About Teletype
Join
@vialek
March 5, 2021

Самоинспекция (внутренний аудит) высшего руководства

У специалистов по качеству часто возникают вопросы в отношении того, (1) нужна ли самоинспекция (внутренний аудит) высшего руководства, (2) если нужна, кто ее может проводить и (3) как при этом не нарушить принцип независимости аудитора.

Автор: Александр Александров, Виалек

Для многих самоинспекция высшего руководства ассоциируется с конфликтом интересов, для некоторых с серьезными последствиями в случае фиксации недостатков в зоне ответственности руководителя организации. С такой позиции внутренним аудитором не может быть никто, кроме руководителя организации.

Хорошие вопросы, давайте попробуем разобраться.

Поставленные вопросы в принципе затрагивают не одну, а две проблемы:

  1. (1) Что именно может и (или) должно быть объектом анализа при оценке деятельности высшего руководства?
  2. (2) Кто в принципе может проводить такую проверку?

В связи с тем, что все международные стандарты на системы качества и надлежащие фармацевтические практики GMP, в том числе ICH Q10, GDP, GPP, GVP содержат примерно одинаковые формулировки в отношении ответственности высшего руководства, для данной заметки в качестве опорного стандарта принят ISO 9001 (как наиболее структурированный в данном вопросе). Эпизодически ссылки на другие стандарты и правила направлены на выборочное подтверждение утверждения о подобии требований.

Объекты оценки деятельности высшего руководства 

Для упрощения задачи давайте считать, что при самоинспекции (внутреннем аудите) в конкретной организации анализируется выполнение только тех требований, которые адресованы высшему руководству организации (хотя высшее руководство, особенно в малых организациях, может оставить лично за собой ответственность за реализацию любых требований отраслевых стандартов и правил и, соответственно, внутренним аудиторам придется анализировать их выполнение тоже).

Все такие требования можно разбить на три группы:

  1. Требования, которые внутри функционирующей системы качества для своей реализации не требуют прямого участия высшего руководства.
  2. Требования, доказательства выполнения которых со стороны высшего руководства в полном объеме можно получить без опроса (прямого интервьюирования), например по документам и (или) записям (документарный аудит).
  3. Требования, выполнение которых требует прямых ответов представителя(ей) высшего руководства.

Первая группа вопросов 

Итак, к ней относятся требования, которые внутри функционирующей системы качества для своей реализации не требуют прямого участия высшего руководства (например, генерального директора или совета директоров). Например, в рутинной (повседневной) деятельности по обеспечению того, «поддержки ориентации на потребителя во всей организации» (пункты 5.1.2, 5.3(с) ISO 9001) непосредственно генеральный директор может не участвовать.

В разделе 1 части 1 GMP есть очень корректная формулировка основных принципов системы качества: «Ответственность за выполнение требований несет высшее руководство, их выполнение требует участия и ответственности персонала различных подразделений предприятия-производителя на всех его уровнях, а также поставщиков и организаций оптовой торговли». Это означает, что получить доказательства выполнения этих требований в ходе беседы с ним может не представляться возможным.

Более того, выполнение ряда требований этой группы не может быть в полной мере проанализировано в ходе интервью с генеральным директором. Например:

  • проверку «доведения до сведения организации важности выполнения требований потребителя, равно как и законодательных и нормативных требований» (пункт 5.1.2(а) ISO 9001), «доведение до сведения персонала политики в области качества» (пункт 5.2.2 ISO 9001), «осуществление взаимодействия по вопросам результативности системы качества» (пункт 7.4 ISO 9001), нельзя осуществить у генерального директора. В надлежащих фармацевтических практиках аналогично.
Например, в пункте 1.5 части 1 GMP заявлено, что «Высшее руководство несет основную ответственность за наличие эффективной фармацевтической системы качества, за то, что имеются необходимые ресурсы и что обязанности, ответственность и полномочия определены, доведены до сведения и выполняются, реализуются во всех подразделениях предприятия. Важна лидирующая роль высшего руководства и его активное участие в фармацевтической системе качества. Это должно гарантировать … заинтересованность персонала на всех уровнях и в подразделениях предприятия».

Доказательства соблюдения данных требований можно собрать только в подразделениях организации.

  • доказательства того, что «ответственность и полномочия определены и доведены до сведения соответствующего персонала организации» (пункт 5.3 ISO 9001) можно получить, только анализируя соответствующие документы (положения, должностные инструкции и т.п.) и (или) в ходе беседы с сотрудниками.
  • проверку того, что входные данные для анализа функционирования системы качества со стороны высшего руководства включают всю информацию, требуемую в 9.3.2 ISO 9001, можно осуществить только анализируя входные данные.
  • и т.д, т.п.

Конечно, руководитель организации может дать поручение собрать все необходимые данные, сведения, документы и записи у него в кабинете, но они будут служить доказательством не его личной ответственности, а деятельности других работников организации.

Вторая группа вопросов 

К ней относятся требования, доказательства выполнения которых со стороны высшего руководства в полном объеме можно получить без опроса (прямого интервьюирования), например по документам и (или) записям, проводя т.н. документарный аудит.

Например, именно таким образом можно установить,

  • (1) что политика и цели в области качества установлены, проводится анализ со стороны высшего руководства и доступны все необходимые ресурсы, в том числе на внедрение изменений, выполнение плана корректирующих и (или) предупреждающих действий (САРА) – требования пунктов 5.1.1, 9.3.1 ISO 9001;
  • (2) что политика в области качества включает обязательства соответствия требованиям и постоянного повышения результативности (эффективности) системы качества, создает основу для установления и анализа целей и планов по качеству, доведена до сведения персонала и понятна внутри организации – требования пунктов 5.2.1, 5.2.2 ISO 9001;
  • и т.д., и т.п

Третья группа вопросов 

К ней относятся требования, выполнение которых не может быть оценено без получения информации непосредственно от высшего руководства, в частности, без получения от, например, генерального директора ответов на вопросы (назовем их «вопросами, относящимися к личной ответственности генерального директора):

  • каково предназначение организации и насколько оно, с точки зрения высшего руководства, учтено в формулировках принятой (действующей) политики в области качества; сохраняет ли политика, с его (их) точки зрения, свою пригодность на момент самоинспекции (внутреннего аудита) – пункт 5.2.1 ISO 9001 и др.
  • какова оценка высшим руководством достаточности и эффективности механизма установления целей в области качества для соответствующих функций (направлений деятельности) и уровней внутри организации – пункт 6.2.1 ISO 9001 и др.
  • в каких стратегических направлениях высшее руководство видит необходимость и возможность развития системы качества – пункты 6.1.1, 6.2.2 ISO 9001; 1.2 GDP и др.
  • как высшее руководство оценивает выполнение представителем высшего руководства по качеству (директором по качеству, отделом обеспечения качества, ответственным лицом дистрибьютора) возложенных на него обязанностей – пункт 5.3 ISO 9001; 2.2 GDP и др.
  • какова оценка высшим руководством возможностей для улучшения и потребности в изменениях в системе качества и (или) ее процессах – пункты 9.3.1, 9.3.3 ISO 9001; 1.2 GDP и др.
  • насколько достаточной является для высшего руководства информация, предоставляемая для анализа функционирования системы качества, а также механизм (методика) оценки эффективности системы качества – пункт 9.3.2 ISO 9001; 1.6 Части 1 GMP; 1.4 GDP и др.

Если генеральный директор или совет директоров закрепил за собой лично ответственность за обеспечение соответствия системы качества каким-либо требованиям стандартов и (или) правил или за управление какими-то процессами системы качества, то указанный выше список вопросов необходимо дополнить еще одним:

  • как высшее руководство оценивает состояние и эффективность управления теми процессами и теми видами деятельности в системе качества, ответственность за которые он/она/оно возложил(о) на себя?

Говоря в целом об особенностях этих трех групп требований, можно предположить, что за исключением ограниченного количества требований, относящихся к третьей группе вопросов, свидетельства самоинспекции (внутреннего аудита) по всем другим требованиям, относящимся к ответственности высшего руководства, внутренние аудиторы могут получить в ходе посещения структурных подразделений и (или) общения с персоналом организации (а иногда только так и никак иначе). По этой причине, оценку деятельности высшего руководства можно и целесообразно разделить на две части – документарный аудит и непосредственная беседа с высшим руководством, на которой достаточно ограничится обсуждением лишь вопросов, отнесенных выше к третьей группе (относящихся к личной ответственности).

Теперь можно перейти ко второму вопросу – «Кто в принципе может проводить самоинспекцию (внутренний аудит) высшего руководства и как обеспечить независимость аудиторов?».

Выбор аудиторов

Отвечая на этот вопрос правильнее всего обратиться к трактовке Международной организации по стандартизации (ISO). В ISO 19011 в разделе 4 «Принципы аудиторования» независимость аудита включена в число тех принципов, которые обеспечивают получение объективных и воспроизводимых заключений по аудиту. Для этого аудитор должен быть «независим от деятельности, которая будет подвергнута аудиту». Аналогичное требование присутствует и в пункте 9.2.2(f) ISO 9001: «Организация должна отбирать аудиторов и проводить аудит так, чтобы была обеспечена объективность и беспристрастность процесса аудита». По факту такое же требование в пунктах 9.2 GMP, 8.2 GDP.

Как видно, акцент делается не на том, в какой иерархической связи состоит аудитор и проверяемое лицо. Условие только одно – внутренний аудитор не должен принимать участие в деятельности, которая подвергается оценке (проверке). Это означает, что если во время самоинспекции (внутреннего аудита) высшего руководства все задаваемые ему вопросы будут касаться только видов деятельности из его зоны ответственности, то требование независимости внутренних аудиторов не нарушается. Получается, в таком объеме самоинспекцию (внутренний аудит) руководителя организации может проводить любой внутренний аудитор несмотря на то, что все они являются его подчиненными.

Думаю не все могут согласиться с таким выводом. Аргументация оппонентов может опираться, в частности, на продолжение процитированного выше требования ISO 19011, а именно: аудиторы «должны быть … свободны от … конфликта интересов». Конфликт интересов имеет отношение к ситуации, когда аудитор находится в зависимости от проверяемого в оцениваемой им сфере, и по этой причине может «закрывать глаза» на некоторые недостатки, которые в случае их констатации (фиксации), могут вызвать негативную реакцию со стороны руководителя организации, иногда с серьезными последствиями. Но это немного из другого мира. Репрессивный менеджмент всегда отрицательно влияет на функционирование системы качества. С этой позиции внутренним аудитором не может быть никто, кроме руководителя организации.

Конфликт интересов – это когда, я как консультант, сперва помогал организации создать систему качества, получал за это денежки, а потом прихожу в данную организацию на инспекцию и (или) сертификационный аудит. В подобных случаях очень высокий риск «закрыть глаза» на те недостатки, которые я, как консультант, «проглядел».

Что касается ответа на вопрос «кто?» – кто бы не проводит самоинспекцию (внутренний аудит) высшего руководства – здесь конфликта интересов нет. В таком аудите нельзя скрыть или утаить от высшего руководства результаты оценки. Не забывайте для кого и для чего проводятся самоинспекции и (или) внутренние аудиты.

Вместе с тем, учитывая именно морально-этические соображения, представляется что оценку деятельности высшего руководства может проводить:

  • любой внутренний аудитор в присутствии представителя руководства по качеству, либо
  • команда из нескольких аудиторов, одним и которых является представитель высшего руководства по качеству.

Присутствие представителя высшего руководства по качеству (директор по качеству, начальник отдел обеспечения качества или ответственное лицо дистрибьютора и т.п.) не только целесообразно, а очень важно. Если использовать терминологию процессного подхода, то руководитель организации – владелец системы качества, а представитель высшего руководства – ее администратор (управляющий). И те ответы, которые будет давать руководитель организации на вопросы, поставленные аудиторами, буду носить для представителя высшего руководства не только и не столько информационный смысл, сколько актуализированный вариант формулировки (постановки) стратегических целей по дальнейшему развитию (совершенствованию) системы качества. Тут важно отметить, что самоинспекция высшего руководства не заменяет (и не подменяет) анализ со стороны руководства.

👉 Больше информации на Telegram-канале СЛУЖБА КАЧЕСТВА
Обсуждения, дискуссии вопросы-ответы 👉 в чате специалистов по качеству

@aalex
March 5, 2021, 08:25
0 views
0 reactions
0 replies
0 reposts