Внутренний аудит ISO 9001 часто пытаются свести к формальной проверке: есть ли документы, стоят ли подписи, закрыты ли старые замечания. Но такой подход дает мало пользы бизнесу. Нормальный внутренний аудит нужен не для поиска виноватых и не для «галочки» перед сертификацией, а для оценки того, насколько система менеджмента качества реально работает, управляет рисками и помогает достигать целей. ISO прямо относит внутренний аудит к аудиту первой стороны, а сама логика ISO 9001 строится вокруг процессного подхода, риск-ориентированного мышления и оценки результативности процессов.
Хороший чек-лист внутреннего аудита по ISO 9001 — это не длинный перечень абстрактных вопросов. Это практический инструмент, который помогает аудитору смотреть на процесс через четыре вещи: цель процесса, входы и выходы, риски и показатели, а также фактическое выполнение требований. Именно поэтому один и тот же шаблон нельзя бездумно применять ко всем подразделениям. Для управления, продаж, закупок, проектирования, производства, работы с персоналом или метрологии нужны разные акценты. Разъяснения по внутренним аудитам для ISO 9001 отдельно подчеркивают, что программа аудитов должна учитывать важность процессов, изменения и результаты предыдущих аудитов, а значит и чек-лист должен быть риск-ориентированным, а не одинаковым для всех.
Что это такое простыми словами
Чек-лист внутреннего аудита — это список вопросов и точек проверки, которые помогают аудитору не упустить важное во время интервью, наблюдения и анализа записей. Но его задача не в том, чтобы «зачитывать вопросы по бумаге». Его задача — направлять аудит и помогать собрать достаточные свидетельства: как процесс работает, кто отвечает за результат, какие есть риски, какие показатели используются, как управляют ошибками и что делают для улучшения.
Если говорить совсем просто, хороший чек-лист помогает ответить на пять практических вопросов:
понятно ли, зачем существует процесс;
знает ли персонал, как его выполнять;
есть ли управление рисками и изменениями;
измеряется ли результат;
используются ли результаты для улучшения.
Как это связано с ISO 9001 и системой менеджмента качества
ISO 9001 требует смотреть на организацию как на систему взаимосвязанных процессов. Официальные материалы ISO по процессному подходу прямо связывают между собой процессный подход, цикл «планируй – выполняй – проверяй – улучшай» и риск-ориентированное мышление. Это означает, что внутренний аудит ISO 9001 не должен ограничиваться проверкой отдельных документов. Аудитор должен видеть процесс в работе: какие у него входы, какие выходы, какие ресурсы, какие риски, какие показатели и как он влияет на клиента.
Для практики это означает важную вещь: если во время аудита вы не понимаете, как процесс связан с целями в области качества, требованиями клиентов, несоответствиями и корректирующими действиями, значит аудит, скорее всего, слишком поверхностный.
Как пользоваться чек-листом правильно
Перед аудитом чек-лист нужно адаптировать под конкретную компанию и конкретный процесс. Нельзя одинаково проверять отдел продаж и производство, даже если оба процесса входят в одну систему менеджмента качества.
Лучше использовать такой порядок:
сначала определить цель процесса;
затем понять его основные риски и типовые сбои;
после этого выбрать 10–20 сильных вопросов, а не 100 формальных;
во время аудита смотреть не только на ответы, но и на факты: записи, показатели, переписку, заказы, заявки, протоколы, образцы, оборудование, рабочие места;
по итогам оценивать не только соответствие, но и результативность.
Зрелый аудит идет от процесса к фактам. Незрелый — от шаблона к галочкам.
Универсальный чек-лист: вопросы, которые подходят почти для любого процесса
Ниже — базовый чек-лист внутреннего аудита ISO 9001, который применим почти ко всем процессам.
Цель и ответственность
Понятна ли цель процесса?
Кто отвечает за процесс и за его результат?
Понимают ли сотрудники свою роль и зону ответственности?
Как процесс связан с целями в области качества?
Какие требования клиента или бизнеса этот процесс должен обеспечивать?
Входы, выходы и взаимодействие процессов
Какие входы нужны процессу для нормальной работы?
Кто их передает и в каком виде?
Какие выходы формирует процесс?
Кто является внутренним или внешним получателем результата?
Что происходит, если входы неполные, ошибочные или поступают с задержкой?
Риски, изменения и управление отклонениями
Какие основные риски есть в процессе?
Как сотрудники понимают, что процесс начинает выходить из-под контроля?
Какие изменения в процессе были в последнее время?
Как оценивали влияние этих изменений?
Что делают при отклонениях, сбоях или ошибках?
Показатели и оценка результативности
Есть ли у процесса показатели?
Кто их анализирует и как часто?
Что считается нормальным результатом, а что сигналом проблемы?
Используются ли данные для решений или показатели существуют формально?
Какие тенденции видны по процессу за последнее время?
Ресурсы, компетентность и документы
Достаточно ли у процесса людей, времени, оборудования и информации?
Обучен ли персонал для выполнения своих функций?
Какие документы и записи используются в работе?
Актуальны ли они?
Понимают ли сотрудники, где искать нужную информацию?
Улучшение
Какие проблемы в процессе повторяются?
Анализируются ли причины несоответствий?
Какие корректирующие действия предпринимались?
Проверяли ли их результативность?
Какие улучшения были внедрены за последний период?
Чек-лист для процесса управления
Процесс управления нельзя проверять только через наличие политики и целей. Здесь важно понять, действительно ли руководство управляет системой менеджмента качества, а не просто одобряет документы.
Вопросы для аудита:
Понимает ли руководство основные риски и проблемы бизнеса?
Как цели в области качества связаны с реальными задачами компании?
Как руководство оценивает результативность СМК?
Какие показатели регулярно рассматриваются?
Какие решения принимались по итогам анализа со стороны руководства?
Что было сделано по итогам жалоб клиентов, внутренних аудитов и несоответствий?
Как руководство распределяет ресурсы на качество, обучение, оборудование и улучшения?
Как оцениваются изменения, которые могут повлиять на систему?
Есть ли реальные примеры участия руководства в улучшении процессов?
На что смотреть: протоколы совещаний, анализ со стороны руководства, решения по ресурсам, планы улучшений, показатели процессов, жалобы клиентов.
Чек-лист для процесса проектирования и разработки
Этот раздел актуален не для всех компаний, но если проектирование есть, аудит здесь должен быть особенно внимательным. Ошибки на этой стадии потом дорого обходятся в производстве, услугах и рекламациях.
Вопросы:
Определены ли входные требования к проектированию?
Кто проверяет полноту и непротиворечивость требований?
Как учитываются требования клиента, нормативные требования и предыдущий опыт?
Есть ли этапы проверки, анализа и утверждения решений?
Как фиксируются изменения в проекте?
Как оценивают влияние изменений на сроки, стоимость, качество и риски?
Есть ли подтверждение, что результат проектирования пригоден для дальнейшего применения?
Как передается информация в производство, закупки или оказание услуг?
Разбираются ли ошибки проектирования и повторяются ли они?
На что смотреть: технические задания, планы проекта, протоколы проверок, изменения, согласования, результаты испытаний или проверок.
Чек-лист для производства или оказания услуг
Это один из самых важных блоков внутреннего аудита ISO 9001, потому что именно здесь клиент получает реальный результат.
Вопросы:
Понимают ли сотрудники, что именно и по каким требованиям они должны делать?
Есть ли четкие критерии выполнения работы?
Доступны ли актуальные инструкции, маршруты, спецификации?
Есть ли контроль ключевых параметров процесса?
Что делают, если обнаружен дефект, сбой или отклонение?
Как обеспечивается идентификация и прослеживаемость, если она нужна?
Как проверяют качество на этапах выполнения работы?
Как предотвращают выпуск или передачу несоответствующего результата клиенту?
Какие улучшения внедрялись по процессу за последнее время?
На что смотреть: рабочие места, маршрутные листы, журналы контроля, записи о браке, переделках, отклонениях, статус продукции или услуги.
Чек-лист для управления персоналом и компетентностью
В ISO 9001 компетентность персонала — это не только обучение. Это способность человека качественно выполнять работу, от которой зависит результат процесса.
Вопросы:
Определены ли требования к компетентности по ключевым функциям?
Как компания понимает, что сотрудник действительно готов к работе?
Какие виды обучения проводились и почему?
Как оценивается результат обучения?
Что делают при переводе сотрудника на новую функцию?
Как управляют знаниями, если опытный сотрудник увольняется?
Понимают ли сотрудники цели, требования и риски своей работы?
Есть ли типовые ошибки, связанные именно с нехваткой компетентности?
На что смотреть: матрицы компетентности, программы обучения, результаты аттестации, планы ввода в должность, подтверждение навыков.
Чек-лист для отдела продаж и работы с клиентами
Продажи в СМК — это не только выручка. Это правильное определение требований клиента, управление обещаниями и предотвращение будущих претензий.
Вопросы:
Как собираются и уточняются требования клиента?
Как проверяют, что компания действительно может выполнить заказ?
Как оформляются изменения в заказе?
Кто и как согласует нестандартные требования?
Как передается информация в производство, логистику или оказание услуг?
Как отслеживается удовлетворенность клиентов?
Как анализируются жалобы, потери заказов, возвраты и претензии?
Есть ли случаи, когда клиенту обещали больше, чем компания могла обеспечить?
На что смотреть: договоры, заявки, переписку, спецификации, отзывы, жалобы, причины потери клиентов.
Чек-лист для закупок и управления поставщиками
Слабые закупки быстро разрушают даже хорошо настроенную СМК. Поэтому внутренний аудит закупок должен смотреть не только на наличие реестра поставщиков, но и на реальное управление рисками.
Вопросы:
По каким критериям выбирают и оценивают поставщиков?
Есть ли различие между критичными и некритичными поставщиками?
Какие требования до поставщика доводятся до начала работы?
Как контролируют качество поставок?
Что делают при повторяющихся проблемах с поставщиком?
Как оценивают результативность поставщика: сроки, качество, рекламации, стабильность?
Как управляют аутсорсингом, если часть процесса выполняет внешняя сторона?
Есть ли случаи, когда закупки создают риск для качества продукции или услуги?
На что смотреть: реестр поставщиков, критерии оценки, протоколы оценки, рекламации, корректирующие действия, договорные требования.
Чек-лист для метрологии и управления средствами измерений
Этот блок особенно важен там, где результат зависит от точности измерений, контроля параметров и достоверности данных.
Вопросы:
Определено ли, какие средства измерений критичны для качества?
Есть ли график поверки, калибровки или иной формы подтверждения пригодности?
Понимает ли персонал, каким оборудованием можно пользоваться, а каким нельзя?
Как обозначается статус средства измерений?
Что делают, если средство измерений оказалось неисправным или просроченным?
Оценивается ли влияние недостоверных измерений на уже выполненную работу?
Есть ли условия хранения и эксплуатации, влияющие на точность?
На что смотреть: перечни оборудования, статусы, записи поверки или калибровки, изоляцию неисправных средств, оценку последствий.
Что важно учитывать на практике
Во время внутреннего аудита важно не только задавать вопросы, но и наблюдать. Очень часто сотрудник отвечает правильно, потому что знает, «как надо», а фактическая работа выглядит иначе.
Поэтому хороший аудит сочетает три вещи:
вопросы сотрудникам;
проверку записей и документов;
наблюдение за реальным выполнением процесса.
Если есть возможность, идите по цепочке: от требования клиента — к планированию — к выполнению — к контролю — к несоответствиям — к корректирующим действиям.
Типовые ошибки и слабые места
Самые частые ошибки при использовании чек-листа внутреннего аудита по ISO 9001 такие:
вопросы слишком общие и не привязаны к процессу;
аудитор проверяет документы, но не смотрит фактическую работу;
нет вопросов про риски, показатели и результативность;
нет связи между жалобами клиентов, несоответствиями и корректирующими действиями;
аудит сводится к поиску формальных несоответствий;
одни и те же вопросы задаются из года в год без учета изменений в компании;
чек-лист слишком длинный и мешает видеть главное.
Незрелый подход — это когда чек-лист существует ради отчета. Зрелый — когда он помогает выявлять слабые места процесса и точки улучшения.
Итоги
Чек-лист внутреннего аудита по ISO 9001 полезен только тогда, когда он построен вокруг процессов, рисков, показателей и фактической работы, а не вокруг формального набора вопросов. Универсальная часть нужна почти для всех процессов: цель, ответственность, входы, выходы, риски, показатели, ресурсы, несоответствия и улучшение. Но после этого обязательно нужны специальные вопросы для конкретных функций: управления, проектирования, производства, работы с персоналом, продаж, закупок, метрологии и других процессов.
Хороший внутренний аудит ISO 9001 — это не чтение шаблона вслух. Это инструмент, который помогает понять, где процесс действительно управляется, где есть риски, где система менеджмента качества работает результативно, а где уже нужны корректирующие действия и улучшение процессов. Именно такой подход полезен и для подготовки к сертификации ISO 9001, и для реального управления качеством внутри компании.