Внутренний аудит является механизмом обратной связи для высшего руководства; он может дать гарантию высшему руководству и др. заинтересованным сторонам, что система соответствует требованиям ISO 9001. Ключевой фактор обеспечения результативности СМК – как управляют процессом внутреннего аудита.
2. Требования и руководство
2.1. Пункт 9.2.2 стандарта ISO 9001 гласит следующее:
“Организация должна: планировать, устанавливать, внедрять и поддерживать программу(ы) аудита, включающую периодичность, методы проведения аудита, ответственность, требования к планированию и отчетности, которые должны учитывать важность выбранных для проверки процессов, изменения, влияющие на организацию, и результаты предыдущих аудитов.”
Процессы с более высоким уровнем риска или несоответствия должны иметь приоритет в программе внутреннего аудита. Особое внимание следует уделять процессам, в которых на риск влияют факторы такие как:
- серьезные последствия отказа от технологических возможностей;
- неудовлетворенность клиентов;
- несоблюдение законодательных и нормативных требований к продукту (или процессу).
2.2. ИСО 9004: 2016. Статья 10.5.
«Внутренние аудиты представляют собой результативный инструмент выявления проблем, рисков и несоответствий, а также мониторинга прогресса в закрытии ранее выявленных проблем, рисков и несоответствий (по которым должны быть приняты меры с применением анализа корневой причины, разработки и осуществления планов корректирующих и предупреждающих действий). Внутренние аудиты также могут быть нацелены на выявление лучших практик (которые могут рассматриваться организацией для применения в других областях) и возможностей для улучшения."
3. Руководство по аудиту
Когда аудиторы третьей стороны изучают процесс внутреннего аудита, они должны оценивать такие вопросы как:
- компетенции, которые необходимы при проведении аудита и которые применяются,
- объективность и беспристрастность процесса внутреннего аудита,
- риск-ориентированное мышление при планировании внутренних аудитов организации,
- степень участия руководства в процессе внутреннего аудита,
- использование руководства ISO 19011 (но учтите, что ISO 9001 не требует от организации использовать ISO 19011) и
- способ, каким образом результаты процесса внутреннего аудита используются организацией для оценки результативности ее СМК и определения возможностей для улучшения.
Аудитору третьей стороны необходимо:
а) оценить подход организации к выявлению критических областей, а также других параметры.
Например, организация идентифицировала:
- процессы, которые имеют решающее значение для качества продукции?
- сложные процессы или те, которые требуют особого внимания?
- процессы, которые необходимо проверить?
- процессы, требующие квалифицированного персонала?
- процессы, требующие тщательного мониторинга параметров процесса?
- действия по мониторингу и измерениям, которые требуют частой калибровки и / или проверки?;
- деятельность и процессов, которые происходят в разных местах и / или которые трудоемки и т.д. ?
- процессы, в которых возникли или находятся проблемы? и
- установленные показатели результативности процесса, которые определяют результативность и эффективность и эти меры согласуются с общей целями и задачами?
Использует ли организация такую информацию при установлении периодичности аудита таких процессов и видов деятельности?
б) оценить компетентность группы внутренних аудиторов организации:
Существуют ли доказательства того, что организация:
- определила требования к компетенции для своих внутренних аудиторов?,
- обеспечила соответствующую подготовку аудиторов?,
- создала процесс контроля за проведением внутренних аудиторов?,
- включает в свои аудиторские группы персонал, имеющий соответствующие отраслевые знания (чтобы они могли определить, существует ли вероятность того, что отклонение конкретного процесса или деятельность могут привести к значительным последствиям для качества продукта)?
Необходимо также проанализировать, понимают ли внутренние аудиторы рис недоверия к результатам процесса внутреннего аудита, если они:
- не принимают во внимание то, что является существенным для результата аудита?,
- выбирают неподходящий режим выборки?,
- значимость доказательств, собранных ненадлежащим образом? или
- отклоняются от плана и процедур внутреннего аудита?.
c) оценивать планирование проверок;
Организация должна иметь возможность максимально использовать имеющиеся ресурсы в течение проведение мероприятий внутреннего аудита. Этому может способствовать, чтобы при планировании внутренних аудитов принимался подход, основанный на принятии рисков. Результаты такого подхода позволит организации определить программу аудита, частоту, продолжительность и объем внутренних аудитов, поскольку ISO 9001 не определяет эти критерии.
Следует выяснить, при разработке плана внутреннего аудита использовала ли организация подход, основанный на оценке риска, с тем чтобы обеспечить результативное и эффективное использование ресурсов. Следует также обеспечить, что риски ошибок, присущие процессу аудита, минимизированы.
При планировании будущих внутренних аудитов, организация должна использовать результаты прошлых аудитов.
d) искать доказательства того, что организация внедрила эффективную программу внутреннего аудита.
Принимая во внимание приведенные выше факторы и изучая вопрос о том, приводит ли процесс внутренний аудит к каким-либо ощутимым улучшениям в СМК, аудитор третьей стороны должен быть в состоянии сформировать решение о том, внедрила ли организация результативную программу внутреннего аудита, и если доказательства что внутренние аудиты дают результаты для анализа эффективности СМК.
Хорошая практика при аудитах третьей стороны, когда организация завершает свой внутренний аудит близко аудиту третьей стороны. Тогда аудиторы смогут сравнивать результаты процесса внутреннего аудита в отношении их собственных результатов и тем самым иметь возможность оценить результативность этого процесс и результат корректирующих действия.
автор: А.Прилипко, ведущий аудитор Бюро Веритас Сертификейшн Украина
Консультант по разработке и внедрению СМК
e-mail: oleksii.prylypko@gmail.com, +380 50 414 4045
В помощь аудитору систем менеджмента качества (Серия из 21 статьи). Каждая статья посвящена отдельному пункту стандарта и дает подсказку, в каких документах, которые обычно ведут Организации для осуществления своей деятельности, аудитор может найти подтверждение, что требования стандарта ISO 9001:2015 выполняются. Или, можно ли составить несоответствие по тому или иному разделу стандарта, даже если аудитор считает, что Организация не выполняет требования стандарта.
