Zmiany w normie ISO 19011 Tomasz Kloze Polskie Centrum Badań i Certyfikacji S. A. Jak powstawała nowa ISO 19011 Styczeń 2007 początek formalnego procesu przeglądu normy ISO 19011 Sformułowanie podstawowych kwestii, które powinny być rozstrzygnięte przed uruchomieniem procedury nowelizacji normy 1
Zakres normy Audity strony pierwszej Audity strony drugiej -? Audity strony trzeciej -?? Auditowanie systemów zarządzania jakością, zarządzania środowiskiem,...? Założenia podstawowe Norma ISO 19011 ma zawierać ogólne wytyczne do auditowania różnych systemów zarządzania (poza audytami finansowymi), w związku z czym w pracach uczestniczyć będą przedstawiciele innych grup roboczych. 2
ISO 19011:2011 Wytyczne dotyczące auditowania systemów zarządzania Tekst drugiego wydania normy ISO 19011 został opracowany w podkomitecie ISO/TC 176/SC 3 Daty opublikowania ISO 19011:2011 opublikowana 15 listopada 2011 roku PN-EN ISO 19011:2012 wprowadzona metodą noty uznaniowej (w języku angielskim) luty 2012 PN-ISO/IEC 19011 wersja polskojęzyczna koniec listopada br. 3
Wprowadzenie Drugie wydanie normy ISO 19011 koncentruje się na auditach pierwszej i drugiej strony, ale zawarte w niej wytyczne mogą okazać się przydatne, jako uzupełnienie do wymagań zawartych w ISO/IEC 17021:2011, podczas auditów przeprowadzanych przez trzecią stronę. Wprowadzono pojęcie ryzyka związanego z procesem auditowania systemu zarządzania. Odniesiono się do ryzyka związanego z możliwością nie osiągnięcia celów auditu oraz z możliwością zakłócenia działań i procesów auditowanego. Nie podano szczegółowych wytycznych dotyczących procesu zarządzania ryzykiem. 4
Terminy i definicje Nie nastąpiła znacząca zmiana w zakresie terminologii, ale wprowadzono szereg modyfikacji lub uzupełnień, które mogą okazać się pomocne we właściwym odczytaniu zawartych w normie wytycznych. Ustalenia z auditu - wyniki oceny zebranych dowodów z auditu w stosunku do kryteriów auditu. Rozbudowano uwagi do powyższej definicji, które sprowadzają się do stwierdzenia, że ustalenia z auditu mogą wskazywać na zgodność, niezgodność, możliwość doskonalenia lub rejestracji dobrych praktyk. 5
Auditor osoba, która przeprowadza audit. Usunięto mająca wykazane cechy osobowości i kompetencje do przeprowadzenia auditu Kompetencje zdolność wykorzystania wiedzy i umiejętności do osiągania zamierzonych wyników. UWAGA Umiejętności obejmują stosowanie odpowiednich postaw i zachowań w trakcie procesu auditowania Ryzyko wpływ niepewności na cele. (patrz ISO Guide 73:2009) Zgodność spełnienie wymagań. Niezgodność niespełnienie wymagań. 6
Zasady auditowania Dzięki przestrzeganiu tych zasad audit jest wiarygodnym i efektywnym narzędziem dostarczającym informacji służących do doskonalenia funkcjonowania organizacji. Przestrzeganie zasad jest niezbędne do zapewnienia, że wnioski z auditu są właściwe i wystarczające oraz że auditorzy pracujący niezależnie sformułują w podobnych sytuacjach podobne wnioski. Zmodyfikowano sposób sformułowania dotychczasowych pięciu zasad dotyczących auditowania, a także wprowadzono istotne uzupełnienie w postaci dodatkowej, szóstej zasady. 7
Prawość i uczciwość - podstawa profesjonalizmu Auditorzy i zarządzający programem auditów powinni: wykonywać swoją pracę uczciwie, rzetelnie i w sposób odpowiedzialny; działać zgodnie z obowiązującymi przepisami i wykazać kompetencje w zakresie swych zadań; zachować bezstronność; być wyczuleni na wszelkie wpływy mogące mieć wpływ na wyniki przeprowadzanej oceny. Rzetelna prezentacja - obowiązek przedstawiania spraw dokładnie i zgodnie z prawdą. Ustalenia i wnioski z auditu oraz raporty z auditu powinny przedstawiać działania auditowe dokładnie i zgodnie z prawdą. Znaczące przeszkody napotkane podczas auditu oraz nierozstrzygnięte lub rozbieżne opinie pomiędzy auditorami a auditowanym powinny być odzwierciedlone w raporcie wiernie, dokładnie, terminowo i w sposób kompletny. 8
Należyta staranność zawodowa - pracowitość i rozsądek w auditowaniu. Auditorzy powinni wykazać staranność odpowiednią do wagi wykonywanych zadań oraz do zaufania, jakim obdarzyli ich klienci auditu i inne strony zainteresowane. Ważnym czynnikiem jest ich zdolność do prowadzenia rozsądnej oceny we wszystkich sytuacjach auditowych. Poufność zapewnienie bezpieczeństwa informacji. Auditorzy powinni w sposób roztropny i ostrożny wykorzystywać i chronić informacje uzyskane podczas realizacji swych zadań oraz nie ujawniać ich bez odpowiedniego upoważnienia, szczególnie w sposób szkodzący auditowanemu. Dotyczy to w szczególności informacji wrażliwych i poufnych. 9
Niezależność - podstawa bezstronności i obiektywności wniosków z auditu. Auditorzy powinni być niezależni od auditowanych działań oraz wolni od uprzedzeń i konfliktu interesów. Powinni wykazać obiektywizm podczas całego procesu auditu, aby zapewnić, że ustalenia i wnioski z auditu oparte są wyłącznie na dowodach z auditu. Podczas auditów wewnętrznych powinni być niezależni od kierowników auditowanych obszarów. Podejście oparte na dowodach - racjonalna metoda uzyskiwania wiarygodnych i odtwarzalnych wniosków z auditu w systematycznym procesie auditu Dowody z auditu powinny być weryfikowalne. Powinny być oparte na próbkach dostępnych informacji, gdyż audit prowadzony jest w ograniczonym czasie przy użyciu ograniczonych zasobów. Odpowiedni dobór próbki ma ścisły związek z zaufaniem, jakim można obdarzyć wnioski z auditu. 10
Zakres programu auditów powinien wynikać z wielkości i charakteru auditowanej organizacji oraz dojrzałości systemu zarządzania. Zasady zarządzania programem powinny uwzględniać podstawowe elementy systemu odnoszące się do kluczowych cech wyrobu oraz zagrożeń pod względem bezpieczeństwa i higieny pracy, a także istotnych aspektów środowiskowych. UWAGA Takie podejście jest zwykle nazywane auditowaniem opartym na analizie ryzyka związanego z auditem. 5.2 Ustalenie celów programu auditów 5.3 Ustalenie programu auditów 5.4 Wdrożenie programu auditów 5.5 Monitorowanie programu auditów 7 Kompetencje i ocena auditorów 6 Realizacja auditów 5.6. Przeglądy i doskonalenie programu auditów 11
Ustalenie programu auditów Osoba zarządzająca programem auditów powinna: ustalić zakres programu auditów; zidentyfikować i ocenić ryzyka związane z programem; Osoba odpowiedzialna za zarządzanie programem auditów powinna rozważyć ryzyka mogące mieć wpływ na realizację programu auditów, a ryzyka mogą dotyczyć: planowania nieprawidłowe określenie celów i zakresu programu auditów; zasobów zbyt krótki czas na realizację programu lub poszczególnych auditów; 12
doboru zespołu auditującego - brak wystarczających kompetencji; wdrożenia - nieskuteczne informowanie o programie auditów; nadzoru nad zapisami z auditów - błędy w zakresie odpowiedniej ochrony zapisów zawartych w raportach z auditów mających wykazać skuteczność programu auditów; monitorowania realizacji programu - brak skutecznego systemu monitorowania wniosków z auditów. Zarządzający programem auditów powinien zapewnić, że wszystkie zapisy związane z realizowanym programem auditów są utrzymywane, z zapewnieniem ich poufności w wymaganym zakresie. Zapisy powinny obejmować, m.in.: zapisy dotyczące programu auditów (cele i zakres programu, stwierdzone ryzyka, wyniki przeglądów skuteczności programu); 13
Przegląd i doskonalenie programu auditów Dane warte rozważenia: wyniki monitorowania i ewentualne trendy, w tym zapisy z auditów; potrzeby i oczekiwania stron zainteresowanych; nowe techniki auditowania; skuteczność sposobu oceny ryzyka związanego z programem, w tym zapewnienie poufności i bezpieczeństwa informacji w zakresie programu auditów. Ryzyko związane z auditem Podczas opracowywania programu auditów należy brać pod uwagę fakty mogące utrudnić osiągnięcie celów i ocenić związane z tym ryzyko. Wyniki takiej oceny należy uwzględniać podczas planowania procesów poszczególnych auditów. 14
Ocena ryzyka związanego z auditem powinna obejmować: Identyfikację zagrożeń Analizę ryzyka Ewaluację ryzyka Identyfikacja zagrożeń powinna obejmować te obszary działalności, funkcje i procesy, gdzie istnieje potencjalne niebezpieczeństwo, że cele auditu mogą nie być osiągnięte. Przykładowe źródła zagrożeń mogą być następujące: 15
Niewłaściwie określone cele auditu lub jego zakres Wystąpienie uprzedzeń lub konfliktu interesów w zespole auditującym Niewłaściwe metody i narzędzia auditu Niewłaściwe metody oceny ryzyka Wybór niereprezentatywnej próbki auditowej Niewystarczające kompetencje zespołu auditującego Niewystarczająca liczba auditorów Analiza ryzyka podstawa do oceny poziomu ryzyka i do podjęcia decyzji co do sposobu potraktowania ryzyka. Analiza ryzyka obejmuje rozważenie przyczyn i źródeł ryzyka, potencjalnych konsekwencji i prawdopodobieństwa wystąpienia. Podstawę analizy stanowią wcześniejsze doświadczenia, znajomość zmian w sposobie funkcjonowania i inne dostępne informacje. 16
Ewaluacja ryzyka wynik porównania ustalonego w wyniku analizy poziomu ryzyka związanego z auditem z kryteriami przyjętymi w wyniku rozważenia celów programu auditów. Wynik porównania powinien być podstawą podejmowanych decyzji. Dalsze wskazówki norma ISO 31000 Jedna z ważniejszych zmian polega na umieszczeniu wskazówek praktycznych, przedstawionych w ramkach w normie ISO 19011:2002, a przeniesionych z pewnymi modyfikacjami, do załącznika B w normie ISO 19011:2011. 17
Przegląd dokumentacji B.3 Czy informacje zawarte w dokumentach są: kompletne obejmują wszystkie oczekiwane informacje; prawidłowe zgodne z mającymi zastosowanie normami i przepisami; spójne wewnętrznie i zewnętrznie; aktualne; obejmują auditowany zakres działalności i mogą być użyte do wsparcia dowodów z auditu; zawierają potrzebne ustalenia dotyczące dostępu i bezpieczeństwa. Na podstawie informacji uzyskanych podczas przeglądu auditor wiodący przygotowuje plan auditu - powinny w nim być uwzględnione wyniki analizy ryzyka związanego z działaniami auditowanego (wyrobami, usługami, personelem lub infrastrukturą). 18
Planując audit należy uwzględnić ryzyko związane z działaniami zespołu auditującego: potencjalnymi zagrożeniami związanymi z negatywnym wpływem na bezpieczeństwo i higienę pracy, środowisko i jakość; niezamierzonym wprowadzeniem zagrożeń dla oferowanych wyrobów lub usług, dla personelu i infrastruktury. Przygotowanie dokumentów roboczych B.4 Podczas przygotowywania dokumentów roboczych warto odpowiedzieć sobie na pytania: jakie zapisy zamierzamy zamieścić w danym dokumencie; jakie działania auditowe będą związane z danym dokumentem; kto będzie korzystał z danego dokumentu; jakich informacji będziemy potrzebować do wypełnienia treścią danego dokumentu. 19
Próbka auditowa B.3 Dowody z auditu są oparte na zbadaniu próbki dostępnych informacji, gdyż generalnie nie jest praktyczne ani efektywne zbadanie wszystkich dostępnych informacji. Badanie próbki polega na zbadaniu części dostępnych przedmiotów oceny oraz ocenie określonych cech całej populacji w celu sformułowania wniosków odnoszących się do całości zagadnienia. Ryzyko z tym związane bierze się stąd, że badana próbka może nie być reprezentatywna dla całej populacji, zatem wnioski auditora mogą być inne niż te, które byłyby wynikiem przebadania całej populacji przedmiotów oceny. 20
Podczas określania sposobu badania próbki auditowej, warto uwzględniać, między innymi, następujące czynniki: Jaka powinna być liczność próbki? Czy wymagany jest określony poziom ufności? Czy określać próbkę na podstawie wcześniej przygotowanego wzoru, czy na podstawie badania zakłóceń danego procesu? Czy istnieją przepisy określające np. liczność lub sposób pobierania próbki? Czy skupić się na wynikach określanych w kategoriach TAK/NIE (metoda alternatywna) czy określanych w sposób ciągły, np. 4,1; 4,15; 4,17 (metoda liczbowa)? Można to podsumować, czy doświadczenie i znajomość auditowanego obszaru czy statystyka? 21
W odniesieniu do kwestii zawartości raportu z auditu warto wiedzieć, że w tym roku ukazał się dokument ISO/IEC TS 17022:2012 Ocena zgodności Wymagania i zalecenia dotyczące zawartości raportu z auditu systemów zarządzania przeprowadzanego przez trzecią stronę Kompetencje i ocena auditorów Elementy składające się na kompetencje auditora Wiedza i umiejętności Wykształcenie Doświadczenie zawodowe Szkolenie auditorskie Praktyka auditorska Cechy osobowości 22
Proces oceny kompetencji auditora powinien wynikać z programu auditów i obejmować: określenie poziomu kompetencji wynikającego z potrzeb programu auditów; ustalenie kryteriów oceny; dobór odpowiednich metod oceny; przeprowadzenie oceny. Postawy i zachowania - Cechy osobowości Auditor powinien być:... (tzn. bez zmian), a ponadto: rzetelny i odpowiedzialny nawet wtedy, gdy taka postawa może doprowadzić do nieporozumień lub konfrontacji; 23
otwarty na doskonalenie, otwarty na naukę płynącą z różnych sytuacji auditowych w celu wykorzystania nowych doświadczeń w swoich dalszych działaniach; wyczuwający kulturę organizacji, potrafiący ją zrozumieć i respektować; zorganizowany, potrafiący współpracować z zespołem auditującym i przedstawicielami auditowanego. Dziękuję za uwagę 24