Внутренний аудит на соответствие требованиям стандарта ГОСТ ISO/IEC 17025-2019

1.

Внутренний аудит на соответствие
требованиям стандарта
ГОСТ ISO/IEC 17025-2019
А.В. Горбунов
2020 год

2.

Внутренний аудит
Нормативно-методическая база
Стандарт ISO/IEC 17025:2017 (ГОСТ ISO/IEC 17025-2019)
Раздел 8.8 Внутренний аудит
Стандарт ISO 19011:2018
Руководящие указания по аудиту систем менеджмента
Приказ Минэкономразвития от 26.10.2020 №707
Приложение №1 Критерии аккредитации… (разделы 21-27)
Собственные внутренние нормативные документы
лаборатории
(процедуры, методики, инструкции…)
2

3.

Внутренний аудит
Что такое аудит
Аудит – систематический, независимый и документируемый процесс для получения
объективного свидетельства и его объективной оценки для определения степени, с
которой выполнены критерии аудита
п. 3.1 ISO 19011:2018*
Свойство
Описание
систематический
носящий плановый характер, осуществляемый по определенной системе
независимый
аудиторы не зависят от руководителей проверяемых подразделений, ни с кем не
согласовывают свои оценки
документируемый
документируется план аудита, ход аудита, свидетельства аудита, выводы и
заключения по аудиту
Объективное свидетельство – данные, подтверждающие существование или
истинность чего-либо
п. 3.8 ISO 19011:2018
Критерии аудита – совокупность требований, используемых как эталон, с которыми
сравнивается объективное свидетельство
п. 3.7 ISO 19011:2018
* - здесь и далее в переводе А. Горбунова
3

4.

Внутренний аудит
Как проводится аудит
Выводы аудита – результаты оценки собранных свидетельств аудита на соответствие критериям
аудита
п. 3.10 ISO 19011:2018
Заключение по аудиту – результат аудита, формируемый после рассмотрения целей аудита и всех
выводов аудита
п. 3.11 ISO 19011:2018
Свидетельство аудита – записи, изложение фактов или иная информация, которая существенна с
точки зрения критериев аудита и может быть проверена
п. 3.9 ISO 19011:2018
4

5.

Внутренний аудит
Принципы, методы и этапы аудита
Принцип
Содержание
Безупречность
выполнять работу с соблюдением этических норм, честно и ответственно
делать только то, в чем компетентен
выполнять работу непредвзято, т.е. оставаться справедливым и
беспристрастным во всех своих действиях
реагировать на любые вмешательства, которые могут оказывать влияние на
суждения в ходе аудита
Объективное
представление
предоставлять правдивый и точный отчет
выводы и заключения аудита должны точно и правдиво отражать ход аудита
существенные затруднения и оставшиеся расхождения должны быть
зафиксированы
Конфиденциальность неразглашение информации
Надлежащее
профессиональное
усердие
проявлять старательность и рассудительность в ходе аудита
принимать обоснованные решения в любых ситуация
Сотрудники проверяемой организации не обязаны знать терминологию стандарта и могут
использовать ту, которая принята в организации
5

6.

Внутренний аудит
Принципы, методы и этапы аудита (продолжение)
Принцип
Содержание
Независимость
аудиторы должны быть независимы от ими проверяемой деятельности (функций)
аудиторы должны во всех случаях быть свободными от предвзятости и конфликта
интересов
аудиторы должны сохранять объективность в течение всего процесса аудита
Подход,
основанный на
свидетельствах
свидетельства аудита должны основываться на выборках в рамках предоставленной
информации
свидетельства аудита должны быть проверяемы
Рискориентированный
подход
аудитор должен рассматривать и учитывать риски и возможности, связанные с аудитом
Методы аудита
Этапы аудита
Анализ документации (I)
Аудит на месте (II)
Анализ документации
Интервью (опрос)
▬
Наблюдение
▬
6

7.

Внутренний аудит
Группа по аудиту
Ведущий аудитор
Аудиторы (в т.ч. стажеры)
Эксперт
Планирует аудит
Формирует группу по аудиту
Координирует действия аудиторов в ходе проверки
Разрешает проблемные вопросы, конфликты
Участвует непосредственно в аудите
Формирует заключение по аудиту и отчет
Проводят аудит, используя установленные методы
Формируют выводы и указывают на возможности для
улучшения
Консультирует членов команды аудита по
специальным вопросам
Не имеет полномочий аудитора!
Требование компетентности относится ко всей группе в целом, а не к каждому члену
группы!
Требования к внутренним аудиторам устанавливает сама организация
7

8.

Внутренний аудит
Программа и план аудита
Программа аудита – мероприятия для одного или нескольких аудитов, запланированных на конкретный
период времени и направленных на достижение конкретной цели
п. 3.4 ISO 19011:2018
План аудита – описание мероприятий и порядка проведения аудита
п. 3.6 ISO 19011:2018
Программа
аудитов на год
План аудита №1
План аудита №2
План аудита №3
План аудита №4
В рамках данного курса под программой
аудитов будет пониматься годовая
программа аудитов
Программа аудитов разрабатывается лицом,
управляющим программой аудитов
План аудита разрабатывается ведущим
аудитором
План аудита – это запись, формируемая в
рамках каждого аудита (п. 5.5.7 b ISO
19011:2018)
8

9.

Внутренний аудит
Содержание этапов
Стандарт устанавливает:
Лаборатория
- что должна делать организация
- какие результаты получать и что
документировать
Разрабатывает комплект
документации, реализующий
требования стандарта
I этап
аудита
II этап
аудита
Оцениваем:
- насколько реализованы в ВНД
требования стандарта,
- насколько пригодны
установленные процедуры,
показатели и т.д.
Выполняют работу,
следуя требования
внутренних
нормативных
документов (ВНД)
Сотрудники
Оцениваем:
- насколько действия и
их результаты
соответствуют
требованиям ВНД
9

10.

Внутренний аудит
Цели аудита
Цель аудита
Соответствие СМ
Требования
стандарта
Результативность СМ
Требования
лаборатории
ISO 19011:2018 (п. 5.2)
-
выявить возможности улучшения системы менеджмента и ее функционирования
оценить способность проверяемой организации определять ее контекст
оценить способность организации определять риски и возможности, а также
разрабатывать и осуществлять результативные меры по их обработке
получить и поддерживать уверенность в возможностях внешнего поставщика
оценить согласованность целей системы менеджмента со стратегическим направлением
развития организации
10

11.

Внутренний аудит
Требования ГОСТ ISO/IEC 17025:2019
8.8.1
Лаборатория должна
проводить внутренние аудиты
через запланированные
интервалы времени…
в том числе определять
- периодичность проведения
- методы
- сферы ответственности
- требования к планированию
и отчетности
8.8.2
a) планировать разрабатывать, внедрять и
реализовывать программу аудита…
b) определять критерии аудита и область проведения
каждого аудита
c) обеспечивать доведение результатов аудита до
соответствующего руководства
d) выполнять соответствующие коррекции и
корректирующие действия без необоснованных
задержек
e) сохранять записи в качестве подтверждения
реализации программы аудита и результатов аудитов
Программа аудита должна учитывать значимость соответствующей лабораторной
деятельности, изменения, влияющие на лабораторию, а также результаты предыдущих
аудитов!
11

12.

Внутренний аудит
Разработка программы аудита
Цель долгосрочного планирования – обеспечить целостное представление об
адекватности, пригодности и результативности системы менеджмента
Элемент
программы
Комментарий
Номер аудита
Идентификатор, который позволяет различать аудиты
Цель аудита
Либо в соответствии с п. 8.8.1 ГОСТ ISO/IEC 17025:2019, либо какая-то своя
Область аудита
Процессы, виды деятельности и/или подразделения, подлежащие аудиту, а также
период аудита. Зависит от цели аудита
Ведущий аудитор Указывается, кто будет ведущим аудитором. Если в традициях компании, то и вся
команда аудита
Аудиты только на соответствие требованиям ГОСТ ISO/IEC 17025:2019 не дают
существенной информации для улучшения системы менеджмента и создают риск
невыполнения требования п. 8.8.1
Примеры программ аудита см. в Рабочих материалах
12

13.

Внутренний аудит
Разработка программы аудита (продолжение)
Что необходимо иметь при разработке программы аудита
Информация
Комментарий
Результаты анализа
СМ руководством
Требуется для определения целей и области аудитов
Организационная
структура
Требуется при определении области аудитов и команды аудиторов
Представление о
видах деятельности
(процессах) и их
важности
Требуется при определении области аудитов, а также периодичности и
времени, отводимого на аудит более значимых видов деятельности
(процессов)
Результаты
внутренних аудитов
Требуется для определения области аудитов, а также периодичности и
времени, отводимого на аудит более проблемных процессов
Список внутренних Требуется для назначения ведущих аудиторов (и команд, если так принято)
аудиторов (если есть)
13

14.

Внутренний аудит
Разработка программы аудитов. Некоторые вопросы
Сколько внутренних аудитов надо включать в программу?
1) нет требований, связанных с количеством аудитов, это определяет сама организация,
2) критерием необходимого количества может служить потребность организации иметь полное и
целостное представление о своей системе менеджмента. Соответственно, для небольшой
компании может быть достаточным одного аудита в квартал, а в большой может проводиться
несколько аудитов в месяц.
Должна ли годовая программа охватывать все виды деятельности (процессы)
лаборатории?
1) такого требования нет, но есть требование учитывать значимость видов деятельности
(процессов) и результаты предыдущих аудитов,
2) с другой стороны, актуальные данные о состоянии системы востребованы при проведении
анализа СМ руководством. Если такой анализ предусмотрен раз в год, то из этого следует
необходимость охватить за год аудитами всю деятельность.
Кто должен разрабатывать и утверждать годовую программу аудитов?
1) разработку и управление программой логично поручить лицу, отвечающему за СМ (см. п. 5.6
ГОСТ ISO/IEC 17025:2019)
2) заказчиком внутренних аудитов и, соответственно, утверждающим программу, является высшее
руководство (см. п. 5.2 ГОСТ ISO/IEC 17025:2019).
14

15.

Внутренний аудит
Планирование аудита. Элементы плана
Цель оперативного планирования – обеспечить максимальную потенциальную
результативность аудита.
Планирование аудита осуществляет ведущий аудитор, основываясь на программе
аудитов
Элемент плана
Комментарий
Цель аудита
Указана в годовой программе внутренних аудитов
Область аудита
Указана в годовой программе внутренних аудитов. В плане раскрыта более детально
Критерии аудита Зависят от цели аудита. В качестве критериев должны выступать требования,
задаваемые как внешними (например, стандарт), так и внутренними (например,
процедуры) документами
Методы
проведения
Указать, какие из трех основных методов будут применяться
Группа аудита
Состав группы и роли каждого участника
План-график
Перечень мероприятий аудита с указанием времени и участников. Может указываться
также место проведения
Список рассылки
Перечень лиц, которым будет направлен отчет по аудиту
Примеры плана аудита см. в Рабочих материалах
15

16.

Внутренний аудит
Планирование аудита. Что необходимо учесть
При формировании плана внутреннего аудита необходимо принять во внимание:
1) программу внутренних аудитов
2) есть ли необходимость расширить область аудита по сравнению с указанной в
программе (например, включить дополнительные площадки, процессы,
подразделения…)
3) есть ли корректирующие действия, результативность которых надо проверить
4) риски и возможности
Примеры рисков (ISO 19011:2018)
16

17.

Внутренний аудит
Как анализировать требования
Лаборатория должна документировать требования к компетентности персонала для каждой
функции, влияющей на результаты лабораторной деятельности, в том числе требования к
образованию, квалификации, профессиональной подготовке, техническим знаниям, навыкам,
опыту.
п. 6.2.2 ГОСТ ISO/IEC 17025:2019
Действие
Комментарий
1. Ищем глагол, устанавливающий требование
«должна документировать»
2. Ищем объект действия (документировать
ЧТО?)
«требования к компетентности персонала»
3. Устанавливаем уточняющие признаки (всего «для каждой функции, влияющей на результат…»
Примечание. Это означает, что мы знаем, какие функции
персонала?)
влияют на результат лабораторной деятельности, а
какие нет
4. Определяем свидетельства, которые могут
подтвердить выполнение этого требования с
учетом дополнительных признаков
Должностные инструкции, трудовые договоры,
методики, процедуры…
17

18.

Внутренний аудит
Как анализировать требования и формулировать выводы аудита
Лаборатория должна определить и документировать область лабораторной деятельности, при
осуществлении которой она соответствует настоящему стандарту.
п. 5.3 ГОСТ ISO/IEC 17025:2019
Вопрос
Ответ
Сколько здесь требований?
Два:
1) «должна определить»
2) «должна документировать»
Сколько выводов мы должны сделать?
1) Лаборатория определила область лабораторной
деятельности
2) Лаборатория документировала область
лабораторной деятельности
Два:
1) Да /нет
Область деятельности определена в рамках стандарта:
калибровка, испытания, отбор образцов?
Да /нет
Сколько потребуется свидетельств аудита?
Одно: документированная область
лабораторной деятельности (например, в
руководстве по качеству)
2) Да /нет
18

19.

Внутренний аудит
Разработка чек-листа. Виды вопросов
Чек-лист (вопросник) – одна из форм записей аудитора
Вопрос
открытый
закрытый
Не могли бы Вы кратко рассказать о
содержании политики в области качества?
Знаете ли Вы содержание политики в области
качества?
Как Вы выполняете такие-то действия?
Вы в данной ситуации должны выполнять такуюто операцию?
Что входит в круг Ваших обязанностей?
Какие риски невыполнения контакта Вы
полагаете наиболее высокими?
Какие меры для снижения этих рисков Вы
предприняли?
Является ли то-то Вашей обязанностью?
Считаете ли Вы такой то риск существенным с
точки зрения выполнения контракта?
…
…
Лучше использовать когда надо получить
расширенную информацию
Целесообразно использовать для уточнения
или подтверждения чего-либо/
Один из признаков – частица «ли»
Анализ примера чек-листа в Рабочих материалах
19

20.

Внутренний аудит
Анализ деятельности как процесса
Требования
выполняются?
Требования
установлены?
Требования
установлены?
Требования
выполняются?
Требования
пригодны?
Требования
пригодны?
Образцы, СИ, исходные
данные и документы…
Ресурсы
Требования
установлены?
Требования
выполняются?
Требования
пригодны?
Результат
Деятельность
(Процесс)
Вопрос
Процедуры
установлены?
Процедуры
выполняются?
Процедуры пригодны?
Пригодность – свойство приводить к
получению ожидаемого результата при
точном и полном выполнении требований
(процедуры)
Этап
Требования установлены?
I
Требования выполняются?
II
Требования пригодны?
!, II
Оценка пригодности процедуры
Результат (+) Результат (▬)
Соблюдение
Пригодна
Несоблюдение
Непригодна
Непригодна
20

21.

Внутренний аудит
Оценка результативности системы
Всего – 10 результатов
Величина разброса результатов определяет
не результативность системы, а ее зрелость
При одном и том же целевом значении и
одном и том же фактическом значении
оценка результативности процесса будет
меняться в зависимости от критериев
Критерии
Оценка управления
Результаты должны быть
между нижним и
верхним пределами
Не менее 50%
результатов должны
попасть в цель*
Не менее 90%
результатов должны
попасть в цель*
Вариант «а»
Результативное
Не результативное
Не результативное
Вариант «б»
Результативное
Результативное
Не результативное
* - попасть в цель значит, что отметка результата располагается на линии, обозначающей цель
21

22.

Внутренний аудит
Документирование. Состав документов аудита
Лаборатория должна … e) сохранять записи в качестве подтверждения реализации программы
аудита и результатов аудита.
п. 8.8.2 ГОСТ ISO/IEC 17025:2019
Программа внутренних аудитов
Планы
внутренних
аудитов
Чек-листы
Записи о
несоответствии
Записи
аудиторов
Отчет о внутреннем
аудите
Выполнение корректирующих
действий не включается в период
аудита, поэтому здесь не
приведены записи о
корректирующих действиях
22

23.

Внутренний аудит
Документирование. Записи аудитора
Цель: зафиксировать информацию, полученную в ходе внутреннего аудита (при интервью
или наблюдении).
Рекомендации: в записи следует указать
дату, и время,
с кем проводится интервью (ФИО, должность) или чья деятельность наблюдалась,
место проведения интервью или наблюдения,
сообщенная или полученная в ходе наблюдения информация, ссылки на свидетельства.
12.02.2020 15.30 Иванов Сергей Петрович – инженер
Обязанности и требования к квалификации установлены в должностной инструкции (ДИ-008-2019, ред. 2). В
момент аудиту выполнялась поверка СИ по договору № П-394/2020-К.
Работа выполняется в соответствии с процедурой ДП-017-2018, ред. 3, по методике ХХХ, предоставленной
заказчиком.
Условия окружающей среды перед началом работ, как это требуется процедурой, в журнале не зафиксированы,
Иванов сказал, что запишет потом.
Основными показателями работы инженера является выполнение срока и правильное оформление результатов
работ.
В данном случае срок выполнения работы будет нарушен, т.к. работы начались с опозданием из-за того, что СИ,
требуемое для проведения работ, находилось на поверке.
23

24.

Внутренний аудит
Документирование. Записи о несоответствии (NCR)/наблюдении
Наблюдение (observiation)
Критерий аудита
(требования)
Нарушения (отклонения) требования нет.
Но аудитор видит риск, который связан с выявленным
состоянием (процедурой).
Форма записи о наблюдении, как правило, не
регламентируется
Несоответствие (nonconformity)
Деятельность
Пример формы
записи о НС см. в
Рабочих материалах
Выявлено нарушение требования.
Форма записи о несоответствии (NCR), как правило,
регламентируется
При фиксации несоответствия следует указать:
• номер аудита,
• дату,
• описание ситуации,
• в чем состоит несоответствие,
• нарушенное требование.
Запись подписывается аудитором.
У проверяемого лица есть право не соглашаться и
зафиксировать несогласие в записи
24

25.

Внутренний аудит
Документирование. Отчет по аудиту
Что должен содержать отчет:
цели аудита,
область аудита,
состав команды аудита и роли,
критерии аудита,
выводы аудита и свидетельства,
заключение аудита.
Выводы аудита должны основываться на
критериях и свидетельствах аудита
Заключение аудита должно основываться
на выводах и соответствовать цели аудита
Хорош тот отчет, который дает материал для улучшения системы
Вариант подачи материала в отчете:
- описание выявленной ситуации,
- указание несоответствий и рисков,
- предложения по устранению причин несоответствий и снижению рисков.
Типовая рассылка:
Анализ примера отчета в
• высшее руководство,
Рабочих материалах
• руководители проверенных подразделений
25

26.

Внутренний аудит
Улучшение. Корректирующие действия. Требования [8.7]
Несоответствие
Реагировать на
несоответствие
1) предпринимать действия по
управлению [8.7] и коррекции
выявленного несоответствия
2) предпринимать действия в
отношении последствий данного
несоответствия
Оценить
потребность в КД
Осуществить
КД
Для этого должны быть четко
определены ожидаемые
результаты
1) провести анализ несоответствия
2) определить причины, вызвавшие
появление несоответствия
3) определить наличие аналогичного
несоответствия или возможности
его возникновения где-либо еще
Оценить
результативность
каждого КД
Почему?
Несоответствие - невыполнение требования
п. 3.6.9 ISO 9000:2015 (ГОСТ Р ИСО 9000-2015)
Обновить
информацию о рисках
и возможностях
Коррекция - действие для устранения обнаруженного несоответствия
п. 3.12.3 ISO 9000:2015 (ГОСТ Р ИСО 9000-2015)
Корректирующее действие - действие для устранения причины несоответствия
и предотвращения его повторения
Внести изменения в
СМК
п. 3.12.2 ISO 9000:2015 (ГОСТ Р ИСО 9000-2015)
По той же причине!
26

27.

Внутренний аудит
Корректирующие действия. Причины отклонений
Уолтер Шухарт
Теория вариабельности
Эдвардс
Деминг
98/2
Типичная ошибка
Восприятие системной
причины как особой
Воспринимаем как
системную
Воспринимаем как
особую
Системная
причина
Воздействуем на людей, в то
время, как причина попрежнему остается в системе
Особая
причина
Воздействуем на систему, хотя
причина не в ней; риск ухудшить
систему
27

28.

Внутренний аудит
Корректирующие действия. Некоторые рекомендации
Типичная ошибка: коррекция вместо корректирующего действия
Следует помнить следующие правила:
№1: причина несоответствия чаще всего не там, где оно выявлено
№2: не пытайся сформировать КД, не выявив корневой причины
№3: корневая причина должна быть системной
№4: причина проблемы может быть в самих требованиях
№5: КД должно изменять (улучшать) систему менеджмента качества
№6: разрабатывая КД, установи срок проверки и критерии результативности
№7: результат правильного КД описывается в абсолютных терминах: «всегда» - «никогда»,
«для всех» - «ни для кого» и т.п.,
№8: КД представляет собой не одно, а комплекс мероприятий
Обучение конкретного человека – это не КД, а коррекция!
Плохая практика:
• обязывать руководителей подразделений, где выявлены несоответствия, разрабатывать КД,
• задавать жесткие сроки разработки корректирующих действий.
28

29.

Заключение
www.pqm-online.com или pqm-online.com
29