Планирование самоинспекций и аудитов
Самоинспекция и аудит – деятельность, успех которой во многом зависит от этапа планирования. На практике принято выделять три уровня планирования:
- стратегический план,
- годовой план,
- программа (план) конкретного аудита или самоинспекции.
При определенных условиях планы могут поддерживаться в электронном виде, например в MS Excel или MS Word.
Автор: Александр Александров, Виалек
Стратегический план
Стратегический план аудитов и (или) самоинспекций обычно покрывает горизонт планирования на 2-5 лет и составляется администратором системы качества (например, Отдел обеспечения качества или Ответственное Лицо дистрибьютора).
Аудиты поставщиков и (или) клиентов проводятся с периодичностью в 2-4 лет, соответственно нужен стратегический план на 4 года. Та же ситуация с самоинспекциями. Часто они носят выборочный характер, а значит годовой план самоинспекций может включать не все подразделения и (или) процессы системы качества. Соответственно, и здесь нужен стратегический план на тот период, который покрывает все требования, формирующие основу для проверки.
Годовой план
Годовой план обычно составляется на полный календарный год (12 мес.) и отражает все аудиты и (или) самоинспекции, которые необходимо провести в пределах планируемого периода. Это может быть единый план, а могут быть отдельные годовые планы на каждый вид аудиторской активности, т.е. отдельный на самоинспекции (внутренние аудиты) и отдельный – на аудиты поставщиков и (или) клиентов. Ответственность за подготовку и поддержание в актуальном состоянии годовых планов самоинспекций и (или) аудитов также на администраторе системы качества.
Для аудита поставщиков все достаточно просто – составляется годовой план, в котором как минимум указываются:
- (1) организации, подлежащие аудиторской проверке;
- (2) месяц и (или) квартал для проверки;
- (3) форма аудиторской проверки (документарный, удаленный или очный аудит).
Годовой план аудита поставщиков целесообразно дополнять сметой на аудит или приводить расчет необходимых ресурсов.
С самоинспекциями сложнее. При составлении годового плана самоинспекций первичным являются требования стандарта и (или) правил, а не посещаемые подразделения. Последние являются лишь местом, где можно получить информацию и проанализировать примеры той или иной деятельности с точки зрения ее соответствия. Это относится и к процессам системы качества. Они – лишь поле, на котором можно найти и проанализировать примеры того, как соблюдаются требования. Соответственно, годовой план самоинспекций и (или) аудитов может включать проверку соответствия всех требований, но не всех подразделений и (или) процессов. Это с одной стороны. С другой стороны – ориентируясь на статус, важность и уровень риска процессов и проверяемой деятельности, самоинспекция критических процессов и (или) подразделений должна быть чаще, чем для остальных. Для составления сбалансированного годового плана самоинспекций нужно учитывать множество факторов, включая: (1) требования, в отношении которых требуется обязательное подтверждение соответствия; (2) критичность выполняемых операций, (3) их однотипность, (4) наличие значимых изменений или их ожидание и (или) (5) значимых несоответствий по результатам прошлых самоинспекций, и т.п. Чтобы ничего не потерять может потребоваться составление различных матриц.
В годовом плане самоинспекций обычно отражаются:
- (1) количество запланированных самоинспекций;
- (2) ожидаемый срок каждой самоинспекции (месяц, или декада-неделя месяца);
- (3) объем (сфера) проверки, т.е. планируемые к проверке элементы системы качества, подразделения и (или) процессы;
- (4) длительность самоинспекции (на данном этапе планирования может не указываться или указываться ориентировочная);
- (5) при возможности, назначенные аудиторы и необходимые ресурсы.
Допускается вместо годового плана поддерживать только стратегический план с возможностью выборки (фильтрации) аудитов по заданному периоду.
Операционные планы
План (программа) составляется отдельно на каждую самоинспекцию и (или) аудит, независимо от того, является проверка плановой или внеплановой. Может составляться администратором системы качества, либо непосредственно командой аудиторов и (или) главным аудитором.
Обычно план (программа) самоинспекции и (или) аудита включает:
- (1) цели;
- (2) объекты;
- (3) критерии проверки;
- (4) объем и масштабы обследования;
- (5) продолжительность (длительность) и (или) временной график;
- (6) ограничения;
- (7) аудиторская группа.
Программа и план – в контексте данной заметки слова-синонимы, однако возможно терминологическое разделение – программу составляет администратор системы качества, в котором указывает цели, объем и критерии проверки, а также назначенных аудиторов (своеобразное техническое задание); а план составляется главным аудитором или командой аудиторов исходя из задач и (или) ограничений, заявленных в программе. Тогда в таком плане уточняются детали, оговаривается конкретный график (по часам), распределяется ответственность между конкретными аудиторами и т.п.
План (программу) аудита поставщиков, клиентов или удаленных структурных подразделений организации целесообразно дополнять сметой на аудит или приводить расчет необходимых ресурсов.
Разъяснения по отдельным пунктам программы (плана) аудита
Критерии проверки
В плане должны указываться конкретные стандарты, правила и (или) документы, на соответствие которым проводится аудит и (или) самоинспекция. В этом разделе нужно быть осторожным(ой) со ссылками – бояться своих желаний. Если, например, заявляется необходимость оценки соответствия правилам GMP/GDP, это значит, что проверяемые объекты (подразделения, процессы) должны быть оценены на соответствие КАЖДОМУ пункту как GMP, так и GDP. Правильнее для конкретных объектов указывать конкретные требования. Например, «пункты 3.3-3.16 части 1 GMP», «раздел 9 правил GDP», иногда с уточнением принадлежности требований (национальные правила, правила ЕАЭС, ЕС, США и т.п.).
Аудит всегда направлен на анализ деятельности организации и ее системы качества именно с точки зрения соответствия требованиям стандартов и (или) правил (GxP, ISO 9001, ISO 13485, ISO 17025 и др.). Для самоинспекций применимы ссылки на внутренние документы системы качества.
Объем и масштабы обследования
В этом разделе должны быть определены процессы, подразделения, включенные в объем аудита и (или) самоинспекции. Необязательно скрупулезно перечислять все подразделения, деятельность которых запланирована для проверки. Бывает достаточно указать «все подразделения, непосредственно вовлеченные в такой-то процесс или такую-то деятельность». А уже непосредственно в ходе аудита и (или) самоинспекции очертить более детализированную картину. Важно учитывать, что проверяемые могут отказать аудиторам в доступе к той информации, документам, инфраструктуре и т.п., которая выходит за пределы объема аудита, указанного в плане (программе) аудита. И наоборот, слишком обтекаемая формулировка может привести к концентрации аудиторов на второстепенных объектах.
Также бытует мнение, что проверять необходимо все подразделения и все процессы в отношении соблюдения требований, заявленных в критериях проверки. Это, мягко говоря, не очень корректно. Основа аудиторской техники – выборочная проверка. Для получения аргументированного заключения по любому пункту стандарта и (или) правил не нужно проводить 100% проверку всех объектов (подразделений, процессов, аутсорсинговых организаций). Достаточно обосновать и обеспечить репрезентативность выборки для проведения КАЖДОЙ самоинспекции и (или) аудита. Деятельность других подразделений будет анализироваться в ходе последующих проверок. Также нет необходимости везде проверять одно и то же. Более целесообразно разделить проверяемые требования между подразделениями, возможно даже с помощью метода ранжирования и фильтрации рисков. Это позволит провести оценку соответствия в каждом случае более глубоко и собрать в комплексе более детальную информацию для формулирования аудиторского заключения.
Если в ходе аудита и (или) самоинспекции предполагается проверка деятельности, переданной на аутсорсинг, аудиторы должны предупредить проверяемую организацию и (или) подразделения (1) о необходимости проведения проверки у выбранных исполнителей аутсорсинговых работ, (2) о необходимости обеспечения доступа к документам и записям, связанным с аутсорсинговыми работами. Аргументы об удаленности таких мест, транспортных и других проблемах (например, визовых, если место проведения работ находится заграницей) здесь не имеют значения. Что касается расходов – все расходы на проведение аудита исполнителя аутсорсинговых работ всегда несет заказчик таких работ.
Также одной из целей самоинспекции и (или) аудита является заключение о реализации и эффективности (результативности и достаточности) корректирующих и (или) предупреждающих действий (САРА) по несоответствиям, выявленных в ходе предыдущих аудиторских проверок. Анализ этого является одним из обязательных пунктов плана последующих проверок.
Продолжительность аудиторской проверки
Время проведения проверки должно ПОЗВОЛИТЬ провести оценку соблюдения соответствующих требований. У аудиторов должно быть достаточно времени для беседы с руководителем и специалистами подразделений, анализа необходимых документов и записей, анализа соблюдения требований в местах выполнения работ.
Обычно для проверки деятельности крупных подразделений (склад, цех, отдел контроля качества и т.п.) необходимо не менее 4 часов. Более правильно для каждого из них планировать полный день. Хотя для менее опытных аудиторов этого времени, скорее всего, тоже не хватит.
Допускается указать только общую продолжительность с последующей детализацией уже в ходе аудита. В то же время детализированный график посещения отдельных объектов поможет проверяемым более четко и слаженно организовать сопровождение аудита. И иногда даже снижает вероятность известных уловок типа «закрытые двери», «отсутствие ответственных лиц», «мы не знали, нам не сказали», «все ушли на фронт», «короче, приходите завтра» и т.п.
Ограничения
Непосредственно в плане (программе) самоинспекции и (или) аудита могут содержаться требования к деятельности аудиторов и (или) проверяемых объектов. Например, требование или просьба:
- подготовить к проверке конкретный пакет документов или их переводы;
- обеспечить постоянное присутствие переводчика;
- в момент самоинспекции и (или) аудита осуществлять конкретную деятельность (например, процесс производства конкретной продукции и т.п.);
- внести коррективы в график работы отдельных подразделений и (или) постоянного присутствия конкретных должностных лиц и т.п.
Аудиторская группа
Аудиты и самоинспекции могут проводить постоянно действующие аудиторы (например, состоящие в штате Отдела обеспечения качества) или ситуативно вовлекаемые аудиторы из разных структурных подразделений организации. Для аудита поставщиков могут привлекаться внештатные аудиторы и (или) консультанты. По факту, аудит и (или) самоинспекцию может проводить один (единственный) аудитор, а может потребоваться группа из 3-5 аудиторов.
Количество аудиторов определяется (1) целями и (2) критериями проверки, (3) количеством проверяемых объектов и (4) выделенным для проверки временем, (5) необходимостью наличия специальных знаний и навыков у аудиторов, иногда (6) аспектами персональной безопасности.
Еще бытует мнение, что аудиторы не меньше 50% времени, отведенного на аудит, должны работать вместе. Это опять же не верно. ИМХО. По своему статусу все аудиторы при проведении самоинспекции и (или) аудита являются равноценными боевыми единицами. Во время проверки каждый из них – квалифицированный аудитор и должен уметь самостоятельно оценивать соответствие любому требованию соответствующего стандарта и (или) правил. Поэтому совместная работа обоснована только тогда, когда этого требуют установленные правила проведения аудита и (или) самоинспекции, либо когда это продиктовано мерами безопасности (в том числе персональной). Например, в одной из американских компаний на уровне стандартной операционной процедуры (СОП) указаны разделы, проверку которых требуется проводить совместно (преимущественно те, которые находятся в зоне ответственности руководителей и при проверке крупных подразделений) и при этом заявлено особое требование к планированию, чтобы в общем случае аудиторы работали совместно не более 10-15% случаев. Хотя для малых организаций работа аудиторов с руководителями может занимать до 50% выделенного времени.
👉 Больше информации на Telegram-канале СЛУЖБА КАЧЕСТВА
Обсуждения, дискуссии вопросы-ответы 👉 в чате специалистов по качеству