Kontext organizace z pohledu auditora

Pokud podnikové vedení není zapojeno do řešení požadavků novely ISO 9001, dochází k rozdílným očekáváním auditorů i organizace. Ne všechny podniky porozuměly potřebě znát interní a externí hlediska a udržovat aktuální informace o prostředí, ve kterém vyrábí své produkty nebo poskytují služby. Zkušenosti s prvními dohledovými audity ukazují na různé přístupy: v některých organizacích je tendence se věnovat kontextu pravidelně na pracovních poradách, jiné preferují čtvrtletní hodnocení, avšak všechny provádí roční přehodnocení kontextu v rámci přezkoumání systému.

Audit kontextu organizace

Účelem auditu není potvrdit správnost, vhodnost či adekvátnost vnitřních a vnějších okolností, ale doložit objektivní důkazy, že organizace má znalosti a zkušenosti v oboru svého podnikání, aby dosahovala svých cílů a zamýšlených výsledků. Existuje mnoho způsobů, jak kontext prezentovat: nejčastěji se setkáváme s analýzami SWOT nebo PEST, ale může se jednat o výroční zprávy, marketingové studie, hodnocení zákazníky (audity, reklamace), studie proveditelnosti (vyrobitelnosti), zprávy týkající se firemní ekonomiky a výsledků hospodaření.

Základem auditu je důkladná příprava

Auditor se zaměřuje na porozumění organizace a struktuře řízení prostřednictvím interview s vedoucími pracovníky. Pro pochopení procesu „řízení podniku“ má k dispozici kontext organizace, který ne vždy poskytuje dostatečný obraz o fungování podniku a jeho efektivním řízení.  K dispozici má různé další informace: zprávy o činnosti, podnikatelské plány, výroční zprávy nebo webové stránky. Získané profilové dokumenty o fungování podniku mu poslouží k sestavení checklistu auditu, obsahující klíčová témata a otázky pro interview. Samozřejmě využívá různé formy dokumentovaných informací – od tradičních příruček kvality a směrnic, organizačních řádů a schémat, až po mapy procesů, popisy procesů nebo plánů kvality. Nejvíce informací ke kontextu získává při jednání s vedoucími pracovníky, kteří auditory informují o stavu podniku a důležitých změnách.

V rámci přípravy auditor vypracuje časový plánu auditu, na který navazuje podrobný checklist. Neměl by to být vyčerpávající seznam otázek k auditu. Předpokládejme, že auditor zvolí procesní přístup vedení auditu. K přípravě auditu může využít „Schematické znázornění prvků jednoho procesu, doporučené v úvodu normy ISO 9001. Následně formou otázek „Diagramu SIPOC“ bude zjišťovat požadavky na dodavatele procesu (S), vstupy (I), činnosti uvnitř procesu (P), výstupy (O) a vyjasnit si nakolik jsou plněny požadavky zákazníka (C).

Obr. 1 Diagram SIPOC

Jinou alternativou je „Želví diagram“, využívající obdobně vstupy, činnosti a výstupy procesů, dále zahrnuje vybavení a materiál vstupující do procesu (S ČÍM?), kompetence auditovaných osob (KDO?), postupy a metody použité pro řízení procesu (JAK?) a cíle či ukazatele hodnocení procesu (KOLIK?).

Obr. 2 Želví diagram auditu procesu

Audit vlastníků procesu

Přestože nejsou vyžadována preventivní opatření, má být organizací přezkoumávána opatření pro odstranění příčin neshod, aby se „neopakovaly nebo nevyskytly někde jinde“. V normě požadavek na prevenci zůstal, vlastníci procesů budou dotazování, zda „existují podobné neshody nebo by se mohly potencionálně vyskytnout“. V provozu přibyl požadavek řešit neshodné výstupy procesů. To bude možné, pokud budou „určeny příčiny neshod“ a následně realizovány potřebná opatření. Jak uspořádat řízení neshod naznačují norma ISO 9001:

Vedoucí pracovníci odpovědní za jednotlivé provozní procesy mají zvažovat rizika neshodných výstupů, celé vedení dále odpovídá za efektivnost a funkčnost systému kvality.

Audit vedení organizace

Auditora bude zajímat, jaké přístupy a metody jsou použity pro monitorování a hodnocení dosažených výsledků. Bude obvyklé, že nahlédnou do databází nebo informačních systémů, aby se přesvědčili o efektivnosti a výkonnosti procesů. V průběhu auditu si auditor může nechat vedoucími pracovníky doložit objektivní důkazy a vysvětlit rozdíly, neplnění ukazatelů, resp. příčiny neefektivně řízených procesů či negativní trendy hodnocených údajů. Při plánování činností v systému kvality musí být určena rizika a příležitosti, které je potřeba řešit. Je-li vyhodnoceno riziko, musí k němu být přiřazeno opatření:

Nepostačuje tedy, že podnikové vedení v kontextu organizace (například formou SWOT analýzy) identifikovalo rizikové oblasti. Aby bylo vedení schopno rizika řešit, má využívat všechny fáze posuzování rizik: identifikaci, analýzu a hodnocení. Auditor se může zaměřovat na hodnocení rizik a používání metod a technik jejich zmírňování v organizaci, resp. vyhledávání potencionálních rizik. Součástí auditu vedení je přezkoumání systému managementu, nově bude auditor sledovat dvě důležité oblasti:

První dozorové audity ukazují, že ne všechny organizace porozuměly výše uvedeným požadavkům. Stále převažují informačně bohaté vstupy zprávy o přezkoumání systému a omezené výstupy z přezkoumání, konstatující že vedení „shledává systém funkční a efektivní“. Pokud jsou ve zprávách uvedeny příležitosti ke zlepšování, neurčuje vedení jejich priority. Nová norma nedává důraz na vstupní informace, povinnou dokumentovanou informací jsou výsledky přezkoumání systému. To se týká aktualizace kontextu organizace, ale přehodnocení souvisejících rizik a příležitostí. Auditoři očekávají více podnětů k rozvoji systému kvality a opatření, které byly dány „změnami interních a externích hledisek“, a které zohledňují aktuální „potřeby zainteresovaných stran“.

Obdobně jako na rizika má podnikové vedení nahlížet na příležitosti, a má k nim plánovat, přijímat a vyhodnocovat vhodná opatření. K řízení rizik není vyžadován písemný postup, nicméně výstupem mají být opatření ve vhodné formě, umožňující jejich monitorování a přezkoumávání. Pouze norma ISO 14001:2015 stanoví, aby byly rizika a příležitosti EMS byly udržovány jako dokumentované informace. Přesto funkční systémy managementu budou obsahovat formální zprávy, ke kterým je možné se opakovaně vracet, a které budou využívat v oblasti řízení podnikových rizik.

V článku nebyly použity odkazy na požadavky normy ČSN EN ISO 9001:2016, které souvisí řízením společnosti a procesem „management“. Pokud se o problematiku zajímáte, navštivte školení NQA nebo seminářa a školení ČSJ a obdržíte plné verze diagramu SIPOC a želvího diagramu pro proces „Management“.

Autor: Milan Trčka

Toto dílo podléhá licenci Creative Commons Uveďte autora-Neužívejte komerčně 3.0 Česká republika License.