08. Вер 2020

ISO 19011: 2018 - найважливіші зміни

Настанови з аудиту систем управління - нова редакція стандарту ISO 19011

Виходу третього видання ISO 19011 передувала зміна основних стандартів систем управління, в тому числі ISO 9001, ISO 14001, ISO 31000. Ці стандарти базуються на послідовній структурі та підході до ризиків Anex SL. Тож настав час поглянути на нову редакцію стандарту, що містить керівні принципи щодо аудиту систем управління, тобто ISO 19011: 2018

Переглядаючи стандарт, на перший "погляд" ми можемо побачити деякі зміни, в тому числі на те, що до точка 5 управління програмою аудиту для програми аудиту було введено підпункт ризику, і що існує лише один додаток із додатковими вказівками для аудиторів щодо планування та проведення аудитів.

Однак описано в додатку до попередньої редакції стандарту Спеціальні приклади очікуваних знань та навичок аудитора  були вилучені.

Я хотів би зосередитись на змінах трохи більше, але не вдаючись до деталей в аналізі документа пункт за пунктом. Такий детальний аналіз повинен проводитись у кожній організації, яка використовує керівні принципи ISO 19011 в процесі аудиту, щоб оцінити, наскільки зміни впливають на систему управління.

Перепідготовка внутрішніх аудиторів?

Метою цієї статті, крім зазначення основних напрямків зміни стандарту, є також спроба відповісти на питання, які часто виникають під час навчальних курсів щодо нових версій ISO 9001 або ISO 14001:

  • Чи потрібно перепідготовку внутрішніх аудиторів компанії?
  • Чи впливає цей стандарт на наші внутрішні аудити?
  • Чи потрібно змінювати форми внутрішнього аудиту?
  • Чи змінилася методологія аудиту?

Тож загалом спроба відповісти на питання - Якщо стандарт ISO 19011 змінився, чи потрібно мені перекваліфікувати внутрішніх аудиторів?

Дивлячись на структуру переглянутого документа (ISO 19011: 2018), ми помічаємо косметичний зміни, але ... це оманливе враження. Зосередження уваги на компетенціях буде визначальним фактором необхідності вдосконалення внутрішніх аудиторів.

Давайте розглянемо з висоти пташиного польоту зони зміни норми:

Примітка:

Я рекомендую поглянути на термінологію, що міститься у стандарті - для того, щоб організувати підхід, адже завжди варто повертатися до правил. Цього разу також потрібно знайти там визначення ризику, яке в коментарях до цього визначення посилає нас на документ таким, який він є Керівництво ISO 73: 2009 «Управління ризиками. Термінологія ".

Польська версія документа доступна і її можна придбати у Цифрова система продажу товарів та послуг Польського комітету зі стандартизації.

Стільки про ризик на цьому етапі, але оскільки в подальшій частині аналізу змін стандарту нам потрібно буде звернутися до «ризиків та можливостей», ми спростимо це питання і припустимо, що, думаючи про «ризик», ми враховуємо два фактори, що впливають на них, а саме: ймовірність і наслідки.

Принципи аудиту відповідно до ISO 19011: 2018

З іншого боку, важливо підтримувати процес аудиту на принципах, визначених стандартом, для досягнення конкретної мети, яка полягає в підтримці організації у реалізації політики, також шляхом надання інформації, що дозволяє вдосконалити та ефективно досягти результатів.

На цьому важлива особливість аудитів особливо варто звернути увагу, усвідомлюючи функціонування цілей програми аудиту в багатьох організаціях, що є оцінкою відповідності стандарту ... ISO 9001 або ISO 45001 або інші.

Аудит - це більше, ніж просто оцінка відповідності / невідповідності.

Цього також слід досягти, базуючи аудит на принципах, визначених стандартом, але цього разу доповненого терміном, який повинен бути відомий після прочитання стандартів ISO 9001 та 14001, тобто "Підхід, заснований на оцінці ризику".

Тут, у принципах аудиту, підхід, заснований на оцінці ризику, відноситься до планування, проведення та складання звітності в процесі аудиту, орієнтованого на цілі клієнта та цілі програми аудиту. Як наслідок такого підходу, під час читання стандарту можна помітити, що на кожному етапі аудиторського процесу він переплітається з діяльністю.

 

Іноді стандарт дає нам це безпосередньо у формі врахування ризику, що виникає в певних процесах і пов'язаний, наприклад, з його ресурсами, а іноді описує обсяг проблеми, наприклад, представляє як питання, які слід враховувати при плануванні програми аудиту:

  •  райони
  •  процесів
  •  функції, що передаються організацією.

Приклад такого підходу також буде рекомендований стандартом враховувати контекст організації ревізований:

  •  зовнішні та внутрішні впливи,
  •  очікування зацікавлених сторін,
  •  інформаційна безпека
  •  конфіденційність

Цикл PDCA в управлінні програмою аудиту

При управлінні програмою аудиту за циклом PDCA стандарт рекомендує брати до уваги:

Виходячи з наведених вище вказівок, при їх впровадженні ми можемо помітити зміни, які впливають на управління програмою аудиту. Щоб поговорити про цілком відповідний цикл, нам слід врахувати ризики та можливості, а також переглянути та вдосконалити програму аудиту.

Насправді сам цикл PDCA у стандарті представлений досить вичерпно у графічній формі, і тому не вимагає більш широких коментарів.

 

Встановлюючи стандарт, тобто створюючи / визначаючи програму аудиту, ми повинні посилатися (див. Пункт 5.2 стандарту ISO19011: 2018) на введені елементи зміненого стандарту ISO 9001 (а також інші стандарти), такі питання, як контекст, вплив зовнішніх постачальників, ризики та можливості. Послідовно впроваджуючи ці припущення, доцільно інформувати клієнта аудиту про ризики та доцільність програми аудиту.

Стандарт у пункті 5.3 говорить нам, які ризики та можливості можуть виникнути для програми аудиту. Я також зверну увагу на положення стандарту, згідно з яким особи, які керують програмою аудиту, повинні змусити клієнта аудиту схвалити розроблену програму.

Видача погодження повинна гарантувати, що ми відповідаємо очікуванням клієнтів щодо ролі та мети аудиту, а насправді програми аудиту. Водночас при такому зобов’язанні затвердити виникає питання про принципи затвердження документів в організації, оскільки оскільки розроблена програма підлягає затвердженню, то повинні бути визначені правила роботи зі змінами в затвердженій програмі.

Це питання вже спрямовує нас до сфер, пов’язаних із задокументованою інформацією, оскільки існують письмові вимоги до принципів нагляду - звичайно, я думаю про точка 7.5 у стандартах ISO 9001, ISO 14001, ISO 45001.

Ми також маємо сигналізований обсяг компетенцій з управління програмою аудиту, щоб миттєво перейти до обсягу програми аудиту, що описано більш докладно порівняно з попередньою редакцією стандарту.

Також були вказані потреби в ресурсах, які практично варто визначити в програмі, маючи на увазі витрати на попередження якості, і тим більше, коли ми свідомо управляємо "витратами на якість".

Наступні кроки в управлінні програмою аудиту, такі як:

  • Цілі, обсяг та критерії для одного аудиту,
  •  Вибір методів аудиту
  •  Відбір членів аудиторської групи
  •  Призначення відповідальності за аудиторську групу
  •  Управління результатами аудиту
  •  Ведення записів про виконання програми аудиту

За змістом обидва видання стандарту схожі. Звичайно, варто переглянути пункти пунктів речення за реченням, щоб помітити нюанси - обговорення, що ця стаття є занадто короткою, щоб дозволити провести повний аналіз.

Принципи моніторингу програми аудиту, спрямованої на досягнення цілей програми, також вказують нам на причини змін у самій програмі - тим самим звертаючи увагу на те, що вона не є документом, встановленим і непорушним за своєю суворістю. Навпаки, він повинен відображати фактичні потреби, пов'язані з цілями програм, і динамічно реагувати, серед іншого, на на результати окремих аудитів, ефективність діяльності, рівень зрілості, вплив зовнішніх постачальників та інші. Наслідком дій є вдосконалення на основі накопиченого досвіду, позначеного як «Вивчені уроки».

Більше інформації про компетенцію аудитора.

Ви хочете знати більше. Перегляньте нашу статтю: https://www.qualityaustria.com.pl/auditor-iso-jak-zostac-auditorem-wewnetrznym/

Проведення аудиту відповідно до ISO 19001: 2018

Розглядаючи керівні принципи в розділі 6.2, які стосуються безпосередньо одного аудиту, я зупинюсь на цьому нові введені елементи ризику.

Вказівки щодо встановлення контакту з ревізованим істотно не змінюються, як і визначення доцільності аудиту. Однак в обох видах діяльності ми повинні базувати свій підхід до ризику, тобто бути конкретним розглянути можливості та загрози для здійснення аудиту відповідно до програми незмінно маючи на увазі мету аудиту визначається замовником або керівником програми аудиту.

У самому стандарті ми більше не знаходимо прямого вказівки на загрози 6.2.2. Я думаю, що варто розглянути такі питання, як, наприклад:

 

Керівні принципи стандартів справедливо вказують з точки зору ресурсів аудиту, що вони можуть стосуватися доступу до інформації в системах ІКТ. Це важливе питання досить часто не враховується при плануванні та проведенні аудитів.

Риторичне запитання щодо інформації, яка обробляється в системах ІКТ - чи завжди те, що перевіряється в системі класів BAAN та SAP MRPII, показує мені, що це контрольована документально оформлена інформація відповідно до вимог стандарту? Тобто, чи для прикладу даних, показаного у формі будь-якої програми, як аудитор, я перевіряю, чи організація встановила правила відповідно до пункту 7.5.3.2 ISO 9001: 2015, який говорить:

 

Підготовка аудиторської діяльності згідно ISO 19011: 2018

6.3.2 Планування аудиту - підхід до ризику.

Підхід до ризику в плануванні аудиту рекомендується як основа для домовленості з ревізованим. Коротше кажучи, я мав би базувати свої домовленості з аудитором на параметрах ризику.

Ризики, які можна визначити тут, і навіть відповідно до керівних принципів ISO 19011, в основному вже засновані на вищевказаних рекомендаціях стандарту в межах:

  • вибір аудиторів для групи
  • компетентність
  • методи аудиторської вибірки
  • визначені потенціали для підвищення ефективності та результативності
  • недосягнення цілей аудиту в результаті неправильної стадії планування,

але також ризики для самого ревізованого в результаті проведення аудиторської діяльності, тобто наявність аудиторів у процесах аудиту, що порушують, наприклад:

  • вимоги охорони праці,
  • мікробіологічна стабільність у процесі,
  • порушення стабільності системи в приміщеннях з певним і необхідним класом чистоти, безперервна робота процесів тощо.

Вимоги до компетентності аудиторів відповідно до ISO 19001: 2018

З точки зору керівних принципів ISO 9011: 2018, ми знайдемо адекватні вимоги до компетенції для аудиторів, як і в попередній редакції стандарту, як з точки зору ставлення, поведінки, знань та навичок. У загальних вимогах керівні принципи вказують одну з нових областей компетенції, а саме розуміння підходу до ризику, але також посилання на розуміння ризиків, адекватних галузі, сектору, в якому працює організація, що підлягає аудиту.

Вимоги до компетентності для аудиторів - це тема для абсолютно окремого розгляду, і їх обсяг можна коротко представити як поєднання чотирьох елементів.

 

 

 

Підводячи підсумки та намагаючись відповісти на поставлені на початку питання, слід зазначити, що зміни, введені в новій редакції ISO 9011, не є революційними змінами. В основному вони стосуються двох елементів, якими вони є підхід, заснований на оцінці ризику та посилання на задокументована інформація зокрема, обробляється в системах ІКТ.

Природним наслідком зміни підходу в ISO 9001, ISO 45001, ISO 14001 (та інших стандартах, заснованих на Додатку SL) стала зміна керівних принципів аудиту. Звертаючись до обсягу потреб у підготовці внутрішніх аудиторів, нам слід спершу відповісти на питання, чи мають наші аудитори відповідні компетенції, щоб:

  • провести аудит в організації щодо галузі / сектора економіки
  • оцінити ефективність та результативність процесів організації
  • враховувати ризики та можливості стосовно процесу аудиту та процесів організації
  • керувати командою аудиторів
  • вести процес спілкування свідомо із використанням інструментів
  • представити рівень поведінки, адекватний вимогам
  • досягнення цілей аудиту
  • підготувати необхідні документи / записи з процесу аудиту (задокументована інформація)

В результаті оцінки вищезазначених аспектів у верхній частині загальності вимог до компетентності, проаналізувавши пункт 7 стандарту ISO 19011: 2018 та врахувавши опис змін до стандарту, можна буде відповісти на питання, чи слід і наскільки покращувати компетенцію внутрішніх аудиторів.

Nie znaleziono siatki dla: wso-news-slider.

+43 732 34 23 22