March 1, 2021

Планирование самоинспекций и аудитов

Самоинспекция и аудит – деятельность, успех которой во многом зависит от этапа планирования. На практике принято выделять три уровня планирования:

  • стратегический план,
  • годовой план,
  • программа (план) конкретного аудита или самоинспекции.

При определенных условиях планы могут поддерживаться в электронном виде, например в MS Excel или MS Word.

Автор: Александр Александров, Виалек

Провалил планирование, спланировал провал

Стратегический план

Стратегический план аудитов и (или) самоинспекций обычно покрывает горизонт планирования на 2-5 лет и составляется администратором системы качества (например, Отдел обеспечения качества или Ответственное Лицо дистрибьютора).

Аудиты поставщиков и (или) клиентов проводятся с периодичностью в 2-4 лет, соответственно нужен стратегический план на 4 года. Та же ситуация с самоинспекциями. Часто они носят выборочный характер, а значит годовой план самоинспекций может включать не все подразделения и (или) процессы системы качества. Соответственно, и здесь нужен стратегический план на тот период, который покрывает все требования, формирующие основу для проверки.

Годовой план

Годовой план обычно составляется на полный календарный год (12 мес.) и отражает все аудиты и (или) самоинспекции, которые необходимо провести в пределах планируемого периода. Это может быть единый план, а могут быть отдельные годовые планы на каждый вид аудиторской активности, т.е. отдельный на самоинспекции (внутренние аудиты) и отдельный – на аудиты поставщиков и (или) клиентов. Ответственность за подготовку и поддержание в актуальном состоянии годовых планов самоинспекций и (или) аудитов также на администраторе системы качества.

Для аудита поставщиков все достаточно просто – составляется годовой план, в котором как минимум указываются:

  • (1) организации, подлежащие аудиторской проверке;
  • (2) месяц и (или) квартал для проверки;
  • (3) форма аудиторской проверки (документарный, удаленный или очный аудит).

Годовой план аудита поставщиков целесообразно дополнять сметой на аудит или приводить расчет необходимых ресурсов.

С самоинспекциями сложнее. При составлении годового плана самоинспекций первичным являются требования стандарта и (или) правил, а не посещаемые подразделения. Последние являются лишь местом, где можно получить информацию и проанализировать примеры той или иной деятельности с точки зрения ее соответствия. Это относится и к процессам системы качества. Они – лишь поле, на котором можно найти и проанализировать примеры того, как соблюдаются требования. Соответственно, годовой план самоинспекций и (или) аудитов может включать проверку соответствия всех требований, но не всех подразделений и (или) процессов. Это с одной стороны. С другой стороны – ориентируясь на статус, важность и уровень риска процессов и проверяемой деятельности, самоинспекция критических процессов и (или) подразделений должна быть чаще, чем для остальных. Для составления сбалансированного годового плана самоинспекций нужно учитывать множество факторов, включая: (1) требования, в отношении которых требуется обязательное подтверждение соответствия; (2) критичность выполняемых операций, (3) их однотипность, (4) наличие значимых изменений или их ожидание и (или) (5) значимых несоответствий по результатам прошлых самоинспекций, и т.п. Чтобы ничего не потерять может потребоваться составление различных матриц.

В годовом плане самоинспекций обычно отражаются:

  • (1) количество запланированных самоинспекций;
  • (2) ожидаемый срок каждой самоинспекции (месяц, или декада-неделя месяца);
  • (3) объем (сфера) проверки, т.е. планируемые к проверке элементы системы качества, подразделения и (или) процессы;
  • (4) длительность самоинспекции (на данном этапе планирования может не указываться или указываться ориентировочная);
  • (5) при возможности, назначенные аудиторы и необходимые ресурсы.

Допускается вместо годового плана поддерживать только стратегический план с возможностью выборки (фильтрации) аудитов по заданному периоду.

Операционные планы

План (программа) составляется отдельно на каждую самоинспекцию и (или) аудит, независимо от того, является проверка плановой или внеплановой. Может составляться администратором системы качества, либо непосредственно командой аудиторов и (или) главным аудитором.

Обычно план (программа) самоинспекции и (или) аудита включает:

  • (1) цели;
  • (2) объекты;
  • (3) критерии проверки;
  • (4) объем и масштабы обследования;
  • (5) продолжительность (длительность) и (или) временной график;
  • (6) ограничения;
  • (7) аудиторская группа.

Программа и план – в контексте данной заметки слова-синонимы, однако возможно терминологическое разделение – программу составляет администратор системы качества, в котором указывает цели, объем и критерии проверки, а также назначенных аудиторов (своеобразное техническое задание); а план составляется главным аудитором или командой аудиторов исходя из задач и (или) ограничений, заявленных в программе. Тогда в таком плане уточняются детали, оговаривается конкретный график (по часам), распределяется ответственность между конкретными аудиторами и т.п.

План (программу) аудита поставщиков, клиентов или удаленных структурных подразделений организации целесообразно дополнять сметой на аудит или приводить расчет необходимых ресурсов.

Разъяснения по отдельным пунктам программы (плана) аудита

Критерии проверки

В плане должны указываться конкретные стандарты, правила и (или) документы, на соответствие которым проводится аудит и (или) самоинспекция. В этом разделе нужно быть осторожным(ой) со ссылками – бояться своих желаний. Если, например, заявляется необходимость оценки соответствия правилам GMP/GDP, это значит, что проверяемые объекты (подразделения, процессы) должны быть оценены на соответствие КАЖДОМУ пункту как GMP, так и GDP. Правильнее для конкретных объектов указывать конкретные требования. Например, «пункты 3.3-3.16 части 1 GMP», «раздел 9 правил GDP», иногда с уточнением принадлежности требований (национальные правила, правила ЕАЭС, ЕС, США и т.п.).

Аудит всегда направлен на анализ деятельности организации и ее системы качества именно с точки зрения соответствия требованиям стандартов и (или) правил (GxP, ISO 9001, ISO 13485, ISO 17025 и др.). Для самоинспекций применимы ссылки на внутренние документы системы качества.

Объем и масштабы обследования

В этом разделе должны быть определены процессы, подразделения, включенные в объем аудита и (или) самоинспекции. Необязательно скрупулезно перечислять все подразделения, деятельность которых запланирована для проверки. Бывает достаточно указать «все подразделения, непосредственно вовлеченные в такой-то процесс или такую-то деятельность». А уже непосредственно в ходе аудита и (или) самоинспекции очертить более детализированную картину. Важно учитывать, что проверяемые могут отказать аудиторам в доступе к той информации, документам, инфраструктуре и т.п., которая выходит за пределы объема аудита, указанного в плане (программе) аудита. И наоборот, слишком обтекаемая формулировка может привести к концентрации аудиторов на второстепенных объектах.

Также бытует мнение, что проверять необходимо все подразделения и все процессы в отношении соблюдения требований, заявленных в критериях проверки. Это, мягко говоря, не очень корректно. Основа аудиторской техники – выборочная проверка. Для получения аргументированного заключения по любому пункту стандарта и (или) правил не нужно проводить 100% проверку всех объектов (подразделений, процессов, аутсорсинговых организаций). Достаточно обосновать и обеспечить репрезентативность выборки для проведения КАЖДОЙ самоинспекции и (или) аудита. Деятельность других подразделений будет анализироваться в ходе последующих проверок. Также нет необходимости везде проверять одно и то же. Более целесообразно разделить проверяемые требования между подразделениями, возможно даже с помощью метода ранжирования и фильтрации рисков. Это позволит провести оценку соответствия в каждом случае более глубоко и собрать в комплексе более детальную информацию для формулирования аудиторского заключения.

Если в ходе аудита и (или) самоинспекции предполагается проверка деятельности, переданной на аутсорсинг, аудиторы должны предупредить проверяемую организацию и (или) подразделения (1) о необходимости проведения проверки у выбранных исполнителей аутсорсинговых работ, (2) о необходимости обеспечения доступа к документам и записям, связанным с аутсорсинговыми работами. Аргументы об удаленности таких мест, транспортных и других проблемах (например, визовых, если место проведения работ находится заграницей) здесь не имеют значения. Что касается расходов – все расходы на проведение аудита исполнителя аутсорсинговых работ всегда несет заказчик таких работ.

Также одной из целей самоинспекции и (или) аудита является заключение о реализации и эффективности (результативности и достаточности) корректирующих и (или) предупреждающих действий (САРА) по несоответствиям, выявленных в ходе предыдущих аудиторских проверок. Анализ этого является одним из обязательных пунктов плана последующих проверок.

Продолжительность аудиторской проверки

Время проведения проверки должно ПОЗВОЛИТЬ провести оценку соблюдения соответствующих требований. У аудиторов должно быть достаточно времени для беседы с руководителем и специалистами подразделений, анализа необходимых документов и записей, анализа соблюдения требований в местах выполнения работ.

Обычно для проверки деятельности крупных подразделений (склад, цех, отдел контроля качества и т.п.) необходимо не менее 4 часов. Более правильно для каждого из них планировать полный день. Хотя для менее опытных аудиторов этого времени, скорее всего, тоже не хватит.

Допускается указать только общую продолжительность с последующей детализацией уже в ходе аудита. В то же время детализированный график посещения отдельных объектов поможет проверяемым более четко и слаженно организовать сопровождение аудита. И иногда даже снижает вероятность известных уловок типа «закрытые двери», «отсутствие ответственных лиц», «мы не знали, нам не сказали», «все ушли на фронт», «короче, приходите завтра» и т.п.

Ограничения

Непосредственно в плане (программе) самоинспекции и (или) аудита могут содержаться требования к деятельности аудиторов и (или) проверяемых объектов. Например, требование или просьба:

  • подготовить к проверке конкретный пакет документов или их переводы;
  • обеспечить постоянное присутствие переводчика;
  • в момент самоинспекции и (или) аудита осуществлять конкретную деятельность (например, процесс производства конкретной продукции и т.п.);
  • внести коррективы в график работы отдельных подразделений и (или) постоянного присутствия конкретных должностных лиц и т.п.

Аудиторская группа

Аудиты и самоинспекции могут проводить постоянно действующие аудиторы (например, состоящие в штате Отдела обеспечения качества) или ситуативно вовлекаемые аудиторы из разных структурных подразделений организации. Для аудита поставщиков могут привлекаться внештатные аудиторы и (или) консультанты. По факту, аудит и (или) самоинспекцию может проводить один (единственный) аудитор, а может потребоваться группа из 3-5 аудиторов.

Количество аудиторов определяется (1) целями и (2) критериями проверки, (3) количеством проверяемых объектов и (4) выделенным для проверки временем, (5) необходимостью наличия специальных знаний и навыков у аудиторов, иногда (6) аспектами персональной безопасности.

Еще бытует мнение, что аудиторы не меньше 50% времени, отведенного на аудит, должны работать вместе. Это опять же не верно. ИМХО. По своему статусу все аудиторы при проведении самоинспекции и (или) аудита являются равноценными боевыми единицами. Во время проверки каждый из них – квалифицированный аудитор и должен уметь самостоятельно оценивать соответствие любому требованию соответствующего стандарта и (или) правил. Поэтому совместная работа обоснована только тогда, когда этого требуют установленные правила проведения аудита и (или) самоинспекции, либо когда это продиктовано мерами безопасности (в том числе персональной). Например, в одной из американских компаний на уровне стандартной операционной процедуры (СОП) указаны разделы, проверку которых требуется проводить совместно (преимущественно те, которые находятся в зоне ответственности руководителей и при проверке крупных подразделений) и при этом заявлено особое требование к планированию, чтобы в общем случае аудиторы работали совместно не более 10-15% случаев. Хотя для малых организаций работа аудиторов с руководителями может занимать до 50% выделенного времени.


👉 Больше информации на Telegram-канале СЛУЖБА КАЧЕСТВА

Обсуждения, дискуссии вопросы-ответы 👉 в чате специалистов по качеству