Документ группы аудиторских практик по ISO 9001 от 22.12.2023. Редакция 1
«Методы менеджмента качества», июль 2024.
Рубрика: Аудит СМК: практическое руководство.
Введение
В разделе 1 ISO 9001 установлено, что организации следует применять СМК, когда она нуждается в демонстрации своей способности постоянно поставлять продукцию и оказывать услуги, которые отвечают требованиям потребителя и применимым законодательным и нормативным правовым требованиям. Отчет об аудите является важным способом продемонстрировать, что организация соответствует этим требованиям ISO 9001.
Документ ISO/IEC 17021-1 «Оценка соответствия. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента» устанавливает минимальный набор требований к отчетности об аудите, но не содержит конкретных форматов для отчетов, относящихся к аудитам соответствия систем менеджмента требованиям ISO 9001. Вместе с тем в некоторых областях сертификации могут быть требования о применении конкретных форматов отчетов. Формат и содержание отчета об аудите могут варьироваться в зависимости от размеров и характера деятельности аудитируемой организации. Они также зависят от целей и области аудита (например, является ли это первичным сертификационным аудитом, надзорным аудитом и т. д.).
Настоящий документ имеет целью обобщить широкий диапазон опыта в подготовке отчетов об аудите в целях удовлетворения потребностей всех заинтересованных сторон.
Заинтересованные стороны и их потребности
Ниже представлены примеры возможных потребителей информации, содержащейся в отчетах об аудитах:
• заказчик аудита;
• высшее руководство / совет директоров;
• представитель руководства;
• внутренние аудиторы;
• орган по аккредитации;
• лицо, принимающее решение об аккредитации;
• орган по сертификации;
• лицо, принимающее решение о сертификации;
• команда по аудиту, которая будет проводить следующие сертификационные аудиты;
• надзорные/регулирующие органы.
Каждому пользователю может требоваться разная информация, поэтому структура отчета об аудите должна быть изменяемой, чтобы удовлетворить эти потребности. Отчету об аудите следует содержать требуемую информацию, удовлетворяя потребности пользователей сбалансированным образом, добавляя тем самым ценность аудиту.
Все заинтересованные стороны могут нуждаться в получении информации о том,
• соответствует ли система требованиям;
• имеются ли возможности для улучшений;
• каковы несоответствия и проблемные области;
• каковы сильные и слабые стороны;
• адекватно ли рассмотрены в системе менеджмента риски, связанные с достижением и поддержанием качества;
• что необходимо для планирования будущих аудитов;
• какие области нуждаются в последующем внимании к ним;
• какая дополнительная информация необходима для принятия решения о сертификации.
Что должно быть в отчетах об аудитах
Отчет об аудите может быть отдельным самостоятельным документом, многокомпонентным документом или ссылаться на другие виды документированной информации (документированные процедуры, хранилища данных и т. п.). Не все приведенные ниже тематические вопросы применимы к каждому типу аудита, и совокупность тем в отдельных отчетах об аудитах может варьироваться.
Предлагается в отчет об аудите включать следующее:
А. Введение.
В этой части отчета следует сослаться на обязательные требования ISO/IEC 17021—1 (см. раздел 9.4.8) и руководящие указания, содержащиеся в ISO 19011 «Руководящие указания по проведению аудита систем менеджмента» (см. раздел 6.5).
B. Обобщенная оценка.
В этой части отчета следует сконцентрироваться на формулировании обобщенной оценки результативности системы менеджмента качества (СМК), включая информацию:
• о сильных и слабых сторонах системы менеджмента;
• о постоянном улучшении;
• о других ключевых показателях деятельности.
Конкретные особо важные достижения следует прокомментировать, равно как и сделать обзор всех тех результатов аудита, которые демонстрируют несоответствия и/или области значительных озабоченностей/тревог (тех областей, где могут возникнуть несоответствия, если выявленные там проблемы не будут успешно разрешены).
Здесь следует сформулировать заключение по аудиту относительно соответствия СМК организации выбранному для оценки стандарту и сформулировать все рекомендации.
Организацию нужно соответствующим образом поблагодарить за гостеприимство, сотрудничество и открытость.
С. Приверженность руководства и его лидерство, цели и задачи.
В этой части отчета следует отразить комментарии по вопросу демонстрации высшим руководством лидерства, а также процессов организации по определению, установлению и распространению политик и целей. В ней нужно описать деятельность по мониторингу, измерению, отчетности о ходе достижения и проведению анализа целей, относящихся к ключевым показателям деятельности. Здесь необходимо отразить соответствующие комментарии об успехах организации в достижении ее целей за период после предыдущего аудита (вместе с тем при первичной сертификации в отношении этой части следует понимать, что организация пока не имеет еще той истории в этом вопросе, которая достаточна для реализации предназначения аудита), а также — для ресертификационных аудитов — результаты анализа развития и достижений СМК за прошедший цикл аудитов, если это приемлемо.
D. Действия, предпринятые по итогам предыдущего аудита.
В этой части отчета следует отразить комментарии по вопросу способности организации в том объеме, в котором это подходит, определить коренные причины всех выявленных ранее проблем с качеством и обеспечить результативность действий, предпринятых для коррекции таких ситуаций и предотвращения их повторного возникновения. Здесь нужно также прокомментировать достаточность официально действующих в организации процессов по осуществлению корректирующих действий.
Если в предыдущий период были выявлены несоответствия, следует прокомментировать, восстановлено ли доверие к способности организации идентифицировать потенциальные несоответствия и предотвращать их повторение.
Е. Процессы внутреннего аудита, анализа со стороны руководства и постоянного улучшения.
В этой части отчета нужно изложить комментарии относительно своевременности осуществления и результативности процессов проведения внутреннего аудита, анализа со стороны руководства, а также постоянного улучшения с точки зрения рисков, связанных с достижением и поддержанием качества.
Дополнительно здесь следует прокомментировать то, каковы успехи организации:
• в реализации запланированных действий, направленных на постоянное улучшение;
• в мониторинге информации, относящейся к степени удовлетворенности потребителей, а также ожиданий потребителей относительно деятельности организации в области качества.
F. Влияние значительных изменений (при их наличии).
Этот раздел может быть применим ко всем типам аудита, вместе с тем более вероятно, что его, скорее, включат в отчеты о надзорных или ресертификационных аудитах, чем в отчет о первоначальном аудите. Здесь следует отразить влияние изменений, например, в составе владельцев организации, зданиях, сооружениях, системах и оборудовании, ключевом персонале, системах менеджмента, области сертификации и т. п.
G. Подвергаемые аудиту системные требования, взаимосвязи, функции, процессы, области деятельности.
Заголовок (или подзаголовки) этой части отчета, возможно, будет необходимо определять индивидуально, чтобы точно отразить специфические функции, области и процессы, подлежавшие аудиту, например, «Продажи», «Поддержание чистоты», «Подготовка персонала и поддержание компетентности», «Ожидания потребителей / их удовлетворенность» и т. д.
В этой части следует указать:
• стандарт на систему менеджмента качества, который был использован в качестве основы для проведения аудита (например: ISO 9001, ISO/ТS 16949 и т. д.);
• ситуацию, подвергнутую аудиту;
• ключевые документы и записи, использованные в ходе аудита, такие, как:
• листки наблюдений,
• планы аудита,
• «история» аудитов,
• «тропы аудита».
Эта часть отчета может быть использована, чтобы изложить комментарии относительно полного или частичного соответствия системы менеджмента организации требованиям к системе, то есть соответствия разделу или конкретным требованиям стандарта на систему менеджмента качества.
Аналогично в этом месте можно разместить комментарии относительно взаимосвязей в системе, то есть о том, в какой степени различные компоненты СМК организации работают совместно (то есть действуют ли они совместно или раздельно), положительно или отрицательно влияя на способность СМК достигать результатов, которые она наметила.
Эти комментарии следует сконцентрировать на результативности связи между требованиями стандарта и такими факторами, как политика организации, цели деятельности, все применимые законодательные требования, установленные обязанности и ответственность, компетентность персонала, производственная деятельность, процедуры, показатели деятельности, или результатами и заключениями по итогам внутреннего аудита.
Комментарии по теме «процессы», скорее всего, будут присутствовать в большинстве отчетов, поскольку аудит СМК обычно проводится по методу «процесс за процессом». В отчете следует уделить внимание применимым требованиям стандарта на СМК, относящимся к каждому процессу, охваченному аудитом, например, планирование процесса, цели процесса, управление документами и записями, обязанности, ответственность и полномочия, компетентность и осознанность, идентификация, прослеживаемость, измерения, мониторинг, калибровка, управление несоответствиями, процесс улучшений и т. д. Особо следует описать те факторы процесса, которые помогают достижению и/или улучшению результатов процесса или, наоборот, тормозят его.
Н. Проверка мест осуществления деятельности.
В эту часть следует включить комментарии относительно условий, имеющихся на месте осуществления деятельности, подвергнутой аудиту, и отразить все неблагоприятные условия или сделанные необычные наблюдения.
I. Оценивание соответствия законодательным, нормативным правовым и другим требованиям, а также коммуникация.
В эту часть отчета следует включить комментарии относительно:
• существующей в организации системы выявления законодательных / нормативных правовых или специфических отраслевых требований, применимых к ее деятельности;
• методов осуществления периодического оценивания соответствия таким требованиям;
• системы доведения информации о любых изменениях в них.
J. Поддержание результативности системы менеджмента.
В этой части следует представить общую оценку того, поддерживается ли результативность СМК организации, и привести комментарии о том, остается ли область сертификации адекватной, приемлемой и применимой, принимая во внимание все произошедшие после предыдущего аудита внутренние и внешние изменения. Примечание: эта часть отчета не применима к отчетам о внутренних аудитах.
К. Использование товарных знаков и/или каких-либо других ссылок на сертификацию.
В этой части следует отразить способы использования организацией товарных знаков органов по сертификации или аккредитации (например, их стационарная установка, размещение в рекламных изданиях, на своих автомобилях) и зафиксировать все подозрения относительно способа использования организацией этих знаков.
L. Вопросы, требующие внимания в будущем.
Здесь в отчете следует отразить проблемы, которые требуют внимания в будущем и (если это приемлемо) установить сроки для реализации запланированных действий, например, в отношении несоответствий, вопросов, остающихся под контролем для обеспечения «закрытия» несоответствий, другие вопросы, требующие внимания.
M. Заявление об отказе от ответственности.
Отчету следует содержать заявление об отказе от ответственности, чтобы выразить то обстоятельство, что аудит основан на процессе случайной выборки доступной информации и что, следовательно, всегда будет присутствовать элемент неопределенности в свидетельствах аудита, который может отразиться на результатах аудита. Таким образом, тем, кто будет полагаться на результаты и заключения по итогам аудита или действовать на их основе, следует иметь в виду эту неопределенность.
В отчете рекомендуется также обратить внимание на то, что до того, как будет принято какое-либо окончательное решение о признании сертификации или поддержании ее в силе, рекомендации по итогам аудита были бы предметом анализа.
ОПУБЛИКОВАНО. ISO 9001 Auditing Practices Group. Guidance on: Audit Reports. Edition 1. Date: 22 December 2023. URL:
https://committee.iso.org/files/live/sites/tc176/files/PDF%20APG%20New%20Disclaimer%2012-2023/ISOTC%20176-TF_APG-AuditReports.pdf.
СТАТУС И РАЗРЕШЕНИЕ. Данный перевод не является официальным. Публикуется с разрешения Международной организации по стандартизации (ISO) и Международного аккредитационного форума (IAF).
Перевод РИА «Стандарты и качество»
***
РИА «Стандарты и качество»
По вопросам подписки обращайтесь по тел. +7 (495) 771-66-52, пишите на e-mail: podpiska@mirQ.ru или оставляйте заявку на нашем сайте https://ria-stk.ru
Присоединяйтесь к сообществам издательства «Стандарты и качество»: Telegram: https://t.me/riastk, VK: https://vk.com/ria_stk.
#СТандартыиКачество
