QualityAustria

ISO 19011:2018 – najważniejsze zmiany

Baza wiedzy


ISO 19011:2018 – najważniejsze zmiany

ISO 19011:2018 – najważniejsze zmiany

 

Wytyczne dotyczące auditowania systemów zarządzania – nowa edycja normy ISO 19011

 

Wydanie trzeciej edycji normy ISO 19011 poprzedzone było zmianą podstawowych norm systemów zarządzania m.in. ISO 9001, ISO 14001, ISO 31000. Standardy te oparte są na spójnej strukturze Anexu SL i podejściu do ryzyka. Pora więc spojrzeć na nowe wydanie normy zawierające wytyczne dotyczące audytowania systemów zrządzania, czyli ISO 19011:2018

 

Przeglądając normę już na pierwszy „rzut oka” widzimy pewne zmiany polegające m.in. na tym, że do pkt. 5 zarządzanie programem audytów wprowadzono podpunkt związany z ryzykiem dla programu audytów, oraz że jest tylko jeden załącznik z dodatkowymi wytycznymi dla auditorów w zakresie planowania i przeprowadzania audytów.

 

Natomiast opisywane w załączniku poprzedniej edycji normy specyficzne dla branż przykłady oczekiwanej wiedzy i umiejętności auditorów  zostały usunięte.

 

Chcę nieco więcej pochylić się nad zmianami, aczkolwiek nie wchodząc szczegółowo w analizę dokumentu punkt po punkcie. Tak dokładna analiza powinna mieć miejsce w każdej organizacji, która wykorzystuje w procesie auditów wytyczne ISO 19011, by ocenić w jakim stopniu zmiany wpływają na system zarządzania.

 

Ponowne szkolenie auditorów wewnętrznych?

 

Celem tego artykułu, oprócz wskazania głównych obszarów zmian w normie, jest również próba odpowiedzi na pytania, które często padają podczas przeprowadzanych szkoleń z nowych wersji norm ISO 9001 czy ISO 14001:

 

  • Czy muszę na nowo szkolić auditorów wewnętrznych w firmie?
  • Czy norma ta ma wpływ na nasze audity wewnętrzne?
  • Czy musze zmieniać formularze do auditu wewnętrznego?
  • Czy zmieniła się metodologia auditu?

 

Czyli generalnie próba odpowiedzi na pytanie – czy jeżeli zmieniła się norma ISO 19011 to czy muszę ponownie przeszkolić auditorów wewnętrznych?

 

Spoglądając na strukturę zmienionego dokumentu (ISO 19011:2018) zauważamy kosmetyczne zmiany , ale… to złudne wrażenie. Ukierunkowanie na kompetencje będzie dla nas wyznacznikiem potrzeb doskonalenia auditorów wewnętrznych. 

 

Spójrzmy z „lotu ptaka” na obszary zmian w normie:

 

 

 

 

Zwróć uwagę:

Polecam spojrzeć na terminologię zawartą w normie – celem uporządkowania podejścia, ponieważ do zasad zawsze warto wracać. Tym razem również po to by znaleźć tam definicję ryzyka, która w uwagach do definicji odsyła nas do dokumentu, jakim jest ISO Guide 73: 2009 „Zarządzanie ryzykiem. Terminologia”.

 

Jest dostępna polska wersja dokumentu i można ją kupić w Systemie cyfrowej sprzedaży produktów i usług Polskiego Komitetu Normalizacyjnego.


Tyle na temat ryzyka na tym etapie, ale ponieważ w dalszej części analizy zmian w normie będziemy potrzebowali odnosić się do „ryzyk i szans” to uprościmy to zagadnienie i załóżmy, że myśląc o „ryzyku” bierzemy pod uwagę dwa czynniki na nie wpływające jakimi są prawdopodobieństwo i konsekwencje.

 

Zasady auditowania według ISO 19011:2018

 

Ważnym natomiast jest wsparcie procesu auditu na zasadach, które norma podaje dla osiągania konkretnego celu, jakim jest wspieranie organizacji w realizowaniu polityk, również poprzez dostarczanie informacji, dzięki którym możliwe jest doskonalenie i skuteczne osiąganie wyników.

 

Na tą ważną cechę audytów szczególnie warto zwrócić uwagę, mając świadomość funkcjonowania w wielu organizacjach celów programu audytów, jakim jest ocena zgodności z normą…np. ISO 9001, czy też ISO 45001 lub innymi.

 

Audit to coś więcej niż tylko ocena zgodne / niezgodne.

 

 

Służyć temu ma również oparcie auditu na zasadach definiowanych przez normę, ale tym razem uzupełnione o termin, który powinien już być znany po lekturze norm ISO 9001 i 14001 czyli „Risk-based approach”.

 

W tym miejscu w zasadach audytowania podejście oparte na ryzyku odniesione zostało do planowania, przeprowadzania i raportowania w procesie auditu ukierunkowanego na cele klienta i cele programu audytów. W konsekwencji tego podejścia podczas lektury normy zauważyć można, że na każdym etapie procesu audytów jest ono wplecione w działania.

 

Czasem norma podaje nam to wprost w postaci rozważenia ryzyka, które występuje w danych procesach i jest związane np. z jego zasobami, a czasem opisując zakres problemowy jak na przykład stawiając jako zagadnienia do rozważenia w planowaniu programu audytów:

  •  obszarów
  •  procesów
  •  funkcji zlecanych przez organizację na zewnątrz.

 

Przykładem tego podejścia również będzie zalecane przez normę rozważenie kontekstu organizacji audytowanej:

  •  wpływy zewnętrzne i wewnętrzne,
  •  oczekiwania stron zainteresowanych,
  •  bezpieczeństwo informacji
  •  poufność

 

Cykl PDCA w zarządzaniu programem audytów

 

Opierając zarządzanie programem auditów na cyklu PDCA norma zaleca uwzględnić:

 

 

 

 

 

W oparciu o powyższe wytyczne, przy ich realizacji możemy zauważyć zmiany, które wpływają na zarządzanie programem audytów. By mówić o w pełni zgodnym cyklu powinniśmy uwzględnić ryzyka i szanse oraz przeglądać i doskonalić program audytów.

 

W zasadzie sam cykl PDCA w normie jest przedstawiony dość zrozumiale w formie graficznej, a tym samym nie wymaga chyba szerszego komentarza.

 

 

 

 

 

Ustanawiając zdaniem normy, czyli tworząc/definiując program audytów powinniśmy odnieść się (patrz. Punkt 5.2 ISO19011:2018) do wprowadzonych elementów znowelizowanej normy ISO 9001 (jak również norm pozostałych) takich zagadnień jak kontekst, wpływy zewnętrznych dostawców, ryzyk i szans. Konsekwentnie realizując te założenia wskazanym jest, by klienta auditu poinformować o ryzykach i szansach wykonalności programu audytów.

 

Norma w punkcie 5.3 podpowiada nam jakie ryzyka i szanse dla programu audytów mogą zaistnieć. Zwrócę również uwagę na zapis w normie mówiący o tym, że osoby zarządzające programem audytów powinny doprowadzić do tego, by klient auditu zatwierdził opracowany program.

 

Kwestia zatwierdzenia powinna nam zapewnić spełnienie oczekiwań klienta, co do roli i celów audytów, a w zasadzie programu audytów. Jednocześnie z takim obowiązkiem zatwierdzenia nasuwa się pytanie o zasady zatwierdzania dokumentów w organizacji, bo skoro opracowany program podlega zatwierdzeniu, to powinny być określone zasady postępowania z zmianami w zatwierdzonym programie.

 

To zagadnienie kieruje nas już do obszarów związanych z udokumentowanymi informacjami, ponieważ tam zapisane są w wymagania, co do zasad nadzoru – myślę oczywiście o pkt. 7.5 w normach ISO 9001, ISO 14001, ISO 45001.

 

Mamy również zasygnalizowany zakres kompetencji dla zarządzania programem audytów, po to by za chwilę przejść do zakresu programu audytów, który jest szerzej opisany w porównaniu z poprzednią edycją normy.

 

Wskazane zostały również potrzeby w zakresie zasobów, które praktycznie warto zdefiniować w programie, mając na uwadze koszty prewencji jakości, a tym bardziej warto je dokładnie określić gdy zarządzamy świadomie „kosztami jakości”.

 

Kolejne kroki w zarządzaniu programem audytów takie jak:

  • Cele, zakres i kryteria dla pojedynczego auditu,
  •  Wybór metod audytowych
  •  Wybór członków zespołu audytowego
  •  Przypisanie odpowiedzialności za zespół auditowy
  •  Zarządzanie wynikami audytów
  •  Utrzymywanie zapisów z realizacji programu audytów

 

Merytorycznie są zbieżne w obydwóch wydaniach normy. Warto oczywiście przejrzeć zapisy punktów zdanie po zdaniu, by zauważyć niuanse - na omówienie, których ten artykuł jest zbyt krótki i nie pozwala na pełną analizę.

 

Zasady monitorowania programu auditów ukierunkowane na osiąganie celów programu, wskazują nam również powody do zmian w samym programie – zwracając tym samym uwagę na to, że to nie jest dokument ustanowiony i nienaruszalny w swej powadze. Wręcz przeciwnie ma on być odzwierciedleniem faktycznych potrzeb związanych z celami programów i dynamicznie reagować m.in. na wyniki pojedynczych auditów, efektywność działań, poziom dojrzałości, wpływy zewnętrznych dostawców i inne. Konsekwencją działań jest doskonalenie oparte na budowanym doświadczeniu, wskazane, jako „lessons learned”.

 

 

Przeprowadzenie auditu wg. ISO 19001:2018


Rozważając wytyczne w punkcie 6.2 Dotyczącym już bezpośrednio jednego auditu skupię się na nowych wprowadzonych elementach dotyczących ryzyka.

 

Wytyczne w zakresie nawiązania kontaktu z auditowanym są merytorycznie niezmienne tak jak i określenie wykonalności auditu. Jednakże w obydwóch działaniach powinniśmy się oprzeć na podejściu do ryzyka, czyli konkretnie rozważyć szanse i zagrożenia dla realizacji auditu zgodnie z programem niezmiennie pamiętając o celu auditu zdefiniowanym przez klienta lub zarządzającego programem auditów.

 

W samej normie nie znajdziemy już bezpośredniego wskazania zagrożeń w pkt. 6.2.2. Sądzę, że warto wziąć pod uwagę w tym zakresie takie zagadnienia jak na przykład:

 

 

 


Wytyczne normy słusznie wskazują w zakresie zasobów do audytu, iż mogą one dotyczyć dostępu do informacji w systemach teleinformatycznych. To ważne zagadnienie dosyć często pomijane w planowaniu i realizacji audytów.

 

 

Pytanie retoryczne dotyczące informacji przetwarzanej w systemach teleinformatycznych –- czy zawsze to, co pokazuje mi auditowany w systemie klasy MRPII typu BAAN i SAP to nadzorowana udokumentowana informacja zgodnie z wymaganiem normy? To znaczy czy dla pokazanego przykładu danych w formatce dowolnego programu, jako auditor weryfikuję czy w organizacji zostały ustanowione zasady zgodnie z punktem 7.5.3.2 normy ISO 9001:2015 brzmiącym:

 

 

 

 

Przygotowanie działań audytowych wg. ISO 19011:2018

 

6.3.2 Planowanie auditu – podejście do ryzyka.
 

Podejście do ryzyka w planowaniu auditu wskazane jest jako podstawa do porozumienia z audytowanym. Krótko mówiąc na parametrach ryzyka powinienem oprzeć podejmowane uzgodnienia z auditowanym.

 

Ryzyka, które tutaj można zdefiniować i nawet w myśl wytycznych ISO 19011 opierają się już w zasadzie na powyższych wytycznych normy w zakresie:

  • doboru auditorów do zespołu
  • kompetencji
  • technik pobierania próbek audytowych
  • możliwych do zdefiniowania potencjałów do doskonalenia skuteczności i efektywności
  • nieosiągnięcie celów auditu w wyniku niewłaściwego etapu planowania,

ale i ryzyka dla samego auditowanego w wyniku przeprowadzenia działań audytowych, czyli obecność auditorów w procesach audytowanych naruszająca np.:
 

  • wymagania BHP,
  • stabilność mikrobiologiczną w procesie,
  • zakłócenie stabilności układu w pomieszczeniach o określonej i wymaganej klasie czystości, ciągłość działania procesów, itp.

 

Wymagania kompetencyjne dla auditorów według ISO 19001:2018

 

W zakresie wytycznych normy ISO 9011: 2018 znajdziemy adekwatne wymagania kompetencyjne dla auditorów jak w poprzedniej edycji normy, zarówno w zakresie postaw, zachowania, wiedzy i umiejętności. W wymaganiach ogólnych wytyczne wskazują na jeden z nowych obszarów kompetencyjnych, jakim jest zrozumienie podejścia do ryzyka, ale i odniesienie do zrozumienia ryzyk adekwatnych do branży, sektora w której funkcjonuje organizacja podlegająca auditowi.

 

Wymagania kompetencyjne dla auditorów to temat zupełnie na odrębne rozważania, a ich zakres można przedstawić w ogromnym skrócie, jako połączenie czterech elementów.

 

 

 

Podsumowując i próbując odpowiedzieć na postawione na początku pytania trzeba stwierdzić, że zmiany wprowadzone w nowej edycji normy ISO 9011 nie są zmianami rewolucyjnymi. Dotyczą one głównie dwóch elementów, jakimi są podejście oparte na ryzyku i odniesienie do udokumentowanych informacji w szczególności przetwarzanych w systemach teleinformatycznych.

Naturalną konsekwencją zmiany podejścia w normach ISO 9001, ISO 45001, ISO 14001 (i pozostałych opartych na Aneksie SL) była nowelizacja wytycznych do audytowania. Odnosząc się do zakresu potrzeb szkoleń auditorów wewnętrznych, powinniśmy najpierw odpowiedzieć na pytanie, czy nasi auditorzy mają odpowiednie kompetencje by:

  • przeprowadzić audit w organizacji w odniesieniu do branży / sektora gospodarki
  • ocenić skuteczność i efektywność procesów organizacji
  • brać pod uwagę ryzyka i szanse w odniesieniu do procesu auditu jak i procesów organizacji
  • zarządzać zespołem auditorów
  • prowadzić proces komunikacji świadomie z wykorzystaniem narzędzi
  • prezentować adekwatny do wymagań poziom zachowań
  • osiągać cele audytowe
  • sporządzić niezbędne dokumenty / zapisy z procesu auditu (udokumentowane informacje)

 

W wyniku oceny powyższych aspektów na szczycie ogólności wymagań kompetencyjnych, po analizie lektury punktu 7 normy ISO 19011:2018 i uwzględniając opis zmian w normie będzie można odpowiedzieć na pytanie czy i w jakim zakresie należy doskonalić kompetencje auditorów wewnętrznych.

 

 

ISO 45001 po polsku

Norma ISO 45001 – komu i po co potrzebne są zmiany w zakresie Bezpieczeństwa i Higieny Pracy? Niezależnie od tego, czy jesteś właścicielem firmy, kierownikiem, czy pracownikiem na pewno zależy… więcej




Quality Austria - Polska Sp. z o.o.

Quality Austria