Внутренний аудит СМК

Внутренний аудит СМК — это независимая, объективная деятельность по обеспечению гарантий и консультированию, направленная на добавление стоимости и улучшение деятельности организации. Он помогает организации достичь поставленных целей, применяя к оценке систематический дисциплинированный подход к оценке и повышению эффективности процессов и управления рисками. 

Внутренний аудит СМК проводится с целью оценки эффективности системы менеджмента качества организации, а также ее соответствия установленным требованиям. Требования к системе менеджмента могут определяться внешними и внутренними стандартами, законодательными или нормативными документами, а также конкретными планами (например, план проекта или план качества). 

Аудит — это систематический, независимый и документированный процесс установления объективного свидетельства и его объективного оценивания для получения степени соответствия критериям аудита. 

Проведение внутренних аудитов системы менеджмента качества является обязательным требованием стандарта ISO 9001–2015. Для того, чтобы соответствовать требованиям данного стандарта организация должна периодически проводить оценку системы менеджмента на:

• соответствие системы менеджмента собственным требованиям организации;
• соответствие требованиям стандарта ISO 9001–2015;
• соответствие требованиям заказчиков;
• результативность функционирования системы;
• для поиска возможностей для улучшений;
• для обратной связи с руководством. 

Внутренний аудит: принципы 

Внутренний аудит СМК основан на ряде принципов, цель которых — превратить аудит в надежный и эффективный инструмент, который поддерживает политику управления компанией, обеспечивая при этом объективную информацию, на основании которой компания может действовать для улучшения своей деятельности. 

Соблюдение принципов внутреннего аудита является необходимым условием для обеспечения точности, объективности и достаточности выводов, сделанных в ходе аудита. Более того, это позволяет аудиторам, работающим независимо друг от друга, делать аналогичные выводы при проведении аудита в аналогичных обстоятельствах. 

Семь принципов внутреннего аудита: 

1. ЧЕСТНОСТЬ. Аудиторам и руководителям следует:
   • выполнять свою работу честно, старательно и ответственно;
   • проводить аудит только, когда позволяет компетентность;
   • быть беспристрастными, то есть справедливыми и непредубежденными во всех своих действиях;
   • не поддаваться влияниям, которые могут быть оказаны на их мнение при выполнении аудита. 
2. БЕСПРИСТРАСТНОСТЬ. В обнаружениях аудита, заключениях и отчетах по аудиту следует правдиво и точно отражать действия по аудиту. Существенные препятствия, встреченные в процессе аудита, а также неразрешенные мнения и разногласия между аудиторской группой и проверяемой организацией следует отражать в отчетах. Сообщения должны быть правдивыми, точными, объективными, современными, четкими и полными.
3. ПРОФЕССИОНАЛЬНАЯ ОСМОТРИТЕЛЬНОСТЬ. Аудиторам следует проявлять должную тщательность в соответствии с важностью задачи, которую они выполняют, и доверием, которое им оказывает заказчик аудита и другие заинтересованные стороны. Главным фактором является способность принимать обдуманные решения в любых ситуациях в процессе аудита.
4. КОНФИДЕНЦИАЛЬНОСТЬ, под которой понимается защита информации. Аудиторам следует проявлять осторожность при использовании и защите информации. Не следует использовать эту информацию корыстных целях, либо в ущерб организации. Этот принцип включает надлежащее обращение с конфиденциальной и требующей особого отношения информацией. 
5. НЕЗАВИСИМОСТЬ. Этот принцип подразумевает независимость от деятельности, подлежащей аудиту всегда, где это осуществимо. Аудиторам следует сохранять объективность в процессе аудита, чтобы обеспечить уверенность, что обнаружения и заключения аудита основаны только на свидетельствах аудита. 
6. ПОДХОД, ОСНОВАННЫЙ НА СВИДЕТЕЛЬСТВАХ. Свидетельство аудита должно быть проверяемым. Оно должно основываться на выборках имеющейся информации, поскольку аудит проводится в ограниченный период времени и с ограниченными ресурсами. Следует применять соответствующие выборки, так как это связано с уровнем доверия к заключению по аудиту. 
7. РИСК-ОРИЕНИРОВАННЫЙ ПОДХОД. Такой подход должен оказывать существенное влияние на планирование, проведение и отчетность по аудитам, чтобы обеспечить уверенность, что аудит сфокусирован на вопросах, имеющих значение для заказчика аудита и для достижения целей программы аудита. 

Как проводится внутренний аудит СМК?

Проведение внутреннего аудита СМК базируется на “процессном подходе”. Применение процессного подхода является требованием для всех стандартов серии ISO на системы менеджмента в соответствии с Директивами ИСО/МЭК Директивы, часть 1, приложение SL. Следует понимать, что проведение аудита системы менеджмента является проведением аудита процессов организации и их взаимодействия по или по более стандартам на системы менеджмента. Согласованные и предсказуемые результаты достигаются более эффективно и результативно, когда деятельность понятна и управляется как взаимосвязанные процессы, функционирующие как система.

Программа внутреннего аудита СМК

Внутренний аудит СМК может включать в себя аудиты, ориентированные на один или несколько стандартов системы менеджмента, а также на иные требования. При разработке программы аудита необходимо ориентироваться на цели организации, внешние и внутренние факторы, потребности и ожидания заинтересованных сторон, а также на требования к защите и конфиденциальности информации. Ниже приведен пример бланка, используемый для формализации плана или программы внутреннего аудита. 

Информация для разработки программы аудита

1. Цели программы аудита. Постановку целей обеспечивает заказчик аудита. На основании этих целей формируется программа и план проведения внутреннего аудита. Цели могу основываться на следующих вопросах:
   • потребности и ожидания заинтересованных сторон (внешних и внутренних);
   • характеристики или требования к процессам/услугам/продукции, а также изменение этих требований;
   • необходимость оценки внешних или внутренних поставщиков;
   • уровень развития организации или отдельного процесса, уровни развития систем менеджмента (определяемые ключевыми показателями эффективности), возникновение несоответствий, отказов или жалоб;
   • идентификация рисков и возможностей;
   • результаты предыдущего аудита. 
2. Риски и возможности, связанные с программой аудита. Могут существовать следующие риски:
   • риски, связанные с планированием (неудачная постановка целей, объем, место или время проведения, неудачные графики и т.д.);
   • связанные с ресурсами (недостаточный период времени, нехватка технических или людских ресурсов);
   • неэффективность обмена информацией;
   • неэффективная координация аудитов;
   • неэффективный контроль документированной информации, необходимой для успешного проведения аудита;
   • доступность персонала, необходимого для привлечения к аудиту и т.д.
3. Объем и место проведения внутреннего аудита.
   • Место проведения аудита: производственная зона, склад, офис, дирекция и т.д., зависимости от проверяемого объекта и целей;
   • Объем аудита может выражаться, например, в количестве вопросов по аудиту или продолжительности по времени. 
4. График аудитов. Как правило, внутренний аудит СМК проводится один раз в год для всех процессов системы менеджмента. График и периодичность проведения внутреннего аудита устанавливает ответвлённый за СМК в организации. 
5. Критерии аудита. Используются в качестве ссылки, относительно которой определяется соответствие. Могут включаться следующие критерии: проводимая политика, процессы, процедуры, нормы, законодательные или нормативные требования, требования к системе менеджмента, риски и возможности и т.д.
6. Методы аудита. В качестве метода проведения аудита может быть выбран удаленный метод (если применимо), интервью с руководителем процесса, интервью с работниками процесса (например, с операторами производства), групповое интервью и т.д.
7. Критерии для выбора членской группы. Как правило, внутренний аудит СМК проводится силами сотрудников организации. Не обязательно эти сотрудники должны входить в группу службы качества. Любой руководитель (или специалист) при должной подготовке и компетенции может входить в группу аудитора. 
8. Соответствующая документированная информация. Сюда должна входить стандартизированная информация, используемая в организации для обеспечения деятельности процессов, а также любая другая документированная информация, необходимая для проведения внутреннего аудита. 

Методы проведения внутреннего аудита 

Внутренний аудит СМК можно проводить несколькими методами, которые зависят от определенных целей, области и критериев аудита, а также его продолжительности и места проведения. При выборе тех или иных методов следует учитывать компетентность аудиторов и неопределенность, возникающую в результате применения этих методов. 

Проведение внутреннего аудита включает взаимодействие лиц с проверяемой системой менеджмента и технологию, используемую для осуществления аудита. Ниже в таблице приведены примеры методов аудита, которые можно использовать по отдельности, либо в сочетании, чтобы достичь целей аудита. 

Примеры вопросов по внутреннему аудиту

Процесс внутреннего аудита: Производство продукции и услуг. Рассмотрим, каким пунктам стандарта должен соответствовать данный процесс и какие вопросы могут возникнуть у аудиторов. Более того, такая логика составления вопросов поможет подготовиться к внутреннему аудиту в случае, если вы являетесь проверяемым. 

Критериями аудита будет являться соответствие процесса Производства продукции следующим пунктам стандарта ИСО 9001: 

• Пункт 7.5.3 Управление документированной информацией
• Пункт 8.5.1 Управление производством продукции и предоставлением услуг
• Пункт 8.5.2 Идентификация и прослеживаемость
• Пункт 8.7 Управление несоответствующими результатами процессов

Основываясь на содержании данных пунктов, примерные вопросы для аудита:

1. Каким образом оператор может получить доступ к рабочей инструкции? (7.5.3)
2. Как оператор смены узнает свое задание на работу? (8.5.1)
3. Каким образом идентифицируются материалы, не соответствующие требованиям для производства продукции? (8.5.2)
4. Если используются электронные сервисы для хранения документации, попросить оператора найти и показать актуальный план производства. (7.5.3)
5. Как идентифицированы места для хранения брака материалов или сырья? (8.5.2)
6. Проверить актуальность документированной информации (сроки пересмотра, актуальность и т.д.). Например, на общих досках информации. (7.5.3)
7. Проверить результативность обучения производственного персонала. (8.5)

Отчет по внутреннему аудиту

Отчет по внутреннему аудиту готовит руководитель аудиторской группы. Отчет должен содержать следующую информацию: 

• цели аудита;
• область аудита, то есть процессы и подразделения, подлежащие аудиту;
• заказчик аудита;
• группа или участники аудита;
• дата и место проведения аудита;
• критерии аудита;
• обнаружения аудита;
• заключения аудита;
• степень соответствия критериям аудита;
• спорные вопросы между аудиторами и процессами, подлежащими аудиту.

Пример отчета по внутреннему аудиту

Главная страница отчета

Заключение по результатам внутреннего аудита

Отчет по мероприятиям

ИСО 19011–2021 Оценка соответствия. Руководящие указания по проведению аудита систем менеджмента скачать