Audyt – jedno z kluczowych wymagań systemów zarządzania opartych o normy ISO, którego celem jest ocena systemu, procesu, dostawcy. Audyt – zgodnie z definicją tego terminu – powinien być niezależnym, systematycznym procesem, którego celem jest ocena stopnia spełnienia określonych wymagań.
Zasadniczo mówimy o trzech rodzajach audytów: audyt pierwszej strony (audyt wewnętrzny), audyt drugiej strony (audyt klienta u dostawcy) i audyt trzeciej strony (audyt wykonywany przez niezależną organizację, np. audyt jednostki certyfacyjnej). Wszystkie ww. typy audytów mają elementy wspólne, ale też się różnią, ponieważ pełnią nieco inne role w systemie.
Różnice między audytami pierwszej, drugiej i trzeciej strony.
| Proces audytu | Audyt pierwszej strony | Audyt drugiej strony | Audyt trzeciej strony |
| Cel audytu | Ocena stopnia spełnienia wymagań danej normy i wymagań własnych organizacji oraz skuteczności systemu | Ocena stopnia spełnienia wymagań przez dostawcę | Ocena stopnia spełniania wymagań danej normy w odniesieniu do zakresu i kryteriów jego certyfikacji, nadzoru lub recertyfikacji |
| Zakres audytu | Konkretny obszar lub proces w zakresie systemu | Procesy, działania, usługi realizowane przez zewnętrznego dostawcę | Udokumentowany zakres systemu zarządzania w stosunku do wymogów danej normy |
| Kryteria | Punkty normy stanowiącej podstawę systemu, realizowane w danym obszarze/procesie, oraz konkretna dokumentacja wspierająca działania w obszarze lub proces | Dokument zawierający wymagania organizacji (np. umowa, specyfikacji, zamówień, zleceń, itp.) na podstawie których dostawca realizuje zlecony proces czy usługę | Norma, która stanowi podstawę danego systemu praz dokumentacja systemu zarządzania |
| Długość trwania audytu | Jest ustalany przez audytora i zależy od stopnia skomplikowania procesu, jego znaczenia w systemie i poziomu ryzyk | Jest ustalany przez audytora i wynika z zakresu zleconych działań, procesów lub realizowanych usług | Jest wyliczany przez jednostkę certyfikującą na podstawie określonych kryteriów i zasadniczo jest nienegocjowalny |
| Kompetencje audytora | Ustala organizacja wg własnych kryteriów z uwzględnieniem wiedzy i umiejętności niezbędnych do prowadzenia audytu wewnątrz organizacji | Ustala organizacja wg własnych kryteriów z uwzględnieniem wiedzy i umiejętności niezbędnych do prowadzenia audytu u konkretnego dostawcy | Wynikają z normy ISO 17021 i innych dokumentów obowiązujących akredytowaną jednostkę certyfikacyjną |
Audyty pierwszej, drugie i trzeciej strony
Wszystkie trzy typu audytów są procesem, który zawiera te same etapy i działania do wykonania. Zgodnie z wytycznymi zawartymi w normie ISO 19011:2018 pkt 6 Przeprowadzenie auditu, proces audytu składa się z następujących etapów:
Każdy z ww. etapów audytu powinien zostać zrealizowany w każdym audycie, niemniej jednak realizacja zaleceń danego punktu w zależności od typu audytu może być różna. Uważa się ogólnie, że audyty pierwszej strony są najmniej sformalizowane, a dokładnie rzecz biorąc nie ma bardzo restrykcyjnych wymagań co do ich organizacji, częstotliwości, kompetencjach auditora itd. Po przeciwnej stronie są audyty trzeciej strony. Ponieważ mówimy o systemach zarządzania opartych o normy ISO, weźmy audyty przeprowadzane przez jednostki certyfikacyjne. Taki audyt jest prowadzony wg bardzo sformalizowanych wymagań wynikających z normy ISO 17021 (PN-EN ISO/IEC 17021 Ocena zgodności. Wymagania dla jednostek prowadzących). W związku z tym audyt ma bardzo jasno określony czas trwania, audytor musi przygotować pisemny plan i wysłać audytowanemu w określonym terminie, aby audytowany mógł się do niego odnieść. Audytorzy wykonujący audyty trzeciej strony muszą spełniać kryteria wynikające z wymagań normy ISO 17021, m.in. muszą ukończyć specjalny kurs i zdać egzamin akredytowany przez IRCA (International Register of Certificated Auditors), udokumentować konkretną liczbę lat doświadczenia w danym sektorze, rynku, określone liczbę lat doświadczenia w danym systemie, itd. Zdecydowanie łatwiej jest zostać audytorem wewnętrznym czy audytorem drugiej strony i utrzymać kompetencje oraz uprawnienia niż audytorem trzeciej strony. Audyt dostawcy jest jeszcze bardziej specyficzny, ponieważ w tym przypadku stopień sformalizowania audytu i metody realizacji bardzo często wynikają z tego co dostarcza zewnętrzny dostawca. Czy jest to dystrybutor gotowego wyrobu, który kupujemy i włączamy do naszego wyrobu, czy jest to dostawca usług, jakie znaczenie ma proces oddany w outsourising dla wyników naszego systemu, w jakiej branży działamy. Tu nie tylko organizacja decyduje, ale również inne wymogi i standardy branżowe (IATF, GMP+, itd.). W tym przypadku również nieco inaczej powinno się ustalać kompetencje audytora, zwłaszcza w odniesieniu do wiedzy czy umiejętności związanych ze zleconym procesem, usługą czy kupowanym wyrobem.
W przypadku audytu pierwszej strony to organizacja decyduje o tym w jaki sposób będzie realizowała wymagania danej normy ISO odnośnie audytu wewnętrznego. Osoba odpowiedzialna za system lub program audytów decyduje w zasadzie jak ten proces będzie realizowany w systemie. Ustala częstotliwości przeprowadzania audytów wewnętrznych, sposób inicjowania audytu, potem określa stopień sformalizowania i dokumentowania przygotowania działań audytowych, przeprowadzenia działań audytowych i wreszcie raportowania. Organizacja samodzielnie decyduje o tym jakie kompetencje powinni mieć audytorzy. Nie ma tu innych wymagań niż wymagania punktu 9.2 wszystkich norm ISO opartych na architekturze wysokiego poziomu (High Level Structure tzw. HLS). Z jednej strony brak szczegółowych, skonkretyzowanych i sformalizowanych wymagań wydaje się szansą dla organizacji, z drugiej zaś może stanowić ryzyko. Realizacja procesu audytu wewnętrznego jest bowiem wyzwaniem dla organizacji. To od procedury audytu wewnętrznego i jej zapisów zależy czy audyt będzie tylko „odfajkowaniem” wymagania czy będzie narzędziem wspierającym ewaluacje i rozwój firmy. Audyt powinien stać się elementem kultury organizacyjnej, częścią jej DNA, aby mógł spełnić swoją rolę, tj. autooceny systemu zarządzania. Perspektywa przyglądania się „od wewnątrz” jest wzmocniona poprzez bezstronność i obiektywizm audytu wewnętrznego, którą z reguły uzyskuje się dzięki stosowaniu zasady: „audytorzy nie audytują procesów, które realizują, w których uczestniczą lub za które odpowiadają ich bezpośredni przełożeni”. Jeśli w organizacji mamy zespół kompetentnych, świadomych swojej roli audytorów, audyt jest proaktywnym narzędziem generującym szansy dla rozwoju i doskonalenia procesów, działań, systemu. Wyniki audytów wewnętrznych powinny pełnić rolę katalizatora pozytywnych zmian organizacji. Jednak aby tak się stało należy osiągnąć wysoki poziom świadomości jakościowej i traktować niezgodność w audicie wewnętrznym jak prezent.
Nieco inną rolę ma audyt drugiej strony, czyli audyt dostawcy. Audyt dostawcy jest działaniem mającym na celu ocenę stopnia spełnienia przez dostawcę naszych wymagań, ale także stanowi element zarządzania ryzkiem związanym z dostawcami zewnętrznymi. Profesjonalnie przeprowadzony audyt dostawcy, przez kompetentnych, merytorycznych audytorów, pozwoli zminimalizować ryzyka zarówno jakościowe jak i związane z ochroną wizerunku organizacji czy ryzyka finansowe (straty produkcyjne, koszty reklamacji, wycofania wyrobów, odszkodowania itd.). Moim zdaniem warunkiem niezbędnym do tego, aby audyt dostawcy mógł być przeprowadzony rzetelnie, sprawnie i w pełni profesjonalnie jest budowanie partnerskich relacji z dostawcą i przekonanie go, że nasz audyt jest dla niego szansą nie tylko na realizację naszych zleceń (czyli gwarancją przychodu), ale także doskonalenia jego procesów, jego wyrobów, jego usług, że jest dla niego wartością dodaną.
Audyt trzeciej strony ma za zadanie ocenić na ile nasz system spełnia wymagania normy. ale też wymagania własne i jak ewaluuje. Ocena dokonana przez osobę o wysokich kwalifikacjach i niezwiązaną z organizacją to kolejna szansa organizacji na doskonalenie. Wyniki audytu trzeciej strony zwykle kompleksowo odnoszą się do całości (certyfikacja i recertyfikacja) lub najważniejszej części naszego systemu (nadzór), dlatego pomagają organizacji identyfikować obszary doskonalenia w wielu miejscach systemu. Ich wartość wynika z realnej bezstronności i obiektywizmu auditora trzeciej strony. Celem audytu trzeciej strony jest również otrzymanie lub utrzymanie certyfikatu danego systemu. Tym samym audyt ten pomaga również w budowaniu pozycji i konkurencyjności organizacji na rynku, na którym działa.
Przedstawione w niniejszym artykule zagadnienia nie wyczerpują oczywiście tematu, ponieważ audyt jest niezwykle złożonym procesem i na jego sukces składa się wiele czynników. Artykuł ten stanowi punkt wyjścia do kolejnych tekstów, w których każdy z etapów audytu zostanie omówiony bardziej szczegółowo i z praktycznymi wskazówkami do realizacji.
