ČESKÁ TECHNICKÁ NORMA

ICS 03.120.10, 13.020.10 Červen 2012

Směrnice pro auditování systémů managementu

ČSN
EN ISO 19011

01 0330

idt ISO 19011:2011

Guidelines for auditing management systems

Lignes directrices pour l’audit de systèmes de management

Leitfaden zur Auditierung von Managementsystemen

Tato norma je českou verzí evropské normy EN ISO 19011:2011. Překlad byl zajištěn Úřadem pro technickou normalizaci, metrologii a státní zkušebnictví. Má stejný status jako oficiální verze.

This standard is the Czech version of the European Standard EN ISO 19011:2011. It was translated by the Czech Office for Standards, Metrology and Testing. It has the same status as the official version.

Nahrazení předchozích norem

Touto normou se nahrazuje ČSN EN ISO 19011 (01 0330) z dubna 2003.

 

Národní předmluva

Změny proti předchozí normě

Hlavní rozdíly ve srovnání s prvním vydáním jsou:

Souvisící ČSN

ČSN ISO 2859-4 (01 0261) Statistické přejímky srovnáváním – Část 4: Postupy pro posouzení deklarovaných úrovní jakosti

ČSN EN ISO 9000:2006 (01 0300) Systémy managementu kvality – Základní principy a slovník

ČSN EN ISO 9001ed. 2 (01 0321) Systémy managementu kvality – Požadavky

ČSN EN ISO 14001 (01 0901) Systémy environmentálního managementu – Požadavky s návodem pro použití

ČSN ISO 14050 (01 0950) Environmentální management – Slovník

ČSN EN ISO/IEC 17021:2011 (01 5257)Posuzování shody – Požadavky na orgány poskytující služby auditů a certifikace systémů managementu

ČSN ISO/IEC 20000-1 (36 9074)Informační technologie – Management služeb – Část 1: Specifikace

ČSN EN ISO 22000 (56 9600) Systémy managementu bezpečnosti potravin – Požadavky na organizaci v potravinovém řetězci

ČSN ISO/IEC 27001 (36 9790) Informační technologie – Bezpečnostní techniky – Systémy managementu bezpečnosti informací – Požadavky

ČSN ISO/IEC 27003 (36 9790) Informační technologie – Bezpečnostní techniky – Směrnice pro implementaci systému řízení bezpečnosti informací

ČSN ISO/IEC 27004 (36 9790) Informační technologie – Bezpečnostní techniky – Řízení bezpečnosti informací – Měření

ČSN ISO/IEC 27005 (36 9790) Informační technologie – Bezpečnostní techniky – Řízení rizik bezpečnosti informací

ČSN ISO 28000 (01 0381) Specifikace pro systémy managementu bezpečnosti dodavatelských řetězců

ČSN ISO 31000 (01 0351) Management rizik – Principy a směrnice

ČSN EN ISO 50001 (01 1501) Systémy managementu hospodaření s energií – Požadavky s návodem k použití

TNI 01 0350 :2010 (01 0350) Management rizik – Slovník (Pokyn 73)

ČSN OHSAS 18001:2008 (01 0801) Systémy managementu bezpečnosti a ochrany zdraví při práci – Požadavky

Vypracování normy

Zpracovatel: Fakulta podnikohospodářská Vysoké školy ekonomické v Praze, IČ 61384399, Ing. Ondřej Hykš

Technická normalizační komise: TNK 6 Management kvality a prokazování kvality

Pracovník Úřadu pro technickou normalizaci, metrologii a státní zkušebnictví: Ing. Soňa Húsková

EVROPSKÁ NORMA EN ISO 19011
EUROPEAN STANDARD
NORME EUROPÉENNE
EUROPÄISCHE NORM
Listopad 2011

ICS 03.120.10, 13.020.10 Nahrazuje EN ISO 19011:2002

Směrnice pro auditování systémů managementu
(ISO 19011:2011)

Guidelines for auditing management systems
(ISO 19011:2011) 

Lignes directrices pour l’audit des systèmes
de management
(ISO 19011:2011)

Leitfaden zur Auditierung von Managementsystemen
(ISO 19011:2011)

Tato evropská norma byla schválena CEN dne 2011-11-05.

Členové CEN jsou povinni splnit vnitřní předpisy CEN/CENELEC, v nichž jsou stanoveny podmínky, za kterých se musí této evropské normě bez jakýchkoliv modifikací dát status národní normy. Aktualizované seznamy a bibliografické citace týkající se těchto národních norem lze obdržet na vyžádání v Řídicím centru CEN-CENELEC nebo u kteréhokoliv člena CEN.

Tato evropská norma existuje ve třech oficiálních verzích (anglické, francouzské, německé). Verze v každém jiném jazyce přeložená členem CEN do jeho vlastního jazyka, za kterou zodpovídá a kterou notifikuje Řídicímu centru CEN-CENELEC, má stejný status jako oficiální verze.

Členy CEN jsou národní normalizační orgány Belgie, Bulharska, České republiky, Dánska, Estonska, Finska, Francie, Chorvatska, Irska, Islandu, Itálie, Kypru, Litvy, Lotyšska, Lucemburska, Maďarska, Malty, Německa, Nizozemska, Norska, Polska, Portugalska, Rakouska, Rumunska, Řecka, Slovenska, Slovinska, Spojeného království, Španělska, Švédska a Švýcarska.

CEN

Evropský výbor pro normalizaci

European Committee for Standardization

Comité Européen de Normalisation

Europäisches Komitee für Normung

Řídicí centrum: Avenue Marnix 17, B-1000 Brusel

©2011 CEN Veškerá práva pro využití v jakékoli formě a jakýmikoli prostředky Ref. č. EN ISO 19011:2011 E
jsou celosvětově vyhrazena národním členům CEN.

Předmluva

 

Foreword

Tento dokument (EN ISO 19011:2011) vypracovala technická komise ISO/TC 176 Management kvality a prokazování kvality.

 

This document (EN ISO 19011:2011) has been prepared by Technical Committee ISO/TC 176 “Quality
management and quality assurance”.

Této evropské normě je nutno nejpozději do května 2012 dát status národní normy, a to buď vydáním identického textu, nebo schválením k přímému používání, a národní normy, které jsou s ní v rozporu, je nutno zrušit nejpozději do května 2012.

 

This European Standard shall be given the status of a national standard, either by publication of an identical text or by endorsement, at the latest by May 2012, and conflicting national standards shall be withdrawn at the latest by May 2012.

 

Upozorňuje se na možnost, že některé prvky tohoto dokumentu mohou být předmětem patentových práv. CEN [a/nebo CENELEC] nelze činit odpovědným za identifikaci jakéhokoliv nebo všech patentových práv.

 

Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. CEN [and/or CENELEC] shall not be held
responsible for identifying any or all such patent rights.

Tento dokument nahrazuje EN ISO 19011:2002.

 

This document supersedes EN ISO 19011:2002.

Podle vnitřních předpisů CEN/CENELEC jsou tuto evropskou normu povinny zavést národní normalizační organizace následujících zemí: Belgie, Bulharska, České republiky, Dánska, Estonska, Finska, Francie, Chorvatska, Irska, Islandu, Itálie, Kypru, Litvy, Lotyšska, Lucemburska, Maďarska, Malty, Německa, Nizozemska, Norska, Polska, Portugalska, Rakouska, Rumunska, Řecka, Slovenska, Slovinska, Spojeného království, Španělska, Švédska a Švýcarska.

 

According to the CEN/CENELEC Internal Regulations, the national standards organizations of the following countries are bound to implement this European Standard: Austria, Belgium, Bulgaria, Croatia, Cyprus, Czech Republic, Denmark, Estonia, Finland, France, Germany, Greece, Hungary, Iceland, Ireland, Italy, Latvia, Lithuania, Luxembourg, Malta, Netherlands, Norway, Poland, Portugal, Romania, Slovakia, Slovenia, Spain, Sweden, Switzerland and the United Kingdom.

Oznámení o schválení

 

Endorsement notice

Text ISO 19011:2011 byl schválen CEN jako EN ISO 19011:2011 bez jakýchkoliv modifikací.

 

The text of ISO 19011:2011 has been approved by CEN as EN ISO 19011:2011 without any modification.

 

Obsah

 

Contents

Strana

 

Page

Úvod 6 6

1 Předmět 9

2 Citované dokumenty 9

3 Termíny a definice 9

4 Principy auditování 13

5 Řízení programu auditů 14

5.1 Obecně 14

5.2 Stanovování cílů programu auditů 17

5.3 Stanovování programu auditů 18

 

Introduction 6

1 Scope 9

2 Normative references 9

3 Terms and definitions 9

4 Principles of auditing 13

5 Managing an audit programme 14

5.1 General 14

5.2 Establishing the audit programme objectives 17

5.3 Establishing the audit programme 18

 

5.4 Realizace programu auditů 21

 

5.4 Implementing the audit programme 21

5.5 Monitorování programu auditů 25

5.6 Přezkoumávání a zlepšování programu auditů 26

6 Provádění auditu 26

6.1 Obecně 26

6.2 Zahájení auditu 29

 

5.5 Monitoring the audit programme 25

5.6 Reviewing and improving the audit programme 26

6 Performing an audit 26

6.1 General 26

6.2 Initiating the audit 29

6.3 Příprava činností při auditu 30

6.4 Provádění činností při auditu 32

 

6.3 Preparing audit activities 30

6.4 Conducting the audit activities 32

6.5 Příprava a distribuce zprávy z auditu 39

6.6 Ukončení auditu 41

6.7 Provádění následného auditu 41

7 Kompetence a hodnocení auditorů 41

7.1 Obecně 41

7.2 Určování kompetencí auditorů ke splnění potřeb programu auditů 42

7.3 Stanovování kritérií hodnocení auditorů 47

7.4 Výběr vhodných metod hodnocení 47

 

6.5 Preparing and distributing the audit report 3

6.6 Completing the audit 41

6.7 Conducting audit follow-up 41

7 Competence and evaluation of auditors 41

7.1 General 41

7.2 Determining auditor competence to fulfil
the needs of the audit programme 42

7.3 Establishing the auditor evaluation criteria 47

7.4 Selecting the appropriate auditor evaluation
method 47

7.5 Provádění hodnocení auditora 49

7.6 Udržování a zlepšování kompetencí auditora 49

Příloha A  (informativní)   Návod a názorné příklady
znalostí a dovedností auditorů podle
specifických oborů 50

 

7.5 Conducting auditor evaluation 49

7.6 Maintaining and improving auditor competence 49

Annex A  (informative)   Guidance and illustrative
examples of discipline-specific knowledge
and skills of auditors 50

Příloha B  (informativní)  Další návod pro auditory k plánování a provádění auditů 57

 

Annex B  (informative)   Additional guidance for auditors
for planning and conducting audits 57

Bibliografie 65

 

Úvod

 

Introduction

Od prvního vydání této mezinárodní normy v roce 2002 byla publikována řada nových norem pro systémy managementu. Výsledkem toho vznikla aktuální potřeba vzít v úvahu širší rozsah auditování systémů mana-gementu a poskytnutí obecnějšího návodu.

 

Since the first edition of this International Standard was published in 2002, a number of new management system standards have been published. As a result, there is now a need to consider a broader scope
of management system auditing, as well as providing guidance that is more generic.

 

V roce 2006 vytvořila komise ISO pro posuzování shody (CASCO) normu ISO/IEC 17021, která stanovuje požadavky na certifikaci systémů managementu třetí stranou, a která je částečně založena na směrnicích obsažených v prvním vydání této mezinárodní normy.

 

In 2006, the ISO committee for conformity assessment (CASCO) developed ISO/IEC 17021, which sets out requirements for third party certification of management systems and which was based in part on the guidelines contained in the first edition of this International Standard.

Druhé vydání ISO/IEC 17021, vydané v roce 2011, bylo rozšířeno tak, aby byl návod uvedený v této mezi-národní normě přetvořen do požadavků na certifikační audity systémů managementu. Na základě těchto skutečností druhé vydání této mezinárodní normy poskytuje všem uživatelům včetně malých a středních organizací návod k tomu, co se běžně označuje jako interní audity (audity první stranou) a audity prováděné zákazníky u jejich dodavatelů (audity druhou stranou). I když se všichni, kteří jsou zapojeni do certifikačních auditů systémů managementu, řídí požadavky ISO/IEC 17021:2011, mohou využívat návod uvedený v této mezinárodní normě.

 

The second edition of ISO/IEC 17021, published in 2011, was extended to transform the guidance offered in this International Standard into requirements for management system certification audits. It is in this context that this second edition of this International Standard provides guidance for all users, including small and medium-sized organizations, and concentrates on what are commonly termed “internal audits” (first party) and “audits conducted by customers on their suppliers” (second party). While those involved in management system certification audits follow the requirements of ISO/IEC 17021:2011, they might also find the guidance in this International Standard useful.

Vazby mezi druhým vydáním této mezinárodní normy a ISO/IEC 17021:2011 jsou uvedeny v tabulce 1.

 

The relationship between this second edition of this International Standard and ISO/IEC 17021:2011 is shown in Table 1.

  

Tabulka 1 – Předmět této mezinárodní normy ve vztahu k ISO/IEC 17021:2011

Interní audit

Externí audit

Dodavatelský audit

Audit třetí stranou

Někdy nazývaný audit první stranou

Někdy nazývaný audit druhou stranou

Pro účely zákonů a předpisů
a obdobné účely

Pro účely certifikace
(viz také požadavky
v ISO/IEC 17021:2011)

Table 1 – Scope of this International Standard and its relationship with ISO/IEC 17021:2011

Internal auditing

External auditing

Supplier auditing

Third party auditing

Sometimes called first party audit

Sometimes called second party audit

For legal, regulatory and simile purposes

For certification
(see also the requirements in
ISO/IEC 17021:2011)

 

Tato mezinárodní norma nestanovuje požadavky, ale poskytuje návod k řízení programu auditů, plánování a provádění auditů systému managementu, i ke kompetencím a hodnocení auditora a týmu auditorů.

 

This International Standard does not state requirements, but provides guidance on the management of an audit programme, on the planning and conducting of an audit of the management system, as well as on the competence and evaluation of an auditor and an audit team.

 

Organizace mohou mít více než jeden systém mana-gementu. Pro lepší srozumitelnost této mezinárodní normy je přednostně užíváno jednotné číslo „systém managementu“. Uživatel si ale může přizpůsobit realizaci návodu své vlastní konkrétní situaci. Toto také platí pro užití slov „osoba“ a „osoby“, „auditor“ a „auditoři“.

 

Organizations can operate more than one formal management system. To simplify the readability of this International Standard, the singular form of “management system” is preferred, but the reader can adapt the implementation of the guidance to their own particular situation. This also applies to the use of “person” and “persons”, “auditor” and “auditors”.

Tato mezinárodní norma je určena k použití širokému spektru možných uživatelů, včetně auditorů, organizací zavádějících systémy managementu a organizací, které potřebují provádět audity systémů managementu na základě smluvních nebo právních důvodů. Uživatelé této mezinárodní normy mohou návod využít při vytváření vlastních požadavků, týkajících se auditu.

 

This International Standard is intended to apply to a broad range of potential users, including auditors, organizations implementing management systems, and organizations needing to conduct audits of management systems for contractual or regulatory reasons. Users of this International Standard can, however, apply this guidance in developing their own audit-related requirements.

 

Návod obsažený v této mezinárodní normě může být také využit pro účely vlastního prohlášení a může být užitečný pro organizace zabývající se výcvikem auditorů nebo certifikací osob.

 

The guidance in this International Standard can also be used for the purpose of self-declaration, and can be useful to organizations involved in auditor training or personnel certification.

Návod obsažený v této mezinárodní normě byl vytvořen tak, aby byl flexibilní. Jak je uváděno na různých místech textu, může se použití tohoto návodu lišit v závislosti na velikosti a úrovni vyspělosti systému managementu organizace, typu a složitosti auditované organizace i cílech a předmětu auditů, které mají být prováděny.

 

The guidance in this International Standard is intended to be flexible. As indicated at various points in the text, the use of this guidance can differ depending on the size and level of maturity of the organization’s management system and on the nature and complexity of the organization to be audited, as well as on the objectives and scope of the audits to be conducted.

Tato mezinárodní norma zavádí koncepci rizik do auditování systémů managementu. Přijatý přístup se týká rizika, že proces auditu nedosáhne svých cílů, a potenciální možnosti auditu narušit činnosti a procesy auditované organizace. Neposkytuje specifický návod k procesu managementu rizik organizace, ale respektuje, že organizace mohou zaměřit úsilí v rámci auditu na zá-ležitosti, které mají velký význam pro systém managementu.

 

This International Standard introduces the concept of risk to management systems auditing. The approach adopted relates both to the risk of the audit process not achieving its objectives and to the potential of the audit to interfere with the auditee’s activities and processes. It does not provide specific guidance on the organization’s risk management process, but recognizes that organizations can focus audit effort on matters of significance to the management system.

Tato mezinárodní norma přejímá přístup, že pokud jsou dva nebo více systémů managementu z různých oborů auditovány společně, nazývá se takový audit kombinovaným auditem. Kde jsou tyto systémy integrovány do jediného systému managementu, jsou principy a procesy auditování stejné, jako u kombinovaného auditu.

 

This International Standard adopts the approach that when two or more management systems of different disciplines are audited together, this is termed a “combined audit”. Where these systems are integrated into a single management system, the principles and processes of auditing are the same as for a combined audit.

 

Kapitola 3 stanovuje zásadní termíny a definice používané v této mezinárodní normě. Cílem bylo, aby tyto definice nebyly v konfliktu s definicemi užívanými v jiných normách.

 

Clause 3 sets out the key terms and definitions used in this International Standard. All efforts have been taken to ensure that these definitions do not conflict with definitions used in other standards.

Kapitola 4 popisuje principy, na kterých je auditování založeno. Tyto principy pomáhají uživatelům porozumět podstatě auditování a jsou důležité pro pochopení návodů uvedených v kapitolách 5 až 7.

 

Clause 4 describes the principles on which auditing is based. These principles help the user to understand the essential nature of auditing and they are important in understanding the guidance set out in Clauses 5 to 7.

Kapitola 5 poskytuje návod k stanovení a řízení programu auditů, stanovení cílů programu auditů a koordinování činností auditu.

 

Clause 5 provides guidance on establishing and managing an audit programme, establishing the audit programme objectives, and coordinating auditing activities.

Kapitola 6 poskytuje návod k plánování a provádění auditu systému managementu.

 

Clause 6 provides guidance on planning and conducting an audit of a management system.

Kapitola 7 poskytuje návod týkající se kompetencí a hodno-cení auditorů systémů managementu a týmů auditorů.

 

Clause 7 provides guidance relating to the competence and evaluation of management system auditors and audit teams.

Příloha A znázorňuje v kapitole 7 aplikaci návodu pro různé obory.

 

Annex A illustrates the application of the guidance in Clause 7 to different disciplines.

Příloha B poskytuje auditorům další návod k plánování a provádění auditů.

 

Annex B provides additional guidance for auditors on planning and conducting audits.

 

1 Předmět

 

1 Scope

Tato mezinárodní norma poskytuje návod k auditování systémů managementu, včetně principů auditování, řízení programu auditů, provádění auditů systému managementu a návod k hodnocení kompetencí jedno-tlivců, kteří jsou součástí procesu auditu, včetně osob řídících program auditů, auditory a týmy auditorů.

 

This International Standard provides guidance on auditing, management systems, including the principles of auditing, managing an audit programme and conducting management system audits, as well as guidance on the evaluation of competence of individuals involved in the audit process, including the person managing the audit programme, auditors and audit teams.

 

Je použitelná ve všech organizacích, které potřebují provádět interní nebo externí audity systémů mana-gementu nebo řídit program auditů.

 

It is applicable to all organizations that need to conduct internal or external audits of management systems or manage an audit programme.

Aplikace této mezinárodní normy na další typy auditů je možná v případě, že jsou zváženy potřebné specifické kompetence.

 

The application of this International Standard to other types of audits is possible, provided that special consideration is given to the specific competence needed.

Konec náhledu – text dále pokračuje v placené verzi ČSN.

 

Zdroj: www.cni.cz