raport z audytu wewnętrznego przykład

• Poprawa wizerunku funkcji audytu wewnętrznego poprzez możliwość używania formuły „Zgodny z Międzynarodowymi Standardami Praktyki Zawodowej Audytu Wewnętrznego” (IIA Standard 1321); • Spełnienie wymogów Standardu 1312 IIA oraz wytycznych KNF co do okresowej oceny funkcji audytu wewnętrznego. Planowanie audytu – określenie obszaru systemu, który będzie au-dytowany. Etap 4. Przygotowanie listy pytań kontrolnych audytu. Etap 5. Przeprowadzenie audytu – badanie i zbieranie informacji. Etap 6. Raport z audytu. Pierwsze cztery etapy mają na celu zapoznanie się z funkcjonującym w da- Lista pytań audytowych może być również pomocna przy sporządzaniu uwag do raportu z audytu. Audytor może odwoływać się do pytań i odpowiedzi, aby wspierać swoje wnioski i rekomendacje . Lista pytań audytowych zapewnia strukturę i systematyczność w sporządzaniu uwag, co ułatwia czytanie i zrozumienie raportu przez odbiorców. 1. Kierownik komórki audytu wewnętrznego do końca stycznia następnego roku składa Staroście sprawozdanie z prowadzenia audytu wewnętrznego, zawierające w szczególności: 1) informacje o zadaniach audytowych, monitorowaniu realizacji zaleceń oraz czynnościach sprawdzających, wraz z odniesieniem do planu audytu, W oparciu o wyniki badania, oto 10 najlepszych praktyk, które liderzy audytu wewnętrznego mogą wykorzystać do wzmocnienia swoich wysiłków w zakresie oceny ryzyka. 1. Przejść do bardziej ciągłego procesu oceny ryzyka. Prawie połowa respondentów badania wskazuje, że albo ocenia ryzyko w sposób ciągły, albo łączy roczną ocenę Freund Flirtet Ständig Mit Anderen Frauen. Zgodnie z definicją audyt wewnętrzny jest „działalnością niezależną i obiektywną, której celem jest wspieranie (...) kierownika jednostki w realizacji celów i zadań przez systematyczną ocenę kontroli zarządczej oraz czynności doradcze” (def. art. 272 ust. 1 W praktyce to narzędzie monitorowania i oceny kontroli zarządczej oraz źródło zaleceń usprawniających (doradztwo). Ewentualne nieprawidłowości są tylko „dodatkowym wynikiem” działalności audytu wewnętrznego. Co audytorowi wolno robić, a czego nie wolno w zakresie wspierania kierownika JST — zwłaszcza w zarządzaniu ryzykiem Zadania kluczowe: usługi w zakresie procesu zarządzania ryzykiem, w tym zapewniające poprawność analizy ryzyk, tj: przegląd zarządzania kluczowymi ryzykami; przegląd procesu raportowania (sprawozdawczość) o kluczowych ryzykach. Zadania możliwe do wykonania (tzw. doradcze): szkolenia; wsparcie w zakresie identyfikacji i oceny ryzyk; wsparcie kierownictwa przy ustalaniu reakcji na ryzyko; utrzymanie i rozwijanie koncepcji zarządzania ryzykiem; rozwijanie procedur, strategii zarządzania ryzykiem w jednostce. Zadania zabronione: określanie akceptowalnego poziomu ryzyka (tzw. apetyt na ryzyko); zapewnienie zarządcze na temat ryzyk; podejmowanie decyzji odnośnie reakcji na ryzyko; wdrażanie mechanizmów reakcji na ryzyko; ponoszenie odpowiedzialności za proces zarządzania ryzykiem. Audytor wspiera kierownictwo JST Rola audytora wewnętrznego jest szczególna, choć często niedoceniana, ponieważ to osoba, która: jest na bieżąco ze zmianami w prawie (mimo ich dynamiki) i dostarcza informacje o zmianach do komórek w organizacji; doradza pracownikom i kierownictwu oraz edukuje ich w obszarze zarządzania ryzykiem (wpływając na zmniejszenie zagrożeń i sprawne działanie całej jednostki); diagnozuje obszary wymagające wsparcia i rekomenduje kierownictwu działania korygujące, ściśle z nim współpracując na dalszych etapach. Wg raportu Ministerstwa Finansów w zdecydowanej większości jednostek samorządu terytorialnego wyniki audytu były wykorzystywane przez kierowników jednostek przy podejmowaniu decyzji zarządczych. Ponad 90% ankietowanych wskazało, że audyt wewnętrzny wspierał kierownika jednostki poprzez ocenę kontroli zarządczej w wybranych obszarach działalności. Co jeszcze robi audytor w samorządzie? Audytor ocenia, czy zarządzanie ryzykiem jest realizowane prawidłowo w oparciu o dokumenty opracowane przez kierownika jednostki, kierowników podległych jednostek i ich pracowników. Audytor powinien znać misję, cele strategiczne i priorytety jednostki. Na bieżąco komunikować się z kierownikiem JST. Do jego obowiązków należy także przygotowanie planu audytu. Nowa rola audytora Usprawnienie pracy audytora przez wsparcie informatyczne pozwoli mu w większym wymiarze zaangażować się w konsultowanie i doradzanie pracownikom podczas identyfikacji, analizy ryzyka, planowania działań zapobiegawczych. Narzędzia to nie wszystko. Ryzyko towarzyszy pracy każdego pracownika. Tutaj kluczowa jest rola audytora wewnętrznego, który posiada wiedzę, ale potrzebuje czasu, aby ją przekazać i wdrożyć system zarządzania ryzykiem w każdym wydziale jednostki. Dzięki temu zmieni się też rola audytora – stanie się doradcą władz JST. Może być wręcz przysłowiowym „bezpiecznikiem” dla kierownictwa CAŁEGO urzędu i jednostek podległych. Łatwiej osiągnąć cele, jeśli wszyscy idą w tym samym kierunku! Zarządzanie ryzykiem i praca audytora wewnętrznego ułatwiają prowadzenie kontroli zarządczej. W ten sposób kierownictwo efektywniej zarządza jednostką, unika błędów i skutecznie realizuje swoje cele. Poznaj LEX Kontrola Zarządcza i zyskaj skuteczny nadzór nad ryzykami! Zamów bezpłatną prezentację LEX Kontrola Zarządcza Audyt HACCP Prawidłowo wdrożony, działający system HACCP/GHP/GMP to nie tylko opracowana dla danej placówki dokumentacja. System powinien zapewnić bezpieczeństwo żywności, poprzez stałe monitorowanie zagrożeń biologicznych, chemicznych i fizycznych w procesie przygotowywania posiłków, przechowywania produktów etc. Istota systemu HACCP polega na tym, że punkty krytyczne (CCP) monitoruje się na bieżąco, a także prowadzi się odpowiednie zapisy zgodnie z procedurami. Dlatego tak ważna jest kontrola, tj. audyt HACCP. Częstą praktyką niestety jest wpisywanie w karty fikcyjnych zapisów. Są to bezsensowne praktyki gdyż system ma zabezpieczać właściciela restauracji przed ewentualnymi problemami z bezpieczeństwem oferowanych potraw. Na podstawie analizy zapisów powinno wyciągać się wnioski i na ich podstawie odpowiednio wprowadzać działania weryfikacja (audyt HACCP) systemu HACCP jest niezbędne dla prawidłowości jego funkcjonowania. Jedna z zasad systemu HACCP wymaga „Ustanowienia procedur weryfikacyjnych systemu HACCP”. Ma to na celu sprawdzanie czy system po wdrożeniu funkcjonuje prawidłowo, tzn. czy zapewnia odpowiednią jakość zdrowotną żywności. Weryfikację systemu przeprowadza się regularnie, zwłaszcza jeśli dokonuje się jakiejkolwiek modyfikacji w recepturach, procesach przygotowywania posiłków lub wprowadza się inne zmiany mające wpływ na funkcjonowanie systemu np. zakup nowego wyposażenia. Należy sprawdzić aktualność systemu, zwłaszcza w przypadku zmian, np. w prawie żywnościowym, lub wprowadzeniu zmian mogących mieć wpływ na bezpieczeństwo produktów. Częstotliwość weryfikacji zależy od poprawności funkcjonowania systemu (reklamacji, zastrzeżeń jednostek kontrolnych) oraz od częstotliwości zmian w funkcjonowaniu restauracji. Na przykład jeśli nastąpi zmiana sprzętu, receptur, rotacja personelu. Również w momencie pojawienia się nowych informacji dotyczących bezpieczeństwa żywności, w tym limitów krytycznych. A także kiedy wyniki badań laboratoryjnych np. próbek żywności, dotyczące mycia i dezynfekcji, wody są sprawdzać czy system HACCP działa prawidłowo między innymi poprzez: przeprowadzanie auditów (wewnętrznych i zewnętrznych); – zlecanie badań skuteczności mycia i dezynfekcji; badanie próbek żywności w laboratorium w celu potwierdzenia, że HACCP działa prawidłowo i wyznaczono poprawnie punkty krytyczne oraz ich limity; przeglądy i weryfikację wdrożonego i funkcjonującego już od pewnego czasu systemu HACCP; modyfikację w myśl zasady ciągłego doskonalenia, „samonaprawiania się” systemu. Audit wewnętrzny Audyty mogą być przeprowadzane przez audytorów wewnętrznych, którzy są pracownikami danej restauracji jednak muszą oni się wykazać dokumentem potwierdzającym kompetencje w tym zakresie np. zaświadczenie o przebytym szkoleniu z audytu i weryfikacji systemu HACCP. Audit wewnętrzny powinien być przeprowadzony z punktu widzenia klienta restauracji, najczęściej prowadzą go osoby pracujące w firmie ale audit wewnętrzny może przeprowadzić konsultant zewnętrzny na zlecenie restauracji. Dobra praktyką zwłaszcza wśród sieci restauracji jest zlecanie audytów wewnętrznych firmom zewnętrznym. Często takie audyty chronią przed konsekwencjami kontroli Sanepidu wyłapując nieprawidłowości we właściwym czasie. Audytor zawsze powinien sprawdzać zgodność i kompletność dokumentacji HACCP/GHP/GMP (czy są bieżące zapisy , i czy sa one prawidłowe), zgodność postępowania z dokumentacją i czy system jest skuteczny ( czy były ostatnio jakieś zastrzeżenia sanepidu, klientów etc.). Podczas audytu HACCP zbiera się obiektywne dowody, które umożliwią kierownictwu, właścicielom ocenę: stopnia zgodności z wymaganiami; czy system HACCP jest przestrzegany w praktyce; na ile system HACCP zapewnia bezpieczeństwo żywności; skuteczności i adekwatności wdrożonego systemu; zasadności podejmowanych decyzji dotyczących systemu; odpowiednich działań korygujących. Oprócz przeprowadzanych auditów inną z metod weryfikacji systemu HACCP jest dokonywanie corocznie przeglądu przez Zespół ds. HACCP. Co ciekawe kontrola sanepidu jest też rodzajem „audytu” w tym wypadku „audytu zewnętrznego.” Podczas kontroli szczególny nacisk kładziony jest na: prawidłowość zachowania łańcucha chłodniczego na całej drodze od surowca do gotowego produktu wydawanego konsumentom, wdrażanie i skuteczne stosowanie systemów kontroli wewnętrznej – zasad dobrej praktyki higienicznej (GHP), dobrej praktyki produkcyjnej (GMP) oraz systemu HACCP, identyfikowalność surowców i produktów, tj. np. możliwość powiązania dokumentu HDI z potrawą mięsną na talerzu klienta); prawidłowego znakowania wyrobów – np. wyroby przechowywane w lodówce muszą być oznakowane datą przygotowania; stosowanie prawidłowych procesów mycia i dezynfekcji; zachowania higieny osobistej i higieny miejsca pracy. Audyt HACCP jest skutecznym narzędziem do zapewnienia bezpieczeństwa żywności w restauracji. Trzeba pamiętać, że celem audytu jest ujawnienie niezgodności, które mają być podstawą do dalszego doskonalenia systemu, jego „samonaprawiania się”. W tym kontekście prowadzenie audytów wewnętrznych jest korzystne dla właścicieli restauracji, dając możliwość rozwiązania problemów związanych z bezpieczeństwem żywności we właściwym czasie tzn. „zanim będzie za późno.”Audyt HACCP Nie jesteś pewien, czy w danym miejscu panują odpowiednie warunki sanitarne do przechowywania, przetwarzania lub podawania żywności? Audyt HACCP pozwoli Ci szybko i skutecznie rozwiać Twoje wątpliwości. Jesteśmy w stanie przeprowadzić go w restauracji, kawiarni i innego rodzaju lokalach gastronomicznych, które wykazują ewentualne niewłaściwości w obchodzeniu się z poszczególnymi produktami i tworzonymi z nich posiłkami, by w ten sposób zabezpieczyć zdrowie oraz życie ich ewentualnych konsumentów przed przykrymi konsekwencjami. Dokonując audytów HACCP, korzystamy ze swojej wiedzy oraz wieloletniego doświadczenia. Dzięki temu każdy może być pewien otrzymania rzetelnej, obiektywnej oceny swojej działalności, co pozwala wyeliminować w niedalekiej przyszłości wszelkie ewentualne błędy popełniane do tej pory. Skutkuje to jednocześnie wzrostem jakości żywności i zadowoleniem osób korzystających z usług lokali gastronomicznych, w których przeprowadzamy audyt HACCP. Zapraszamy do skorzystania z naszych usług już dzisiaj! Dzisiaj bierzemy się za kolejne zagadnienie z ankiety Subskrybentów newslettera. Kuba wskazał następujący problem: „Niezrozumiałość zagadnień dot. przebiegu auditu, ustalenie zgodności lub niezgodności” W kwestii formalnej, rozpocznę od terminów „audyt” i „audit”. Ja używam słowa audyt, ponieważ jest to forma zaakceptowana przez Radę Języka Polskiego. Oczywiście jeśli Ty chcesz stosować formę „audit”, to nic nie stoi na przeszkodzie 🙂 Czym jest audyt? Audyt jest poszukiwaniem dowodów na zgodność z wymaganiami. Czyli w teorii czymś przeciwnym do kontroli. W tej drugiej bowiem chodzi o to, aby sprawdzić czy istnieją nieprawidłowości. O jakie akie wymagania chodzi? wymagania prawne, wymagania systemowe oraz inne wymagania, do których przestrzegania dany zakład się zobowiązał w swojej polityce. Co to dokładnie znaczy: dowód zgodności z wymaganiami? To znaczy, że jeżeli np. prawo wymaga prowadzenia rejestru wypadków przy pracy, to audytor będzie chciał zobaczyć, że istnieje zgodność z tym wymogiem i ten dokument jest w zakładzie prowadzony. Innym przykładem może być to, że norma, np. OHSAS 18001 wymaga wdrożenia procedur planów reagowania na awarie. Zakład więc musi takie procedury mieć i audytor będzie szukał dowodów na spełnienie tego zapisu. Może też być tak, że jakieś zagadnienie nie jest uregulowane prawem, ale zakład zobowiązał się do jego przestrzegania. Np. niezależnie od wyniku, będzie wykonywał badanie czynnika rakotwórczego w środowisku pracy co miesiąc. W tej sytuacji audytor również będzie dochodził czy to zobowiązanie zakład wykonuje. Po co przeprowadza się audyty? Audyt ma na celu sprawdzenie czy system zarządzania BHP działa, czy jest zgodny z założeniami i wymaganiami normy oraz czy jest skuteczny w realizacji polityki i celów w zakresie BHP, które zakład sobie wytyczył. Wyniki audytów są też informacją dla najwyższego kierownictwa funkcjonowaniu systemu zarządzania w zakładzie. Kto może audytować? Konkretnych wymogów nie znajdziesz. Ale z pewnością musi to być osoba odpowiednio przygotowana. Odpowiednio, czyli jak? Każdy zakład musi indywidualnie określić jakie kompetencje powinni mieć audytorzy. Z uwagi na cel audytu, logiczne jest to, że audytor musi mieć wiedzę z zakresu przepisów BHP, założeń normy oraz organizacji i procedur zakładu. Zgodność i niezgodność Jeśli audyt wykaże w jakimś obszarze zgodność, to super. Znaczy, że wszystko jest w porządku. Jeśli jednak dojdzie do sytuacji, w której jakiś obowiązek nie jest spełniony (czyli nie ma dowodu na potwierdzenie zgodności), powstaje niezgodność. Wtedy też należy wdrożyć działania korygujące i zapobiegawcze. Jaka jest różnica między działaniami korygującymi a zapobiegawczymi Znalazłam bardzo fajne porównanie tych dwóch rodzajów działań na stronie Przykład działania korygującego:Sytuacja: Wracamy do domu. Spod drzwi łazienki wypływa woda. Otwieramy drzwi i zastajemy zalaną łazienkę. Ze ściennego zaworu pralki woda leje się niezgodność: Lejąca się woda (zawór ścienny powinien zabezpieczać przed taką sytuacją),Korekcja: Zakręcenie głównego zaworu wody (woda przestanie się lać),Działanie korygujące: Wymiana zaworu ściennego na nowy (stary się zepsuł, co było przyczyną niezgodności) Przykład działań zapobiegawczych:Sytuacja: Wyjeżdżamy na wycieczkę. Mamy piękną nową łazienkę i nie chcielibyśmy po powrocie zastać zalanego niezgodność: Uszkodzenie ściennego zaworu pralki (potencjalna możliwość zalania łazienki wodą)Działanie zapobiegawcze 1: Sprawdzić stan zaworu od pralki przed zapobiegawcze 2: Zakręcić główny zawór wody przed wyjazdem. Powiązane wpisy: Jak napisać procedurę Obowiązki osób kierujących pracownikami w zakresie BHP Obowiązki pracownika w zakresie BHP Jak szukać pracy w BHP, kiedy dopiero zaczynasz? Jak powinna wyglądać skuteczna polityka ochrony danych zgodna z RODO? Jakie procedury powinna zawierać? Co zrobić, żeby nie była martwym dokumentem? Zapraszam do lektury!Polityka bezpieczeństwa czy Polityka ochrony danych?Zacznę od uporządkowania terminologii. Wiele osób posługuje się zamiennie dwoma terminami: polityka bezpieczeństwa i polityka ochrony tak się dzieje? Odpowiedź na tak postawione pytanie, stanowi poniższa tabela:Akt prawnyData obowiązywaniaStosowany terminCo powinna zawierać?Rozporządzenie MSWiA „w sprawie określenia podstawowych warunków technicznych i organizacyjnych”15 lipca 1998Polityka Zabezpieczenia Systemów InformatycznychOkreślono w RozporządzeniuRozporządzenie MSWiA „w sprawie dokumentacji przetwarzania danych osobowych (…)”1 maja 2004Polityka bezpieczeństwa oraz Instrukcja zarządzania systemem informatycznymOkreślono w RozporządzeniuRODO25 maja 2018Polityka ochrony danychNie określono wprost zawartościCzy polityka ochrony danych jest obowiązkowym dokumentem?W najdłużej funkcjonującym polskim Rozporządzeniu z 29 kwietnia 2004 roku, było wskazane wprost – Polityka bezpieczeństwa oraz Instrukcja zarządzania to dokumenty, które każdy administrator danych musi jest aktem prawnym znacznie bardziej elastycznym i unika jednoznacznej odpowiedzi na pytanie o obowiązkowość Polityki ochrony samym tekście RODO znajdziemy następujące regulacje:Motyw 79 preambuły Aby móc wykazać przestrzeganie niniejszego rozporządzenia, administrator powinien przyjąć wewnętrzne polityki. Art. 24 ust. 2 Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony więcej, poza powyższymi zapisami, RODO przewiduje też szereg obowiązkowych procedur. A najlepszym według mnie miejscem na opisanie tych procedur, jest właśnie Polityka ochrony tworzenia Polityki ochrony danych, mogą na pewno zrezygnować najmniejsze w przypadku każdej dużej organizacji, posiadanie Polityki ochrony danych jest potrzebne do wykazania zgodności z możemy zastosować rozwiązanie alternatywne i wszystkie wymagane przez RODO procedury zamieścić w innych wewnątrzorganizacyjnych dokumentach (regulamin pracy, polityki IT etc.).Takie rozwiązanie jest mało praktyczne i sprawia, że procedury są bardzo rozproszone i znacznie trudniej nimi na bieżąco powinna zawierać polityka ochrony danych zgodna z RODO?RODO jest inteligentnym aktem prawnym, który ma regulować ochronę danych osobowych w Unii Europejskiej przez najbliższe 20 lat. Pomysł unormowania „na sztywno” treści Polityki ochrony danych, uznano za sprzeczny z głównymi założeniami tworzone obecnie, na pewno będą różniły się od tych tworzonych za 10 może już za jakiś czas, tradycyjne Polityki ochrony danych zostaną zastąpione przez zbiory procedur i całe systemy informatyczne, służące do sprawnego zarządzania ochroną danych dzień dzisiejszy rekomendowana przeze mnie zawartość Polityki to przede wszystkim kluczowe i obowiązkowe przedstawiam tabelę z obowiązkowymi i rekomendowanymi procedurami, które łącznie składają się na Politykę ochrony danych zgodną z RODO:ProceduraStatus proceduryFunkcja proceduryRODOZasady retencji danychWymaganyW jaki sposób i kiedy usuwamy niepotrzebne już dane osoboweArt. 5 ust. 1 lit. e)Zasady privacy by design i privacy by defaultWymaganyW jaki sposób zapewnić odpowiedni poziom bezpieczeństwa danych i prawa do prywatności np. przy nowych projektach ITArt. 25Struktura organizacyjna w zakresie ochrony danych osobowychWymaganyKto i za co odpowiada w zakresie funkcjonowania systemu RODO (np. IOD, ASI etc.).Art. 24 ust. 1, Art. 32 ust. 1Procedura nadawania upoważnieńWymaganyW jaki sposób, na jakich zasadach i komu nadajemy upoważnienia do przetwarzania danych osobowychArt. 29Procedura szkoleńMocno zalecanyW jaki sposób szkolimy personel uczestniczący w przetwarzaniu danychArt. 39Postępowanie z incydentami ochrony danych osobowychWymaganyKto i w jaki sposób reaguje na incydenty ochrony danych osobowychArt. 33Ocena skutków dla ochrony danych osobowych (DPIA)WymaganyKiedy i w jaki sposób oceniamy skutki dla ochrony danychArt. 35Realizacja praw osób, których dane dotycząWymaganyKto i w jaki sposób realizuje prawa osób, których dane dotycząArt. 7 ust. 3,Art. 12 – 22Procedura audytu wewnętrznegoMocno zalecanyKto, w jaki sposób i kiedy kontroluje system ochrony danych osobowych w naszej 24 ust. 1, Art. 32 ust. 1 lit. d), Art. 39 ust. 1 lit. b)Kontrola podmiotów przetwarzającychMocno zalecanyW jaki sposób i kiedy kontrolujemy procesorówArt. 28 ust. 3 lit. h)Opis środków bezpieczeństwaMocno zalecanyJakie środki bezpieczeństwa stosujemy w sferze: organizacyjnej, technicznej, informatycznejArt. 24 ust. 1, Art. 32 ust. 1Plan ciągłości działaniaZalecanyPrzygotowanie rozwiązań dla różnych zdarzeń mogących wpływać na ciągłość procesu biznesowego, z uwzględnieniem ochrony danych osobowychArt. 5 ust. 1 lit. f), Art. 32 ust. 1 lit. b)Procedury ITMocno zalecaneSposób zarządzania infrastrukturą IT w której dochodzi do przetwarzania danych osobowychArt. 24 ust. 1, Art. 32 ust. 1 W cyklu kolejnych artykułów opiszemy po kolei wszystkie wymagane przez RODO procedury i wskażemy praktyczne porady jak je przygotować. W naszym sklepie będą też czekały gotowe procedury dla tych z Państwa, którzy nie mają czasu na tworzenie ich od i szablony dokumentacji ochrony danych – Polityka ochrony danych Pobierz nasz sprawdzony szablon Polityki Ochrony Danych Pobierz Wzory i szablony dokumentacji ochrony danych – pełna wersja dokumentacji RODOPolityka Ochrony Danych wraz z załącznikamiSkorzystaj z naszej oferty i zakup w sklepie pełną wersję Polityki Ochrony Danych wraz ze wszystkimi procedurami i dokumentami w formie załączników. SprawdźO czym jeszcze warto pamiętać, przygotowując politykę ochrony danych zgodną z RODOObecnie w Internecie znajdziemy ogromną ilość szablonów dokumentacji ochrony danych osobowych. Są one udostępniane odpłatnie i nieodpłatnie. Mają różną objętość i treść. Jak odnaleźć się w tym gąszczu? Gdzie znaleźć szablon idealny?Po pierwsze – szablonów idealnych nie ma. Wzory dokumentów, które są dostępne w naszym sklepie, są efektem wielu lat pracy całego zespołu Lex Artist. Ale nawet te szablony, muszą być twórczo dostosowane do indywidualnych potrzeb Ponieważ każdy administrator danych osobowych jest inny. Ma odmienne potrzeby i obszary wymagające poświęcenia szczególnej trochę tak jak z Konstytucją. Teoretycznie, każdy polityk może przepisać Konstytucję największej światowej potęgi – Stanów Zjednoczonych, a następnie uchwalić ją w swoim tylko, z jakim efektem? Konstytucja amerykańska świetnie sprawdza się w Stanach Zjednoczonych. Ale czy równie dobrze sprawdziłaby się w Chinach, Rosji czy Polsce?Co zatem jest kluczowe? Co sprawia, że jedne Polityki działają lepiej od innych?Przede wszystkim zidentyfikowanie słabych i mocnych stron naszej organizacji oraz odpowiednie dopasowanie treści do indywidualnych jest też pewna elastyczność. Możliwość zmiany Polityki w sytuacji, kiedy dany obszar nie działa do Konstytucji nie jest przypadkowa. Polityka ochrony danych jest przecież Ustawą Zasadniczą naszej organizacji w obszarze ochrony danych właśnie od treści Polityki ochrony danych, będzie zależała w dużym stopniu skuteczność systemu ochrony danych osobowych w Twojej ochrony danych – porady praktyczneNiezależnie od kształtu i treści RODO procedur (dla każdej organizacji będą inne), możemy wskazać pewne uniwersalne reguły i zasady, które pomogą w lepszym funkcjonowaniu Twojej Polityki ochrony Warto zdefiniować kluczowe pojęcia, takie jak dane osobowe czy ich przetwarzanie. Znaczenie pojęć może być tożsame z definicją wskazaną w RODO (zalecane rozwiązanie). Możemy również nieco zmodyfikować terminologię i dopasować ją do wewnętrznej struktury organizacyjnej. Zamieszczenie definicji pozwoli uniknąć chaosu terminologicznego i każdorazowego wyjaśniania powtarzających się i za co odpowiada? Przygotowując Politykę ochrony danych, powinniśmy zacząć od dyskusji i przemyślenia w gronie osób decyzyjnych wizji systemu ochrony danych (a w niektórych przypadkach musimy) powołać Inspektora Ochrony Danych (IOD), który będzie odpowiadał za część zadań związanych z ochroną danych osobowych. Niezależnie od tego, czy IOD zostanie wybrany czy nie, musimy zdecydować, kto będzie odpowiadał za takie obszary jak: nadawanie upoważnień i szkolenie nowych pracownikówreagowanie w przypadku incydentówprzygotowanie oceny skutków dla ochrony danych osobowych (DPIA)audytowanie naszej organizacji i sprawdzanie czy RODO procedury działają w praktycerealizacja praw osób, których dane dotycząkontakt z regulatoremW Polityce ochrony danych, nie powinniśmy posługiwać się imionami i nazwiskami konkretnych osób. Jeśli np. za nadawanie upoważnień odpowiada IOD – Piotr Kowalski, to wystarczy, że w dokumentacji zaznaczymy, że za taki obszar odpowiada użyjemy konkretnego imienia i nazwiska, to przy każdorazowej zmianie na tym stanowisku, zaistnieje konieczność aktualizacji Polityki. Wiąże się to ze sformalizowaną drogą służbową i koniecznością uzyskania podpisu najwyższego kierownictwa, o co nie zawsze – najpierw ustalamy wspólnie z osobami decyzyjnymi ogólną wizję i koncepcję. A dopiero później nasze ustalenia materializujemy w postaci Polityki ochrony który czytasz jest dla Ciebie wartościowy? Zapisz się na nasz newsletter i bądź na bieżąco z naszymi blogowymi nowościamiZałącznikiDobra Polityka ochrony danych, tak samo jak dobra Konstytucja, powinna być na tyle ogólna, żeby nie trzeba było jej zbyt często aktualizować. Dokument jest podpisywany przez osobę uprawnioną do reprezentacji administratora danych osobowych, a my nie będziemy przecież chcieli niepokoić Prezesa ciągłymi prośbami o podpis podzielić dokumentację na elementy zmienne (załączniki) oraz część „stałą” (ogólne zasady ochrony danych osobowych).W części „stałej” powinniśmy wskazać zasady aktualizacji obu obszarów. Zdecydowanie polecam tutaj implementację możliwości modyfikowania załączników dokumentacji przez IODa lub osobę dedykowaną do opieki nad zbieranie podpisów od Prezesa, na wielu stronach załączników bywa uciążliwe. Załączniki mogą zmieniać się dość innego, jeśli chodzi o część „stałą” Polityki. Warto zadbać o to aby zmieniała się ona jedynie w wyjątkowych sytuacjach. Uzależnienie jej zmiany od podpisu Prezesa umożliwi kontrolę Administratora Danych nad kluczowymi ryzyko naruszenia RODO w Twojej organizacji – przeszkól Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną wiedzę z zakresu RODO zamiast nużących regułek?Sprawdź nasze interaktywne szkolenia e-learningowe. SprawdźSzablony kluczowych dokumentówKolejnym dobrym pomysłem jest dołączenie do treści Polityki (oczywiście w formie załączników), kluczowych dokumentów, z których będziemy często korzystać w naszej organizacji. Takim dokumentem może być na przykład szablon umowy powierzenia czy obowiązku ten sposób nadamy Polityce bardziej użyteczny i praktyczny zwlekajO czym jeszcze warto pamiętać? Przede wszystkim o czasie. Lepiej przygotować Politykę, która będzie miała pewne braki, niż nie posiadać jej w ogóle. Zbytni perfekcjonizm zgubił już niejednego Administratora Danych. W poprzednim stanie prawnym, wielu ABIch wdrażało Politykę nawet kilka lat, wciąż czekając na brakujące załączniki czy pojedyncze procedury. A tymczasem brak podpisu Prezesa na Polityce ochrony danych oznacza, że dokument formalnie nigdy nie ochrony danych jest potrzebna każdej dużej organizacji przetwarzającej dane osobowe. Dokument uporządkuje i ułatwi zarządzanie ochroną danych z elastyczności RODO, budując Politykę ochrony danych pasującą do naszych Państwa do dzielenia się wrażeniami z lektury Poradnika i do zadawania pytań w komentarzach. Pobierz artykuł w PDF Źródła:10 letnie doświadczenie pełnienia funkcji ABI/IOD lub wsparcia ABI w ponad 100 organizacjach. Kilka tysięcy godzin szkoleniowych (w tym szkoleń dla ABI) i ponad 500 wdrożeń systemów ochrony danych osobowych,Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922),Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. (Dz. U. z 2004 r. Nr 100, poz. 1024) w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych,Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. ( Dz. U. z 2015 r., poz. 745) w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji,Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne rozporządzenie o ochronie danych). Normy ISO są niezwykle popularne na całym świecie. Normy te przewidują przeprowadzanie regularnych audytów. Jednym z rodzajów tych audytów jest audyt wewnętrzny ISO 9001 któremu poświęciliśmy nasz artykuł. Napiszemy w nim czym jest audyt wewnętrzny ISO 9001, po co przeprowadzane są audyty wewnętrzne ISO 9001, jak wygląda audyt wewnętrzny ISO 9001, jak przebiega audyt wewnętrzny ISO 9001, czym różni się audyt wewnętrzny od zewnętrznego i jakie są różnice pomiędzy audytem wewnętrznym, a zewnętrznym. Czym jest audit wewnętrzny ISO 9001 (audyt wewnętrzny ISO 9001)? Na początek zdefiniujmy czym jest sam audit. Audit w normach ISO 9000 definiowany jest jako systematyczny, niezależny i udokumentowany proces uzyskiwania dowodu z auditu oraz jego obiektywnej oceny w celu określenia stopnia spełnienia kryteriów auditu. Osoba mająca odpowiednie kompetencje do przeprowadzenia auditu to auditor lub audytor, a organizacja, która jest auditowana (audytowana) czyli poddawana audytowi to auditowany lub audytowany. Częścią każdego auditu jest badanie czyli określenie jednej lub więcej właściwości zgodnie z procedurą. W normie PN-ISO 8402:1996 audit jakości definiowany jest w następujący sposób „audit jakości to usystematyzowane i niezależne badanie mające na celu stwierdzić, czy działania odnoszące się do jakości i ich wyniki są zgodne z zaplanowanymi ustaleniami oraz, czy ustalenia są skutecznie realizowane i pozwalają na osiągnięcie celów”. Nowsza norma PN-EN ISO 9000 : 2001 definiuje audit jako „systematyczny, niezależny i udokumentowany proces uzyskiwania dowodu z auditu oraz jego obiektywnej oceny w celu określenia stopnia spełnienia kryteriów auditu”. Audity mogą być też nazywane audytami. Stosowane są obie te nazwy. W naszym poświęconym auditowi/ audytowi wewnętrznemu ISO 9001 artykule również będziemy zamiennie używali obu tych terminów. Audyt ISO 9001 przeprowadzany z inicjatywy danej organizacji oraz dla jej własnych potrzeb nazywamy audytem wewnętrznym. Audit wewnętrzny ISO 9001 nazywany jest również audytem pierwszej strony w odróżnieniu od audytów drugiej strony i audytów trzeciej strony o których napiszemy na koniec naszego artykułu. Audyt wewnętrzny może zostać przeprowadzony przez własnych audytorów danego przedsiębiorstwa lub zlecony osobom spoza niego. Przeprowadzanie auditów wewnętrznych jest jednym z wymagań normy PN-EN ISO 9001:2001. Norma ta nakazuje przeprowadzanie audytów wewnętrznych na podstawie odpowiednio udokumentowanej procedury. Podczas audytu wewnętrznego stosowane w przedsiębiorstwie procedury, procesy i elementy systemu zarządzania weryfikowane są pod kątem zgodności z wcześniej założonymi, spisanymi i udokumentowanymi ustaleniami. Ustalenia te udokumentowane powinny zostać w dokumentach takich jak księga zarządzania, procedury, opisy procesów, instrukcje, normy, plany jakości, umowy itp. Audyty wewnętrzne ISO 9001 umożliwiają uzyskanie informacji na temat obecnego stanu systemu zarządzania w danym przedsiębiorstwie oraz zgodności procesów, usług i innych z założeniami zawartymi w dokumentacji. W przypadku stwierdzenia podczas audytu wewnętrznego ISO 9001 niezgodności w wyrobach możliwe jest przeprowadzenie dodatkowych, pozaplanowych audytów wewnętrznych ISO 9001 mających na celu ustalenie przyczyn wykrytych podczas audytu wewnętrznego ISO 9001 niezgodności. Audit wewnętrzny przeprowadzany jest przez osoby, które nie są bezpośrednio zaangażowane w prace obszaru, który jest przez nie auditowany co ułatwia im dokonanie jego obiektywnej oceny. Cele audytu wewnętrznego i audytu zewnętrznego Audyt to działanie mające na celu porównanie ze sobą wartości założonych i rzeczywistych. Umożliwia on ocenę skuteczności zastosowanego systemu zarządzania jakością i jego ciągłą poprawę. Znaczenie audytów znacznie wzrosło po przyjęciu norm ISO z serii 9000. Na mocy normy PN-EN ISO 9001:2001 firmy powinny przeprowadzać regularne audyty. Jeszcze dalej idzie norma PN-EN ISO 9004:2001, która sugeruje auditowanie również dostawców. Audytowanie konieczne jest również w celu udowodnienia posiadania systemu jakością. W takiej sytuacji audit wykonywany jest przez niezależną instytucje posiadającą uprawnienia do wydawania certyfikatów potwierdzających zgodność systemu z normą ISO 9001. Audyty przeprowadzane u dostawców lub mające na celu certyfikacje określane są jako audyty zewnętrzne. Szerzej omówimy je w końcowej części artykułu. Podstawowe terminy dotyczące audytu wewnętrznego ISO 9001 Polityki, procedury i wymagania stosowane podczas auditu wewnętrznego jako odniesienie nazywane są kryteriami auditu. Istnieje wiele informacji stanowiących odniesienie dla kryteriów auditu. Informacje te nazywane są dowodami z auditu. Wnioski wyciągnięte z oceny tych dowodów to ustalenia z auditu. Po rozważeniu ustaleń i celów auditu powstaje raport z auditu, który przedstawiany jest przez zespół auditujący. Audit wewnętrzny może być przeprowadzany jednocześnie przez dwie lub więcej organizacji. W takim przypadku mówimy o audicie wspólnym. Przeprowadzanie audytu wewnętrznego przez kilka organizacji jednocześnie zdarza się jednak bardzo rzadko. Audit nie powinien być mylony z inspekcją, kontrolą lub nadzorem. Działania te wykonywane są przez osoby odpowiedzialne za dany rodzaj działalności. Normy dotyczące audytów wewnętrznych ISO 9001 Szerokie rozpowszechnienie się auditów jako sposobu badania oraz oceniania systemów zarządzania sprawiło, że użytecznym okazało się ujednolicenie kryteriów audytów. W tym celu w 1990 roku opracowano normę ISO 10011: „Wytyczne do auditowania systemów jakości” (polska wersja PN-ISO 10011:1994 ). Norma ta szczególnie istotna jest w przypadku zewnętrznych auditów certyfikacyjnych o których napiszemy pod koniec artykułu. W 2003 roku wspomniane wcześniej normy dotyczące audytowania systemów zarządzania jakością oraz zarządzania środowiskowego zastąpione zostały przez normę PN-EN ISO 19011:2003 „Wytyczne dotyczące auditowania systemów zarządzania jakością i/lub środowiskowego”. W normie tej wprowadzono szereg dodatkowych terminów i definicji dotyczących auditu. Grupę osób przeprowadzających audit wraz z ekspertami technicznymi określono w niej jako auditujący. Wspomniani eksperci techniczni to osoby służące zespołowi audytującemu swoją specjalistyczną wiedzą lub umiejętnościami, ale nie działające w zespole auditującym jako audytorzy. Zestaw audytów mających określony cel określono tam jako program audytów. Opis działań, które wykonywane są w miejscu w którym przeprowadzany jest audit i związanych z tym ustaleń organizacyjnych określono jako plan auditu. Obszar na którym będzie przeprowadzony audit, badane jednostki organizacyjne oraz audytowane procesy i ramy czasowe w których miało miejsce auditowanie określono jako zakres auditu. Wykazane podczas auditu zdolność do stosowania wiedzy oraz umiejętności określono jako kompetencje. Jak przebiega audyt wewnętrzny ISO 9001 Informacji na temat tego jak przebieg typowy audit wewnętrzny ISO 9001 dostarcza norma PN-EN ISO 19011:2003 zawierająca wytyczne dotyczące audytowania. Audyt wewnętrzny ISO 9001 składa się z następujących po sobie etapów takich jak inicjowanie auditu wewnętrznego ISO 9001, przeprowadzenie przeglądu dokumentacji, przygotowanie do prowadzonych na miejscu czynności auditowych, przeprowadzenie działań auditowych na miejscu, przygotowanie raportu z auditu wewnętrznego ISO 9001, zatwierdzenie raportu z auditu wewnętrznego ISO 9001, rozpowszechnienie raportu z auditu wewnętrznego ISO 90011 i zakończenie auditu wewnętrznego ISO 9001. Po zakończeniu auditu wewnętrznego ISO 9001 podejmowane są działania poauditowe o charakterze korygującym. Istnieje kilka zasad dotyczących tego w jaki sposób powinien zostać przeprowadzony audit. Powinien on zostać przeprowadzony przez osoby niezależne od audytowanych. W jego trakcie należy zachować staranność i postępować etycznie. Dowody z auditu powinny być wiarygodne i weryfikowalne. Inicjowanie auditu wewnętrznego ISO 9001 Pierwszą czynnością którą należy wykonać aby zainicjować audit wewnętrzny ISO 9001, a tym samym pierwszą czynnością, którą należy wykonać aby przeprowadzić audit wewnętrzny ISO 9001 jest wyznaczenie przez osobę odpowiedzialną za zarządzanie programem audytów audytora wiodącego. Auditor wiodący nazywany również liderem zespołu audytowanego jest odpowiedzialny za wykonanie auditu wewnętrznego ISO 9001, sporządzenie raportu z auditu wewnętrznego ISO 9001 i wyznaczenie osób zarządzających programem auditów wewnętrznych ISO 9001 w danym przedsiębiorstwie. Auditor wiodący odpowiedzialny jest również za wyznaczenie pozostałych członków zespołu audytowanego i ekspertów technicznych. Wyznaczenie tych osób następuje w porozumieniu z osobami zarządzającymi programem połączonym z akceptacją audytowanej jednostki. Następnie należy określić cel, zakres oraz kryteria auditu wewnętrznego ISO 9001. W kolejnym kroku określana jest wykonalność auditu wewnętrznego ISO 9001. Podczas określania wykonalności auditu wewnętrznego ISO 9001 pod uwagę brana jest ilość dostępnego czasu, informacji i innych zasobów niezbędnych do przeprowadzenia auditu wewnętrznego ISO 9001. Po przeprowadzeniu tych czynności następuje nawiązanie kontaktu z audytowanym. Przegląd dokumentacji W kolejnym kroku następuje przegląd dokumentacji dotyczącej systemów zarządzania w tym również raportów z poprzednich audytów. Przygotowanie działań realizowanych na miejscu Osoby wybrane do przeprowadzenia audytu wewnętrznego ISO 9001 przed jego przeprowadzeniem działań audytowych na miejscu audytu wewnętrznego ISO 9001 powinny wykonać szereg działań przygotowawczych. Przede wszystkim polegają one na przygotowaniu planu audytu wewnętrznego ISO 9001. Plan ten powinien zawierać cele stawiane przed audytem wewnętrznym ISO 9001, kryteria audytu wewnętrznego ISO 9001, zakres audytu wewnętrznego ISO 9001, informacje na temat miejsc w których zostanie przeprowadzony audyt wewnętrzny ISO 9001, czasu audytu wewnętrznego ISO 9001 oraz odpowiedzialności i roli zespołu audytującego. Obok planu audytu wewnętrznego ISO 9001 opracować należy również listy kontrolne pytań zawierające zagadnienia, które poruszane będą podczas audytu wewnętrznego ISO 9001. Opracowywane są one dla wszystkich audytowanych podczas audytu wewnętrznego ISO 9001 działów, procesów oraz elementów norm. Przeprowadzenie działań auditowych na miejscu Po przeprowadzeniu działań przygotowawczych nadchodzi kolej na „właściwy” audyt wewnętrzny ISO 9001 czyli przeprowadzenie działań audytowych na miejscu. Działania przeprowadzane na miejscu to największa grupa działań związanych z audytem wewnętrznym ISO 9001. Spotkanie otwierające Działania realizowane na miejscu rozpoczynają się od spotkania otwierającego mającego na celu potwierdzenie planu auditu wewnętrznego ISO 9001 i określenie zasad prowadzenia auditu wewnętrznego ISO 9001. Podczas spotkania następuje krótka prezentacja w trakcie której osoby audytowane informowane są o tym w jaki sposób wykonywane będą działania auditowe, potwierdzane są sposoby komunikowania się, a auditowani informowani są o możliwości zadawania pytań. Spotkania zazwyczaj rozpoczynane jest przez kierownika audytowanego obszaru słowami powitania i wystąpieniem wprowadzającym. Następnie prowadzenie spotkania przejmowane jest przez audytora wiodącego. Auditor wiodący prowadzi spotkanie w oparciu o wcześniej przygotowany porządek spotkania. Pilnuje on aby szybko i skutecznie wypełnione zostały jego poszczególne punkty. Podczas spotkania przedstawiani są audytorzy oraz cel i zakres audytu wewnętrznego ISO 9001. Omówione zostają sprawy organizacyjne takie jak godziny w których odbywać się będzie praca audytorów, pomieszczenia w których pracować i spotykać się będą audytorzy, środki transportu, którymi będą się oni poruszać, metody sprawozdawczości i inne. Uważa się, że czas spotkania organizacyjnego nie powinien przekraczać 15 minut. Zbieranie i weryfikowanie informacji Następnie następuje zasadnicza faza auditu wewnętrznego ISO 9001 czyli zbieranie oraz weryfikowanie informacji. Faza ta stanowi podstawę do określenia dowodów z auditu wewnętrznego ISO 9001. Informacje zbierane są poprzez rozmowy będące głównym źródłem informacji z audytu wewnętrznego ISO 9001, przeglądanie dokumentów, obserwowanie działań i inne czynności. Dzięki zdobytym informacjom audytorzy mogą ocenić czy zastana na miejscu sytuacja zgodna jest z kryteriami auditu wewnętrznego ISO 9001 i jakie są możliwości doskonalenia. Wszelkie zauważane niezgodności oraz dowody tych niezgodności są zapisywane. Na podstawie zdobytych informacji przygotowywane są wnioski z auditu wewnętrznego ISO 9001. Wnioski te mogą dotyczyć zgodności systemu zarządzania jakością z przyjętymi kryteriami, skuteczności wdrożenia tego systemu oraz doskonalenia i utrzymywania systemu. Spotkanie zamykające Czynności przeprowadzane na miejscu auditu wewnętrznego ISO 9001 kończy spotkanie zamykające podczas którego przedstawiane są wnioski i ustalenia z auditu wewnętrznego ISO 9001. Najczęściej uczestniczą w nim te same osoby, które uczestniczyły w spotkaniu otwierającym niemniej to jakie osoby uczestniczyć powinny w tym spotkaniu nie zostało jasno określone. Wśród uczestników spotkania powinny znajdować się przedstawiciele audytowanego obszaru co umożliwi omówienie z nimi wyników auditu wewnętrznego ISO 9001, wyjaśnienie niezgodności, przekazanie spostrzeżeń i wniosków oraz uzgodnienie kwestii związanych z dostarczeniem im raportu. Spotkanie to prowadzone jest przez audytora wiodącego. Podczas spotkania dziękuje on audytowanym za pomoc w przeprowadzeniu auditu wewnętrznego ISO 9001 i poświęcony czas oraz przypomina o celu i zakresie auditu wewnętrznego ISO 9001. Podczas spotkania wspomina się również o istniejących ograniczeniach audytu w tym zwłaszcza o tym, że audit to jedynie wyrywkowe badanie działalności, co oznacza, że wiążę się z nim ryzyko spowodowane pobraniem jedynie wybranych próbek do audytu. Następnie przedstawiane są niezgodności. Odczytywane są one po kolei jedna po drugiej. Najlepiej jest jeśli kopie opisów niezgodności zostaną dostarczone przedstawicielom audytowanego przedsiębiorstwa przed spotkaniem, ale ze względu na występujące ograniczenia czasowe bardzo trudne jest zrealizowanie tego w praktyce. W związku z tym kopie opisów niezgodności najczęściej wręczane są na spotkaniach zamykających. Po przedstawieniu niezgodności auditowani mają możliwość zadawania pytań dotyczących ich obszarów działalności. Jak wspominaliśmy efektami auditu wewnętrznego ISO 9001 bardzo często jest wprowadzenie działań korygujących. Pierwsze propozycje dotyczących tych działań często przedstawiane są już na spotkaniu zamykającym. Nie należy jednak zapominać o tym, że działania korygujące często wymagają przemyśleń od audytowanego, przeprowadzenia konsultacji i zdobycia przez niego nowych informacji w związku z czym spotkanie korygujące zwykle nie jest najlepszym miejscem na ich przedyskutowanie. Na zakończenie spotkania omawiana jest kwestia raportu auditu wewnętrznego ISO 9001 czyli to, kiedy najprawdopodobniej zostanie on dostarczony oraz sporządzony. Przygotowanie, zatwierdzenie i rozpowszechnianie raportu z auditu Po zakończeniu spotkania przychodzi czas na wykonanie raportu z auditu wewnętrznego ISO 9001. Raport ten powinien zawierać miedzy innymi cele i zakres auditu wewnętrznego ISO 9001; dane umożliwiające identyfikacje klienta auditu wewnętrznego ISO 9001, audytora wiodącego i członków jego zespołu; datę i miejsce przeprowadzenie audytu wewnętrznego ISO 9001; kryteria według których przeprowadzony został audyt wewnętrzny ISO 9001 oraz ustalenia i wnioski z audytu wewnętrznego ISO 9001. Raport powinien zostać zatwierdzony w zgodzie z dotyczącą audytów wewnętrznych ISO 9001 procedurą oraz w uzgodnionym terminie przekazany klientowi. Wnioski znajdujące się w raporcie mogą nieznacznie różnić się od przedstawionych na spotkaniu zamykającym ze względu na to, że auditujący mieli czas na uporządkowanie zebranych informacji nie mniej podstawowy sens podsumowania nie powinien się znacząco różnić od przedstawionego podczas spotkania zamykającego. Raport podpisywany jest przez audytora wiodącego. Końcowy raport może zostać wysłany auditowanemu lub dostarczony mu osobiście przez auditujacego. Jeden egzemplarz raportu z auditu wewnętrznego ISO 9001 dostarczany jest kierownictwu audytowanej jednostki. Działania korygujące Po zakończeniu auditu wewnętrznego ISO 9001 przeprowadzane są działania korygujące. Działania te nie są uważane za część auditu wewnętrznego ISO 9001. Ich skuteczność może zostać zweryfikowana podczas kolejnego auditu wewnętrznego ISO 9001. Niezgodności ISO 9001 Wielokrotnie wspominaliśmy o niezgodnościach. W związku z tym warto wyjaśnić znaczenie tego terminu. Niezgodność to niespełnienie wymagania. Na potrzeby auditu wewnętrznego ISO 9001 niezgodność może być definiowana jako „zwięzły zapis słowny zawierający określone wymaganie i przedstawiający dowód niespełnienia tego wymagania” Oznacza to, że dla audytora najważniejsze jest spełnienie obowiązujących audytowanych wymagań mieszczących się w zakresie przeprowadzanego auditu wewnętrznego ISO 9001. Wymagania znajdują się w normach systemu zarządzania, księdze zarządzania jakością, procedurach, instrukcjach, warunkach znajdujących się w kontrakcie lub umowie, przepisach prawnych, specyfikacjach technicznych i innych dokumentach. Istnieje wiele przyczyn niezgodności. Najczęściej spowodowane są one tym, że procedury nie spełniają wymagań normy, są nieskuteczne, nie są stosowane lub stosowane są niewłaściwie. W trakcie auditu wewnętrznego ISO 9001 zazwyczaj wykrywanych jest wiele niezgodności. O zauważanych niezgodnościach audytor powinien na bieżąco informować przedstawicieli działu na terenie którego przeprowadzany jest audyt oraz zapisywać je w celu przedstawienia na spotkaniu kończącym oraz w raporcie końcowym. Podczas audytów wewnętrznych ISO 9001 wykrywane są niezgodności różnej wagi. Klasyfikowane są one przez audytorów według poziomów niezgodności. Zasady według których klasyfikowane są niezgodności określane są przez jednostki zajmujące się certyfikacją systemów zarządzania. Najczęściej spotykane terminy na określenie wagi niezgodności to mała, drobna, znacząca lub duża. Niezgodności małe lub drobne to między innymi pojedyncze przypadki postępowania niezgodnego z procedurami. Duże niezgodności to wady całego systemu, znaczne niespełnienie wymagań normy lub brak uwzględnienia wymagań normy w systemie zarządzania. Za dużą niezgodność można uznać też wiele małych niezgodności znajdujących się w jednym miejscu lub dotyczących pojedynczego obszaru działalności. Dla zakwalifikowania niezgodności jako małej lub dużej podstawowe znaczenie mają dwa czynniki. Są to negatywne skutki, które mogą wystąpić jeśli niezgodność nie zostanie usunięta oraz prawdopodobieństwo ich wystąpienia w związku z występowaniem niezgodności. Obiektywne dowody, które zostaną wykryte podczas audytu zapisywane są oraz uzgadniane z osobą audytowaną. Powinny one zostać przedstawione w sposób umożliwiający ich zrozumienie za równo przez uczestników auditu wewnętrznego ISO 9001 jak i przez osoby nie biorące w udziału w audycie wewnętrznym ISO 9001. Niezgodności powinny być poparte dowodami obiektywnymi. Dowody obiektywne to potwierdzone i rzeczywiście istniejące dowody odnoszące się do konkretnych wymagań. W przypadku pojawienia się wątpliwości co do niezgodności rozpatrywane są one na korzyść audytowanego. Podczas auditu wewnętrznego ISO 9001 niezgodności zapisywane są poprzez tworzenie odręcznych notatek. Właściwie prowadzone notatki powinny zawierać informacje dotyczące miejsca i okoliczności zauważenia niezgodności, tego na czym one polegały oraz na temat osób w obecności których zostały one zaobserwowane. Opis niezgodności najczęściej powstaje na naradzie audytorów przeprowadzanej przed spotkaniem zamykającym. Opis dokonywany jest z pomocą formularzy umożliwiających szybkie i łatwe zapisanie wykrytych niezgodności w ujednoliconej postaci. Inne rodzaje audytów ISO 9001 Nasz artykuł poświęciliśmy tematyce audytu wewnętrznego znanego również jako audyt pierwszej strony niemniej nie należy zapominać o tym, że istnieje jeszcze drugi rodzaj auditu ISO 9001, a mianowicie audit zewnętrzny ISO 9001. Audyty zewnętrzne są znacznie bardziej sformalizowane od audytów wewnętrznych, a w ich trakcie powstaje znacznie większa ilość dokumentacji. Wyróżniamy dwa rodzaje audytów zewnętrznych ISO 9001 są to audyt drugiej strony i audyt trzeciej strony. Audit drugiej strony Audit drugiej strony przeprowadzany jest u dostawców przedsiębiorstwa. Audit drugiej strony może być przeprowadzany przez własny zespół audytorów lub przez wyspecjalizowaną w tego typu audytach firmę zewnętrzną. Audyty drugiej strony przeprowadzane są w celu upewnienia się przez odbiorców oraz zleceniodawców co do solidności organizacji z którymi współpracują. Audyty drugiej strony umożliwiają im ocenę możliwości zagwarantowania przez nie stałego poziomu jakości dostaw. Zakres auditu drugiej strony określany jest przez zlecającą go organizacje po uwzględnieniu czynników takich jak rodzaj dostarczanego przez dostawcę wyrobu i jego wpływ na jakość produkowanych wyrobów gotowych. Regularnymi audytami obejmowane są zwłaszcza firmy nie posiadające certyfikowanych systemów jakości. Odpowiednio przeprowadzone audity mogą przyczyniać się do poprawy zrozumienia dotyczącego wymagań i umożliwiają wspomożenie dostawcy w poprawie stosowanego przez niego systemu jakości. Skutkuje to zwiększeniem poziomu zaufania pomiędzy kooperantami. Audit trzeciej strony Audit trzeciej strony znany też jako audyt certyfikujący przeprowadzany jest przez niezależnych audytorów pochodzących z upoważnionej jednostki certyfikującej. Zapewnia to pełną obiektywność audytu certyfikującego. Audit certyfikujący przeprowadzany jest na wniosek kontrahentów lub w celu zwiększenia renomy firmy, a tym samym ugruntowania jej pozycji na rynku. Pozytywne przejście tego rodzaju auditu umożliwia organizacji uzyskanie odpowiedniego certyfikatu potwierdzającego zgodność systemu jakości lub środowiskowego przedsiębiorstwa z wymaganiami znajdującymi się w normie ISO 9001. Pomyślne zakończenie audytu certyfikującego skutkuje wzrostem zaufania zleceniodawców oraz innych zainteresowanych stron do danego przedsiębiorstwa. Podobieństwa i różnice pomiędzy poszczególnymi rodzajami audytów ISO 9001 Pomiędzy poszczególnymi rodzajami audytów ISO 9001 występują znaczące podobieństwa dotyczące ich struktury. Istnienie podobieństw pomiędzy różnymi rodzajami audytu ISO 9001 w tym zwłaszcza podobieństw dotyczących ich głównych zasad, układu oraz kolejności nie oznacza, że poszczególne rodzaje audytów ISO 9001 wyglądają identycznie. Jest wręcz przeciwnie. Znacząco różnią się one pomiędzy sobą. Wynika to głównie z wspomnianych wcześniej różnic dotyczących funkcji poszczególnych rodzajów audytów. Głównym celem auditu wewnętrznego jest doskonalenie systemu jakości lub systemu środowiskowego danego przedsiębiorstwa. Celem auditów zewnętrznych, czyli audytów drugiej i trzeciej strony jest zdobycie informacji na temat tego jak wygląda stan systemu zarządzania jakością stosowany w danym przedsiębiorstwie. W przypadku audytu drugiej strony czyli przeprowadzanego u dostawców umożliwia to dokonanie wyboru i klasyfikacji dostawców przez przedsiębiorstwo. W przypadku dostawców trzeciej strony umożliwia to przyznanie przedsiębiorstwu certyfikatu potwierdzającego spełnienie wymagań normy ISO 9001. Różnica dotycząca funkcji rzutuje na inne czynniki dotyczące audytów. Duże różnice dotyczą stopnia sformalizowania poszczególnych rodzajów audytów. Najbardziej sformalizowany jest audit certyfikujący. Związane jest to z istotnością dokumentu, który otrzymywany jest po pozytywnym przejściu tego auditu oraz koniecznością przestrzegania zasad certyfikacji przez jednostkę certyfikującą. Pomiędzy poszczególnymi rodzajami audytów występuje też wiele innych różnic dotyczących zakresu i formy przyjmowanych przez raport z auditu, występujących podczas auditu ograniczeń, dokumentowania niezgodności oraz oceniania działań korygujących. Podczas audytów wewnętrznych przedsiębiorstwo otrzymuje liczne informacje i porady umożliwiające mu poprawę różnych aspektów swojej działalności. W przypadku auditów drugiej strony udzielanie porad dotyczących działań korygujących ma mniejsze znaczenie, a w przypadku audytów certyfikujących często w ogóle nie są one udzielane przez auditorów.

raport z audytu wewnętrznego przykład