Руководство по вопросу внутренних аудитов

Документ группы аудиторских практик по ISO 9001 от 19.07.2020. Редакция 1, Дополнение 1.

«Методы менеджмента качества», июнь 2024.
Рубрика: Аудит СМК: практическое руководство.

Организации, стремящиеся получить пригодную, адекватную и результативную систему менеджмента качества, нуждаются в проведении внутренних аудитов для подтверждения того, что их СМК функционирует как предполагалось, и что в ходе аудита будут выявлены слабые связи в системе, а также потенциальные возможности для улучшений. Внутренний аудит действует как механизм обратной связи для высшего руководства; он может давать ему и другим заинтересованным сторонам уверенность в том, что система соответствует требованиям ISO 9001. То, как осуществляется менеджмент внутренних аудитов, является ключевым фактором обеспечения результативности системы менеджмента качества.

Введение

Организации, стремящиеся получить пригодную, адекватную и результативную систему менеджмента качества, нуждаются в проведении внутренних аудитов для подтверждения того, что их СМК функционирует как предполагалось, и что в ходе аудита будут выявлены слабые связи в системе, а также потенциальные возможности для улучшений. Внутренний аудит действует как механизм обратной связи для высшего руководства; он может давать ему и другим заинтересованным сторонам уверенность в том, что система соответствует требованиям ISO 9001. То, как осуществляется менеджмент внутренних аудитов, является ключевым фактором обеспечения результативности системы менеджмента качества.

Требования и руководящие указания

В разделе 9.2.2 ISO 9001 установлено следующее: «Организация должна планировать и разрабатывать программу(ы) аудита (включая частоту и методы его проведения, ответственность, планируемые для проверки требования, а также отчетность об аудитах), которая должна учитывать важность выбранных для проверки процессов, изменения, влияющие на организацию, и результаты предыдущих аудитов, обеспечивать реализацию этой программы и поддержание ее в актуальном состоянии».

Если применять риск-ориентированное мышление, то данное требование предназначено для того, чтобы нацелить программу внутренних аудитов на те процессы и области, в которых предыдущая история показывает наличие проблем, или в которых проблемы, вероятно, могут появиться, или, возможно, уже имеются в связи с характером самих процессов. Эти проблемы могут возникнуть в результате влияния человеческого фактора, а также возможности процесса, чувствительности измерений, изменений требований потребителей, изменений в условиях производства и т. д.

Процессам с высоким уровнем рисков или несоответствий следует отдавать приоритет при разработке программы внутренних аудитов.

Особое внимание необходимо уделить процессам, где влиянию рисков подвержены такие показатели, как:
• серьезность последствий отказа для возможности процесса;
• неудовлетворенность потребителя;
• несоответствие законодательным и нормативным правовым требованиям к продукции (или процессу).

В ISO 9004:2018, п. 10.5 установлено: «Внутренние аудиты являются результативным инструментом для определения уровней соответствия системы менеджмента организации выбранным ею критериям. Они предоставляют ценную информацию для понимания, анализа и улучшения показателей деятельности организации. Внутренним аудитам следует оценивать применение, результативность и эффективность систем менеджмента организации. Это может включать аудит соответствия более чем одному стандарту на системы менеджмента, равно как и выполнение конкретных требований, относящихся к заинтересованным сторонам, продукции, услугам, процессам или конкретным вопросам.

Чтобы быть результативными, внутренние аудиты необходимо осуществлять последовательным образом компетентным людям в соответствии с планами организации по проведению аудитов. Аудиты следует проводить людям, которые не участвуют в проверяемой деятельности, чтобы получить независимое представление о том, что делается.

Внутренний аудит является результативным инструментом для выявления проблем, несоответствий, рисков и возможностей, а также для мониторинга прогресса в решении ранее выявленных проблем и несоответствий. Внутренний аудит также может быть сосредоточен на выявлении передового опыта и возможностей для улучшения».

Примечание: данные руководящие указания из ISO 9004 не являются проверяемыми требованием при проведении аудита по стандарту ISO 9001.

Руководство по проведению аудита

При проведении аудиторами третьей стороны анализа процессов внутреннего аудита им следует оценить:
• компетентность, которая необходима и применима для проведения аудита;
• объективность и беспристрастность процесса внутреннего аудита;
• использование организацией риск-ориентированного мышления при планировании внутренних аудитов;
• степень вовлечения руководства в процесс внутреннего аудита;
• применение руководящих указаний, содержащихся в ISO 19011 (но следует заметить, что ISO 9001 не требует от организации применять ISO 19011);
• то, как использует организация результаты внутренних аудитов для оценки результативности своей СМК и выявления возможностей для улучшения.

Аудитору третьей стороны необходимо:

А) Оценить подход организации к выявлению критически важных областей, равно как и других критически важных характеристик.

Например, установила ли организация:
• свои процессы, являющиеся критическими для обеспечения качества продукции;
• свои сложные процессы или те, которые нуждаются в особом внимании;
• свои процессы, которые нуждаются в валидации;
• свои процессы, которые нуждаются в том, чтобы осуществляющий их персонал был квалифицирован;
• свои процессы, которые нуждаются в непрерывном мониторинге параметров процесса;
• свою деятельность по мониторингу и измерениям, которая требует частой калибровки и/или верификации;
• свою деятельность и процессы, которые «проходят» через несколько мест их осуществления и/или которые требуют напряженного труда и т. п.;
• процессы, в которых имеют место проблемы или которые подвержены рискам, и
• установленные показатели функционирования процессов, которые определяют меры по обеспечению результативности и эффективности, и как эти показатели связаны с общими намерениями и целями организации?

Использует ли организация эту информацию при установлении частоты аудитов таких процессов и видов деятельности?

В) Оценить компетентность внутренних аудиторов организации и команд аудита.

Следует получить свидетельства того, что организация:
• установила требования к компетентности своих внутренних аудиторов;
• привлекает аудиторов, имеющих соответствующую подготовку;
• имеет процесс мониторинга показателей деятельности своих внутренних аудиторов и команд аудита;
• включает в состав команд аудита персонал, который имеет соответствующие знания в конкретных областях деятельности (так, что они в состоянии выявить, где имеется вероятность того, что отклонения в конкретном процессе или виде деятельности могли бы привести к значительным последствиям в отношении качества продукции).

Следует проанализировать, понимают ли внутренние аудиторы внутренне присущий процессу аудита риск в отношении доверия к итогам (результатам) процесса аудита, если:
• им не удалось рассмотреть что-то из того, что является исходным материалом для получения результатов аудита;
• они выбрали неподходящий механизм осуществления выборки;
• «весомость» собранных свидетельств недостаточна;
• они отклоняются от плана аудита и процедур проведения внутреннего аудита.

С) Оценить планирование аудита.

Организации следует максимально использовать имеющиеся ресурсы при осуществлении деятельности по проведению внутренних аудитов. Этому может способствовать принятие риск-ориентированного подхода при планировании внутренних аудитов — результаты такого подхода позволят организации определить программу аудитов, частоту, продолжительность и область проведения внутренних аудитов, хотя ISO 9001 не устанавливает для этого каких-то критериев.

Следует установить, использовала ли организация в своем процессе внутреннего аудита подход, основанный на рисках, при разработке плана внутреннего аудита, чтобы обеспечить результативное и эффективное использование ресурсов. Следует также убедиться, что внутренне присущие риски ошибок или отказов в процессе аудита и в результатах аудита минимизированы.

Организации следует пользоваться результатами предыдущих аудитов при планировании будущих внутренних аудитов.

D) Получить доказательства того, что организация реализовала результативную программу внутренних аудитов.

Принимая во внимание указанные выше факторы, а также проверяя, действительно ли процесс внутреннего аудита ведет к существенным улучшениям СМК, аудиторам третьей стороны следует уметь формировать обоснование того, действительно ли организация реализовала результативную программу внутренних аудитов, и действительно ли результаты внутренних аудитов позволяют провести анализ результативности СМК.

Хорошей практикой проведения аудитов третьей стороной является проведение аудита процесса внутреннего аудита организации в конце аудита. Аудиторам необходимо уметь сравнивать результаты процесса внутреннего аудита со своими собственными результатами и тем самым оценивать результативность этого процесса и осуществляемых по его итогам корректирующих действий.

Перевод РИА «Стандарты и качество»

***
РИА «Стандарты и качество»
Тел. +7 (495) 771-66-52, пишите на e-mail: podpiska@mirQ.ru
или оставляйте заявку на нашем сайте https://ria-stk.ru

Присоединяйтесь к сообществам издательства «Стандарты и качество»:
Telegram: https://t.me/riastk
VK: https://vk.com/ria_stk

#СТандартыиКачество