanie, zapobieganie, ochrona, łagodzenie, reakcja na zdarzenie zakłócające i odtwarzanie działalności po jego wystąpieniu); ocena ryzyka (identyfikacja i wycena aktywów; oraz identyfikacja, analiza i ewaluacja) oraz analiza wpływu (dotyczącego człowieka, materialnych i niematerialnych aktywów, a także środowiska); postępowanie z ryzykiem (mierniki adaptywne, proaktywne i reaktywne); metody i praktyki dotyczące integralności i wrażliwości informacji; metody dotyczące bezpieczeństwa personelu i ochrony osób; metody i praktyki dotyczące ochrony aktywów i fizycznej ochrony; metody i praktyki dotyczące zapobiegania, powstrzymywania i zarządzania bezpieczeństwem; metody i praktyki dotyczące łagodzenia efektów incydentów, reagowania w sytuacjach awaryjnych i zarządzania kryzysowego; metody i praktyki dotyczące zarządzania ciągłością działania, zarządzania w sytuacjach awaryjnych oraz odtwarzaniem działalności; metody i praktyki dotyczące monitorowania, pomiaru i raportowania efektywności działań (łącznie z metodologią ćwiczeniową i testową). UWAGA Dodatkowe informacje, patrz powiązane normy opracowane przez ISO/TC 8, ISO/TC 223 i ISO/TC 247 dotyczące zarządzania rezyliencją, bezpieczeństwem, gotowością i ciągłością działania. A.7 Przykłady przedstawiające specyficzne dla danej dziedziny wiedzę i umiejętności auditorów w zarządzaniu bezpieczeństwem informacji Zaleca się, aby wiedza i umiejętności związane z daną dziedziną i stosowaniem specyficznych dla niej metod, technik, procesów i praktyk, były wystarczające do umożliwienia auditorowi badanie systemu zarządzania i opracowanie odpowiednich ustaleń i wniosków z auditu. Przykłady: wytyczne zawarte w normach takich jak ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27003, ISO/IEC oraz ISO/IEC 27005; identyfikacja i ocena wymagań klientów i stron zainteresowanych; prawo i przepisy dotyczące bezpieczeństwa informacji (np. własność intelektualna; treść, ochrona i przechowywanie zapisów organizacji; ochrona i prywatność danych; przepisy dotyczące zabezpieczeń kryptograficznych; antyterroryzm; handel elektroniczny; elektroniczne i cyfrowe podpisy; nadzór nad miejscem pracy; ergonomia miejsca pracy; przechwycenie telekomunikacyjne i monitorowanie danych (np. ), nadużycie komputerów, zbieranie dowodów elektronicznych, testowanie penetracyjne itd.); 38

41 procesy, nauka i technologia leżące u podstaw zarządzania bezpieczeństwem informacji; ocena ryzyka (identyfikacja, analiza i ewaluacja) i trendy w technologii, zagrożenia i podatności; zarządzanie ryzykiem bezpieczeństwa informacji; metody i praktyki dotyczące środków zabezpieczeń informacji (elektroniczne i fizyczne); metody i praktyki dotyczące integralności i wrażliwości informacji; metody i praktyki dotyczące pomiaru i oceny skuteczności systemu zarządzania bezpieczeństwem informacji i powiązanych środków kontroli; metody i praktyki dotyczące pomiaru, monitorowania i zapisu efektów działania (łącznie z testami, auditami i przeglądami). UWAGA Dodatkowe informacje, patrz powiązane normy opracowane przez ISO/IEC JTC 1/SC 27 dotyczące zarządzania bezpieczeństwem informacji. A.8 Przykłady przedstawiające specyficzne dla danej dziedziny wiedzę i umiejętności auditorów w zakresie zarządzania bezpieczeństwem i higieną pracy A.8.1 Ogólna wiedza i umiejętności Zaleca się, aby wiedza i umiejętności związane z daną dziedziną i stosowaniem specyficznych dla niej metod, technik, procesów i praktyk, były wystarczające do umożliwienia auditorowi badanie systemu zarządzania i opracowanie odpowiednich ustaleń i wniosków z auditu. Przykłady: identyfikacja zagrożeń, łącznie z wymienionymi i innymi czynnikami mającymi wpływ na działanie człowieka w miejscu pracy (takie jak czynniki fizyczne, chemiczne i biologiczne, jak również płeć, wiek, niepełnosprawność lub inne czynniki fizjologiczne, psychologiczne lub zdrowotne); ocena ryzyka, określenie środków nadzoru oraz komunikacji odnośnie do ryzyka [zaleca się, aby określanie środków nadzoru opierało się na hierarchii środków nadzoru (patrz OHSAS 18001:2007, 4.3.1)]; ocena czynników ludzkich i zdrowotnych (łącznie z czynnikami fizjologicznymi i psychologicznymi) oraz zasady ich oceny; metody monitorowania narażenia i oceny ryzyka zawodowego (w tym wynikającego z czynników ludzkich wymienionych powyżej lub dotyczących higieny pracy) i związane z nimi strategie eliminowania lub minimalizacji narażenia; ludzkie zachowania, interakcje między osobami oraz między człowiekiem a maszynami, procesami i środowiskiem pracy (w tym miejsce pracy, zasady projektowania z uwzględnieniem bezpieczeństwa i ergonomii), technologie informacyjne i komunikacyjne; ocena różnych typów i poziomów kompetencji w zakresie bezpieczeństwa i higieny pracy, wymaganych w całej organizacji i ocena tych kompetencji; metody zachęcania do udziału i zaangażowania pracowników; metody zachęcania pracowników do dbania o zdrowie lub dobre samopoczucie i do samoodpowiedzialności za własne zdrowie (w związku z paleniem tytoniu, używaniem narkotyków i alkoholu, problemów związanych z wagą, aktywnością fizyczną, stresem, agresją itp.) zarówno w godzinach pracy jak i w życiu prywatnym; rozwój, stosowanie i ocena proaktywnych i reaktywnych miar i mierników działalności; zasady i praktyki identyfikowania potencjalnych sytuacji awaryjnych oraz planowania na wypadek awarii, zapobiegania, reakcji i odtwarzania działalności po sytuacji awaryjnej; metody badania i oceny zdarzeń (łącznie z wypadkami przy pracy i chorobami zawodowymi); 39

42 określanie i wykorzystywanie informacji dotyczących zdrowia (łącznie z monitorowaniem danych dotyczących narażeń zawodowych i zachorowań) ale ze szczególnym uwzględnieniem poufności poszczególnych aspektów takich informacji; rozumienie informacji medycznej (łącznie z terminologią medyczną w stopniu wystarczającym do zrozumienia danych związanych z zapobieganiem urazom i zachorowaniom); systemy granicznych wartości ekspozycji zawodowej ; metody monitorowania i raportowania efektów działań związanych z bezpieczeństwem i higieną pracy; rozumienie prawnych i pozostałych wymagań odnoszących się do zdrowia i bezpieczeństwa pracy w stopniu wystarczającym do tego, aby auditor mógł dokonać oceny systemu zarządzania bezpieczeństwem i higieną pracy. A.8.2 Wiedza i umiejętności związane z auditowanym sektorem Zaleca się, aby wiedza i umiejętności związane z auditowanym sektorem były wystarczające do umożliwienia auditorowi badania systemu zarządzania w ramach kontekstu sektora i opracowania odpowiednich ustaleń i wniosków z auditu. Przykłady: procesy, wyposażenie, surowce, substancje niebezpieczne, cykle procesów, utrzymanie, logistyka, organizacja przepływu pracy, praktyki pracy, harmonogram zmianowości, kultura organizacyjna, przywództwo, zachowania oraz inne aspekty specyficzne dla działania lub sektora; typowe zagrożenia i ryzyka dotyczące sektora, łącznie z czynnikami ludzkimi i zdrowotnymi. UWAGA Dodatkowe informacje, patrz powiązane normy opracowane przez grupę projektową OHSAS dotyczące zarządzania bezpieczeństwem i higieną pracy. 40

43 Załącznik B (informacyjny) Dodatkowe wytyczne dla auditorów dotyczące planowania i przeprowadzania auditów B.1 Stosowanie metod auditu Audit może być przeprowadzony z zastosowaniem szeregu metod auditu. W niniejszym załączniku zamieszczono wyjaśnienie dotyczące powszechnie stosowanych metod auditu. Wybrana metoda auditu zależy zarówno od zdefiniowanych celów, zakresu i kryteriów auditu, jak i od czasu jego trwania i lokalizacji. Zaleca się uwzględnianie także dostępnych kompetencji auditora i wszelkich niepewności wynikających ze stosowania metody auditu. Stosowanie różnych metod i ich kombinacji może zoptymalizować efektywność i skuteczność procesu auditowania i jego wyników. Wykonanie auditu wiąże się z interakcją pomiędzy pojedynczymi osobami a auditowanym systemem zarządzania i technikami używanymi do przeprowadzenia auditu. W Tablicy B.1 przedstawiono przykłady metod auditu, które mogą być stosowane pojedynczo lub w połączeniu, w celu osiągnięcia celów auditu. Jeżeli audit angażuje wieloosobowy zespół auditujący, zarówno metody na miejscu jak i zdalne mogą być stosowane jednocześnie. UWAGA Dodatkowe informacje na temat wizyt na miejscu podano w Rozdziale B.6. Tablica B.1 Stosowane metody auditu Zakres zaangażowania pomiędzy auditorem i auditowanym Na miejscu Lokalizacja auditora Zdalna Interakcja osobowa Brak interakcji osobowej Przeprowadzanie rozmów. Wypełnianie list kontrolnych i kwestionariuszy z udziałem auditowanego. Dokonywanie przeglądu dokumentacji z udziałem auditowanego. Pobieranie próbek. Dokonywanie przeglądu dokumentacji (np. zapisów, analiza danych). Obserwacja wykonywanej pracy. Przeprowadzanie wizyt na miejscu. Wypełnianie list kontrolnych. Pobieranie próbek (np. wyrobów) Przez interaktywne środki komunikacji: przeprowadzanie rozmów; wypełnianie list kontrolnych i kwestionariuszy; dokonywanie przeglądu dokumentacji z udziałem auditowanego Dokonywanie przeglądu dokumentacji (np. zapisów, analiza danych). Obserwacja wykonywanej pracy przez środki nadzoru, z uwzględnieniem wymagań socjalnych i prawnych. Analizowanie danych Działania auditowe na miejscu są wykonywane w miejscu lokalizacji auditowanego. Zdalne działania auditowe są wykonywane w jakimkolwiek miejscu innym niż lokalizacja auditowanego, niezależnie od odległości. Interaktywne działania auditowe wiążą się z interakcją pomiędzy personelem auditowanego a zespołem auditującym. Nieinteraktywne działania auditowe wiążą się z brakiem interakcji osobowej z osobami reprezentującymi auditowanego, ale wiążą się z interakcją ze sprzętem, wyposażeniem i dokumentacją. Odpowiedzialność za skuteczne zastosowanie metod auditu na etapie planowania danego auditu ponosi osoba zarządzająca programem auditów albo auditor wiodący. Auditor wiodący ponosi odpowiedzialność za przeprowadzenie działań auditowych. Wykonalność zdalnych metod auditu może zależeć od poziomu zaufania pomiędzy auditorem a personelem auditowanego. Zaleca się, aby na poziomie programu auditów, zapewnić, że użycie metod auditu zdalnych i na miejscu jest odpowiednie i wyważone, w celu zapewnienia satysfakcjonującego osiągnięcia celów programu auditów. 41

44 B.2 Przeprowadzanie przeglądu dokumentów Zaleca się, aby auditorzy zwracali uwagę, czy: informacja zawarta w dokumentacji jest: kompletna (oczekiwana zawartość jest zawarta w dokumencie); poprawna (zawartość jest zgodna z innymi wiarygodnymi źródłami, takimi jak normy i przepisy); spójna (dokument jest spójny wewnętrznie i z dokumentami związanymi); aktualna (zawartość jest zaktualizowana); dokumenty podlegające przeglądowi obejmują zakres auditu i dostarczają informacji wystarczających do wpierania celów auditu; użycie technologii informacyjnych i komunikacyjnych, zależnie od metod auditu, wspiera efektywne przeprowadzanie auditu: szczególną uwagę należy zwrócić na bezpieczeństwo informacji wynikające z mających zastosowanie przepisów o ochronie danych (w szczególności informacji, które wykraczają poza zakres auditu, ale są zawarte w dokumentach). UWAGA Przegląd dokumentów może wskazywać na skuteczność nadzorowania dokumentów w ramach systemu zarządzania auditowanego. B.3 Pobieranie próbek B.3.1 Postanowienia ogólne Pobieranie próbek auditowych ma miejsce, kiedy zbadanie wszystkich dostępnych informacji podczas auditu jest niepraktyczne i nieefektywne kosztowo, np. zapisy są zbyt liczne lub za bardzo rozproszone geograficznie, aby uzasadnić zbadanie każdego elementu w populacji. Pobieranie próbek auditowych z dużej populacji jest procesem wyboru mniej niż 100 % elementów ze wszystkich dostępnych zbiorów w danych (populacji) mającym na celu otrzymanie i ocenę dowodu na temat niektórych właściwości tej populacji, w celu sformułowania wniosku dotyczącego populacji. Celem pobierania próbek auditowych jest dostarczenie informacji auditorowi, aby mieć pewność, że cele auditu będą lub mogą być osiągnięte. Ryzyko związane z pobieraniem próbki polega na tym, że próbki mogą nie być reprezentatywne dla populacji, z której zostały pobrane, i z tego powodu wnioski auditora mogą być stronnicze i różne od osiągniętych, gdyby cała populacja była badana. W zależności od zmienności w populacji, z której pobierane są próbki i wybranej metody mogą wystąpić inne ryzyka. Pobieranie próbek auditowych zwykle obejmuje następujące etapy: określenie celów planu pobierania próbek; wybór zakresu i składu populacji, podlegającej pobieraniu próbek; wybór metody pobierania próbek; określenie rozmiaru pobieranej próbki; realizację pobierania próbek; kompilację, ocenianie, raportowanie i dokumentowanie wyników. Podczas pobierania próbek, zaleca się wziąć pod uwagę jakość dostępnych danych, ponieważ pobieranie próbek niewystarczających i niedokładnych danych nie doprowadzi do użytecznego wyniku. Zaleca się, aby wyboru odpowiedniej próbki dokonywać na podstawie zarówno metody pobierania próbek, jak i rodzaju wymaganych danych, np. aby wyciągnąć wnioski co do konkretnego wzoru zachowań lub nakreślić wnioski dotyczące całej populacji. 42

45 W raportowaniu na temat wybranej próbki można wziąć pod uwagę rozmiar próbki, metodę wyboru i oceny dokonane na podstawie próbki oraz poziom ufności oceny. W audicie można stosować pobieranie próbek oparte na osądzie (patrz B.3.2) lub statystyczne pobieranie próbek (patrz B.3.3). B.3.2 Pobieranie próbek oparte na osądzie Pobieranie próbek oparte na osądzie zależy od wiedzy, umiejętności i doświadczenia zespołu auditującego (patrz Rozdział 7). W przypadku pobierania próbek opartych na osądzie można uwzględnić: poprzednie doświadczenia auditowe w ramach zakresu auditu; złożoność wymagań (łącznie z wymaganiami prawnymi) do osiągnięcia celów auditu; złożoność i interakcję procesów organizacji i elementów systemu zarządzania; stopień zmian w technologii, czynnik ludzki lub system zarządzania; poprzednio zidentyfikowane kluczowe obszary ryzyka i obszary doskonalenia; wynik z monitorowania systemów zarządzania. Wadą pobierania próbek na podstawie osądu jest brak statystycznego oszacowania wpływu niepewności na ustalenia i wnioski z auditu. B.3.3 Statystyczne pobieranie próbek Jeżeli zdecydowano się stosować statystyczne pobieranie próbek, zaleca się, aby plan pobierania próbek był oparty na celach auditu i na tym, co wiadomo o właściwościach całej populacji, z której próbki będą pobierane. W projekcie statystycznego pobierania próbek stosuje się proces wyboru próbki na podstawie teorii prawdopodobieństwa. Pobieranie próbek w celu oceny metodą alternatywną jest stosowane, gdy możliwe są tylko dwa wyniki oceny dla każdej próbki (np. poprawny/niepoprawny lub udany/nieudany). Pobieranie próbek w celu oceny metodą liczbową jest stosowane, gdy wyniki oceny próbki występują w skali ciągłej. Zaleca się, aby plan pobierania próbek uwzględniał, czy badane wyniki mają cechy bardziej danych alternatywnych czy liczbowych. Na przykład kiedy ocenia się zgodność wypełnionych formularzy z wymaganiami zawartymi w procedurze, można zastosować metodę alternatywną. Kiedy bada się występowanie incydentów dotyczących bezpieczeństwa żywności lub liczbę złamań zasad bezpieczeństwa, metoda liczbowa byłaby prawdopodobnie bardziej odpowiednia. Kluczowe elementy, które wypływają na plan pobierania próbek, to: wielkość organizacji; liczba kompetentnych auditorów; częstość auditów w roku; czas danego auditu; zewnętrznie wymagany poziom ufności. Ważnym aspektem przy opracowywaniu planu pobierania próbek jest poziom ryzyka związany z pobieraniem próbek, który auditor jest w stanie zaakceptować. Często określa się to jako akceptowalny poziom ufności. Na przykład, ryzyko pobierania próbek 5 % odpowiada akceptowalnemu poziomowi ufności 95 %. Ryzyko pobierania próbek o wartości 5 % oznacza, że auditor jest w stanie zaakceptować ryzyko, że 5 na 100 (lub 1 na 20) zbadanych próbek nie będzie odzwierciedlać faktycznych wartości, które byłyby uzyskane, gdyby badaniu podlegała cała populacja. 43

46 Zaleca się, aby auditorzy odpowiednio dokumentowali swoją pracę, kiedy stosowane jest statystyczne pobieranie próbek. Zaleca się, aby uwzględniać opis populacji przewidzianej do pobrania próbki, użyte do oceny kryteria pobierania próbek (np. co jest próbką akceptowalną), parametry i metody statystyczne, które zastosowano, liczbę ocenionych próbek i uzyskane wyniki. B.4 Przygotowanie dokumentów roboczych Podczas przygotowania dokumentów roboczych, zaleca się, aby zespół auditujący uwzględnił poniższe pytania dla każdego dokumentu: a) Jakie zapisy z auditu powstaną z wykorzystaniem tego dokumentu roboczego? b) Które działanie auditowe jest związane z tym konkretnym dokumentem roboczym? c) Kto będzie użytkownikiem tego dokumentu roboczego? d) Jakie informacje są potrzebne do przygotowania tego dokumentu roboczego? W przypadku auditów połączonych, w celu uniknięcia powielania działań auditowych, zaleca się przygotowanie dokumentów roboczych poprzez: grupowanie podobnych wymagań z różnych kryteriów; koordynowanie zawartości powiązanych ze sobą list kontrolnych i kwestionariuszy. Zaleca się, aby dokumenty robocze uwzględniały wszystkie elementy systemu zarządzania w ramach zakresu auditu i mogły być przestawione w dowolnej formie. B.5 Wybór źródeł informacji Źródła wybranych informacji mogą się różnić w zależności od zakresu i złożoności auditu i mogą obejmować: rozmowy z zatrudnionymi i innymi osobami; obserwacje działań oraz warunków otoczenia i środowiska pracy; dokumenty, takie jak polityka, cele, plany, procedury, normy, instrukcje, licencje i pozwolenia, specyfikacje, rysunki, umowy i zamówienia; zapisy, takie jak zapisy z kontroli, protokoły spotkań, raporty z auditu, zapisy z programów monitorowania i wyniki pomiarów; podsumowania danych, analizy i wskaźniki działalności; informacje dotyczące planów pobierania próbek stosowanych przez auditowanego i procedur nadzorowania procesów pobierania próbek i procesów pomiarowych; raporty z innych źródeł, np. informacje zwrotne od klienta, badania i pomiary zewnętrzne oraz inne istotne informacje od stron zewnętrznych oraz oceny dostawców; bazy danych i strony internetowe; symulacje i modelowanie. B.6 Wytyczne dotyczące wizytowania lokalizacji auditowanego Aby minimalizować zakłócenie działaniami auditowymi procesu pracy auditowanego oraz aby podczas wizyty zapewnić zdrowie i bezpieczeństwo zespołowi auditującemu, zaleca się zwrócenie uwagi na: 44

47 a) planowanie wizyty: zapewnić pozwolenia i dostęp to tych części lokalizacji auditowanego, które mają być wizytowane zgodnie z zakresem auditu; dostarczyć odpowiednich informacji (np. poprzez odprawy) auditorom na temat bezpieczeństwa i higieny pracy (np. kwarantanny), spraw związanych z bezpieczeństwem i higieną pracy oraz standardów kulturowych w czasie wizyty, łącznie z wymaganymi i zalecanymi szczepieniami i pozwoleniami, jeśli ma to zastosowanie; potwierdzić z auditowanym, że wszelkie wymagane środki ochrony indywidualnej (PPE) będą dostępne dla zespołu auditującego, jeśli ma to zastosowanie; z wyjątkiem nieplanowanych auditów ad hoc, potwierdzić, że personel zostanie poinformowany o celach i zakresie auditu; b) działania na miejscu: unikać niepotrzebnych zakłóceń w procesach operacyjnych; zapewnić, aby zespół auditujący odpowiednio używał PPE; zapewnić, aby procedury awaryjne zostały zakomunikowane (np. wyjścia ewakuacyjne, miejsca zbiórki); zaplanować komunikację, aby zminimalizować dezorganizację; przystosować wielkość zespołu auditującego i liczbę przewodników i obserwatorów zgodnie z zakresem auditu, w celu uniknięcia przeszkadzania w procesach operacyjnych tak dalece, jak to jest praktycznie wykonalne; nie dotykać ani nie manipulować jakimkolwiek sprzętem, chyba że wyraźnie na to zezwolono, nawet kiedy posiada się do tego kompetencje i stosowne uprawnienia; jeżeli zdarzy się incydent podczas wizyty na miejscu, zaleca się, aby auditor wiodący dokonał przeglądu sytuacji z auditowanym, i jeżeli to konieczne, z klientem auditu i osiągnął porozumienie czy audit powinien zostać przerwany, przełożony na później czy kontynuowany; w przypadku robienia zdjęć lub materiału wideo, zapytać wcześniej kierownictwo o pozwolenie i wziąć pod uwagę sprawę bezpieczeństwa i poufności oraz unikać robienia zdjęć poszczególnym osobom bez ich zezwolenia; w przypadku kopiowania dokumentów jakiegokolwiek rodzaju, spytać wcześniej o pozwolenie i wziąć pod uwagę sprawę bezpieczeństwa i poufności; przy robieniu notatek, unikać zbierania informacji osobistych, chyba że w celach lub kryteriach jest to wymagane. B.7 Prowadzenie rozmów Rozmowy są jednym z ważniejszych sposobów zbierania informacji i zaleca się, aby były przeprowadzone w sposób dostosowany do sytuacji i osób, z którymi prowadzona jest rozmowa, zarówno bezpośrednio, jak i za pomocą innych środków komunikacyjnych. Jednak zaleca się, aby auditor rozważył: prowadzenie rozmów z osobami z właściwych szczebli i funkcji wykonujących czynności lub zadania w ramach zakresu auditu; prowadzenie rozmów podczas normalnych godzin ich pracy i jeżeli to praktyczne, w normalnym miejscu pracy osób auditowanych; podejmowanie starań w celu ograniczenia zdenerwowania osoby auditowanej zarówno przed rozmową, jak i w jej trakcie; wyjaśnianie powodu prowadzenia rozmowy oraz robienia notatek; 45

48 możliwość rozpoczęcia rozmowy od poproszenia osób o opisanie swojej pracy; staranne dobieranie rodzaju zadawanych pytań (np. otwarte, zamknięte, naprowadzające); podsumowanie i przegląd wyników rozmowy z osobą, z którą była ona prowadzona; podziękowanie osobom, z którymi prowadzono rozmowy, za ich udział i współpracę. B.8 Ustalenia z auditu B.8.1 Określanie ustaleń z auditu Podczas określania ustaleń z auditu zaleca się rozważyć: sprawdzenie zapisów i wniosków z poprzedniego auditu; wymagania klienta auditu; ustalenia wykraczające poza zwykłą praktykę lub możliwości doskonalenia; rozmiar próbki; kategoryzowanie (jeżeli dotyczy) ustaleń z auditu. B.8.2 Odnotowywanie zgodności W przypadku odnotowywania zgodności zaleca się rozważyć: identyfikację kryteriów auditu z którymi wykazuje się zgodność; dowód z auditu potwierdzający zgodność; deklarację zgodności, jeśli ma to zastosowanie. B.8.3 Odnotowywanie niezgodności W przypadku odnotowywania niezgodności zaleca się rozważyć: opis lub odniesienie się do kryteriów auditu; deklarację niezgodności; dowód z auditu; związane ustalenia z auditu, jeśli ma to zastosowanie. B.8.4 Postępowanie z ustaleniami odnoszącymi się do wielu kryteriów Podczas auditu możliwe jest zidentyfikowanie ustaleń odnoszących się do wielu kryteriów. Jeżeli auditor podczas auditu połączonego, zidentyfikuje ustalenie powiązane z jednym kryterium, zaleca się, aby zwrócił uwagę na możliwy wpływ na odpowiednie lub podobne kryteria innych systemów zarządzania. W zależności od uzgodnień z klientem auditu, auditor może określić albo: oddzielne ustalenia dla każdego kryterium; albo jedno ustalenie, łącznie z odniesieniami do wielu kryteriów. W zależności od uzgodnień z klientem auditu, auditor może dać wskazówki auditowanemu, jak odpowiedzieć na takie ustalenia. 46

49 Bibliografia [1] ISO , Sampling procedures for inspection by attributes Part 4: Procedures for assessment of declared quality levels [2] ISO 9000:2005, Quality management systems Fundamentals and vocabulary [3] ISO 9001, Quality management systems Requirements [4] ISO 14001, Environmental management systems Requirements with guidance for use [5] ISO 14050, Environmental management Vocabulary [6] ISO/IEC 17021:2011, Conformity assessment Requirements for bodies providing audit and certification of management systems [7] ISO/IEC , Information technology Service management Part 1: Service management system requirements [8] ISO 22000, Food safety management systems Requirements for any organization in the food chain [9] ISO/IEC 27000, Information technology Security techniques Information security management systems Overview and vocabulary [10] ISO/IEC 27001, Information technology Security techniques Information security management systems Requirements [11] ISO/IEC 27002, Information technology Security techniques Code of practice for information security management [12] ISO/IEC 27003, Information technology Security techniques Information security management system implementation guidance [13] ISO/IEC 27004, Information technology Security techniques Information security management Measurement [14] ISO/IEC 27005, Information technology Security techniques Information security risk management [15] ISO 28000, Specification for security management systems for the supply chain [16] ISO ), Information and documentation Management system for records Requirements [17] ISO 31000, Risk management Principles and guidelines [18] ISO ), Road traffic safety (RTS) management systems Requirements with guidance for use [19] ISO 50001, Energy management systems Requirements with guidance for use [20] ISO Guide 73:2009, Risk management Vocabulary [21] OHSAS 18001:2007, Occupational health and safety management systems Requirements [22] ISO 9001 Auditing Practices Group, dokumenty dostępne na stronie internetowej: [23] ISO additional guidelines 2) dostępne na stronie internetowej: 1) Zostanie opublikowana. 2) W opracowaniu. 47

50 ISBN Polski Komitet Normalizacyjny ul. Świętokrzyska 14, War sza wa