Внутренний аудит по стандарту ИСО 9001-2015

Портал ProКачество и Академия Роскачества запустили совместный спецпроект для помощи организациям в текущих непростых условиях – «Устойчивая пятница». Каждую неделю в пятницу эксперты-практики из разных областей в прямом эфире отвечают на вопросы зрителей по определенной теме. 

Первый эфир мы посвятили тонкостям использования стандарта  ИСО 9001-2015 . По нему мы подготовим несколько публикаций в формате интервью. Только журналистами выступят не представители редакции, а читатели – участники прямого эфира, задавшие вопросы. В первой статье мы собрали все вопросы, посвященные внутреннему аудиту по ИСО 9001.

Вопрос: Как внутренние аудиты связаны с управлением рисками?

Александр Юхов: ИСО 9001-2015  не требует документировать риски и оценивать их как таковые. Риск-ориентированный подход, о котором идет речь в стандарте, это несколько другое. На эту тему написано много статей, например, «СМК «по-человечески»: семь раз отмерь».

Иногда в компаниях при планировании аудита в оценке рисков прописывают следующее: аудитор заболеет, не сможет выехать на предприятие из-за отмены рейса и прочее. Я сам сталкивался с таким в своей работе. Но это не то, что требует от нас стандарт. Разберемся, как делать правильно.

Мы должны планировать аудиты с учетом риск-ориентированного подхода. Есть процессы, которые больше влияют на качество конечного результата нашей работы. Например, производство и сборка продукции. А есть вспомогательные и поддерживающие процессы, которые меньше влияют на результат общей работы. 

Аудит более значимых для конечного результата процессов должен проводиться чаще либо ему нужно уделять больше времени. А аудит менее значимых процессов – реже, не так тщательно. Это и есть использование риск-ориентированного подхода при проведении аудита.

Вопрос: Как связать результаты внутренних аудитов с мероприятиями по минимизации рисков?

Александр Юхов: Результаты аудита – это найденные несоответствия и отклонения или рекомендации и наблюдения. Рекомендации и наблюдения обычно подсказывают, что лучше сделать для минимизации рисков. Например, если аудитор дает рекомендацию, которая снизит ресурсные затраты на выполнение определенной операции, риск перерасхода ресурсов уменьшается. Несоответствия – это уже отклонение от требований, сыгравший риск. Если вы грамотно разрабатываете корректирующие действия, устраняете причину этого несоответствия, то в дальнейшем  такого несоответствия  возникнуть не должно. Вы почти исключаете риски повторного появления такого инцидента.

Вопрос: Что можно сделать с нематериальной мотивацией для внутренних аудиторов? Проблема: расширяем список аудиторов, обучаем, а потом они отказываются проводить аудит. Говорят, что нет времени, заняты на основной работе. Доплачивать им возможности нет.

Александр Юхов: Старайтесь подбирать себе в команду внутренних аудиторов людей, которые являются скрытыми лидерами в коллективе. Или очень амбициозных, активных людей, которые, возможно, банально хотят выслужиться перед руководством.

У скрытого лидера есть два основных преимущества. Во-первых, если он откажется участвовать в аудите, то может потеряет авторитет. Во-вторых, если такой человек написал несоответствие, то коллеги начнут воспринимать эту проблему серьезно и будут ее решать, а не писать отписки.

Амбициозный человек обязательно будет участвовать и стараться. Его, возможно, за руку надо будет периодически ловить, чтобы он не перебарщивал. Мотивация для него –удержание своих позиций и карьерный рост.

Основной мотивацией стать внутренним аудитором должна быть возможность реально что-то улучшить в организации. Для этого нужно, чтобы отделу СМК были делегированы полномочия менять правила внутри компании. 

Приведу пример одного вуза. Чтобы взять картридж для принтера со склада, деканату нужно было пройти двухнедельный квест. Раз в три месяца процедура квеста менялась, а сотрудник должен был сам догадаться, какой шаг следующий. После внутреннего аудита было оформлено множество несоответствий. Результатом стало изменение этого правила. Получить картридж теперь можно за пятнадцать минут, и никуда не нужно ходить. Все перенесли в цифровую плоскость. Это стало возможным благодаря внутренним аудиторам и отделу системы менеджмента качества. Через полгода такой работы люди встали в очереди, чтобы стать внутренними аудиторами.

Вопрос: Можно ли проводить внутренний аудит у директора, замдиректора?

Александр Юхов: Нужно. Чтобы проверить, как работает стратегический процесс – по-другому это оценить невозможно. Аудит надо начинать с директора или лучше даже с акционеров. Не факт, что они согласятся. Но в моей практике были случаи, когда владельцы не только участвовали в аудите, но и лично пять дней проходили обучение по стандарту ИСО 9001. Они хотели самостоятельно разобраться в нем и участвовать в совершенствовании системы управления. На еще одном предприятии директор сам установил требование начинать внутренний аудит с него. При этом аудиторы должны были быть разной иерархии: от простого рабочего до замдиректора.

Вопрос: Нужен ли аудит отдела СМК? Кто его может проводить, если других обученных аудиторов, кроме отдела СМК, в организации нет?

Александр Юхов: Подготовьте себе еще аудиторов. Лучше из разных процессов. Я советую планировать аудит так, чтобы внутренние потребители проверяли внутренних поставщиков. Например, конструкторы должны проверять отдел закупок. Как их ведомости и спецификации исполняются и насколько точно? А отдел закупок должен проверять конструкторов. Как эти ведомости формируются? Все отделы должны проверять бухгалтерию, чтобы понимать, зачем делать такую кучу отчетов, для чего они нужны. В таком случае находят и ликвидируют множество ненужных правил.

Отдел СМК – часть процесса. Внутренний аудит – тоже процесс. При его проведении желательно также понять, насколько он эффективный. Может, вы неправильно его организовали: много лишних шагов, документов, не используется риск-ориентированный подход.

Вопрос: Какова максимально возможная периодичность цикла внутренних аудитов?

Александр Юхов: Бытует мнение, что за цикл сертификации надо провести полный цикл внутренних аудитов. Тогда внешние аудиторы увидят, как работает процесс внутренних аудитов. Но такое требование нигде не указывается. 

Во избежание конфликтов с органом по сертификации я рекомендую до сертификации провести цикл аудитов хотя бы для себя. Так вы поймете насколько ваша система управления соответствует требованиям ИСО 9001. Можно организовать цикл аудитов критически важных процессов и тех, где в последнее время были значительные изменения.

Несмотря на вышесказанное, есть два важных момента:

1. Периодичность цикла внутренних аудитов нужно планировать, отталкиваясь от жизненного цикла продукции или услуги. Есть компании, где он составляет десять лет. Нет смысла проводить ежегодный аудит одних и тех же подразделений и процессов, где ничего не меняется. 

2. Ориентируйтесь на ваш риск-ориентированный подход. Меня как аудитора на предприятиях больше всего смущает, если план аудитов один и тот же из года в год. Это значит, что никто не проводит анализ полученных результатов предыдущих аудитов, жалоб и претензий, не использует риск-ориентированных подходов. Зачем проверять отдел кадров каждый год, если за десять лет там не было ни одного несоответствия и ни одной претензии к его работе. В то же время в отделе закупок бардак – лучше туда сходить лишний раз.

Вопрос: Допустим, на предприятии часто возникают мелкие однотипные нарушения. Например, забыли поставить дату или пропустили запись в журнале. Можно ли в данном случае проводить только  коррекцию ? В каких случаях нет необходимости проводить полноценные  корректирующие действия ?

Александр Юхов: Обратимся к тексту стандарта ИСО 9001-2015, пункт 10.2.1.

«При появлении несоответствий, в том числе связанных с претензиями, организация должна:

a) реагировать на данное несоответствие и, насколько применимо:

1) предпринимать действия по управлению и коррекции выявленного несоответствия».

То есть скорректировать работу, насколько приемлемо. Бывает, что коррекция невозможна. Продолжаем читать стандарт:

«2) предпринимать действия в отношении последствий данного несоответствия».

То есть компенсировать, заменить, отремонтировать, исправить у потребителя на месте. Вернемся к тексту ИСО 9001:

«b) оценивать необходимость действий по устранению причин данного несоответствия с тем, чтобы избежать его повторного появления». 

Вы должны оценить, нужно ли вам проводить корректирующие действия. Это написано в стандарте черным по белому. Нет требований, что на каждое несоответствие компания должна разрабатывать корректирующие действия. Вы должны вести мониторинг таких несоответствий, упрощая, складывая их в корзину. Потом, через определенный период времени, который  вы себе установили , необходимо проанализировать, какие причины дают больше всего несоответствий. Дальше начинаем анализ несоответствий, определение причин и аналогичных несоответствий. В результате вы решаете, нужны корректирующие действия или нет.

Иногда по экономическим причинам несоответствия невыгодно устранять, потому что окупаться это решение будет долгие годы. Например, есть фабрика, занимающаяся производством обоев. С некой периодичностью при производстве на обоях появляется черная полоса. Они останавливают линию, отправляют в брак испорченный товар, фиксируют это как несоответствие в технологическом процессе и продолжают работу. Таких несоответствий в год бывает 300 штук, причина одна и та же, и она известна. Почему они не предпринимают корректирующие действия? Потому что после анализа стало понятно, что замена оборудования будет стоит несколько миллионов долларов. А выкинуть три метра обоев с черной полосой – три копейки. Вывод однозначный и полностью соответствует стандарту – оставить техпроцесс без изменений. Главное, провести качественный анализ.

Вопрос: Есть ли какой-то инструмент для повышения исполнительской дисциплины? Сотрудники не выполняют в срок корректирующие действия. Выносим вопрос на директора, наказываем, лишаем премии. Это не помогает. Говорят, неприоритетные задачи. 

Александр Юхов: В стандарте ИСО 9001 написано, что несоответствие, выявленное при внутреннем аудите, и причины этого несоответствия должны устраняться. Нужно выполнить корректирующие действия в срок. Но в стандарте не написано, что срок не может быть перенесен. Вы можете изменить этот период.

Чтобы однозначно предложить решение в указанной ситуации, нужно больше конкретики. Приведу пример. Я проводил аудит на одном предприятии, и там была такая же проблема. На производстве был склад металла в бобинах. У склада протекала крыша, внутри были лужи. Ко мне обратился специалист из отдела качества. Говорит, мы начальнику склада уже семь несоответствий написали, два раза премии ее лишали за то, что она не выполняет корректирующие действия.

Я пообщался с руководителем склада – худенькой девушкой лет двадцати. Мы пригласили ее на заключительное совещание. Она рассказала, что, да, аудиторы пишут несоответствия, нужно выполнить корректирующее действие, причину определили: нужно починить крышу. Она принесла кучу служебных записок, план ремонта и временного размещения продукции, заявки на восстановление кровли. Ничего из этого не сделано из-за того, что руководство не выделило ресурсы. А теперь вопрос: как двадцатилетняя девочка самостоятельно отремонтирует крышу? Выходит, ни в чем не повинный сотрудник два месяца подряд без премии. 

Поэтому несоответствие и его коренная причина – другие: на ремонт склада не выделяются ресурсы. И надо наказывать лишением премии тех, кто эти ресурсы не выделяет. Другой вопрос, если эти ресурсы неоткуда взять. Тогда нужно переносить сроки. Поэтому важно убедиться, что найдена именно коренная причина появления несоответствия. 

В следующих материалах мы продолжили разбирать самые интересные вопросы и ответы прямого эфира о стандарте ИСО 9001:

•  «Устойчивая пятница»: зачем нужна СМК?

• Где это написано в стандарте ИСО 9001? 

Чтобы узнать больше о новых эфирах спецпроекта «Устойчивая пятница», следите за порталом Академии Роскачества. 

Посмотреть информацию об авторском семинаре Александра Юхова, а также зарегистрироваться на него можно на сайте.