Autor: Dr. Ing. Speranța Stomff, Manager proiecte, ASRO

În 3 iulie 2018 a apărut un standard mult așteptat de auditorii sistemelor de management din întreaga lume, şi anume SR EN ISO 19011, ediţia a 3-a. ISO a revizuit standardul din două motive. În primul rând, a existat o nevoie de o abordare mai largă a auditului sistemelor de management, în al doilea rând, pentru a oferi mai multe orientări generice.

La fel ca în ediţiile anterioare, standardul oferă îndrumări privind auditarea sistemelor de management, inclusiv principiile auditului, gestionarea unui program de audit şi efectuarea efectivă a auditurilor sistemelor de management, precum şi îndrumări privind evaluarea competenţelor persoanelor implicate în procesul de audit. Aceste activităţi includ persoana (persoanele) care gestionează programul de audit, auditorii şi echipele de audit.

Standardul este aplicabil tuturor organizaţiilor care trebuie să planifice şi să efectueze audituri interne sau externe ale sistemelor de management sau să administreze un program de audit.

Standardele internaţionale care se aplică sistemelor de management cresc în popularitate, deoarece organizaţiile le consideră din ce în ce mai utile în gestionarea propriilor procese pentru a-şi atinge obiectivele de afaceri. De la managementul calităţii sau al energiei până la siguranţa alimentară sau a traficului, lista standardelor care se referă la sistemele de management este din ce în ce mai lungă.

Standardele pentru sisteme de management (SSM) ajută organizaţiile să-şi îmbunătăţească performanţele prin specificarea paşilor pe care organizaţiile le implementează în mod conştient pentru a-şi atinge obiectivele şi ţintele, şi pentru a crea o cultură organizaţională care se implică reflexiv într-un ciclu continuu de autoevaluare, corecţie şi îmbunătăţire a operaţiunilor şi proceselor prin creşterea gradului de conştientizare a angajaţilor şi prin implicarea şi angajamentul managementului de la cel mai înalt nivel.

SSM sunt rezultatul unui consens între experţii internaţionali cu experienţă în managementul global, strategii de conducere şi procese şi practici eficace şi eficiente. Standardele pentru SSM pot fi implementate de orice organizaţie, mare sau mică.

Există două tipuri de standarde internaţionale pentru sistemele de management: de tipul A care conţine cerinţele pentru care o organizaţie poate pretinde conformitatea, în timp ce tipul B nu conţine astfel de cerinţe. În aceste standarde trebuie găsite doar recomandări (linii directoare) sau informaţii pentru aplicarea standardelor de tip A în diferite domenii de activitate. Unele SSM pot conţine un amestec de cerinţe şi linii directoare: deoarece conţin cerinţe, acestea vor fi considerate SSM de tip A. De obicei, un SSM de tip B oferă îndrumări privind aplicarea unui SSM de tip A, iar unele SSM de tip B sunt independente.

La ora actuală, în domeniul sistemelor de management, ISO a elaborat nu mai puţin de 78 de standarde (şi mai sunt în diferite stadii de elaborare alte 10 standarde), din care 45 sunt standarde de tip A, iar 30 de tip B.

Modificările aduse armonizării sortimentului de standarde ale sistemelor de management, dezvoltate de ISO în ultimii ani au fost substanţiale. Începând cu publicarea standardului SR EN ISO 9001:2015, numeroase modificări aduse standardelor sistemelor de management au atras atenţia asupra structurii comune la nivel înalt, a liniilor directoare identice şi a termenilor şi definiţiilor comune. În plus, aceste standarde au fost revizuite subliniind importanţa gestionării riscurilor şi implicarea managementului de la cel mai înalt nivel.

Indiferent de domeniul lor de aplicare, standardele pentru sisteme de management împărtăşesc două atribute cheie. Se bazează foarte mult pe documentaţia proceselor şi a performanţei sistemului de management respectiv şi vizează asigurarea coerenţei. Practic, o organizaţie care a definit cele mai bune practici pentru procesele sale cheie şi le-a consacrat în documentaţie şi, de fapt, urmează aceste proceduri în practică, va avea ieşiri de proces în acord cu cerinţele. Aceasta însă nu este suficient, în cadrul unui sistem de management, pentru a obţine cele mai bune rezultate şi pentru a asigura o îmbunătăţire continuă, trebuie efectuat periodic o evaluare, un audit al sistemului de management.

Acest lucru îl face SR EN ISO 19011:2018, care oferă o abordare uniformă şi armonizată, permiţând în acelaşi timp auditarea eficientă a mai multor sisteme de management.

Denise Robitaille, preşedintele Comitetului de proiect ISO la momentul revizuirii standardulu (ISO / PC 302 – Instrucţiuni pentru sistemele de management de audit, al căror secretariat este deţinut de ANSI, membrul ISO pentru SUA) care a revizuit standardul, a declarat că standardul a fost actualizat pentru a se asigura că va continua să ofere orientări eficiente pentru a aborda schimbările de pe piaţă, tehnologiile în evoluţie şi numeroasele standarde noi de sistem de management publicate sau revizuite recent.

Alte modificări majore în versiunea 2018 includ abordarea bazată pe riscuri a principiilor procesului de audit, pentru a reflecta accentul sporit asupra riscului atât în standardele de management, cât şi pe piaţă. În cadrul standardului există sfaturi privind auditarea riscurilor şi a oportunităţilor, precum şi informaţii despre aplicarea gândirii bazate pe riscuri asupra procesului de audit.

Actuala ediţie a standardului, la fel ca şi cea anterioară, oferă îndrumări pentru fiecare pas al auditului unui sistem de management sau al unui program de audit, incluzând:

• Stabilirea obiectivelor programului de audit;
• Determinarea şi evaluarea riscurilor şi oportunităţilor programului de audit;
• Inițierea, pregătirea şi efectuarea unui audit;
• Pregătirea şi distribuirea unui raport de audit;
• Finalizarea auditului şi urmărirea auditului;
• Determinarea competenței auditorului.

Principalele diferențe, față de ediția anterioară, aşa cum se subliniază în prefața sa, sunt următoarele:

• Adăugarea abordării bazate pe risc la principiile de audit;
• Extinderea orientărilor privind managerierea unui program de audit, inclusiv riscul programului de audit;
• Extinderea îndrumărilor privind efectuarea unui audit, în special a secțiunii privind planificarea auditului;
• Extinderea cerințelor generice de competență pentru auditori;
• Ajustarea terminologiei pentru a reflecta procesul și nu obiectul („lucru”);
• A fost eliminată anexa informativă privind „Ghidul și exemplele ilustrative ale cunoștințelor și competențelor auditorilor specifice disciplinei” (Anexa A din ISO 19011:2011). Motivul pentru aceasta este că, datorită numărului mare de standarde ale sistemelor de management, nu ar fi practic să includă cerințe de competență pentru toate disciplinele;
• Anexa A, „Orientări suplimentare pentru planificarea și conducerea auditurilor” (Anexa B din ISO 19011:2011), a fost extinsă pentru a oferi îndrumări privind conceptele de audit, cum ar fi contextul organizației, leadership și angajamentul, auditurile virtuale, evaluarea conformității și aprovizionarea.

Cu aceste îmbunătățiri, SR EN ISO 19011:2018 detaliază în continuarea principiile de bază ale procesului de audit, managerierea unui program de audit și efectuarea auditurilor sistemului de management. De asemenea, detaliază instrucțiunile privind evaluarea persoanelor care conduc programul de audit, auditorii și echipele de audit.

În conformitate cu standardul SR EN ISO 19011:2018, se poate face un audit în raport cu orientările definite în standardele sistemului de management, cu nevoile părților interesate, cu cerințele legale și de reglementare, cu planurile de calitate și/sau alte criterii de audit. Auditurile pot fi interne (primă parte), efectuate de furnizori externi și de alte părți interesate externe (secundă parte) sau de certificare de către un organism de certificare sau de organisme de reglementare (terță parte).

În ceea ce privește riscul adăugat la principiile auditului, acesta apare în mai multe aspecte. Riscul trebuie luat în considerare la pregătirea planului de audit. În plus, orice risc identificat, care ar putea perturba executarea auditului și ar putea face o evaluare inexactă, trebuie discutat cu clientul. În cele mai multe cazuri, aceasta era o practică standard și în acest moment. Astfel, schimbarea doar întărește practica existentă.

În actuala ediție a SR EN ISO 19011, obiectivul managementului riscului în cadrul procesului de audit (intern sau de terță parte) este de a:

• Oferi asigurări cu privire la credibilitatea procesului de manageriere a riscurilor și a oportunităților;
• A oferi asigurări că riscurile și oportunitățile sunt determinate cu exactitate;
• Examina modul în care organizația abordează riscurile și oportunitățile determinate.

Această asigurare trebuie să se bazeze pe examinarea documentelor și discuțiile cu managementul de la cel mai înalt nivel și cu personalul cu responsabilități în această zonă. Auditorul trebuie să utilizeze propria experiență profesională pentru a evalua modul în care managementul de la cel mai înalt nivel al organizației ia în considerare potențialele surse de risc, cum ar fi riscurile legate de mediu și siguranță. Riscurile acestea trebuie evaluate în contextul fiecărei organizații în parte.

Referitor la abordarea bazată pe risc, SR EN ISO 19011:2018 prezintă mai multe provocări:

• Domeniul de aplicare al auditului. Riscul este definit ca „efectul incertitudinii”. Riscurile sunt asociate cu aspectele de mediu și pericolele referitoare la securitatea muncii, de exemplu. Riscurile trebuie plasate în cadrul „schimbărilor în contextul auditat”. Contextul ar putea conduce la reducerea sau creșterea riscurile, dar „contextul” nu este definit de acest standard. SR ISO 31000:2018 definește contextul și ajută la identificarea riscurilor. Dar, SR ISO 31000:2018 nu este menționat la referințe;
• O altă problemă este abordarea procesuală. Ediția revizuită cere ca riscurile pentru sistemul auditat să fie acum identificate și acțiunile managementului de la cel mai înalt nivel, pentru acest scop, determinate. Cu toate acestea, nu există aproape nicio indicație cu privire la cum ar trebui să fie un proces de identificare al riscurilor bun și eficient;
• Ultima provocare este lipsa cunoștințelor referitoare la gestionarea riscurilor a auditorilor interni, în special. Actuala ediție nu oferă asistență în acest sens.

Actuala ediție, așa cum de altfel era de așteptat, prezintă mai multe provocări pentru auditori, nici riscurile, nici sistemul de gestionare a riscurilor nu sunt bine definite, lucru care va conduce la anumite ezitări, în special în cazul auditurilor interne.

SR EN ISO 19011:2018 se aplică tuturor organizațiilor care trebuie să planifice și să efectueze audituri interne sau externe ale sistemelor de management sau să gestioneze un program de audit.

Revista Standardizarea, ed nr. 8/2018.