Wytyczne do prowadzenia audytów - norma ISO 19011


Wszystkie trzy typu audytów, tj. audyt wewnętrzny, audyt u dostawcy i audyt jednostki certyfikującej są procesem, który zawiera te same etapy i działania do wykonania. Zgodnie z wytycznymi zawartymi w normie ISO 19011:2018 pkt 6 Przeprowadzenie auditu, proces audytu składa się z następujących etapów:

 

wykres

 

Każdy z ww. etapów audytu powinien zostać zrealizowany w każdym typie audytu, niemniej jednak realizacja zaleceń danego punktu w zależności od typu audytu może być różna. Uważa się ogólnie, że audyty pierwszej strony są najmniej sformalizowane, a dokładnie rzecz biorąc nie ma bardzo restrykcyjnych wymagań co do ich organizacji, częstotliwości, kompetencjach auditora itd. Po przeciwnej stronie są audyty trzeciej strony. Ponieważ mówimy o systemach zarządzania opartych o normy ISO, weźmy audyty przeprowadzane przez jednostki certyfikacyjne. Taki audyt jest prowadzony wg bardzo sformalizowanych wymagań wynikających z normy ISO 17021 (PN-EN ISO/IEC 17021 Ocena zgodności. Wymagania dla jednostek prowadzących). W związku z tym audyt ma bardzo jasno określony czas trwania, audytor musi przygotować pisemny plan i wysłać audytowanemu w określonym terminie, aby audytowany mógł się do niego odnieść. Audytorzy wykonujący audyty trzeciej strony muszą spełniać kryteria wynikające z wymagań normy ISO 17021, m.in. muszą ukończyć specjalny kurs i zdać egzamin akredytowany przez IRCA (International Register of Certificated Auditors), udokumentować konkretną liczbę lat doświadczenia w danym sektorze, rynku, określone liczbę lat doświadczenia w danym systemie, itd. Zdecydowanie łatwiej jest zostać audytorem wewnętrznym czy audytorem drugiej strony i utrzymać kompetencje oraz uprawnienia niż audytorem trzeciej strony. Audyt dostawcy jest jeszcze bardziej specyficzny, ponieważ w tym przypadku stopień sformalizowania audytu i metody realizacji bardzo często wynikają z tego co dostarcza zewnętrzny dostawca. Czy jest to dystrybutor gotowego wyrobu, który kupujemy i włączamy do naszego wyrobu, czy jest to dostawca usług, jakie znaczenie ma proces oddany w outsourising dla wyników naszego systemu, w jakiej branży działamy. Tu nie tylko organizacja decyduje, ale również inne wymogi i standardy branżowe (IATF, GMP+, itd.). W tym przypadku również nieco inaczej powinno się ustalać kompetencje audytora, zwłaszcza w odniesieniu do wiedzy czy umiejętności związanych ze zleconym procesem, usługą czy kupowanym wyrobem.