Krizový stav a pokračování od 18.5. do 30.6.2020 – provádění auditů

Oficiální vyjádření.

Certifikační orgán EZÚ (CO 3004) vydává toto stanovisko a postup pro provádění auditů v době ohrožení COVID-19 následující po ukončení Nouzového stavu – fáze uvolňování bezpečnostních opatření s ohledem na ochranu zdraví a bezpečnosti auditorů a zaměstnanců klientů EZÚ a dalších zainteresovaných stran.

1. Úvod 

V souvislosti s pandemickou situací, která vznikla rozšířením coronaviru SARS-CoV-2 (COVID-19) (dále jen coronavirus), a drastickým opatřením, které přijaly jednotlivé státy včetně České republiky, došlo k omezení možnosti provádět certifikační činnosti (audity) certifikačními orgány standardním způsobem, v případě zahraničních klientů došlo k úplnému zamezení auditování v místě klienta. 

Bezpečnostní opatření, která brání standardnímu provádění auditů v místě klienta byla realizována zákonnou formou, a to na základě Usnesení vlády České republiky ze dne 12. března 2020 č. 194, kterým byl pro území ČR vyhlášen v souladu s čl. 5 a 6 ústavního zákona č. 110/1998 Sb., o bezpečnosti České republiky z důvodu ohrožení zdraví v souvislosti s prokázáním výskytu coronaviru na území České republiky Nouzový stav na dobu 30 dnů počínaje od 14.00 hodin dne 12. března 2020, který končí k 17. květnu 2020 (nouzový stav byl prodloužen do 17. května 2020). 

Následně přijala vláda Usnesení vlády ČR ze dne 14. března 2020 č. 211, ve kterém ve smyslu § 5 písm. a) až e) a § 6 zákona č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění pozdějších předpisů, ve kterém se rozhodla řešit vzniklou krizovou situaci přijetím krizových opatření minimalizujících možnosti přenosu coronaviru mezi českými občany na únosnou míru cestou zamezení nebo minimalizace možností kontaktu s lidmi dotčenými atakem coronaviru. Krizová situace nadále vzhledem k opatřením vlády ČR stále trvá a je postupně uvolňována. 

V rámci přijatých krizových opatření (společně jen krizový stav) jsou pro české občany sice povoleny cesty do zahraničí, nicméně opatření po návratu z ciziny neumožňují auditorům návrat do zaměstnání. Z toho důvodu je znemožněno provádění auditů v místě klientů sídlících mimo území ČR. 

Současně s celonárodními opatřeními vlády ČR přijala řada českých klientů za účelem ochrany vlastních pracovníků nebo zabezpečení fungování procesů a byznys kontinuity opatření, znemožňující vstup auditorů do výrobních prostor a prostor klienta a tento stav nadále trvá. 

Na základě znovu zvážení rizik z hlediska požadavků na zajištění ochrany veřejného zdraví a ochrany auditorů EZÚ nebo členů CQS i pracovníků dozorovaných firem a dalších zainteresovaných stran před nákazou a taktéž hospodářského/finančního hlediska bude EZÚ postupovat od 18. 5. 2020 do 30.6.2020 následovně: 

2. Rozhodnutí 

a) Opatření přijímaná v souvislosti s informacemi uveřejněnými na webu IAF: https://iaffaq.com/ a za účelem omezení šíření coronaviru značně znemožňují provedení auditů nad systémy managementu standardními dokumentovanými a schválenými postupy EZÚ. 

b) K této situaci, kterou neovlivnil a nemá možnost ovlivnit EZÚ ani jeho klienti, je nutno přistupovat jako k zásahu vyšší moci a po dobu jejího trvání využívat dostupné prostředky, které se od standardních postupů liší, avšak vedou ke stejnému cíli. 

c) Na základě znovu posouzení rizik souvisejících s jednotlivými možnostmi řešení situace popsanými výše bylo rozhodnuto o použití následujících postupů provedení auditu, který zaručuje nejvyšší úroveň ochrany veřejného zdraví a nejnižší dopady na chod ekonomiky českého státu. 

d) Rozhodnutí pro postup posuzováním shody u zakázek prováděných akreditovaným certifikačním orgánem pro certifikaci systémů managementu EZÚ: 

  • Naplánované audity je nutno dohodnout se zákazníky tak, že obdrží seznam veškeré potřebné dokumentace, zejména přezkoumání sytému managmentu, interní audity, registry rizik, aspektů, aktualizace kontextu atd. V plánovaných termínech auditu provede tým auditorů vzdálený audit s využitím komunikačních nástrojů ICT. Ve standardních formulářích zprávy z auditu a plánu auditu se uvede komentář o postupu aplikovaném za krizového stavu a provedený audit se vyhodnotí obvyklým způsobem. 
  • Naplánované audity je možno dohodnout s částečným využitím vzdáleného auditu a s částečným provedením auditu na místě u klienta s omezeným počtem zaměstnanců klienta tak, aby nedošlo k ohrožení zdraví všech zainteresovaných osob. Nutno dodržovat veškeré hygienické předpisy. 
  • Naplánované audity provést standardně na místě u klienta tak, aby nedošlo k ohrožení zdraví všech zainteresovaných osob. Nutno dodržovat veškeré hygienické předpisy. 

e) Při realizaci auditu vzdáleným způsobem je třeba v možné míře uplatnit ustanovení dokumentu IAF MD 4:2018 pro použití informačních a komunikačních technologií (ICT) pro účely auditování/posuzování. Tento dokument v části 0.3 uvádí příklady použití ICT, mezi které patří: 

  • jednání prostřednictvím telekonferenčních zařízení, včetně sdílení audia, videa a dat, 
  • audit/posouzení dokumentu a záznamu prostřednictvím vzdáleného přístupu, a to buď synchronně (v reálném case), nebo asynchronně (na základě požadavku), 
  • záznam informací a důkazů prostřednictvím statického videa, videonahrávek nebo audionahrávek, 
  • poskytnutí vizuálního/audio přístupu do vzdálených nebo potenciálně nebezpečných míst. 

Přitom je třeba uplatnit opatření bránící zneužití, aby nedocházelo k narušení integrity procesu auditu. Současně je nutno zdůraznit, že vzhledem k existujícímu krizovému stavu a požadavku na okamžité řešení problému nebudou některé z požadavků mandatorního dokumentu IAF MD 4:2018 případ od případu splněny. 

f) Toto stanovisko se vydává na dobu určitou, počíná dnem 18. května 2020 a končí dnem 30. června 2020. 

g) Toto stanovisko, na základě provedené analýzy rizik, platí pro realizaci auditů všech systémů managementu. 

3. Zásady provedení vzdáleného auditu 

a) Nemění se formuláře záznamů a zpráv z auditů, záznamů o neshodách ani zpráv z auditu informujících klienta o rozhodnutí certifikačního orgánu, ve věci provedeného auditu. Zprávy z auditu je nutno opatřit komentářem, informujícím o důvodu provedení auditu vzdáleným způsobem podle tohoto stanoviska č.j. 497/20. 

b) Pracovník pověřený vedením auditu (vedoucí auditor) zajistí, aby se vzdálený audit zabýval všemi aspekty, které se podle daného postupu EZÚ prověřují při auditu prováděném na místě, a aby se postup použitý při posuzování co nejméně odchyloval od postupu standardního auditu. Při plánování a volbě nástrojů vzdáleného auditu vezme v úvahu ustanovení dokumentu IAF MD 4:2018, která však vzhledem k naléhavosti situace nemusí být splněna ve všech bodech. Při sestavení plánu auditu bere tento pracovník v úvahu i historické zkušenosti s daným klientem, zejména z předchozích auditů. 

c) Dokumentace auditu musí obsahovat všechny záznamy a formuláře, používané při standardním auditu, zejména stanovení doby trvání auditu, jmenování týmu auditorů včetně akceptace ze strany klienta formou podpisu na dokumentu a jeho odeslání ve formě skenu nebo fotografického snímku, dále záznamy o neshodách (pokud byly vystaveny) včetně vyjádření a podpisů zástupce klienta a záznam z účasti na auditu. Zpráva z auditu musí obsahovat doporučení pro rozhodnutí certifikačního orgánu. 

d) Vlastní vzdálený audit. 

e) Všechna vzdálená hodnocení by měla být zakončena s klientem shrnutím, přezkoumáním událostí dne (dnů), vyjasněním problémů, neshod a očekávání. 

f) Vedoucí auditor by měl mít možnost ukončit vzdálený audit dříve, než bylo plánováno, kvůli špatnému technickému spojení. To by mělo být zaznamenáno ve zprávě z auditu. 

g) Vedoucí auditor, resp. všichni členové týmu auditorů, by měl(i) potvrdit úplné smazání jakýchkoli důvěrných dat, informací, dokumentů, obrázků a jiných záznamů, když o to klient požádá. 

4. Zajištění bezpečnosti a důvěrnosti 

Vedoucí auditor se musí s klientem vzájemně dohodnout na: 

a) způsobu zajištění bezpečnosti informací a ochrany dat a údajů poskytnutých klientem k auditu, 

b) výběru vhodné technologie, infrastruktuře (zahrnuje software a hardware jako např. chytré telefony, kapesní zařízení, laptopy, stolní počítače, drony, videokamery, technologie, které jsou součástí oděvu, umělou inteligence), jednání; prostřednictvím telekonferenčních zařízení, včetně sdílení audia, videa a dat, audit dokumentu a záznamu prostřednictvím vzdáleného přístupu (vzdálené připojení do informačního systému klienta), a to buď synchronně (v reálném čase), nebo asynchronně (na základe požadavku), záznam informací a důkazů prostřednictvím statického videa, videonahrávek nebo audionahrávek, poskytnutí vizuálního/audio přístupu do vzdálených nebo potenciálně nebezpečných míst. Tuto informaci uvede vedoucí auditor do Zprávy z auditu, 

c) všech dalších osobách zúčastněných na provedení auditu (např. překladatel, další přizvaná osoba ze strany klienta…). 

K provedení auditu smí být užito výhradně jen legálního licencovaného SW, který(é) májí členové týmu auditorů k dispozici.