Obsah
Keď vyjde nová verzia normy, prvá otázka býva rovnaká - musíme všetko prerobiť? Pri novom vydaní normy ISO 19011 sa nemusíte stresovať. Nemusíte. Ale niečo doladiť budete musieť, a je dobré vedieť čo.
Norma ISO 19011, návod na auditovanie systémov manažérstva, vyšla 27. mája 2026 v štvrtej edícii a nahradila vydanie z roku 2018. To staré je odteraz stiahnuté. Na úvod treba poznamenať, že norma ISO 19011 nie je norma, na ktorú sa certifikujete. Je to návod. Nemá prechodné obdobie a žiadny certifikačný orgán vám podľa nej nevydá certifikát. Platí jednoducho odvtedy, ako vyšla. To je iný režim než pri normách ISO 9001 alebo ISO 14001, ktoré majú trojročné prechodné obdobie.
Prečo by vás teda nové vydanie malo zaujímať, keď sa na ňu necertifikuje? Lebo sa podľa nej riadia takmer všetky audity, ktoré v organizácii vykonávate. Interné audity, audity dodávateľov, príprava na certifikačný audit, to všetko sa opiera o normu ISO 19011. Keď sa zmení návod, zmení sa aj prax. A certifikačné orgány, audítori aj programy interných auditov sa s ňou skôr alebo neskôr musia zosúladiť.
Čo zostalo
Začnem tým, čo sa nemení, to je dôvod, prečo nemusíte panikáriť. Sedem princípov auditovania ostalo - integrita, čestná prezentácia, náležitá odborná starostlivosť, dôvernosť, nezávislosť, prístup založený na dôkazoch a prístup založený na riziku. Štruktúra normy je tiež zachovaná - princípy, riadenie programu auditov, vykonávanie auditu a hodnotenie kompetentnosti audítorov. Ak máte program auditov nastavený podľa predchádzajúceho vydania, nemusíte ho prerábať. Revízia je evolučná, dolaďuje a spresňuje, zásadne nemení.
To je dobrá správa pre každého, kto sa bál, že príde ďalšia veľká prestavba dokumentácie. Nepríde.
Vzdialené a hybridné audity už nie sú výnimka
Najväčší posun je v tom, ako norma narába so vzdialeným auditovaním. Vo vydaní 2018 bolo vzdialené auditovanie skôr okrajová možnosť, čosi, čo sa použije, keď to inak nejde (napr. počas pandemických opatrení). Realita sa medzitým zmenila. Po pandémii sa vzdialené a hybridné audity stali bežnou súčasťou praxe a norma to teraz naplno akceptuje.
Nové vydanie vzdialené a hybridné audity zahrnulo do celého životného cyklu auditu. To znamená, že už pri plánovaní programu auditov rozhodujete, čo sa dá overiť na diaľku a čo si vyžaduje fyzickú prítomnosť, a robíte to podľa rizika, rozsahu a kvality dôkazov, nie len tak náhodne. Norma sa pritom opiera o technickú špecifikáciu ISO/IEC TS 17012:2024, ktorá dáva konkrétny návod na efektívne vykonávanie vzdialených auditov.
V praxi to vyzerá napríklad tak, že dokumentáciu preveríte na diaľku ešte pred návštevou a fyzicky overíte to, čo treba vidieť na vlastné oči - prevádzku, pozorovanie procesov, overenie v teréne. Tomuto sa budem venovať podrobnejšie v samostatnom článku, lebo je to oblasť, kde sa dá v audite najviac získať aj najviac pokaziť.
Kompetentnosť audítora sa rozšírila o digitálnu časť
S tým, ako sa audity presúvajú do digitálneho prostredia, sa zmenilo aj to, čo má audítor vedieť. Okrem klasických audítorských zručností sa od neho teraz očakáva, že sa vyzná v digitálnych nástrojoch, vie posúdiť elektronické dôkazy a má povedomie o informačnej bezpečnosti.
Neznamená to, že z audítora urobíte IT špecialistu. Znamená to, že audítor má byť schopný pracovať s digitálnymi nástrojmi a rozumieť ich možnostiam a obmedzeniam. Keď posudzujete elektronický záznam z informačného systému, mali by ste vedieť posúdiť jeho vierohodnosť - kto k nemu mal prístup, či sa dal upraviť, čo hovorí história zmien. Elektronický dôkaz nie je automaticky spoľahlivejší než papierový len preto, že je na obrazovke.
Rizikový prístup je konkrétnejší
Prístup založený na riziku bol v norme aj predtým, ale vydanie 2026 ho popísalo zrozumiteľnejšie. Riziká a príležitosti sa teraz posudzujú na troch úrovniach: na úrovni programu auditov, na úrovni jednotlivého auditu a na úrovni zvolených audítorských techník. A norma každú z týchto úrovní výslovne viaže na ciele auditu.
Pre manažéra programu auditov je to jasný signál. Riziká v programe auditov nemajú byť len všeobecný register, ktorý raz vytvoríte a viac sa naň nepozriete. Na jeho základe sa má plánovať rozsah, frekvencia, hĺbka a metódy auditu. Zjednodušene povedané, viac času a pozornosti tam, kde je pre organizáciu najviac rizík.
Dôkazy, dáta a dodávateľské reťazce
Norma pridala aj prísnejší návod na spoľahlivosť dôkazov a bezpečnosť dát. Ako dôkaz prijímate len overiteľnú informáciu, posudzujete jej spoľahlivosť a dbáte na to, aby bola dostatočne konkrétna a sledovateľná. Keď zbierate dôkazy na diaľku, počítate s tým, že to môže priniesť ďalšie obmedzenia a neistoty, ktoré treba zohľadniť pri záveroch auditu.
Dnes množstvo organizácií outsourcuje časť činností alebo sa spolieha na sieť dodávateľov. Norma poskytuje podrobnejší návod, ako auditovať mimo vlastnej organizácie. Pre firmy, ktoré robia audity dodávateľov, je to praktické rozšírenie.
Zladenie s ostatnými normami 2026
Norma ISO 19011:2026 vyšla v tom istom okne ako revízie noriem ISO 9001, ISO 9000 a ISO 14001 a terminológiu si zosúladili. Pojmy používané v rámci auditov teraz sedia s jazykom požiadavkových noriem, čo znižuje priestor na rozdielny výklad medzi audítorom a auditovaným. Pomáha to najmä pri kombinovaných a integrovaných auditoch, keď naraz auditujete viac systémov, napríklad kvalitu, životné prostredie a informačnú bezpečnosť.
Drobnosť, ktorá veľa napovie
Jedna malá zmena dobre vystihuje ducha revízie. Doterajšie znenie poznalo medzi očakávanými osobnými vlastnosťami audítora samostatne vlastnosť „húževnatý” (vytrvalý a zameraný na cieľ) aj vlastnosť opísanú ako schopnosť konať zodpovedne a eticky. Nové vydanie ich zlúčilo do jednej, v anglickom origináli „determined”. Vyzerá to ako kozmetická zmena, ale je za tým posun k jasnejšiemu, súčasnejšiemu jazyku, pričom očakávania zostávajú rovnaké - audítor je vytrvalý, objektívny a sústredený na cieľ aj vtedy, keď to v audite škrípe.
Čo s tým teraz
Ak máte program auditov vypracovaný podľa vydania 2018 a aktuálny, nečaká vás veľké prepracovanie. Čaká vás aktualizácia dokumentácie, kritérií kompetentnosti a niekoľkých návykov. Prejdite si, ako máte ošetrené vzdialené a hybridné audity, či kritériá kompetentnosti audítorov pokrývajú aj prácu s digitálnymi nástrojmi a elektronickými dôkazmi, a či program auditov zohľadňuje identifikované riziká.
Pre slovenské firmy ešte jedna poznámka. ISO 19011:2026 je zatiaľ medzinárodné vydanie. Prevzatie do sústavy STN je samostatný krok a v čase písania tohto článku ešte neprebehlo, takže označenie STN sa môže od medzinárodného líšiť, kým ÚNMS SR normu neprevezme. Sledujeme to a budeme o tom informovať.
Ak práve riešite, ako tieto zmeny premietnuť do svojich interných auditov alebo do prípravy audítorov, ozvite sa. Naše školenia o norme ISO 19011 a poradenstvo vychádzajú z našich skúseností z interných, dodávateľských a externých auditov a zmeny z nového vydania normy sme už zohľadnili.