Классификация и виды аудитов
Внедрение программы аудита
Лицу, ответственному за управление программой аудита, следует осуществлять внедрение программы аудита посредством:
- доведения до соответствующих участвующих сторон тех частей программы аудита, которые непосредственно к ним относятся, и периодическое информирование данных сторон о прогрессе в реализации положений программы;
- определения целей, области и критериев для каждого проводимого аудита;
- координации и календарного планирования аудитов и другой деятельности, связанной с программой аудита;
- обеспечения формирования групп по аудиту, обладающих необходимой компетентностью;
- предоставления необходимых ресурсов группам по аудиту;
- обеспечения проведения аудитов в соответствии с программой аудита и в установленные сроки;
- обеспечения ведения записей по мероприятиям аудита и надлежащего управления и сохранности этих записей.
Мониторинг программы аудита
Лицу, управляющему программой аудита, следует контролировать ее реализацию с учетом необходимости оценивать:
a) соответствие программам аудитов, календарным планам и целям аудита;
b) деятельность членов группы по аудиту;
c) способность групп по аудиту реализовать план аудита;
d) обратную связь от высшего руководства, проверяемых организаций, аудиторов и других заинтересованных сторон.
Анализ и улучшение программы аудита
Лицу, ответственному за управление программой аудита, следует анализировать программу аудита для оценки степени выполнения ее целей. Выводы, сделанные из анализа программы аудита, следует использовать для процесса постоянного улучшения.
Необходимо, чтобы анализ программы аудита охватывал:
a) результаты мониторинга и установленные в ходе его выполнения тенденции;
b) соответствие процедурам программы аудита;
c) выявление потребностей и ожиданий заинтересованных сторон;
d) записи по программе аудита;
e) альтернативные или новые методы в области аудита
f) результативность мер по управлению рисками, связанными с программой аудита;
g) вопросы, связанные с конфиденциальностью и информационной безопасностью, относящиеся к программе аудита.
Критерии аудита продукции, процесса и СМК
Критерии аудита - совокупность политик, процедур или требований, используемых в качестве эталона, в соотношении с которым сопоставляют свидетельства аудита, полученные при проведении аудита.
Критерии аудита используют в виде основы для сравнения, по которой определяют соответствие, и могут включать в себя применяемые политики, цели, процедуры, стандарты, законодательные требования, требования системы менеджмента, контрактные требования или своды правил, регулирующих деятельность в конкретном секторе или других запланированных мероприятий.
Документы или их отдельные разделы, устанавливающие требования к продукции, процессу и СМК и документы, на которые делаются нормативные ссылки ,являются критериями аудита.
Критерием аудита СМК является ГОСТ Р ИСО 9001-2015 «Система менеджмента качества. Требования».
Критериями процесса является внутренняя документированная информация, так как гостов на процессы нет: процедуры, графики по процессам, таблицы с цифровыми и расчетными данными по процессу и т.д.
Критерии продукции: международные и национальные стандарты на продукцию, ТУ, СТО, документированные процедура на продукцию и т.д.
Источники информации, используемые при внутреннем и сертификационном аудитах
Аудитор, используя различные источники информации, осуществляет сбор информации, которая после проверки становится свидетельством аудита. В результате оценки свидетельств аудита относительно его критериев образуются наблюдения аудита, указывающие на соответствие, несоответствие или возможность улучшения. На основе анализа наблюдений аудита составляется заключение по результатам аудита, которое может указывать на необходимость корректирующих и предупреждающих действий или на области возможных улучшений.
Основными источниками сбора информации в ходе аудиторской проверки (как внутренней, так и внешней) являются документы и опросы персонала.
Аудит постоянных улучшений
Структура аудита одна, кроме документов, анализируемых при аудите на адекватность.
При аудите на адекватность, группа аудиторов рассматривает следующие документы: цели и руководство по качеству, отчеты и ДП об анализе со стороны руководства, отчеты и ДП об обратной связи с потребителями, программы подготовки персонала.
Следует подчеркнуть, что требование постоянного улучшения в ИСО 9001 относится к постоянному повышению результативности СМК.
Постоянное улучшение происходит от целей, поставленных высшим руководством, которые следует (по меньшей мере) ставить по отношению: к повышению внутренней эффективности (чтобы организация оставалась экономически конкурентоспособной), к нуждам индивидуальных потребителей и к уровню деятельности, который обычно ожидает рынок.
Единственным настоящим решением для аудитора является проверить, как организация определила этот предлагаемый уровень улучшения, как она оценила связанные риски и как это связано с требованиями потребителя и мониторингом обратной связи относительно удовлетворенности потребителя.
Аудитор должен верифицировать, как общие корпоративные цели были переведены во внутренние требования соответствующих процессов, и как происходит распространение и мониторинг этих требований. Поэтому аудитору следует искать свидетельства того, что организация анализирует данные, полученные от мониторинга процессов, и затем использует результаты для оценивания эффективности процессов и/или улучшения «выходов» процессов. Одним из пунктов, на который следует обратить особое внимание, является согласованность способов, с помощью которых улучшение какого-либо одного процесса вносит вклад в достижение общих целей. Важно обеспечить, чтобы это не вызывало конфликта при достижении других целей.
В ИСО 9001 содержится перечень областей, которые аудитор может оценить, чтобы получить свидетельства как планирования, так и фактического внедрения улучшений. Примерами тех областей, в которых может быть улучшена система менеджмента качества, являются (но не ограничиваются только этим):
· внутренняя коммуникация;
· будущая деятельность;
· документированные процедуры;
· результативность совещаний по проведению анализа системы со стороны руководства;
· системы обратной связи с потребителями;
· программы подготовки персонала (например, руководителей или внутренних аудиторов).
Видом информации, которую аудитору необходимо искать, являются свидетельства того, как корпоративные цели переводятся в конкретные цели СМК. Например, организация могла бы поставить цель снизить число жалоб потребителей на 30%. Проведенный высшим руководством анализ показывает, что 50% жалоб касается задержек с доставкой продукции. В этом случае аудитору следует искать свидетельство того, что организация проводит мониторинг и анализ ключевых аспектов своей деятельности, связанной с составлением графиков и планированием как внутри своих процессов, так и на стыках процессов, чтобы уменьшить задержки.
Важно понимать, что постоянное улучшение не всегда необходимым образом связано именно с постоянным улучшением продукции или процесса. Его можно и следует применять также к системе менеджмента качества как таковой.
Аудитору следует помнить, что было бы нереалистично ожидать, что организация осуществляет улучшения во всех потенциально возможных направлениях одновременно. Постоянное улучшение следует интерпретировать как повторяющуюся (шаг за шагом) деятельность. Оно означает, что организации, когда она выявила возможности для улучшения, и когда она такие улучшения считает обоснованными, необходимо решить, как эти улучшения могут быть реализованы, основываясь на имеющихся в ее распоряжении ресурсах.
Оформление несоответствий
После формулирования и регистрации несоответствия необходимо приступить к оформлению несоответствия в форме отчета о несоответствии.
Отчет должен содержать краткое описание возникшей проблемы, основанное на фактах, иметь подробный заголовок, свой идентификационный номер и реквизиты (дата, подписи и визы). Рекомендуются следующая структура отчета:
1) Описание несоответствия
В этом разделе аудитор излагает подробности отклонения. К таким подробностям относятся следующие:
- почему это является несоответствием, т.е. вопреки каким требованиям:
- почему это является несоответствием, т.е. вопреки каким требованиям:
- где произошло это несоответствие, в каком отделе или виде деятельности:
- кто по должности отвечает за возникновение этого несоответствия.
2) Описание действий по ликвидации несоответствия
В этом разделе описывается, как аудитируемое подразделение изучает результаты зарегистрированного аудитором несоответствия, как принимает решение о необходимых корректирующих действиях и планирует дату его устранения.
3) Ликвидация несоответствия
В этом разделе аудитор вносит подтверждение своевременного выполнения (внедрения) корректирующего или предупреждающего действия с примечанием о его эффективности.
Отчет должен быть датирован и содержать все необходимые реквизиты.
Анализ результата аудита
Результаты аудита, выводы и рекомендации группа аудиторов оформляет в виде отчета.
При подготовке отчета аудиторы должны ответить на вопросы:
• соответствует ли деятельность организации требованиям стандарта ISO 9001 и документов СМ К?
• может ли проверенная деятельность быть упрощена?
• что можно предложить для улучшения деятельности организации? Заключительное совещание проводится с целью доведения до сведения персонала организации результатов работы аудиторской группы для того, чтобы они были понятны и признаны проверяемой организацией и было дано согласие с ее стороны на проведение корректирующих и предупреждающих действий. Любые разногласия по наблюдениям и заключению между аудиторской группой и проверяемой организацией должны быть обсуждены и по возможности разрешены.
Заключительное совещание проводят под председательством руководителя группы аудиторов. На нем должны присутствовать руководство и ведущие специалисты проверяемой организации (заказчика) и все члены аудиторской группы. Совещание носит официальный характер, участники совещания регистрируются.
Во время заключительного совещания аудиторам нужно обратить внимание на то, что аудит осуществляется на договорных условиях и в будущем отчеты по аудиту могут рассматриваться организацией как доказательства исполнения договора. Это является деликатной ситуацией, и руководитель группы аудита должен быть подготовлен к тому, что решения и выводы аудита будут предметом углубленной проверки.
После проведения заключительного совещания заключение по результатам аудиторской проверки в окончательном виде включается в отчет о проведении аудита. В общем случае в состав отчета об аудиторской проверке включают пояснения, если программа аудита выполнена не в полном объеме, а также если имеются отрицательные результаты. При необходимости включают также протоколы о несоответствиях, планы корректирующих (предупреждающих) действий, а также заполненные и подписанные чек-листы и контрольные вопросники, протоколы вступительного и заключительного совещаний и пр.
Классификация и виды аудитов
Аудиты могут быть классифицированы по виду, объекту (рис.1), а по назначению аудиты бывают внутренние и внешние.
Рисунок 1
В зависимости от объекта аудита качества можно выделить аудит системы, аудит процесса и аудит продукции.
Объектом аудита системы является вся СМК как целое в единстве и взаимосвязи процессов, ее образующих. Аудит системы представляет собой масштабную оценку, цель которой - убедится, что систем результативна в части выполнения ее целей и соответствует системным требованиям и требованиям ISO 9001. Это деятельность более высокого уровня, чем аудит процесса, охватывает большую территорию, но не является столь подробной, как аудит процесса. Иногда аудит системы называют вертикальным, поскольку он позволяет убедится в том, что все процессы СМК в совокупности работают. Обычно аудит системы является внешним и проводится второй или третьей стороной (третьей стороной: независимым органом по сертификации систем качества).
Объектом аудита процесса является один или несколько процессов СМК. Во время аудита процесса могут быть изучены все функции или проведено перекрестное исследование входящих в процесс функций. Аудит процесса называют горизонтальным, поскольку большинство процессов в организации протекает в горизонтальных плоскостях ее организационной структуры. Аудит процесса особенно полезен в период разработки СМК. В большинстве случаев аудит процесса проводится сотрудниками организации, т.е. является внутренним. Аудиты процессов можно использовать в качестве средства предупреждения проблем. Часто причиной проблемы является плохо организованный процесс. Внедренная программа аудита процесса является идеальным путем удовлетворения требования постоянного улучшения ISO 9001.
Аудит продукции направлен на продукции или услуги, предоставляемые потребителям. Данный вид аудита является особенно полезным, поскольку проводится с точки зрения потребителя. Аудит продукции помогает реализовать требования ISO 9001, касающиеся взаимодействия организации с потребителем, и может быть как внешним, так и внутренним. Аудиты СМК не являются аудитами продукции, тем не менее, если требуется провести дополнительную проверку продукции, аудитор должен рассмотреть возможность включения такой проверки в план аудита.
Внутренний аудит, называемый «аудитом первой стороной», проводится обычно самой организаций для обследования собственных систем, процедур и работ, чтобы удостоверится в их адекватности и соответствии. Он представляет руководству информацию о том: выполняются ли его приказы, распоряжения; так ли СМК результативна; в каком месте СМК имеют несоответствия.
Внутренний аудит позволяет обеспечить связь по всей организации и выявить возможности улучшения. Внутренний аудит можно использовать в процессе подготовки к сертификации для определения, как продвигается организация к проверке второй и третьей стороной.
Внешний аудит включает аудиты, обычно называемые «аудитом второй стороной» или «аудитом третьей стороной».
Аудит второй стороной – это проверка организации от имени потребителя или другой заинтересованной стороны. Цель такого аудита – получить достаточную информацию о системе менеджмента организации для обеспечения уверенности потребителя в том, что его требования будут выполняться. Аудит второй стороной может проводиться независимой организацией (консалтинговая компания или орган по сертификации), но это будет аудит от имени заинтересованной стороны, если эта сторона выступает в роли го заказчика и получает от проверяющей организации отчет по результатам проверки.
Аудит третьей стороной – это проверка независимой организацией. Аудит третьей стороной является основанием для объективного подтверждения соответствия, т.е. регистрации СМК требованиям ISO 9001.
5 Менеджмент программы аудитов(управление программой аудитов)
Рисунок 1 - Последовательность процессов управления программой аудита
Программа аудита должна включать в себя информацию и ресурсы, необходимые для организации аудитов и их результативного и эффективного проведения в установленные временные сроки, а также может включать в себя следующее:
- цели для программы аудита и отдельных аудитов;
- объем/количество/типы/места проведения и график проведения аудитов;
- процедуры программы аудита;
- критерии аудита;
- методы аудита;
- формирование группы (групп) по аудиту;
- необходимые ресурсы, включая расходы на командировки и размещение аудиторов;
- процессы, связанные с соблюдением конфиденциальности, обеспечением защиты информации и другие подобные вопросы.
Необходимо осуществлять мониторинг и измерения, связанные с внедрением программы аудита, для обеспечения достижения поставленных целей. Для того чтобы идентифицировать возможные улучшения, программу аудита следует анализировать.
Разработка целей программы аудита
Высшему руководству следует обеспечить разработку целей программы аудита, для того чтобы руководить планированием и проведением аудитов, ему также следует обеспечить результативное внедрение программы аудита. Цели программы аудита должны согласовываться и содействовать реализации политики и целей системы менеджмента.
Цели могут быть основаны на рассмотрении следующего:
a) приоритетов руководства;
b) коммерческих и/или деловых намерений;
c) характеристик процессов, продуктов и проектов, а также любых изменений к ним;
d) требований системы (систем) менеджмента;
e) правовых и других требований, которые организация принимает на себя;
f) необходимости в оценке поставщиков;
g) потребностей и ожиданий заинтересованных сторон (включая потребителей);
h) показателей и характеристик деятельности проверяемой организации, что отражается в случаях возникновения нарушений, дефектов, инцидентов или жалоб потребителей;
i) рисков для проверяемой организации;
j) результатов предыдущих аудитов;
k) уровня достигнутого развития системы менеджмента.
Разработка программы аудита
Лицу, управляющему программой аудита, следует:
- установить объем программы аудита;
- определить и оценить риски, связанные с программой аудита;
- определить обязанности по аудиту;
- определить процедуры программы аудита;
- определить необходимые ресурсы;
- обеспечить внедрение программы аудита, включающее в себя определение целей аудита, области и критериев отдельных аудитов, определение методов аудита и формирование группы аудиторов;
- обеспечить управление и сохранность соответствующих записей по программе аудита;
- осуществлять мониторинг, анализ и улучшение программы аудита.
Объем программы аудита может различаться в зависимости от размера и характера деятельности проверяемой организации, а также от характера, функциональных особенностей, сложности и уровня развития проверяемой системы менеджмента и тех ее элементов, которым придается наиболее важное значение.
Существуют различные риски, связанные с разработкой, внедрением, мониторингом и анализом программы аудита, что может оказывать влияние на цели программы аудита. Лицу, ответственному за управление программой аудита, следует рассматривать эти риски при разработке программы аудита. Риски могут быть связаны с:
- планированием, например, ошибкой, связанной с постановкой соответствующих целей аудита и определением объема программы аудита;
- ресурсами, например выделение недостаточного периода времени для разработки программы аудита или проведения аудита;
- формированием группы по аудиту, например недостаточной совокупной компетентностью группы для эффективного проведения аудита;
- внедрением, например, неэффективным доведением и получением информации по программе аудита;
- записями и их управлением, например проблемами с обеспечением необходимой защиты записей аудита, чтобы демонстрировать эффективность программы аудита;
- мониторингом, анализом, улучшением программы аудита, например неэффективным мониторингом результатов программы аудита.
Лицу, ответственному за управление программой аудита, следует разработать одну или несколько процедур, включающих в себя, где это применимо, следующее:
- планирование и составление графиков аудитов с учетом рисков, связанных с программой аудита;
- обеспечение защиты и конфиденциальности информации;
- обеспечение компетентности аудиторов и руководителей групп по аудиту;
- подбор соответствующих групп по аудиту и распределение ролей и обязанностей;
- проведение аудитов, включая использование соответствующих методов на основе выборок;
- выполнение действий по результатам аудита, если это требуется;
- составление отчетов для заказчика аудита (например, для высшего руководства) об основных достижениях программы аудита;
- поддержание записей по программе аудита;
- осуществление мониторинга анализа реализации, рисков и эффективности программы аудита.
При идентификации ресурсов для программы аудита лицу, ответственному за управление программой аудита, следует учитывать:
- финансовые ресурсы, необходимые для развития, внедрения, управления и улучшения деятельности по аудиту;
- методы/технические приемы и средства проведения аудитов;
- наличие аудиторов и технических экспертов, обладающих компетентностью, требуемой для достижения конкретных целей программы аудита;
- объем программы аудита и риски по аудиту;
- время в пути и затраты на транспорт, размещение и другие потребности организационного характера для проведения аудита;
- объем и уровень развития информационных и коммуникационных систем.
Внедрение программы аудита
Лицу, ответственному за управление программой аудита, следует осуществлять внедрение программы аудита посредством:
- доведения до соответствующих участвующих сторон тех частей программы аудита, которые непосредственно к ним относятся, и периодическое информирование данных сторон о прогрессе в реализации положений программы;
- определения целей, области и критериев для каждого проводимого аудита;
- координации и календарного планирования аудитов и другой деятельности, связанной с программой аудита;
- обеспечения формирования групп по аудиту, обладающих необходимой компетентностью;
- предоставления необходимых ресурсов группам по аудиту;
- обеспечения проведения аудитов в соответствии с программой аудита и в установленные сроки;
- обеспечения ведения записей по мероприятиям аудита и надлежащего управления и сохранности этих записей.
Мониторинг программы аудита
Лицу, управляющему программой аудита, следует контролировать ее реализацию с учетом необходимости оценивать:
a) соответствие программам аудитов, календарным планам и целям аудита;
b) деятельность членов группы по аудиту;
c) способность групп по аудиту реализовать план аудита;
d) обратную связь от высшего руководства, проверяемых организаций, аудиторов и других заинтересованных сторон.