Auditarea sistemelor de management

ISO 19011 2011 este un standard pentru auditarea sistemelor de management. El a fost dezvoltat de
Comitetul Tehnic ISO 176 , Subcomitetul 3. ISO/TC 176 este responsabil pentru “managementul calitatii si
asigurarea calitatii”, iar SC 3 este responsabil pentru “tehnologiile de sprijin”.
Numele oficial al acestui standard este ISO 19011:2011 Ghid pentru auditarea sistemelor de management.
A fost denumit ghid deoarece este un standard aplicabil in mod voluntar. Nu este vorba despre cerinte sau
obligatii contractuale. Indrumarile propriu-zise pot fi regasite in urmatoarele patru sectiuni ale
standardului:
4. Principiile de audit
5. Programul de audit
6. Activitatile de audit
7. Competenta auditorului
Partea a 4-a scoate in evidenta principiile care constituie (sau care ar trebui sa constituie) fundamentul
auditarii sistemelor de management. Acestea definesc natura esentiala a auditarii si ar trebui, prin urmare,
sa influenteze modul in care sunt concepute programele de audit, modul in care sunt executate activitatile
din cadrul auditului, ca si modul in care este evaluata competenta auditorului.
Partea a 5-a explica modul in care sunt concepute si functioneaza programele de auditare a sistemelor de
management. Sunt puse in discutie modalitatile prin care se stabilesc obiectivele programelor si prin care
aceste programe sunt dezvoltate, implementate, monitorizate, analizate si imbunatatite.
Partea a 6-a explica modul in care sunt planificate si realizate activitatile de audit. Se dezbate modul in
care sunt initiate auditurile, modul in care se auditorii se pregatesc pentru audituri si efectueaza auditurile,
modul in care sunt raportate rezultatele de audit si modul in care se finalizeaza auditurile.
Partea a 7-a explica maniera in care este evaluata competenta auditorilor sistemelor de management.
Sunt puse in discutie modalitatile prin care se definesc cerintele privind competenta, prin care se dezvolta
criteriile de evaluare a auditorilor, prin care se aleg metodele de evaluare a auditorilor si prin care se
evalueaza si se imbunatateste competenta.
ISO 19011 2011 versus ISO 19011 2002
ISO a publicat prima data acest standard in 2002. A doua editie a fost publicata pe 15 noiembrie 2011. Ea
anuleaza si inlocuieste prima editie. Daca vom compara cele doua editii, vom remarca unele diferente
importante.
Un domeniu de aplicare nou. Poate ca cea mai mare diferenta se refera la domeniul de aplicare a
standardului. Vechiul standard se aplica numai sistemelor de management al calitatii si al mediului. Noul
standard se aplica acum tuturor sistemelor de management.
Un nou punct central. Exista doua standarde de audit care se aplica sistemelor de management: ISO 19011
2011 si ISO IEC 17021 2011. Relatia dintre aceste doua standarde a fost clarificata acum. ISO 19011 2011 se
aplica auditurilor de prima si secunda parte, in timp ce ISO 17021 2011 se aplica auditurilor de terta parte.
Un principiu nou. Standardul nou doreste sa va preocupati de confidentialitate si de securitatea
informatiei. Doreste sa manipulati informatiile cu grija cuvenita si cu discretie. Doreste sa protejati
informatiile care sunt sensibile ori confidentiale. In general, standardul doreste sa aveti grija de felul in care
dvs. si clientii dvs. gestionati informatiile dobandite in cursul unui audit.
Un concept nou. Noul standard doreste sa va ganditi la risc. El asteapta de la dvs. sa luati in considerare
riscurile care ar putea afecta indeplinirea obiectivelor programului de audit. Standardul va mai sugereaza si
sa alocati resurse programului de audit, astfel incat chestiunile mai importante sa aiba prioritate.
Adaugarea de mai multe resurse unor probleme mai importante se numeste auditare bazata pe risc.
O metoda noua. Noul standard va cere acum sa luati in considerare si utilizarea unor metode de audit de la
distanta pe langa metodele de audit la fata locului. Metodele de audit de la distanta se realizeaza la
departare de locatia fizica a auditatului. Ele includ intrevederi la distanta si folosirea unor comunicatii
electronice interactive.
Anexe noi. In sfarsit, standardul are acum doua anexe. Anexa A descrie tipul de cunostinte si de abilitati pe
care ar trebui sa le detina auditorii sistemelor de management, iar Anexa B a fost conceputa pentru a ajuta
auditorii sa isi planifice si sa isi execute sarcinile.
ISO 19011 2011 a fost, de asemenea, rescris, reorganizat si extins. Si, pentru ca este un standard nou,
numeroase sectiuni au fost consolidate si imbunatatite.
ISO 19011 2011 versus ISO IEC 17021 2011
Urmatorul tabel expune legatura dintre standardele ISO 19011 si ISO IEC 17021. Dupa cum puteti vedea,
ISO 19011 ar trebui sa fie folosit daca sunteti interesati de auditurile de prima sau de secunda parte, iar ISO
IEC 17021 ar trebui sa fie folosit daca sunteti interesati de auditurile de terta parte.
AUDITURI INTERNE AUDITURI EXTERNE
PRIMA PARTE SECUNDA PARTE TERTA PARTE
ISO 19011 ISO 19011 ISO IEC 17021
Organizatiile se auditeaza pe sine. Clientii isi auditeaza furnizorii. Organismele de reglementare si alte
parti interesate auditeaza organizatiile. Organismele de certificare si de reglementare auditeaza
organizatiile.
Organizatiile folosesc auditurile de prima parte pentru a-si audita propria performanta. Auditurile de prima
parte se folosesc pentru a confirma sau a imbunatati eficacitatea sistemelor de management. Ele se mai
utilizeaza si pentru a declara ca o organizatie se conformeaza unui anumit standard (ceea ce se numeste o
autodeclaratie).
Auditurile de secunda parte sunt audituri externe. Ele sunt realizate de obicei de catre clienti (sau de altii,
in numele clientilor) atunci cand vor sa isi auditeze furnizorul. Cu toate acestea, ele mai pot fi efectuate si
de organisme/autoritati de reglementare sau de oricare alte parti externe care au un interes oficial intr-o
organizatie.
De ce ar trebui sa folositi ISO 19011 2011
Dupa cum se arata in tabelul anterior, ISO 19011 2011 ar trebui sa starneasca atat interesul auditorilor
interni, cat si pe cel al auditorilor externi.
Folositi ISO 19011 daca:
• Trebuie sa va imbunatatiti procesul de audit.
• Trebuie sa va dezvoltati propriul program de audit.
• Trebuie sa va formati auditori ai sistemelor de management.
• Trebuie sa va gestionati si controlati activitatile de audit.
• Trebuie sa efectuati audituri pentru a fi in conformitate cu contractele.
• Trebuie sa certificati auditori ai sistemelor de management.
• Trebuie sa evaluati competenta auditorilor.
• Trebuie sa va auditati propriile sisteme de management.
• Trebuie sa faceti o autodeclaratie de conformitate.
• Trebuie sa efectuati audituri din motive de reglementare.
• Trebuie sa auditati sistemul de management al furnizorilor dvs.
Folositi ISO 19011 daca auditati:
• Sisteme de management al riscului
• Sisteme de management al sigurantei
• Sisteme de management al sanatatii
• Sisteme de management al calitatii
• Sisteme de management al energiei
• Sisteme de management al serviciilor
• Sisteme de management al dezastrelor
• Sisteme de management al inregistrarilor
• Sisteme de management al documentelor
• Sisteme de management al situatiilor de urgenta
• Sisteme de management al sigurantei alimentare
• Sisteme de management al dezvoltarii durabile
• Sisteme de management al mediului
• Sisteme de management al continuitatii afacerii
• Sisteme de management al securitatii informatiei
• Sisteme de management al sigurantei in transport
• Sisteme de management al securitatii lantului de aprovizionare
• Sisteme de management al rezilientei organizatiei
• Sisteme de management al sanatatii si securitatii ocupationale
ISO 19011 poate fi folosit de orice organizatie, indiferent de marimea sa si de domeniul sau de activitate.
Poate fi folosit atat de organizatiile publice, cat si de cele private, ca si de grupuri, asociatii si intreprinderi
de toate felurile. Standardul nu este specific niciunui sector si poate fi folosit pentru a imbunatati orice
proces de audit.
Cu toate acestea, maniera exacta in care aplicati ISO 19011 depinde de dvs. si va depinde de nevoile,
obiectivele si problemele organizatiei dvs., trebuind sa reflecte activitatea organizatiei si modul sau de
functionare.
Anexe ISO 19011
ISO 19011 2011 are doua anexe. Potrivit standardului, auditorii trebuie sa aiba cunostinte si abilitati
specifice disciplinei si sectorului pentru a fi capabili sa auditeze anumite sectoare si sisteme de
management specializate, pentru a evalua activitatile, procesele si produsele entitatilor auditate si pentru
a genera constatarile potrivite si a ajunge la concluzii valide.
Anexa A descrie tipul de cunostinte si de abilitati pe care trebuie sa le detina auditorii sistemelor de
management. Acest material va ajuta sa va alegeti si sa va evaluati auditorii.
Anexa B va ajuta auditorii sistemelor de management sa isi planifice si sa isi realizeze activitatile. Ea
discuta despre metodele de audit, despre trecerea in revista a documentelor, despre esantionarea in audit,
despre documentele de lucru, despre sursele de informare, despre vizitele la fata locului, despre interviurile
din timpul auditului si despre constatarile auditului.

Anexa A: Exemple de cunostinte si de abilitati pe care ar trebui sa le detina auditorii

Potrivit standardului ISO 19011 2011, auditorii trebuie sa detina cunostinte si abilitati specifice disciplinei si
sectorului pentru a fi capabili sa auditeze anumite sectoare si sisteme de management specializate, pentru
a evalua activitatile, procesele si produsele entitatilor auditate si pentru a genera constatarile adecvate si a
ajunge la concluzii valide.
Anexa A descrie tipul de cunostinte si de abilitati pe care trebuie sa le detina auditorii sistemelor de
management. Ea explica ce trebuie sa cunoasca auditorii pentru a fi capabili sa auditeze:
• Sisteme de management al calitatii
• Sisteme de management al inregistrarilor
• Sisteme de management al mediului
• Sisteme de management al securitatii informatiei
• Sisteme de management al sigurantei transporturilor
• Sisteme de management al sanatatii si securitatii ocupationale
• Sisteme de management al securitatii, situatiilor de urgenta si continuitatii
In fiecare disciplina si in fiecare sector sunt necesare cunostinte si abilitati specifice, a caror cunoastere va
va ajuta sa va alegeti si sa va evaluati auditorii sistemelor de management.
Anexa B: Planificarea si efectuarea auditurilor
Scopul Anexei B este de a ajuta auditorii sistemului de management sa isi planifice si sa isi duca la bun
sfarsit activitatile. Anexa B se refera la:
– Metodele de audit
– Vizitele la fata locului
– Esantionarea in audit
– Constatarile auditului
– Documentele de lucru
– Interviurile din timpul auditului
– Trecerea in revista a documentelor
– Sursele de informare
B.3.1. Introducere la esantionarea in audit
Auditorii sistemelor de management trebuie sa fie capabili sa ajunga la concluzii valide privind sisteme
extinse. In orice caz, este adesea imposibil sau prea costisitor sa se studieze fiecare element in parte intr-
un astfel de sistem. Ar putea sa existe pur si simplu prea multe elemente de examinat sau acestea ar putea
fi raspandite de-a lungul unei zone geografice foarte intinse. Rezultatul este ca auditorii trebuie sa lucreze
cu esantioane mai reduse.
Un esantion este o submultime apartinand unei populatii mai mari. Un esantion de audit este o multime de
date care reprezinta mai putin de 100% din elementele unei populatii. Auditorii studiaza esantioane mici
pentru a obtine dovezi despre unele caracteristici ale unei populatii mult mai mari. Atunci cand acest lucru
este facut in mod corespunzator, el le permite sa ajunga la concluzii valide despre intreaga populatie si sa
isi atinga, de asemenea, obiectivele auditului fara a trebui sa examineze fiecare element in parte.
Deigur, atunci cand se lucreaza cu esantioane, exista intotdeauna riscul ca esantionul sa nu reprezinte in
mod precis populatia luata ca intreg. Cand acest lucru se intampla, concluziile care se bazeaza pe astfel de
esantioane ar putea fi partinitoare, iar partinirea este un aspect de evitat in audituri. In plus, exista si riscul
ca un esantion sa poata contine informatii inexacte sau insuficiente. Desigur, concluziile care se bazeaza pe
esantioane defectuoase vor si ele defectuoase la randul lor.
Pentru a va ajuta sa va asigurati ca ajungeti la concluzii valide in urma auditului, procesul dvs. de
esantionare ar trebui sa includa urmatorii pasi:
1. Elaborati-va un plan de esantionare.
1.1. Stabiliti-va obiectivele privind esantionarea.
1.2. Identificati populatia care va fi esantionata.
1.2.1. Definiti marimea acelei populatii.
1.2.2. Definiti alcatuirea acelei populatii.
1.3. Alegeti o metoda de esantionare.
1.3.1. Alegeti esantionarea bazata pe judecata sau
1.3.2. Alegeti esantionarea statistica.
1.4. Determinati marimea esantionului.
2. Efectuati activitati de esantionare.
2.1. Alegeti-va esantioanele de audit.
2.2. Examinati-va esantioanele de audit.
3. Formulati-va rezultatele si concluziile.
3.1. Redactati-va si evaluati-va rezultatele.
3.2. Documentati-va si raportati-va rezultatele.
Exista cel putin doua metode de a alege un esantion: va puteti baza pe propria judecata sau puteti utiliza
esantionarea statistica. Mai jos sunt prezentate aceste doua abordari.
B.3.2. Introducere la esantionarea bazata pe judecata
Esantionarea bazata pe judecata depinde de cunostintele, abilitatile si experienta membrilor echipei de
audit. Atunci cand folosesc aceasta abordare, auditorii isi folosesc propria judecata pentru a alege
esantioanele de audit.
Cand va hotarati sa folositi sau sa nu folositi esantionarea bazata pe judecata:
1. Luati in considerare daca aveti sau nu experienta in ceea ce priveste auditarea aceluiasi domeniu sau a
unuia similar. Daca aveti experienta, esantionarea bazata pe judecata ar putea sa fie un lucru potrivit.
2. Aveti in vedere daca obiectivele si cerintele auditului sunt sau nu atat de complexe incat este rezonabila
numai abordarea esationarii bazate pe judecata .
3. Ganditi-va daca procesele sistemului de management si interactiunile proceselor sunt sau nu atat de
complexe incat trebuie sa va folositi in special judecata pentru a alege cele mai potrivite elemente pentru
examinare.
4. Cercetati daca in trecut au fost identificate domenii-cheie asociate riscurilor sau oportunitati de
imbunatatire. Daca acest lucru a fost deja facut, poate fi o alegere buna sa folositi esantionarea bazata pe
judecata.
5. Nu pierdeti din vedere tehnologiile, factorii umani sau sistemele de management care pot suferi
schimbari foarte rapide. Daca lucrurile se schimba in ritm alert, esantionarea bazata pe judecata ar putea
constitui singura dvs. optiune.
6. Nu uitati sa verificati daca nu cumva rezultatele monitorizarii sistemului de management indica zonele
care necesita examinare. Daca stiti exact unde sa va uitati, atunci esantionarea bazata pe judecata ar putea
fi cea mai buna abordare. Desigur, oricand este folosita judecata pentru a alege esantioanele de audit, nu
poate fi folosita o apreciere statistica a incertitudinii pentru a cuantifica gradul de incredere pe care il aveti
in constatarile si concluziile auditului pe care l-ati realizat.
B.3.3. Introducere la esantionarea statistica
Esantionarea statistica incepe printr-un plan. Planul dvs. de esantionare statistica ar trebui sa va ajute sa va
atingeti obiectivele auditului si ar trebui sa se bazeze pe ceea ce este cunoscut in privinta caracteristicilor
care definesc populatia pe care intentionati sa o studiati.
Planul dvs. de esantionare va fi influentat de:
1. Cat de mare este organizatia auditata
2. Cat de mult timp aveti la dispozitie pentru a realiza auditul
3. Cate audituri vor fi realizate in timpul anului
4. Cati auditori competenti aveti in echipa dvs.
5. Cata incredere trebuie sa aveti in rezultatele dvs.
Cata incredere trebuie sa aveti se leaga de cat risc sunteti dispus sa acceptati. De exemplu, unui nivel de
incredere de 95% ii corespunde un risc de esantionare de 5%. Un risc de esantionare de 5% inseamna ca
sunteti dispusi sa acceptati riscul ca 5 esantioane din 100 sa nu reprezinte in mod precis intreaga populatie.
Un risc acceptabil de esantionare de 5% inseamna ca aveti un nivel acceptabil de incredere de 95%.
Planul dvs. de esantionare ar trebui sa descrie si tehnicile de esantionare pe care planuiti sa le folositi. ISO
19011 mentioneaza doua tehnici de esantionare statistica: esantionarea bazata pe atribute si esantionarea
bazata pe variabile. Esantionarea bazata pe atribute este folosita cand exista doua posibile rezultate
(atribute) pentru fiecare esantion: da/nu, admis/respins, corect/incorect, prezenta/absenta,
conformitate/neconformitate etc. Esantionarea bazata pe variabile este folosita atunci cand rezultatele
apar de-a lungul unui interval de valori.
De pilda, daca obiectivul auditului dvs. este de a determina daca se urmeaza sau nu o anumita procedura,
esantionarea bazata pe atribute ar putea fi folosita deoarece pot exista doua rezultate distincte: se
urmeaza procedura sau nu se urmeaza procedura. Pe de alta parte, daca obiectivul auditului dvs. este de a
vedea cate incidente legate de siguranta ori cate brese de securitate au avut loc, o abordare bazata pe
variabile ar fi, probabil, mai indicata. Totul depinde de obiectivele pe care le-ati stabilit pentru auditul dvs.
Daca va hotarati sa folositi esantionarea statistica, ar trebui sa va documentati activitatile pe care le
intreprindeti. Acest lucru inseamna ca ar trebui:
1. Sa descrieti populatia care a fost esantionata.
2. Sa descrieti criteriile utilizate pentru a defini un esantion acceptabil.
3. Sa descrieti esantioanele si sa specificati numarul de esantioane pe care le-ati examinat.
4. Sa descrieti metodele statistice si parametrii pe care i-ati folosit.
5. Sa descrieti rezultatele pe care le-ati obtinut.

http://www.consultanta-certificare.ro/manualul-calitatii.html