ISO 9001:2015. 4. Аудит по процессам

Процессы

1. Введение

Использование «процессного подхода» - обязательное требование ISO 9001: 2015. Аудиторы должны помнить, что аудит СМК заключается в проверке процессов организации и их взаимодействия.

Рис. 1 Единичный процесc

В пункте 4.4 устанавливаются требования к организации определить и применять процессы, необходимые для ее системы управления качеством, а также учитывать цикл PDCA для постоянного улучшения и интеграции мышления на основе управления рисками. Организация должна определить процессы, необходимые для системы менеджмента качества, и их применение в организации, а также должна:

1. определить требуемые входные данные и ожидаемые результаты для этих процессов;
2. определить последовательность и взаимодействие этих процессов;
3. определить и применять критерии и методы (включая мониторинг, измерения и
4. соответствующие показатели результативности), необходимые для обеспечения
5. результативного выполнения этих процессов и управления ими;
6. определить ресурсы, необходимые для таких процессов, и обеспечить их наличие;
7. назначить ответственности и полномочия в отношении процессов;
8. обрабатывать риски и возможности в соответствии с требованиями п. 6.1;
9. оценивать эти процессы и внедрять все изменения, требуемые для достижения
10. запланированных результатов;
11. совершенствовать процессы и систему менеджмента качества.

Соответственно, аудиты должны быть ориентированы на анализ процессов организации.

Уровень необходимой для процессов документированной информации (т.е. документов или записей), должны быть определены организацией в той мере, в какой это необходимо для обеспечить уверенность в том, что СМК результативна, хотя стандарт не определяет конкретный формат или содержание.

Примеры возможных документов : описание процессов, карты процессов, диаграммы процессов для ИТ, диаграммы черепаха и т. д.

Если описание процесса воспринимается аудитором и проверяемым по разному, аудитор должен стремиться понять точку зрения проверяемого, а не навязывать свое собственное видение до тех пор, пока не станет очевидно (и подтверждено достаточно объективными доказательствами), что требования стандарта не выполняются. Аналогично, если аудитор считает, что определенные процессы были неправильно идентифицированы или отсутствуют, то он должен доказать, что отсутствие такого процесса нарушает требование стандарта.

Проверяемый имеет право использовать свою собственную терминологию, при условии, что требования стандарт соблюдены. В ходе аудита аудитор должен определить, существует ли только проблема использования терминологии или в проверяемой организации отсутствует реальный процессный подход

2. Цели, входы, результаты, деятельность и ресурсы

Если проверяемый не понимает, что процесс должен иметь определенные цели (но они не обязательно должны быть количественно измеримыми), входы, выходы, деятельность и ресурсы, аудитору следует попытаться переформулировать вопросы, но не злоупотреблять жаргоном СМК.

Вот вопросы, которые аудитор может задать в рамках аудита любого процесса:

• Можете ли вы объяснить мне деятельность на вашем рабочем месте?

• Какие основные работы выполняются в вашем отделе?

• Какая вам нужна информация для начала работы?

• Откуда она приходит?

• Кто получает результат вашей работы?

• Откуда вы знаете, правильно ли вы сделали свою работу?

• и т.д..

Такая схема поможет аудитору установить, определены ли уже процессы, имеют ли они четкие входы, выходы, цели и т. д. Аудитору также необходимо проверить, что для соответствующих процессов организация определила цели по качеству, и они соотносятся с ее бизнес-целями и что эти два набора целей не противоречат друг другу.

Показатели результативности KPI соответствующих процессов, могут использоваться для контроля достижения цели. Аудиторы должны оценить пригодность KPI их целевому назначению.

Аудитор должен оценить, обеспечивают ли KPI, которые установила организация результативной работе и контролю за ее процессами, а также связаны ли они с рисками и возможности для этих процессов.

Аудиторы должны проверить, что установленные KPI сбалансированы, не конфликтуют между собой, реалистичны и понятны во всей организации.

3. Процессы должны анализироваться, контролироваться, измеряться и улучшаться

Отсутствие документированной информации или другого доказательства, что организация анализирует, контролирует, измеряет и улучшает свои процессы, может привести к отчету о несоответствии.

Уровень мониторинга, измерения и улучшения каждого процесса будет зависеть от контекста организации, ее стратегической цели, ее рисках и возможностях.

Аудитор не должен упускать из виду общее направление аудита и уходить в  излишние детали. Важно, чтобы аудитор внимательно следил, в частности, за любой документальной информацией, где проверяемая организация определяет взаимодействие своих процессов. Интервью также должно проводиться таким образом, чтобы аудиторы могли проверять определенные организацией входы и выходы процессов.

В ходе аудита у аудитора есть возможность проверить описание проверяемой взаимосвязи процессов. Аудитор должен взять несколько образцов документированной информации, чтобы понять являются ли описания реальным отражением фактической взаимосвязи процессов и определить, является ли описание процесса достаточным.

4. Помочь проверяемым понять процессный подход

Ситуация, когда аудитор сталкивается с полным непониманием со стороны проверяемой организации, обычно должна быть выявлена на первом этапе сертификационного аудита.

Проверяемым следует также уделять достаточное внимание установлению целям процесса, планированию процесса, наличию подходящей документированной информации.

Аудиты часто идентифицируют слишком много процессов; когда некоторые или все являются действиями или определяемые как один из положений стандарта, которые не соответствуют требованиям процесс, в том смысле, как ISO 9001 использует концепцию процесса. В этой ситуации аудитор должен (в первом этапе первоначального аудита) поставить вопрос о необходимости переопределения процессов, на основе, например, критичность деятельности и процесса подход. Это может иметь особое значение для МСП.

Также в этой ситуации аудитор должен отсылать проверяемого к соответствующим документам ISO, таких как процессный подход в ISO 9001: 2015 (см. выше), который дает четкие руководство по этому вопросу. 

Общий список вопросов для аудита процесса

Используя этот чек-лист, аудитор может охватывать большинство требований стандарта ISO 9001

1) Кто или что:

• Процесс?

• Владелец процесса?

• Опрошенный персонал?

• Проанализированная документация?

• Просмотренные записи

2) Какие ресурсы необходимы для этого процесса?

3) Эти ресурсы предоставляются?

4) Определенны, документированы и известны в организации ответственность и полномочия за требуемые ресурсы?

5) Компетентны ли эти лица?

6) Определены ли критерии компетентности? Какие критерии компетентности?

7) Как оценивается, подтверждается и контролируется компетенция и каким методом?

8) Результативны ли эти методы? - проанализировать выходы.

9) Соответствуют ли ресурсы? Какие они?

10) Имеются ли записи и поддерживаются ли эти записи надлежащим образом?

11) Что является входом в этот процесс?

12) Эти входы документируются и анализируются компетентными лицами?

13) Описание процессов доступно и документировано?

14) Эти описания контролируются? - Проверить результативность работы процедуры контроля документированной информации организации.

15) Кто «клиенты» (внутренние и внешние) таких процессов?

16) Какие требования этих клиентов?

17) Какие характеристики ожидаемых результатов процесса?

18) Каковы характеристики непредусмотренных результатов процесса?

19) Применяются ли при необходимости корректирующие и корректирующие действия?

20) Какие критерии мониторинга, измерения и анализа применятся?

21) Как эти критерии включены в планирование процессов?

22) Учитываются ли надлежащим образом вопросы эффективности бизнеса?

23) Какие методы используются для сбора данных?

24) Какие записи сохраняются и как они поддерживаются?

25) По каким канал осуществляется связь?

26) Как обеспечивается внешняя и внутренняя информация о процессе?

27) Каковы результаты процесса? - Определить выходы.

28) Являются ли эти результаты доказательством результативности внедрения этого процесса?

29) Как проводится мониторинг рабочих показателей процесса?

30) Определены ли соответствующие меры управления?

31) Какие измерения используются?

32) Как анализируется собранная информация?

33) Как учитываются результаты анализа?

Алексей Прилипко
Аудитор ISO 9001
Bureau Veritas Certtification
GooglePlus