Аудиты процессов системы менеджмента качества, которые являются неотъемлемой часть системы внутреннего аудита организаций, тема не совсем новая, но еще не в полном объеме изученная. Требования о внедрении процессного подхода есть и в стандарте ISO 9001, и в технической спецификации ISO\TS 16949, поэтому многие организации проводят их (аудиты процессов), но не всегда эта деятельность соответствует современным подходам к проведению аудитов.

Одна из проблем при проведении аудитов процессов заключается в том, что акцент при аудите смещен в сторону поиска ответа на вопрос «КАК выполняется процесс?», а не «Каков результат процесса, насколько он соответствует ожиданиям потребителей?» и «Что делается (сделано) для улучшения процесса?». Процесс аудитируется локально, («вырванный» из цепочки процессов), что не позволяет полноценно и правильно провести аудит процесса.

У аудита процессов есть определенные особенности и при планировании, и при проведении.

1. Планирование аудита процессов

В настоящее время, исходя из опыта консультирования и аудитирования, многие организаций строят систему аудитов как проверку подразделений по такому графику:

Подразделения	Процессы	Пункты стандарта ИСО 9001	Сроки

Более правильная схема планирования (также применяемая в организациях):

Процессы	Подразделения	Пункты стандарта ИСО 9001	Сроки

Последняя схема более правильная, потому что акцент в плане (и при проведении аудитов) делается на ПРОЦЕССЫ и их результаты.

Для планирования аудита системы процессов важно учесть последовательность самих процессов. Для основных процессов можно планировать аудиты и идти «по потоку» - от маркетинга к сбыту, можно идти «против потока»- от сбыта к маркетингу. Более предпочтительный вариант, по мнению автора – «против потока» (аргументы в пользу подобного подходы приводятся в разделе «Проведение аудита»). Что касается поддерживающих процессов, то их можно аудитировать в любой последовательности. В любом случае - внимание на то - как взаимодействуют поддерживающие процессы с основными.

Один из этапов планирования – определение критериев аудита, к которым в случае аудита процессов могут быть отнесены:

• цели на уровне организации и процессов;
• карты процессов (стандарты, инструкции), регламентирующие выполнение процесса;
• нормативная документация, устанавливающая требования к входам и выходам (продуктам процесса);
• планы корректирующих действий (и мероприятия по улучшению процесса).

Хотя при проведении любых аудитов (и аудитов процессов) составление каталога вопросов не является обязательным, целесообразно все-таки составить его, куда включить хотя бы основные вопросы:

• про входы (кто поставщики, где установлены требования к входам, соответствуют ли входы требованиям);
• про ресурсы (полнота, качество и своевременность предоставления);
• про информацию (кто поставщики, полнота, своевременность, достоверность);
• про выходы (кто потребитель, каковы их требования, где они установлены, соответствуют ли выходы требованиям);
• про критерии оценки результативности и эффективности (какие, периодичность измерения);
• про результаты мониторинга (проводится ли, с той ли периодичностью, записи по мониторингу);
• про тенденцию (положительная или негативная);
• про результаты анализа (результативность, эффективность, стабильность, степень достижения целей);
• про действия на основе результатов анализа (причины нерезультативности и\или неэффективности (а также причины негативных тенденций), корректирующие действия, результативность действий);
• про действия по улучшению процесса;
• и, конечно, про то, как выполняется процесс (выполняются ли требования стандартов и инструкций, которые регламентируют выполнение отдельных этапов процесса).

Подобный каталог убережет аудитора что-либо забыть в ходе аудита. Большинство этих вопросов основаны на требованиях пунктов 4.1, 5.4, 8.2.3, 8.4 стандарта ISO 9001:2008.

Еще один важный момент при планировании – подбор аудиторов. Сложность аудита процессов заключается и в том, что аудитор в этом случае общается с представителями высшего руководства (на фоне явно выраженного неравенства). Это внешнему аудитору достаточно просто задавать вопросы владельцам процессов, у рядовых внутренних аудиторов могут возникать (и часто возникают) проблемы при общении с высшим руководством. Для уменьшения перекоса в общении аудиты процессов целесообразно проводить главным аудиторам (или, как вариант, с участием представителя руководства по качеству).

Кроме того, значительно возрастают требования к квалификации аудиторов. Уже недостаточно знаний только стандартов ИСО серии 9000, процедур организации и методики проведения аудитов.

Необходимы достаточно глубокие знания и навыки применения:

• процессного подхода;
• анализа рисков;
• методов анализа и решения проблем.

Об этом говорится и стандарте ISO 19011 «Руководящие указания по проведению аудитов систем менеджмента»: аудиторам, специализирующимся на менеджменте качества, необходимо обладать знаниями и навыками по «процессному подходу, методам проведения анализа процессов, оценки их способности и управления ими, методам оценки рисков (выявление, анализ и оценивание рисков)». Необходимость применения анализа рисков при проведении аудита процессов рассматривается в следующем разделе статьи.

Аудит процессов может быть спланирован по-разному, но в большинстве случаев все равно остается, по сути, аудитом подразделений (потому, что основное внимание при аудите уделяется проверке соответствия процесса СМК требованиям стандартов и инструкций), а не их результату (и на то, насколько результат соответствует ожиданиям внутренних потребителей). Подробней об этой проблеме - в следующем разделе.

2. Проведение аудита процессов

Аудит процесса так же носит выборочный характер, как и другие аудиты. И каждый аудитор выбирает свою «тропу», но все-равно аудитору нужно найти ответы на вопросы, приведенные в предыдущем разделе.

Как и при любом аудите, получить свидетельства аудита при аудите процессов можно несколькими методами: интервьюированием, изучением доказательной документации (записей) и наблюдением за выполнением процесса. В любом случае, без непосредственного общения с владельцем процесса не обойтись. Хотя в некоторых организациях «умудряются» провести аудит процессов так, что владельцы процессов об этом даже не знают (только по записям). Итак, сначала интервьюирование владельца процесса, с упором на результаты процесса, анализ и последующие действия. Затем уже выход непосредственно на сам процесс и проверка его выполнения, причем на конкретных примерах. Например, в случае аудита процесса закупок, необходимо выбрать конкретный пример закупки какого-либо материала и «пройти» по процессу от начала до конца (или наоборот). При этом проверяется соблюдение процедуры закупки: получение заявки (с учетом всей необходимой информацией), выбор поставщика (и оценка), составление договора, проведение входного контроля, идентификацию материалов, соблюдение правил хранения, учета и выдачи в производство.

Очень важно: аудит процесса не следует проводить локально. Необходимо в рамках планового аудита процесса (например процесса В на приведенной схеме) посетить и процессы С1 и С2, которые являются внутренними потребителями). Область аудита (или «окно» аудита) должно быть таким.

 

 Это необходимо: во-первых, для проведения аудита продукта (выхода), во-вторых – для оценки удовлетворенности.

Автор считает, что аудит процесса нецелесообразно отделять от аудита продукта. Когда аудитор выясняет ситуацию с выходами, то фактически он проводит аудит продукта (выхода). Только для полноценного проведения аудита продукта нужно выяснить, где и какие требования установлены к продукту процесса и провести проверку соответствия его установленным требованиям. Аудитировать продукты лучше не в самом процессе В, а в процессах-потребителях (когда продукт процесса уже получен потребителем). А для этого необходимо дойти до процессов-потребителей, выбрать там примеры того, что получено от процесса-поставщика и провести оценку соответствия установленным требованиям.

Посещать процессы-потребители необходимо и для получения достоверной информации об удовлетворенности потребителей процессом-поставщиком. Причем, не только потому, что «удовлетворенность» часто применяется как критерий для оценки процессов, но и в целях исключения нередко встречаемой ситуации: процесс-поставщик оценен как результативный, а внутренний процесс-потребитель неудовлетворен. Следует напомнить, что в технической спецификации ISO\TS 16949 была сделана «робкая» попытка напомнить о необходимости оценки удовлетворенности внутренних потребителей: в пункте 8.2.1 по оценке удовлетворенности появилось примечание «Следует учитывать как внешних, так и внутренних потребителей».Но термин «следует» означает, что это необязательно, поэтому и выполняют эту рекомендацию не очень много организаций (а в ISO 9001, к сожалению, и такой рекомендации нет).

Существует несколько вариантов получения информации об удовлетворенности, например:

• аудитор анализирует результаты оценки удовлетворенности, полученные заранее в соответствие с процедурой оценки;
• аудитор сам проводит интервьюирование (анкетирование) владельца процесса, который является внутренним потребителем аудитируемого процесса.

Полученные результаты сопоставляются:

• с результатами оценки результативности аудитируемого процесса;
• со степенью достижения целей.

Не может сочетаться высокая результативность процесса с низкой удовлетворенностью внутренних (внешних) потребителей! А если такая ситуация выявлена, то следует это зафиксировать и разобраться.

Так как подобный подход при проведении аудита предусматривает посещение процессов-потребителей, поэтому аудитировать основные процессы лучше «против потока»: от потребителя к поставщику.

Один из инструментов, который может принести существенную пользу при проведении аудита процессов – это анализ рисков. Риск характеризуется вероятностью возникновения какого-либо нежелательного события и тяжестью последствий. Оценку рисков можно провести совместно с владельцем процесса непосредственно на аудите, задавая, например, такие вопросы:

• какие нежелательные события могут возникнуть в ходе выполнения процесса?
• каковы могут быть последствия в случае, если нежелательное событие возникнет?
• какова вероятность возникновения нежелательного события?
• что осуществляется (может быть сделано) для снижения риска (тяжести последствий или вероятности возникновения)?

Предпочтительнее вариант, когда оценку рисков владелец процесса (и его команда) проводит заранее, а аудитор на аудите рассматривает результаты оценки и запланированные действия по снижению риска. Задача аудитора заключается в том, чтобы убедиться, что риски в процессе оценены верно, для «не приемлемых» рисков планируются и осуществляются предупреждающие действия, и действия результативны.

Рассмотренные подходы при планировании аудитов процессов, применение оценки удовлетворенности и оценки рисков позволят сместить акцент на результаты процессов и действия с потенциальными несоответствиями (и действительно приносить пользу организациям).

3. Формирование отчета и последующие действия

Особенностей формирования отчета по результатам проведения аудита процессов практически нет. Следует упомянуть лишь то, что если внутренний потребитель неудовлетворен, то такую ситуацию необходимо трактовать как несоответствие (со всеми вытекающими последующими действиями: анализ, определение причин и необходимых действий, выполнение действий и оценка результативности).

А если выявятся несоответствия по входам в процесс, то отчет об аудите необходимо направить и владельцу процесса-поставщика.

Необходимо добавить и то, что в случае применения методики анализа рисков в отчете нужно фиксировать и потенциальные несоответствия (для последующего планирования предупреждающих действий).

И в завершении

Именно эти особенности планирования и проведения аудита процессов рассматриваются в ходе семинара-тренинга «Аудит процессов СМК», который проводят специалисты ООО «ТКБ Интерсертифика», имеющие большой опыт по данной теме.