- Что такое внутренний аудит по ИСО 9001 и зачем он нужен
- Что именно требует п. 9.2 стандарта ИСО 9001 от вашей организации
- Как составить программу внутренних аудитов
- Подготовка к проведению внутреннего аудита ИСО 9001
- Как проводить внутренний аудит: пошаговый план
- Чек-лист внутреннего аудита ИСО 9001: вопросы, которые вскрывают реальные проблемы
- Типичные ошибки при проведении внутренних аудитов
- Что делать после аудита: от протокола несоответствия до реального улучшения
- Компетентность внутренних аудиторов: требования и обучение
- Часто задаваемые вопросы
- Итог
- Читайте также
Внутренний аудит ИСО 9001 (ISO 9001:2015) — пошаговое руководство
Внутренний аудит системы менеджмента качества (СМК) по ИСО 9001 — обязательный инструмент самооценки организации, закреплённый в п. 9.2 стандарта ISO 9001:2015. Без регулярных внутренних проверок сертификат ИСО 9001 не получить и не подтвердить при инспекционном контроле. При этом аудит — не формальность ради бумажки, а реальный способ найти слабые места в процессах до того, как их найдёт внешний аудитор или клиент. В этой статье разберём, как спланировать программу внутренних аудитов, подготовить команду аудиторов, провести проверку по всем правилам ГОСТ Р ИСО 19011-2021 и получить от аудита максимальную пользу для бизнеса.
Что такое внутренний аудит по ИСО 9001 и зачем он нужен
Внутренний аудит (аудит первой стороны) — систематическая, независимая и документированная проверка СМК силами самой организации. Стандарт ГОСТ Р ИСО 9001-2015 в пункте 9.2 требует, чтобы организация проводила внутренние аудиты через запланированные интервалы для получения информации о том, соответствует ли СМК собственным требованиям организации и требованиям стандарта.
Ключевое отличие от внешнего аудита: внутренний аудит проводят сотрудники организации (или привлечённые консультанты), а не представители органа по сертификации. Цель — не наказать виновных, а выявить несоответствия и возможности для улучшения до внешней проверки.
Практическая ценность внутреннего аудита:
- Выявление несоответствий на ранней стадии — исправить дешевле и проще, чем объясняться перед внешним аудитором
- Проверка реального состояния процессов — документация может быть идеальной, а практика расходиться с написанным
- Подготовка к сертификационному или инспекционному аудиту — организации, проводящие качественные внутренние аудиты, проходят внешние проверки с минимальными замечаниями
- Вовлечение персонала — аудиторы из разных подразделений начинают лучше понимать процессы коллег
- Выполнение требований стандарта — без программы внутренних аудитов сертификат ИСО 9001 не выдадут
Что именно требует п. 9.2 стандарта ИСО 9001 от вашей организации
Раздел 9.2 стандарта ГОСТ Р ИСО 9001-2015 — один из самых проверяемых при сертификационном аудите. Внешние аудиторы начинают именно с него, потому что состояние программы внутренних аудитов показывает зрелость всей СМК. Разберём, что конкретно нужно выполнить, и как это выглядит на практике российских предприятий.
Подпункт 9.2.1 задаёт рамку: организация обязана проводить аудиты «через запланированные интервалы». Жёсткой привязки к календарю нет — завод по выпуску стройматериалов в Краснодаре (подробнее о специфике отрасли — в статье сертификация ИСО в строительстве) проводит полный цикл за 10 месяцев, чтобы завершить его до ежегодного инспекционного контроля в ноябре. Логистическая компания из Екатеринбурга разбила год на 4 квартальных блока, проверяя по 3–4 процесса каждый. Обе схемы соответствуют стандарту — выбор зависит от масштаба и ритма вашего бизнеса.
Подпункт 9.2.2 — содержательное ядро. Здесь стандарт перечисляет шесть ключевых обязательств:
- Программа с учётом приоритетов. Частоту проверок привязывают к значимости процесса. Производство на пищевом комбинате проверяют дважды в год, а процесс «управление документацией» — раз в год. Если в прошлом году склад получил три несоответствия — в этом году его аудитируют в приоритетном порядке. Аналогичный подход применяется в отраслях с повышенными требованиями — например, при сертификации ИСО в медицине критичные процессы аудитируются чаще.
- Чёткие критерии каждого аудита. Перед проверкой аудиторы фиксируют: по каким пунктам стандарта проверяем, какие внутренние документы берём за эталон, какие НПА применимы. На машиностроительном заводе в Челябинске к критериям добавляют требования заказчика (например, спецификации РЖД или Росатома) — стандарт это допускает и поощряет.
- Независимость проверяющих. Технолог не проверяет технологический отдел. На практике это самое сложное требование для компаний с численностью до 50 человек. Выход — перекрёстные аудиты между филиалами или привлечение внешнего специалиста для аудита руководства.
- Доведение результатов до руководства. Отчёт аудита должен дойти до лица, способного выделить ресурсы на устранение несоответствий. Если отчёт остаётся у менеджера по качеству — пользы ноль.
- Корректирующие действия без затягивания. Стандарт использует формулировку «без необоснованных задержек». На одном текстильном предприятии в Иваново аудит выявил отсутствие входного контроля красителей в феврале, а корректирующее действие запланировали на октябрь. Внешний аудитор расценил это как несоответствие — задержка на 8 месяцев не имела обоснования.
- Документированные свидетельства. Программа аудита, планы, отчёты, протоколы несоответствий — всё должно быть доступно для проверки. Без записей аудит юридически не существует.
| Обязательство по п. 9.2 | Практическая реализация | Где российские компании ошибаются |
|---|---|---|
| Программа с приоритетами | Годовой график: критичные процессы — 2 раза/год, остальные — 1 раз | Одинаковая частота для всех процессов, без учёта рисков |
| Критерии аудита | Матрица «процесс × пункты стандарта × внутренние документы» | Абстрактная формулировка «проверка соответствия СМК» без конкретики |
| Независимость | Перекрёстные аудиты между отделами или филиалами | Главный инженер проверяет подчинённые ему цеха |
| Компетентность | 16–40 часов обучения по ГОСТ Р ИСО 19011-2021 + практика | Роль аудитора передают помощнику директора без подготовки |
| Реагирование на несоответствия | План действий в течение 10 рабочих дней, исполнение до 3 месяцев | Резолюция «учесть в работе» без конкретного плана и сроков |
| Записи | Пронумерованные отчёты с объективными свидетельствами | Итоги аудита озвучены устно на совещании, протокол отсутствует |
Как составить программу внутренних аудитов
Программа аудита — это документ верхнего уровня, определяющий, когда, что и кем будет проверяться в течение года. Грамотная программа учитывает риски процессов и результаты прошлых проверок.
Шаг 1. Определите область покрытия. Все процессы СМК и все требования ИСО 9001 должны быть проверены минимум раз в год. Составьте матрицу: по вертикали — процессы организации (закупки, производство, продажи, управление документацией и т.д.), по горизонтали — пункты стандарта (4.1–10.3).
Шаг 2. Оцените приоритеты. Не все процессы одинаково критичны. Увеличьте частоту аудитов для процессов с высоким риском, новых процессов, процессов с несоответствиями по результатам прошлых аудитов и процессов, где произошли существенные изменения. Процессы с низким риском и стабильными результатами можно проверять реже.
Шаг 3. Распределите аудиты по календарю. Равномерно распределите проверки по месяцам, избегая пиковых нагрузок. Завершите полный цикл аудита минимум за 2 месяца до инспекционного или ресертификационного аудита — так останется время на корректирующие действия.
Шаг 4. Назначьте ответственных. Для каждого аудита определите ведущего аудитора и членов группы. Помните: аудитор не должен проверять процесс, за который сам отвечает. В компаниях до 50 человек часто привлекают внешних консультантов для обеспечения независимости.
Шаг 5. Утвердите программу. Программу утверждает представитель высшего руководства (обычно директор по качеству или генеральный директор). После утверждения — доведите до всех руководителей подразделений.
Подготовка к проведению внутреннего аудита ИСО 9001
После утверждения программы каждый конкретный аудит требует отдельной подготовки. Этот этап занимает от 2 до 5 рабочих дней в зависимости от масштаба проверки.
Формирование группы аудита. Ведущий аудитор формирует группу из 2–4 человек. Каждый член группы должен пройти обучение по ГОСТ Р ИСО 19011-2021 (минимум 16-часовой курс) и иметь представление о проверяемых процессах. Идеальный аудитор — сотрудник смежного подразделения, который понимает специфику проверяемой области, но не участвует в проверяемом процессе напрямую.
Анализ документации. Перед выходом «в поле» аудиторы изучают:
- Документированные процедуры и рабочие инструкции проверяемого подразделения
- Результаты предыдущих аудитов и статус корректирующих действий
- Записи о рекламациях, браке, отклонениях за отчётный период
- Применимые пункты ГОСТ Р ИСО 9001-2015
- Цели в области качества и показатели процесса
Составление плана аудита. План конкретного аудита включает: цель, область и критерии аудита, дату и время, проверяемые подразделения и процессы, распределение обязанностей между аудиторами, перечень документов для проверки. План направляется руководителю проверяемого подразделения минимум за 5 рабочих дней до аудита.
Разработка чек-листа. Чек-лист (контрольный перечень) — рабочий инструмент аудитора. Он содержит вопросы, сгруппированные по пунктам стандарта или этапам процесса. Хороший чек-лист включает открытые вопросы («Как вы определяете требования потребителя?»), а не только закрытые («Есть ли процедура определения требований?»).
Как проводить внутренний аудит: пошаговый план
Сам аудит на месте длится от нескольких часов до нескольких дней. Вот проверенная последовательность действий.
1. Вступительное совещание (15–30 минут). Ведущий аудитор представляет группу, подтверждает цели и область аудита, согласовывает расписание, объясняет методику оценки и классификацию несоответствий. На совещании присутствуют руководитель проверяемого подразделения и ключевые сотрудники.
2. Сбор свидетельств аудита. Аудиторы собирают объективные свидетельства тремя методами:
- Интервью с сотрудниками. Задавайте вопросы по чек-листу, но не ограничивайтесь им. Если ответ вызывает сомнения — попросите показать на практике. Используйте технику «5 почему» для понимания корневых причин отклонений.
- Наблюдение за процессами. Смотрите, как реально выполняется работа. Сравнивайте с документированной процедурой. Обращайте внимание на порядок на рабочих местах, маркировку продукции, состояние оборудования.
- Анализ записей. Проверяйте журналы, протоколы, отчёты, акты. Выборка должна быть репрезентативной — не менее 10% записей за проверяемый период или минимум 5 записей.
3. Формирование наблюдений. Каждое наблюдение классифицируется:
| Категория | Определение | Пример |
|---|---|---|
| Значительное несоответствие | Систематическое невыполнение требования стандарта или документов СМК | Полное отсутствие процедуры управления записями |
| Незначительное несоответствие | Единичное или частичное невыполнение требования | Один протокол из 20 не подписан ответственным лицом |
| Наблюдение (замечание) | Потенциальная проблема, рекомендация по улучшению | Процедура есть, но устарела — не учитывает новое оборудование |
| Соответствие | Требование выполняется | Все калибровочные свидетельства актуальны |
4. Заключительное совещание (30–60 минут). Ведущий аудитор представляет предварительные результаты, озвучивает выявленные несоответствия с объективными свидетельствами, даёт общую оценку состояния процесса. Руководитель проверяемого подразделения подтверждает согласие с результатами или высказывает возражения.
5. Оформление отчёта. В течение 5 рабочих дней после аудита ведущий аудитор оформляет отчёт, включающий: область и критерии аудита, состав группы, перечень несоответствий с объективными свидетельствами, положительные практики, общее заключение о результативности проверенных процессов.
Чек-лист внутреннего аудита ИСО 9001: вопросы, которые вскрывают реальные проблемы
Формальный чек-лист с вопросами типа «есть ли процедура?» даёт формальные результаты. Ниже — рабочий перечень вопросов, составленный по опыту аудитов на российских предприятиях. Каждый вопрос нацелен на выявление разрыва между документацией и практикой.
Блок «Контекст и стратегия» (п. 4.1–4.4): - Когда последний раз пересматривали реестр рисков и возможностей? Отражены ли в нём санкционные ограничения, дефицит комплектующих, изменения в логистике? На заводе автокомпонентов в Тольятти реестр рисков не обновлялся с 2022 года — аудитор зафиксировал значительное несоответствие, потому что половина поставщиков сменилась. - Покажите карту процессов. Как определены входы и выходы процесса, который мы проверяем? Кто владелец процесса? Какие KPI установлены и достигаются ли они? - Кто ваши заинтересованные стороны помимо клиентов? Учтены ли требования Ростехнадзора, СЭС, отраслевых регуляторов?
Блок «Ресурсы и компетентность» (п. 7.1–7.5): - Покажите план обучения на текущий год. Сколько человек реально прошли обучение? Есть ли записи (свидетельства, протоколы, копии удостоверений)? На мебельной фабрике в Воронеже план обучения существовал, но за 2 года ни один сотрудник его не прошёл — типичная «бумажная» СМК. - Как сотрудники узнают об изменениях в документации? Попросите оператора станка показать актуальную рабочую инструкцию — часто на рабочем месте лежит версия двухлетней давности. - Какие средства измерений применяются? Когда проводилась последняя поверка/калибровка? Где свидетельства?
Блок «Операционная деятельность» (п. 8.1–8.7): - Возьмите конкретный заказ за последний месяц. Проследите его путь от заявки клиента до отгрузки. Все ли этапы зафиксированы? Совпадает ли фактический маршрут с описанным в процедуре? - Как проводите входной контроль? Покажите последние 5 актов входного контроля. Были ли случаи приёмки с отклонениями? Как оформляли? На молочном комбинате в Вологде входной контроль сырья проводился, но результаты не фиксировались — при рекламации от покупателя установить партию-виновника оказалось невозможно. - Что происходит с бракованной продукцией? Покажите изолятор брака. Есть ли акты утилизации или возврата поставщику?
Блок «Мониторинг и улучшение» (п. 9.1–10.3): - Как измеряете удовлетворённость клиентов? Покажите результаты за последний период. Какие действия предприняли по итогам? Строительная компания из Казани собирала анкеты, но никогда не анализировала — стопка бланков пылилась в шкафу. - Когда проводился последний анализ со стороны руководства? Покажите протокол. Какие решения принял генеральный директор? Выделены ли ресурсы? - Сколько корректирующих действий открыто на текущий момент? Сколько из них просрочено? Какова динамика по сравнению с прошлым годом?
Типичные ошибки при проведении внутренних аудитов
За 15 лет консультирования российских предприятий по ИСО 9001 мы выявили устойчивый набор ошибок, которые снижают ценность внутреннего аудита.
Ошибка 1: Аудит ради галочки. Организация проводит аудит формально — чек-листы заполняются задним числом, несоответствия не фиксируются, отчёт копируется из прошлого года с заменой дат. Внешний аудитор легко это вычислит по однотипным формулировкам и отсутствию динамики.
Ошибка 2: Аудитор проверяет свой процесс. Прямое нарушение п. 9.2.2 стандарта. Начальник производства проверяет производство — результат предсказуем: «всё соответствует». Решение: перекрёстные аудиты между подразделениями или привлечение внешних аудиторов.
Ошибка 3: Проверка только документов. Аудитор листает папки и ставит галочки, но не идёт в цех, не разговаривает с рядовыми сотрудниками, не наблюдает за реальным выполнением операций. Между документированной процедурой и реальной практикой часто лежит пропасть.
Ошибка 4: Отсутствие корректирующих действий. Несоответствия выявлены, отчёт написан — и положен в ящик до следующего аудита. Без анализа причин и корректирующих действий аудит теряет смысл. По статистике, 40% несоответствий при внешнем аудите — это повторные проблемы, которые были выявлены на внутреннем аудите, но не устранены.
Ошибка 5: Некомпетентные аудиторы. Назначение на роль аудитора сотрудника без обучения по ИСО 19011, без понимания процессного подхода и техник аудирования. Такой аудитор не знает, какие вопросы задавать и как оценивать свидетельства.
Ошибка 6: Конфликтная атмосфера. Аудит воспринимается как инспекция с целью «поймать и наказать». Сотрудники уходят в оборону, скрывают проблемы. Задача аудитора — создать атмосферу сотрудничества и показать, что аудит помогает улучшить процессы, а не искать виноватых.
Что делать после аудита: от протокола несоответствия до реального улучшения
Аудит без последующих действий — пустая трата рабочего времени. Пункт 10.2 стандарта ИСО 9001 разделяет реагирование на два уровня: немедленное «тушение пожара» и системное устранение причины. Разница принципиальна, и именно на ней спотыкаются большинство организаций.
Первый уровень — коррекция (день обнаружения). Это экстренное действие: остановить отгрузку бракованной партии, заблокировать доступ к устаревшей инструкции, отозвать несоответствующий документ. На нижегородском приборостроительном заводе аудит обнаружил, что 12 единиц готовой продукции прошли выходной контроль по отменённой методике. Коррекция — немедленная повторная проверка этих 12 изделий по актуальной методике. Без коррекции несоответствующая продукция могла уйти заказчику.
Второй уровень — анализ первопричины (5–10 рабочих дней). Здесь начинается настоящая работа. Почему оператор использовал устаревшую методику? Потому что менеджер по качеству обновил файл на сервере, но не уведомил производство, а бумажная копия на участке осталась старой. Метод «5 почему» в этом случае привёл к корневой причине: в организации не работает процедура управления документированной информацией по п. 7.5 — нет механизма оповещения об изменениях.
Третий уровень — корректирующее действие (до 3 месяцев). Устраняет причину, а не симптом. В примере выше завод внедрил систему электронного оповещения: при обновлении любого документа СМК владельцы процессов автоматически получают уведомление с требованием подтвердить ознакомление. Бумажные копии на рабочих местах заменили QR-кодами, ведущими на актуальную версию в интранете.
Четвёртый уровень — проверка результативности (через 2–4 месяца). Целевой мини-аудит: повторилась ли проблема? На том же заводе через 3 месяца аудитор проверил 20 рабочих мест — на всех были актуальные QR-коды, журнал ознакомлений заполнен. Несоответствие закрыто.
Практические сроки для российских предприятий:
- Значительное несоответствие: план действий — 10 рабочих дней, исполнение — 1–3 месяца, проверка — через 2 месяца после исполнения
- Незначительное несоответствие: план — 20 рабочих дней, исполнение — 3–6 месяцев, проверка — при следующем плановом аудите
- Наблюдение (замечание): фиксируется в отчёте, отслеживается при следующем аудите без отдельного плана
Как вести реестр несоответствий. Менеджер по качеству поддерживает единую таблицу со столбцами: номер протокола, дата обнаружения, описание, пункт стандарта, категория (значительное/незначительное), ответственный, срок устранения, статус, дата проверки результативности. На еженедельной планёрке у генерального директора менеджер по качеству докладывает: сколько открытых несоответствий, сколько просрочено, какие ресурсы нужны. Такая практика на кабельном заводе в Подольске сократила средний срок закрытия несоответствий с 4,5 до 1,8 месяца за один год — руководство видело динамику и выделяло бюджет на устранение без задержек.
Компетентность внутренних аудиторов: требования и обучение
ГОСТ Р ИСО 19011-2021 (национальный аналог ISO 19011:2018) определяет принципы аудита, управление программой аудита и компетентность аудиторов.
Минимальные требования к внутреннему аудитору СМК:
- Знание структуры и требований ИСО 9001:2015 (ГОСТ Р ИСО 9001-2015)
- Понимание процессного подхода и риск-ориентированного мышления
- Навыки проведения интервью, наблюдения, анализа документов
- Умение классифицировать несоответствия и формулировать наблюдения
- Знание основ корректирующих действий
Варианты обучения:
| Формат | Длительность | Стоимость | Результат |
|---|---|---|---|
| Очный курс в учебном центре | 16–40 часов | 15 000–35 000 ₽ | Сертификат внутреннего аудитора |
| Дистанционный курс | 16–24 часа | 8 000–20 000 ₽ | Сертификат (менее ценится) |
| Корпоративное обучение | 16–24 часа | 60 000–120 000 ₽ на группу | Обучение с учётом специфики компании |
| Обучение у консультанта | Индивидуально | От 5 000 ₽/час | Практическое обучение на реальных процессах |
Рекомендуемое количество внутренних аудиторов: 1 аудитор на 25–30 сотрудников. В компании из 100 человек достаточно 4–5 обученных аудиторов из разных подразделений.
Часто задаваемые вопросы
Как часто нужно проводить внутренний аудит по ИСО 9001?
Стандарт ИСО 9001:2015 не устанавливает конкретную периодичность — организация определяет её сама в программе аудита. На практике полный цикл аудита (покрывающий все процессы и пункты стандарта) проводится раз в год. Критичные процессы и процессы с выявленными ранее несоответствиями проверяются чаще — раз в полугодие или квартал.
Может ли руководитель отдела быть аудитором своего подразделения?
Нет. Пункт 9.2.2 ИСО 9001:2015 требует обеспечить объективность и беспристрастность аудитора. Аудитор не должен проверять процессы, за которые несёт ответственность. Руководитель отдела качества может быть аудитором производственного отдела, и наоборот — это называется перекрёстный аудит.
Какие документы нужны для проведения внутреннего аудита?
Минимальный набор: программа аудитов на год, план конкретного аудита, чек-листы (контрольные перечни), протоколы несоответствий, отчёт об аудите, записи о корректирующих действиях. Все формы должны быть частью документированной информации СМК и иметь идентификацию (номер, дату, версию).
Чем внутренний аудит отличается от внешнего сертификационного?
Внутренний аудит проводят сотрудники организации для самооценки СМК. Внешний сертификационный аудит проводит независимый орган по сертификации для подтверждения соответствия стандарту. При внутреннем аудите организация сама определяет глубину и методику проверки. Результат внешнего аудита — выдача или отказ в выдаче сертификата ИСО 9001.
Что делать, если при внутреннем аудите не выявлено ни одного несоответствия?
Полное отсутствие несоответствий — тревожный сигнал, а не повод для радости. Это говорит о недостаточной глубине проверки, низкой компетентности аудиторов или формальном подходе. Даже в зрелых системах менеджмента всегда есть возможности для улучшения. Внешние аудиторы относятся к «нулевым» результатам внутренних аудитов с обоснованным скептицизмом.
Нужно ли привлекать внешнего консультанта для внутреннего аудита?
Привлечение внешнего консультанта оправдано в нескольких случаях: при первом аудите до сертификации (когда у сотрудников ещё нет опыта), в малых организациях (менее 30 человек), где сложно обеспечить независимость аудиторов, а также для аудита высшего руководства. Стоимость привлечения внешнего аудитора — от 15 000 до 50 000 рублей за один аудит в зависимости от масштаба организации и количества проверяемых процессов.
Какое программное обеспечение помогает управлять внутренними аудитами?
Для малых и средних организаций достаточно таблиц Excel или Google Sheets с шаблонами программы аудита, чек-листов и реестра несоответствий. Крупные предприятия используют специализированные системы: 1С:Предприятие с модулем управления качеством, SAP QM, isoTracker, Qualityze. Выбор зависит от размера организации и бюджета — автоматизация ускоряет работу, но не заменяет компетентных аудиторов.
Итог
Внутренний аудит по ИСО 9001 — не бюрократическая обязанность, а мощный инструмент управления качеством. Организации, которые проводят аудиты системно и честно, получают реальные выгоды: снижение брака, повышение удовлетворённости клиентов и уверенное прохождение внешних проверок. Начните с обучения 3–5 сотрудников, составьте годовую программу и проведите первый аудит — результаты покажут, где ваша СМК работает, а где нужны улучшения.
Нужна помощь с организацией внутренних аудитов? Оставьте заявку — поможем составить программу аудита, обучим ваших сотрудников и проведём первый аудит вместе с вашей командой.
Читайте также
- Чек-лист внутреннего аудита ИСО 9001 — скачать шаблон
- Что такое ISO 9001 простыми словами
- Требования ISO 9001:2015: полный разбор стандарта СМК
- Как получить сертификат ISO 9001: пошаговая инструкция
- Этапы аудита ИСО при сертификации: как проходит проверка
- Интегрированная система менеджмента: ИСО 9001, 14001, 45001
- Риски и возможности в стандартах ИСО
- Документация в системе менеджмента ИСО 9001