Totul despre competențele și evaluarea auditorilor sistemelor de management

Autor: Ion Iordache, PECB Certified ISO/IEC 27001 & ISO 9001 Lead Auditor

MIT! “Auditorii sunt doar niște persoane care bifează ceva pe niște foi de hârtie sau pe un ecran de calculator și care îți spun dacă ești sau nu ești în regulă cu ceva.”

Din păcate, asta este percepția unora despre munca auditorilor sistemelor de management bazate pe diferite standarde ISO. Nu intenționez să schimb impresiile nimănui față de acest mit dar ca “lead auditor” pentru mai multe sisteme de management consider că este de datoria mea să prezint corect munca mea și a colegilor mei auditori.

Pentru început cred că este util să explic ce este un standard ISO și ce sunt auditurile sistemelor de management bazate pe aceste standarde. Voi continua cu tema principală a prezentării: competențele și evaluările auditorilor unde am primit sprijinul colegilor de la DEKRA România, unul dintre furnizorii globali de top pentru servicii de auditare și certificare.

Ghidul “ISO/IEC GUIDE 2:2004 Standardization and related activities – General vocabulary” defineşte standardul ca fiind “un document, stabilit prin consens şi aprobat de către un organism recunoscut, care prevede, pentru utilizare comună şi repetată, reguli, linii directoare sau caracteristici pentru activităţile sau rezultatele acestora, cu scopul de a se obţine gradul optim de ordine într-un anumit context dat”.

Standardele ISO sunt emise de către ISO – Organizația Internațională de Standardizare iar în România, acestea sunt traduse și adaptate de ASRO – Organismul Național de Standardizare din România.

Standardul “ISO 19011:2018 Guidelines for auditing management systems” (SR EN ISO 19011 Linii directoare pentru auditarea sistemelor de management – versiunea română) “furnizează îndrumări pentru toate tipurile și mărimile de organizații și audituri, în diferite domenii de activitate și la scări diferite, inclusiv pentru cele efectuate de echipe mari de audit, caracteristice organizațiilor mai mari, dar și pentru audituri efectuate de un singur auditor, în organizații mari sau mici.”

În ISO 19011 găsim definiția auditului prezentat ca un “proces sistematic, independent și documentat în scopul obținerii de dovezi obiective și evaluarea lor cu obiectivitate pentru a determina măsura în care sunt îndeplinite criteriile de audit” iar în tabelul de mai jos, preluat din aceeași sursă se regăsesc tipurile de audituri cu explicațiile pentru fiecare.

Auditurile interne, uneori denumite audituri de primă parte, sunt efectuate de organizație sau în numele acesteia. Aceste audituri pot fi efectuate, de regulă, de angajați care au fost instruiți cum să auditeze și/sau să efectueze audituri în cadrul și în numele companiei.

Auditurile externe le includ pe cele denumite în general, audituri de secundă și de terță parte.

Auditurile de secundă parte sunt efectuate de părți care au un interes față de organizație, cum ar fi clienții, sau de către alte persoane în numele acestor părți.
Auditurile de terță parte sunt efectuate de organizații de auditare independente, cum ar fi cele care furnizează certificarea/înregistrarea conformității sau agențiile guvernamentale (DEKRA, de exemplu). Auditorii profesioniști lucrează pentru aceste “organisme de certificare” care sunt acreditate la rândul lor de către o terță parte (în România acesta este RENAR)

Nu există calificări obligatorii pentru a deveni auditor pentru un organism de certificare dar organismele de certificare trebuie să demonstreze că auditorii lor sunt competenți, fiecare dintre acestea stabilind o serie de reguli pentru a demonstra acest lucru.

Majoritatea organismelor de certificare preferă să lucreze cu “auditori înregistrați” și/sau cu “auditori certificați”de alte organisme de certificare de personal.

Cele două organizații principale de înregistrare a auditorilor sunt International Register of Certificated Auditors (IRCA) cu sediul în Marea Britanie și Exemplar Global (fost RABQSA până în 2014) cu sedii în Australia și SUA.

Pentru certificarea auditorilor voi prezenta, printr-un exemplu de certificare, “ISO/IEC 27001 Lead Auditor”, cerințele PECB (PECB este un organism de certificare ce oferă educație și certificare în conformitate cu “ISO/IEC 17024 Evaluarea conformităţii. Cerinţe generale pentru organisme care efectuează certificarea persoanelor”).

După finalizarea cu succes a examenului cursului “ISO/IEC 27001 Lead Auditor” se poate solicita certificarea pentru această profesie însă vor trebui să fie îndeplinite toate cerințele specificate în tabel și în conformitate cu “Regulile și politicile de certificare” ale PECB. Pentru a le îndeplini va trebui să demonstrați:

Referințe profesionale – Pentru fiecare cerere de certificare, sunt necesare două referințe profesionale de la persoane care au lucrat cu dvs. într-un mediu profesional și care vă pot valida expertiza în domeniul respectiv.
Experiență profesională – Candidații vor furniza informații complete cu privire la experiența lor profesională (cinci ani, dintre care doi ani de experiență profesională în managementul securității informațiilor), inclusiv titlurile posturilor, datele de începere și de încheiere, fișele posturilor și multe altele. Informații mai detaliate pot fi incluse în CV.
Experiența de audit – Portofoliul de audituri al candidatului va fi verificat pentru a se asigura că candidatul are numărul necesar de ore de audit. Următoarele tipuri de audit constituie experiență validă de audit.
Experiența în proiecte – Portofoliul de proiecte al candidatului va fi verificat pentru a se asigura că candidatul are numărul necesar de ore de implementare.
Evaluarea cererii de certificare – Departamentul de certificare va evalua cererea pentru a valida eligibilitatea candidatului pentru certificare. Un candidat a cărui cerere este revizuită va fi notificat în scris și i se va acorda un termen rezonabil pentru a furniza orice documentație suplimentară, dacă este necesar.
Refuzul certificării – PECB poate refuza certificarea dacă candidații: falsifică aplicația, încalcă procedurile de examinare, încalcă Codul de Etică al PECB, pică examenul, etc.

În multe situații, absolvenții unor cursuri de certificare se opresc doar la finalizarea acestora și nu merg mai departe cu procesul de înregistrare/certificare specificând în CV-urile lor, într-un mod eronat, că sunt “auditori” sau “lead auditori” pentru un standard ISO (ISO/IEC 27001, de exemplu).

Profesioniștii recurg la aceste certificări, care așa cum spunea un prieten de-al meu, “nu se dau de către o asociație a prieteniei” tocmai pentru a demonstra că dețin cunoștințele, calificările și abilitățile necesare pentru ași îndeplini sarcinile de “auditori” sau “lead auditori”.

Cynthia Woodley, conducatoarea echipei care a dezvoltat standardul “ISO/IEC 17024 Evaluarea conformităţii. Cerinţe generale pentru organisme care efectuează certificarea persoanelor” spunea foarte explicit: “Programele acreditate potrivit ISO/IEC 17024 vor mari potentialul de reciprocitate, inlesnind recunoasterea si acceptarea la nivel national si international a certificatelor de competenta profesionala si a organismelor de certificare a personalului.”

Pe lângă toate aceste aspecte standardul “SR EN ISO 19011 – Linii directoare pentru auditarea sistemelor de management” despre care am vorbit deja are o serie de cerințe și îndrumări foarte clare pentru “competențele persoanelor care coordonează programul de audit” iar un capitol întreg este dedicat “competenței și evaluării auditorilor”.

Voi prezenta, pe scurt, câteva dintre aceste cerințe.

Cunoștințe și abilități generale ale auditorilor sistemelor de management. Auditorii ar trebui să aibă cunoștințe și abilitați în domeniile:

Principii, proceduri și metode de audit – un auditor ar trebui să fie capabil: să înțeleagă tipurile de riscuri și oportunități asociate cu auditarea și principiile abordării bazate pe risc pentru auditare; să colecteze informații prin intervievare eficace, ascultare, observare și analizarea informațiilor documentate, inclusiv a înregistrărilor și a datelor; să înțeleagă adecvarea și consecințele utilizării tehnicilor de eșantionare, pentru auditare; să înțeleagă și să ia în considerare opiniile experților tehnici; să confirme că dovezile de audit sunt suficiente și adecvate pentru a susține constatările și concluziile auditului, etc.
Standarde referitoare la sisteme de management și alte documente de referință – standardele sistemelor de management sau alte documente normative sau documente de îndrumare/suport utilizate pentru stabilirea criteriilor de audit sau a metodelor; aplicarea standardelor referitoare la sisteme de management, de către auditat și alte organizații; relațiile si interacțiunile dintre procesele sistemului (sistemelor) de management, etc.
Organizația și contextul ei – necesitățile și așteptările parților interesate relevante, care au impact asupra sistemului de management; tipul organizației, guvernanța, mărimea, structura, funcțiile și relațiile organizației; conceptele generale de afaceri și de management, procesele și terminologia conexă, inclusiv planificarea, bugetarea și managementul personalului, etc.
Cerințe legale și reglementate aplicabile și alte cerințe – legi și cerințe reglementate și autoritățile de administrare asociate; terminologia legală de bază; contractare și răspundere juridică.

Competența auditorilor, specifică domeniului de management și sectorului de activitate, include următoarele:

cerințe și principii ale sistemului de management și aplicarea acestora;
concepte fundamentale ale domeniului de management (domeniilor de management) și sectorului (sectoarelor) de activitate referitoare la standardele de sistem de management, aplicate de auditat;
aplicarea metodelor, tehnicilor, proceselor și practicilor, specifice domeniului de management și sectorului de activitate pentru a permite echipei de audit să evalueze conformitatea în cadrul domeniului de audit definit și să genereze constatările și concluziile de audit corespunzătoare;
principii, metode și tehnici relevante pentru domeniul de management și sectorul de activitate, astfel încât auditorul să poată determina și evalua riscurile și oportunitățile asociate cu obiectivele auditului.

Vreau să mulțumesc colegilor mei de la DEKRA România care mi-au permis să fac publice cerințele lor ca organism de certificare pentru a angaja și desemna un auditor.

Persoanelor interesate să devină auditori DEKRA li se transmite pentru completare, două documente: “Evidence for professional work experience” și “QProfile” (Qualification profile for the approval of auditors) care trebuie să reflecte următoarele:

1. Cerințe de bază:

Curs auditor extern ISO 9001, ISO 14001, BS OHSAS/45001 (acreditat), min. 40 ore/5zile.
Experiența în muncă în domeniul de activitate (EA Scope) pentru care se dorește aplicarea ca și auditor, min. 5 ani.
Experiența în muncă si responsabilități pe sisteme de management, min. 2 ani.
Curs privind legislația pe SSM și mediu, nu mai vechi de un an.

2. Enumerarea, descrierea detaliată a urmatoarelor informații:

Responsabilități în munca pe calitate, mediu si/sau OHSAS/45001.
Evaluări de risc, planuri de prevenție, simulări, raportări mediu/SSM.
Consultanța pe sisteme de management.
Audituri efectuate.
Copie dupa desemnările de la alte organisme de certificare (Bureau Veritas, L’oyds etc)

3. Prima treaptă de desemnare este cea de Trainee.

4. Pentru avansarea la statutul de CoAuditor este necesar un min. de 11 zile de audit + 2 monitorizări.

5. Pentru a deveni Lead Auditor sunt necesare 8 audituri în calitate de CoAuditor + 2 monitorizari.

În funcție de experiența și punctajul acumulat din QProfile, acești timpi pot scădea, dar nu se elimină treptele de Trainee, CoAuditor sau Lead Auditor.

Dacă sunteți interesați de o carieră profesională în domeniul auditului vă invit să vizitați website-ul companiei RQM Cert care vă stă la dispoziție cu peste o sută de cursuri acreditate de diferite organisme internaționale și multe alte programe de formare profesională autorizate de către Autoritatea Naționala pentru Calificări din România (ANC).

Pentru certificarea diferitelor sisteme de management vă recomand informațiile de pe website-ul DEKRA România.

Pentru implementarea în vederea certificării diferitelor sisteme de management, vă invit să intrați pe website-ul meu și/sau mă puteți contacta pe ion@ioniordache.com.

Referințe:

ISO 19011:2018 Guidelines for auditing management systems.
ISO/IEC GUIDE 2:2004 Standardization and related activities – General vocabulary.
Certification Rules and Policies, PECB
Inside the Mind of an ISO Auditor, By Corey Brown.
ISO Guidelines vs. Requirements, By Inderjit Arora
How to get certified as an ISO 9001 lead auditor, By Mark Hammar

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Let’s Connect