Od tego momentu osobą odpowiedzialną za przeprowadzenie auditu jest auditor wiodący. Pierwszym działaniem jest kontakt z auditowanym. Należy wówczas ustalić kilka podstawowych kwestii, mianowicie:
Na podstawie powyższych informacji może się okazać, że audit jest niewykonalny, bo:
· Nie uzyskaliśmy wystarczających informacji potrzebnych do planowania
· Nie widzimy możliwości współpracy z auditowanym
· Nie zapewniono odpowiedniego czasu i zasobów do przeprowadzenia auditu
Wówczas należy z auditowanym uzgodnić alternatywne rozwiązanie
Pierwsze działania podjęte? Czas wyegzekwować od auditowanego dokumentację. Będziesz potrzebować dokumentów i zapisów, które dotyczą systemu zarządzania (przede wszystkim księgę jakości i procedury/udokumentowane informacje) oraz raporty z poprzedniego auditu. Należy się
z nimi zapoznać i sprawdzić pod względem kompletności, poprawności (czy są zgodne z normą
i przepisami), spójności i aktualności. Znając dokumentację oraz informacje zawarte w programie auditów możemy się w końcu wziąć za przygotowanie planu.
Plan auditu stanowi podstawę do ustaleń między auditorem i auditowanym. Ma być on w miarę elastyczny – tak, by w razie konieczności, można było je wprowadzić w trakcie realizacji działań auditowych. Plan ma zawierać następujące informacje:
Plan może zawierać również bardziej szczegółowe informacje, takie jak kwestie związane
z bezpieczeństwem informacji lub ustalenia logistyczne i komunikacyjne.
Poniżej znajduje się przykładowy plan auditu, który wykorzystujemy na co dzień w Instytucie Kształcenia Menadżerów Jakości.
Jest to dość minimalistyczna forma planu, ale zawiera wszystkie niezbędne informacje.
Plan może mieć też inne formy. Przykładowy formularz znajdują się w załączniku I.
Plan auditu należy przesłać auditowanemu przed terminem jego realizacji. Auditowany musi mieć czas na zapoznanie się z nim i wniesienie ewentualnych uwag. Im wcześniej przekażemy plan tym lepiej. Proponujemy by nie robić tego później niż 7 dni przed terminem auditu.
Poza planem auditu można również przygotować listy kontrolne, plany poboru próbek oraz formularze do zbierania informacji.
Dokumenty te nie są wymagane, ale systematyzują działania auditowe i mogą być pomoce szczególnie dla początkującego auditora.
Lista kontrolna jest to zbiór pytań auditowych. Przygotowuje się ją na podstawie wymagań normy. Warto poszerzyć ją o rzeczy, które chcemy zobaczyć. Zapewnia ona ujęcie wszystkich istotnych punktów. Jej użycie daje pewność, że audit będzie procesem ciągłym, ponadto pomaga w zarządzaniu czasem i porządkuje notatki. Pamiętajmy, że lista kontrolna ma być tylko przewodnikiem. Nie możemy się jej trzymać zbyt ściśle, gdyż może to spowodować pominięcie ważnych ścieżek. Jest ona zbiorem bardzo rzeczowych informacji, które wykorzystamy później do napisania raportu.
Przygotowaną listę można przesłać auditowanemu. Dzięki temu pozna dokładnie nasze zamiary i audit przeprowadzony będzie sprawniej. Nie jest to jednak wymóg.
Czasami zdarza się, że klienci/auditowani podsyłają nam własne listy kontrolne. Wówczas oczywiście należy je wypełnić i dołączyć do raportu.
Czy przygotowywać listę kontrolną? To zależy. Jeżeli jesteś początkującym auditorem to warto poświęcić na to trochę czasu. Wówczas zminimalizujesz ryzyko, że zapomnisz o czymś ważnym. Dla doświadczonego auditora jest to raczej strata czasu i zbędny dokument do tworzenia i wypełniania
Plan poboru próbek
Zebranie wszystkich niezbędnych informacji podczas auditu jest raczej niemożliwe. Może mieć miejsce w malutkiej organizacji, w której system zarządzania nie jest rozbudowany. W pozostałych przypadkach sprawdzanie wszystkich dokumentów i zapisów jest nieefektywne i nieekonomiczne. Wówczas należy zaplanować pobór próbek. Istnieją dwie metody: pobieranie próbek oparte na osądzie, (czyli bazujące na wiedzy, doświadczeniu i umiejętnościach zespołu auditującego), lub statystyczne pobieranie próbek (pobieranie na podstawie teorii prawdopodobieństwa). Niezależnie od tego, którą metodą będziemy się posługiwać, ważne jest by próbki nie były zbyt małe – w końcu zależy nam na tym, żeby wyniki auditu były użyteczne.
Formularze do zbierania informacji – dość górnolotnie się to nazywa w normie. Nie są to jakieś specjalnie przygotowywane dokumenty. Po prostu idąc na audit musimy być gotowi na robienie notatek. Możemy je robić ręcznie lub elektronicznie – jak nam wygodnie. W przypadku ręcznych notatek zachęcamy do zorganizowania sobie zeszytu lub notesu. Pojedyncze kartki łatwiej zgubić lub pomieszać. Nie ma sensu tracić czasu na zastanawianie się co było gdzie i czego się to tyczy. Notowanie od razu w formie elektronicznej mocno skraca czas pisania raportu, gdyż nie musimy przepisywać ręcznych notatek. Jednak chodzenie po firmie ze sporym laptopem jest po prostu niewygodne i często bardziej utrudnia niż pomaga. Zaplanujmy sobie wcześniej w jakiej formie będziemy dokumentować działania i przygotujmy się. Oczywiście możemy używać obu form – róbmy tak, jak by działania były efektywne.
Podsumowując, sposób notowania to kwestia indywidualna. Pamiętajmy tylko, żeby notować rzetelnie i czytelnie, a w przypadku notowania od razu w formie elektronicznej, upewnijmy się, że nie wystąpią problemy sprzętowe, które spowodują utratę danych.
Zapoznaliśmy się z dokumentacją, przygotowaliśmy niezbędne dokumenty – jesteśmy więc gotowi na wizytę u Klienta. Przed rozpoczęciem właściwych działań auditowych przeprowadzamy spotkanie otwierające. Oprócz zespołu auditorskiego i Pełnomocnika/Pełnomocników Systemu/Systemów Zarządzania powinno brać w nim udział Najwyższe Kierownictwo oraz osoby odpowiedzialne za obszary auditowane.
Spotkanie powinien prowadzić auditor wiodący (koordynator, jeżeli jest to audit zintegrowanego systemu). Rozpoczynamy od przedstawienia siebie oraz pozostałych auditorów/obserwatorów/ekspertów technicznych – określając role, które pełnią poszczególne osoby. Następnie potwierdzamy wcześniejsze ustalenia ze wszystkimi stronami auditu i upewniamy się czy zaplanowane działania mogą być zrealizowane, (czyli potwierdzamy cel, zakres, kryteria,
a także plan auditu – jest to bowiem moment, w którym jeszcze można nieznacznie zmienić kolejność działań auditowych lub delikatnie zmodyfikować plan). Potwierdzamy również:
Omawiamy kwestie BHP i informujemy o planowanym czasie spotkania zamykającego.
Warto tutaj wyjaśnić odpowiedzialności obserwatora i przewodnika:
Obserwator – nie jest częścią zespołu auditującego, jedynie mu towarzyszy. Nie przeprowadza auditu, nie ma na niego wpływu. Może być przedstawicielem auditowanego, lub strony zainteresowanej.
Przewodnik – osoba wyznaczona przez auditowanego, która asystuje auditorom. Zapewnia dostęp do lokalizacji, nadzoruje kwestie BHP. Wskazuje również osoby biorące udział w rozmowach, udziela wyjaśnień i pomaga przy zbieraniu informacji.
Czas zacząć realne działania auditowe – przegląd dokumentacji. Pewne jest, że auditowany nie udostępnił nam wszystkich niezbędnych dokumentów – skupmy się więc na tych, których nie widzieliśmy.
Im więcej dokumentacji zostanie nam udostępnione przed auditem u Klienta – tym więcej czasu podczas auditu będziemy mogli poświęcić na rozmowy i obserwacje.
Po co w ogóle przeglądamy dokumentację? By określić zgodność systemu z kryteriami oraz zebrać informacje do wsparcia działań auditowych. W wyniku całościowego przeglądu powinniśmy opierać się na następujących dokumentach:
Sprawdzamy również czy stosuje się odpowiedni nadzór nad dokumentacją.
Zwróć uwagę czy:
· Informacja w dokumentacji jest kompletna, poprawna, spójna i aktualna
· Dokument obejmuje zakres auditu
· Zapewnia się bezpieczeństwo informacji
Przegląd dokumentacji nie musi być w całości przeprowadzony po spotkaniu otwierającym – może być połączony z innymi działaniami auditowymi, ale tylko wtedy, gdy mamy pewność, że nie będzie to miało negatywnego wpływu na skuteczność działań.
Teraz już wiemy jak system jest wdrożony od strony formalnej. Czas sprawdzić jego funkcjonowanie w organizacji. Każdy z zespołu auditującego wie, które obszary ma sprawdzić, więc zaopatrzeni
w środki ochrony indywidualnej ,(jeśli konieczne) zabieramy się do dzieła! Wybierając się na „spacer” po organizacji pamiętajmy, żeby nie zakłócać zachodzących tam procesów. Nie dotykamy sprzętów, nawet jeśli mamy stosowne uprawnienia.
Naszym zadaniem jest obserwowanie otoczenia, działania i warunków środowiskowych, a także rozmawianie z osobami na właściwych szczeblach, które wykonują jakieś działania w ramach systemu zarządzania. O ile w temacie obserwacji nie bardzo jest co wyjaśniać, to powiedzmy sobie kilka słów
o rozmowie. Otóż prowadzimy ją w godzinach pracy auditowanego. Wyjaśniamy, dlaczego podejmujemy rozmowę oraz informujemy, że będziemy robić notatki. Zwykle rozpoczynamy od prośby o opisanie swojej pracy. Musimy odpowiednio formułować pytania – unikajmy pytań zamkniętych.
Audit mimo wszystko jest sytuacją stresową, więc wykaż się cierpliwością i zrozumieniem. Zadawaj pytania pomocnicze. Stres paraliżuje, więc nie wyciągaj pochopnych wniosków. Nie ukrywaj też swoich spostrzeżeń. Od razu mów auditowanemu, co myślisz. Nie skupiaj się na wytykaniu błędów i nieścisłości. Mów też o dobrych rzeczach. Nie oceniaj na pierwszy rzut oka. Upewnij się, że zebrane dowody są kompletne – jeśli masz jakieś wątpliwości zbadaj ponownie. Na koniec podziękuj za udział i współpracę.
Bądź otwarty na różne spojrzenia. Auditowany może mieć odrębne zdanie. Staraj się dojść do wspólnego wniosku – jeśli się nie da, umieść w raporcie swoje spostrzeżenia i doprecyzuj, że auditowany nie podziela Twojego zdania.
Rób notatki!
· Pełne, dokładne, precyzyjne i czytelne
· Zapisuj dowody z auditu
· Unikaj zbierania informacji osobistych – chyba, ze wskazuje na to konkretne kryterium
Ważną kwestią jest też fotografowanie/nagrywanie video. Można, ale tylko pod warunkiem, że kierownictwo wyrazi na to zgodę i mamy ustalone kwestie związane z bezpieczeństwem i poufnością. I nie nagrywamy poszczególnych osób. Podobny tok postępowania stosujemy, gdy chcemy skopiować jakieś dokumenty – czyli za zgodą i uwzględniając kwestie bezpieczeństwa i poufności.
A co jeśli w trakcie auditu zdarzy się jakiś incydent? Auditor wiodący sprawdza, co się stało. Jeżeli to konieczne ustala z klientem/auditowanym czy działania auditowe będą przerwane, kontynuowane czy przełożone.
Ważne jest, by umiejętnie zarządzać czasem. Staraj się przestrzegać planu. Nie pozwalaj, by audit schodził na boczny tor. Nie skupiaj się na błahostkach. Zdecydowałeś się na jakąś wielkość próbki –trzymaj się tego.
Czasu zawsze jest mało!
Zaleca się, by zespół auditorski komunikował się ze sobą w trakcie trwania auditu. Wymieniajcie się spostrzeżeniami i wnioskami. Jeżeli macie jakieś uwagi – poinformujcie auditowanego.
Podczas auditu formułujemy również ustalenia i wnioski. Zgodnie z normą PN EN ISO 19011: 2012 ustalenie z auditu to: wyniki oceny zebranych dowodów z auditu w stosunku do kryteriów auditu. Innymi słowy oceniamy dowód pod względem kryteriów, w ten sposób określamy ich zgodność lub niezgodność. Dzięki nim można również zidentyfikować obszary, które wymagają doskonalenia.
Wniosek z auditu to zgodnie z normą: wynik auditu, po rozważeniu celów i wszystkich ustaleń
z auditu. Czyli analizując ustalenia z auditu określamy w jakim stopniu System Zarządzania jest zgodny z kryteriami. Oceniamy skuteczność wdrożenia, utrzymywania i doskonalenia systemu, a także zdolność przeglądu zarządzania do jego doskonalenia. W końcu ustalamy czy cele auditu zostały osiągnięte.
Tak oto doszliśmy do kolejnej umiejętności, którą każdy auditor powinien posiadać – formułowanie niezgodności i spostrzeżeń.
Niezgodność jest to po prostu niespełnienie wymagania. Jednak pamiętajmy, że nie wszystko jest czarne lub białe – dlatego nie proponujemy kategoryzować każdego ustalenia jako zgodny/niezgodny, a co za tym idzie nie wypisywać kart niezgodności za każdą wykrytą błahostkę. Sugerujemy stosować stopniowanie niezgodności.
Możesz stosować, któryś z powyższych rozwiązań, możesz też wypracować własne. Pamiętaj jednak, żeby raporcie wyjaśnić co oznacza dany rodzaj niezgodności.
Kolejna kwestia – poprawne formułowanie niezgodności. Zaobserwowałeś coś – zapisz dowód w taki sposób, żeby osoba czytająca raport nawet za kilka miesięcy jednoznacznie wiedziała, gdzie ta niezgodność jest i z czego wynika. Powiąż ją z kryterium, które nie zostało spełnione. Zrób tak, żeby czytający nie zastanawiał się, co miałeś na myśli.
Raport niezgodności/karta niezgodności/protokół niezgodności – formularz, lub część raportu, w którym definiujemy niezgodność. Poza samą definicją niezgodności, dowodem
i powiązaniem z kryterium powinnyśmy umieścić informację o deklaracji osoby odpowiedzialnej za auditowany obszar, co do sposobu usunięcia niezgodności i jeżeli to zasadne weryfikację skuteczności podjętych działań. Można również wpisać przyczynę rozpoznanej niezgodności.
Najłatwiej będzie omówić powyższe kwestie na przykładzie.
Powyżej znajduje się formularz raportu, który na co dzień stosujemy w naszym Instytucie. Jak widać nie stosujemy osobnego formularza na dokumentowanie niezgodności. Wszelkie obserwacje, zarówno te pozytywne jak i negatywne spisujemy w jednym dokumencie. Dzięki temu nie tworzymy zbędnej papierologii. Poniżej krótko o tym, co zawiera nasz raport.
W załączniku III znajduje się jeszcze jeden przykład, tym razem sam raport niezgodności. Pamiętaj, że jest to tylko sugestia i możesz wypracować własny sposób ich odnotowywania.
Pamiętaj, że musisz zakomunikować auditowanemu, że wykryłeś niezgodność, a auditowany musi ją potwierdzić. Jeżeli podczas pisania raportu przypomnisz sobie, że przecież gdzieś tam zauważyłeś brak spełnienia kryterium, to jest już za późno – niezgodności wystawić nie możesz.
W spotkaniu zamykającym zwykle biorą udział osoby obecne na spotkaniu otwierającym. Powinien je prowadzić auditor wiodący w celu przedstawienia ustaleń i wniosków z auditu. Informuje, że dowody były zbierane na podstawie próbek. Przedstawia krótko zarówno pozytywne jak i negatywne zestawienia, oraz omawia sposób postępowania z ustaleniami z auditu, a także ich ewentualne negatywne konsekwencje. Można też omówić rekomendacje do doskonalenia – nie jest to obowiązkowe. Na koniec robimy podsumowanie całościowe.
Właściwie można powiedzieć, że jest to jeden z ostatnich etapów auditu, który bezpośrednio dotyczy auditora. Raport jest pisemnym podsumowaniem naszych działań. Przykładowy formularz omówiliśmy już przy okazji definiowania niezgodności. W załączniku II przedstawimy jeszcze jeden przykład. Teraz po krótce omówimy, co w raporcie powinno się znaleźć:
Raport piszemy na podstawie informacji, które zebraliśmy podczas działań auditowych. Korzystamy m.in. z zapisów, list kontrolnych, raportów niezgodności. Jeżeli uzyskaliśmy zgodę na fotografowanie, możemy umieścić również zdjęcia.
Nie zostawiaj pisania raportu „na później”. Im dłużej będziesz zwlekał, tym mniej będziesz pamiętał.
Nie ograniczaj się tylko do odnotowywania niezgodności. Raportuj pełny wynik. Oczywiście nie chodzi o to, byś stworzył 30-stronicowe dzieło literackie. Staraj się zawrzeć maksimum informacji przy minimum pisania. Ujmij zarówno negatywne jak i pozytywne spostrzeżenia. Raport powinien być wartością dodaną dla systemu zarządzania.
Podsumowując musisz napisać rzeczowy, zwięzły, przejrzysty i czytelny dokument. I MUSISZ TO ZROBIĆ W USTALONYM WCZEŚNIEJ TERMINIE. Raport możesz napisać również przed spotkaniem zamykającym. Wszystko zależy od ustaleń poczynionych przed auditem.
Gotowy raport wysyłamy do odbiorców – zgodnie z procedurami lub planem auditu.
Audit jest zakończony jeśli wszystkie zaplanowane działania uzgodnione z klientem auditu zostały wykonane.
Dokumenty dotyczące auditu należy przechowywać lub zniszczyć. Wyników auditu nie wolno ujawniać bez zgody klienta.
Audit można uznać za kompletny do chwili, gdy konieczne działania korygujące (działania podjęte
w celu usunięcia przyczyny wykrytej niezgodności lub innej niepożądanej sytuacji) nie zostaną
z powodzeniem podjęte i nie zostaną uznane za skuteczne. W przeciwnym wypadku auditowanie będzie tylko stratą czasu i środków.
Zidentyfikowane niezgodności stanowią informację zwrotną dla działań korygujących.
Auditowany podejmuje niezbędna działania zgodnie z wnioskami i celami auditu. Jeżeli to właściwe auditowany informuje osobę zarządzającą auditem oraz zespół auditorski o statusie działań. Weryfikacja podjętych działań jest zalecana – może być częścią kolejnego auditu.
Auditor nie powinien angażować się w opracowanie planu działań korygujących jak również w ich realizację, gdyż uniemożliwiałoby mu to zachowanie obiektywizmu podczas przeglądu dotyczącego efektywności takich działań. Rola auditora sprowadza się do przeprowadzenia auditu i napisania raportu. W teorii brzmi pięknie. Jednak auditor, jako osoba z wielkim doświadczeniem, jest skarbnicą wiedzy organizacyjnej. Więc zasugerowanie rozwiązania jakiejś sytuacji nie jest żadnym przewinieniem. Sugerowanie jest tu słowem klucz. Pod żadnym pozorem nie może niczego narzucać!