Введение
Введение в действие новых требований стандарта ГОСТ Р ИСО 9001-2015 [1] повлекло за собой ряд изменений в системе менеджмента качества (СМК) организаций, в числе которых: понимание среды организации, внедрение риск-ориентированного мышления, управление изменениями, более глубокое внедрение подхода в деятельность организаций, отношение к документированной информации. Произошло изменение и в самой структуре стандарта [1], вместо восьми разделов в стандарте разработано десять разделов. Изменения в элементах СМК естественным образом отражаются на процедуре проведения внутреннего аудита – добавленные элементы теперь необходимо включать в процесс оценки СМК. Внутренние аудиты в [1] отнесены в раздел 9 «Оценка результатов деятельности», п. 9.2. В данном контексте можно сказать, что внутренние аудиты являются одним из значимых и мощных инструментов мониторинга, измерения, анализа и оценки деятельности организации.
Цель исследования. При внедрении новых требований стандарта [1] организации нуждаются в понимании процедуры внутреннего аудита: есть ли необходимость что-то менять в методике аудита; требуется ли переподготовка внутренних аудиторов. Целью исследования является разработка рекомендаций по реализации новых требований стандарта ГОСТ Р ИСО 9001-2015 в отношении проведения внутреннего аудита СМК для организаций.
В качестве материалов для исследования была использована информация из стандарта ГОСТ Р ИСО 9001-2015 [1] и других литературных источников [2-5]. В процессе сбора, обработки и анализа материала применялись следующие методы научного исследования: изучение и обобщение информации из литературы, анализ, сравнение, выделение главных компонентов, логический.
Результаты исследования и их обсуждение
Согласно [2] аудит – это систематический, независимый и документируемый процесс получения объективных свидетельств и их объективного оценивания для установления степени соответствия критериям аудита. Ключевое здесь то, что аудит – это процесс, следовательно, к нему относятся все те требования, что и ко всем процессам СМК организации – процесс должен иметь вход, выход, управление, ресурсы, владельца процесса. Внутренние аудиты по-прежнему проводятся самой организацией или от её имени для анализа со стороны руководства и других внутренних целей, и теперь могут служить основанием для декларации о соответствии. При этом независимость аудиторов может быть продемонстрирована отсутствием ответственности за деятельность, подвергаемую аудиту.
Стандарт [1] требует, чтобы организация проводила внутренние аудиты через запланированные интервалы времени, следовательно, аудиты должны осуществлять на плановой основе – как определит сама организация. Как правило, внутренние аудиты проводят не реже одного раза в год, но известны случаи в организациях малого и среднего бизнеса, где внутренние аудиты проводят чаще – 1 раз в полугодие или квартал. Кроме того, здесь также можно говорить о плановых и внеплановых внутренних аудитах. Плановые аудиты проводятся в соответствии с утверждёнными документами и определены на постоянной основе при заданной периодичности. Периодичность внеплановых аудитов может быть обусловлена разными возникающими новыми обстоятельствами, например:
- возникновение риска – внутренний аудит необходимо провести для оценки состояния тяжести последствий;
- внедрение изменений – предварительный внутренний аудит процессов или структурных подразделений позволит понять, как правильно планировать изменения;
- возникшие проблемы, связанные с качеством продукции (услуги) – в качестве инструмента по обнаружению причины проблемы, поиска путей её устранения.
Внутренние аудиты должны оценивать все элементы СМК организации (процессы, состояние рабочих мест, оборудование, качество продукции, среду организации) и анализировать соответствующую документированную информацию (любые документы или записи, относящиеся к элементам СМК или их регламентирующие). В стандарте ГОСТ Р 57189-2016, п. 9.2.1 [3] сказано о том, что «хотя организация должна стремиться к тому, чтобы её система менеджмента соответствовала всем применимым требованиям ИСО 9001, не существует требования, чтобы каждый раздел ИСО 9001 или процесс в СМК были оценены в ходе каждого аудита». Следовательно, организация самостоятельно определяет проверяемые объекты аудита – элементы СМК, исходя из таких факторов как: значимость – насколько важна роль объекта в СМК, бизнесе, эффективности деятельности организации; критичность – насколько текущее состояние объекта вызывает опасения в организации; зрелость – насколько данный объект является самодостаточным и самостоятельным. Таким образом, не обязательно подвергать постоянной проверке все структурные подразделения в организации, но важно оценивать состояние всех бизнес-процессов (основных) и вспомогательных (ресурсных) процессов СМК. Отсюда следует, что необходимо переходить от аудита структурных подразделений к аудиту процессов СМК.
Согласно [1] организация должна планировать, разрабатывать, реализовывать и поддерживать в рабочем состоянии программу аудита, которая определяет периодичность проведения аудита организацией [3]: при определении периодичности проведения аудита организация должна применять риск-ориентированное мышление и рассмотреть, как часто выполнять процесс, как развит и как сложен процесс, любые изменения в процессе, а также цели программы внутренних аудитов. Так более зрелые процессы, возможно, требуют менее частые внутренние аудиты, а более сложные процессы наоборот могут требовать более частое проведение внутренних аудитов. Применение риск-ориентированного мышления при разработке программы аудита было учтено до выхода нового стандарта ГОСТ Р ИСО 9001-2015 [1] – в стандарте ГОСТ Р ИСО 19011-2012 [4], где было определено, что «существуют различные риски, связанные с разработкой, внедрением, мониторингом и анализом программы аудита, что может оказывать влияние на цели программы аудита».
Входными данными при разработке программы могут выступать [3, 5]: численность персонала, вовлеченного в тот или иной процесс; важность процессов; сложность процессов; повторяемость процессов; риски, связанные с процессами; результаты деятельности процессов; приоритеты руководства; изменения, произошедшие в организации; результаты предыдущих аудитов; динамику претензий от потребителей; законодательные и нормативные правовые вопросы.
Программа внутренних аудитов должна также устанавливать методы, которые будут использоваться при проведении внутренних аудитов. Традиционно методы проведения аудитов включают такие, как: интервьюирование – проводится на разных уровнях и с любым сотрудником организации; наблюдение – проводится за состоянием проверяемого объекта; анализ документированной информации – проводится с учётом допустимой выборки. В [4] также приводятся применяемые методы проведения аудита, которые подбираются в зависимости от степени вовлеченности между аудитором и проверяемыми структурными элементами: при взаимодействии с проверяемыми или без взаимодействия с проверяемыми, на местах производственной деятельности или на расстоянии. Согласно [3] организации должны планировать и проводить внутренние аудиты в соответствии с требованиями СМК, проектов или процессов, а не конкретных разделов стандарта ГОСТ Р ИСО 9001-2015 [1].
Перед разработкой программы аудита в организации должно быть распределение и назначение ответственных лиц, участвующих в аудите – аудиторов. Состав аудиторской группы должен обеспечивать объективность и беспристрастность процесса аудита и по возможности аудиторы не должны проверять свою собственную работу. Сложности могут возникнуть в организациях малого и среднего бизнеса, где аудитору могут потребоваться специальные знания и он должен будет проверить свою собственную работу – в этом случае лучше привлекать коллег для беспристрастной и объективной совместной оценки.
К критериям внутреннего аудита относятся: стандарт ГОСТ Р ИСО 9001-2015 [1]; документированная информация, определенная организацией, как необходимая для её функционирования; внешние нормативные и нормативно-правовые документы, относящиеся к деятельности организации и регулирующие её. При определении области внутреннего аудита необходимо учитывать следующие факторы: местоположение проверяемого структурного подразделения; сложность и значимость проверяемого процесса, особенно если он является сквозным процессом; сопутствующие виды деятельности.
В ходе проведения внутреннего аудита СМК организации проводится обмен информацией, аудиторы обсуждают промежуточную информацию, касающуюся обнаруженных несоответствий или потенциальных несоответствий. Как правило, промежуточные совещания проводятся без участия высшего руководства организации, его участие необходимо в случае обнаружения значительных несоответствий. Предшествуют проведению внутреннего аудита предварительное совещание, которое может быть проведено на двух уровнях: на уровне всей организации – принимают участие вся группа внутренних аудиторов, проверяемые лица и высшее руководство; на уровне структурного подразделения – принимают участие вся группа внутренних аудиторов и проверяемые лица. Таким же составом и на двух уровнях может быть проведено и заключительное совещание.
При проведении внутреннего аудита по стандарту [1] авторы В.А. Дзедик, А. Езрахович [4] рекомендуют проверку поддерживающих (обеспечивающих) процессов начинать вместе с проверкой процессов производства продукции и оказания услуги (основных процессов) и заканчивать эту проверку, как правило, на завершающей стадии аудита. Так при проведении аудита раздела 7 «Средства обеспечения», аудитор, определив требования потребителей, законодательные и обязательные требования, а также требования заинтересованных сторон, относящихся к СМК, собрав информацию об управляющих процессах и основных процессах, должен выяснить, проанализировать следующую цепочку [4]: Как определены требования к поддерживающим процессам? Как они выполнены? Если не выполнены, как инициированы корректирующие действия?
Для того, чтобы проверить раздел 8 «Деятельность на стадиях жизненного цикла продукции и услуг» стандарта [1] авторы В.А. Дедик, А. Езрахович [Х1] рекомендуют задать следующие вопросы: Какие процессы жизненного цикла продукции есть в организации? Какой процесс относится к деятельности проверяемого подразделения? Есть ли среди этих процессов переданные на аутсорсинг? Каковы выходные потоки этих процессов и каковы критерии и методы определения их результативности? Каковы управляющие воздействия для этих процессов и какие процессы и/или лица являются поставщиками этих управляющих воздействий? (как правило, такими поставщиками и являются процессы высшего руководства и т.д.) Каковы входные потоки этих процессов и кто является их поставщиками? Каковы ресурсы, необходимые для этих процессов, и кто является их поставщиками? Из каких этапов или подпроцессов состоят эти процессы? Какие требования к поддержанию в рабочем состоянии и сохранению документированной информации установлены для этих процессов? В результате аудитор поймёт, каким образом в организации осуществляется планирование основной деятельности. Полученные объективные данные – основа для дальнейшего аудита процессов жизненного цикла продукции.
В процессе проведения аудита необходимо оценить, насколько требования, разработанные в самой организации, определяемые ей как необходимые и достаточные, действительно выполняются. При этом аудитор не должен требовать наличия какой-либо дополнительной документированной информации (дополнительного журнала или инструкции), а необходимо сравнить: насколько требования, установленные самой организацией соотносятся с требованиями стандарта ГОСТ Р ИСО 9001-2015 [1]. По результатам внутренних аудитов возможно и сокращение объёма документированной информации путём объединения (интеграции) отдельных документов или записей, или исключение неприменяемой и неактуальной документированной информации.
Вообще в целом наблюдается определённая тенденция сокращения объёма документированной информации в СМК, при этом важным остаётся сохранность той документированной информации, которая отражает результаты работы организации по всем направлениям деятельности. Следовательно, аудитор должен обладать гибкостью и достаточной широтой кругозора, чтобы принять во внимание только ту документированную информацию, которая является необходимой и достаточной для подразделения (сотрудника).
Для проведения внутреннего аудита по процессам рекомендуется использовать следующую схему (рисунок), представляющую чек-лист для процесса [на основании материала по курсу «Аудитор/Ведущий аудитор систем менеджмента качества»]. В приведённой схеме процесса рассматривается важность пяти составляющих процесса: каким образом выстраивается управление процессом; что необходимо для начала процесса и что получается в результате процесса; каким образом определяется и распределяются ресурсы для процесса; и самое важное – какова результативность процесса. Таким образом, при проверке процесса аудиторы должны получить ответы на вопросы: входы, выходы, что, как, кто и сколько?
Оценка результативности внедрения и функционирования СМК в ходе проведения аудита может быть проведена по результатам:
- оценки результативности процессов СМК (насколько показатели выполняются/не выполняются);
- сравнения результатов работы структурных подразделений с плановыми значениями; достижения/недостижения стратегических показателей организации;
- оценке достижения/недостижения целевых показателей деятельности организации.
По результатам проведенного внутреннего аудита заполняются установленные формы, например, отчёты с указанием обнаруженных несоответствий. На их основании руководители структурных подразделений, ответственные за проверяемые области, определяют необходимые действия – коррекции или корректирующие действия. Требования к сохранности документированной информации по внутреннему аудиту также определены в стандарте [1].
Формы документированной информации могут быть: программа (график) аудита с отметками о выполнении; отчёты о выявленных несоответствиях (в случае обнаружения несоответствий); отчёты по результатам проведённых аудитов; заполненные чек-листы (опросные листы); итоговый отчёт (аналитическая записка) по результатам проведённых внутренних аудитов и др.
Рис. 1. Чек-лист для проведения внутреннего аудита по процессу
Заключение
Таким образом, основные изменения, которые необходимо учитывать организации при внедрении новой процедуры внутреннего аудита включают:
- изменение в самой документированной процедуре внутреннего аудита – форма документа, необходимость его наличия, корректировка по новому стандарту ГОСТ Р ИСО 9001-2015;
- изменения в чек-листе – добавляются вопросы, касающиеся новых требований стандарта ГОСТ Р ИСО 9001-2015 и подхода к аудиту процесса;
- изменения в объёме проверке – добавляются новые элементы СМК такие как риски, возможности, изменения; отношение к документированной информации – более гибкое;
- переход от предупреждающих действий к риск-ориентированному мышлению; дополнительное обучение требованиям стандарта ГОСТ Р ИСО 9001-2015.
Повышение компетентности внутренних аудиторов может быть проведено как внутри самой организации (внутренне обучение), так через участие в семинарах, тренингах с обязательным изучением новых требований стандарта ГОСТ Р ИСО 9001-2015 [1] и пониманием новых элементов СМК.