Внутренний аудит: каким критериям должны соответствовать системы менеджмента?

Как показывает практика, у тех организаций, которые при установлении критериев внутреннего аудита¹ систем менеджмента ограничиваются лишь минимальным набором требований стандарта и собственных требований, в ходе внешних аудитов выявляются критические несоответствия. Следует также обратить внимание, что в п. 9.2 «Внутренний аудит» некоторых общих стандартов, принятых после ГОСТ Р ИСО 9001–2015 [1], по отношению к нему есть важные дополнения. Кроме того, дополнительные требования содержатся в ряде отраслевых ГОСТов на СМК. Попробуем определить оптимальный состав критериев внутреннего аудита, взяв из рассмотренных в статье стандартов все лучшее.

Требования общих стандартов

ГОСТ Р ИСО 9001 [1] регламентирует необходимость проверять СМК на соответствие:

«1) собственным требованиям организации к своей системе менеджмента качества...;

2) требованиям настоящего... стандарта».

Аналогичные требования включены в п. 9.2 всех стандартов ISO (ГОСТ Р ИСО) на системы менеджмента, предназначенных для целей сертификации². Однако к такому составу критериев есть вопросы, потому что:

• в п. 4.2 говорится о необходимости определить «требования этих заинтересованных сторон, относящиеся к системе менеджмента качества»;
• в п. 5.1.2 указано, что высшее руководство должно обеспечить, что «требования потребителей, а также применимые законодательные и нормативные правовые требования определены, поняты и неизменно выполняются».

Однако без проведения внутреннего аудита требований заинтересованных сторон (включая потребителей), а также законодательных и нормативных требований, у руководства организации не может быть уверенности в том, что все они выполняются в полном объеме.

ГОСТ Р ИСО 14001 [4] в п. 9.1.2 содержит дополнительное требование о проведении оценки принятых обязательств, а ГОСТ Р ИСО 45001 [5] — требование об оценке соответствия законодательным и иным требованиям³. Вместе с тем в п. 9.2 указанных стандартов данные требования не учтены в составе критериев внутреннего аудита. Каким же образом организация может понять, что ее политики реализуются, если не проводить аудит с акцентом на эти требования?

Конечно, в этих стандартах есть п. 6.1.3, которые регламентируют, чтобы принятые обязательства [4] и законодательные и иные требования [5] были учтены при внедрении системы менеджмента. Но всегда ли это учитывается? К сожалению, нет, что выявляется в ходе сертификационных аудитов и проверок надзорных органов.

Кроме того, ГОСТ Р ИСО 45001 содержит еще одно дополнительное требование о проверке соответствия системы менеджмента безопасности труда и охраны здоровья собственным требованиям организации, включая ее политику и цели. Но данное дополнение не содержит чего-либо принципиально нового, так как политика и цели относятся к собственным требованиям организации.

ГОСТ Р ИСО 50001 [6] содержит указание, что организация должна проводить внутренний аудит, чтобы получить информацию о соответствии системы энергетического менеджмента энергетической политике (п. 5.2), а также целям и энергетическим задачам (п. 6.2), установленным организацией. Однако эти дополнительные требования принципиально не меняют подход к внутреннему аудиту, так как политика, цели и задачи относятся к собственным требованиям организации.

Дополнительные требования отраслевых стандартов

Все отраслевые стандарты на СМК содержат требования, перечисленные в ГОСТ Р ИСО 9001, но в некоторых из них есть дополнения, на которые следует обратить внимание.

Так, в ГОСТ Р 58139 [7] включено дополнительное требование об обязательном проведении аудита процессов производства и аудита продукции. Однако в части критериев аудита в нем никаких дополнительных указаний нет.

В ГОСТ Р ИСО 19443 [8] есть требование о необходимости проверки соответствия СМК требованиям потребителя. Очень важное дополнение!

ГОСТ Р 58876 [9] в п. 9.2 содержит следующее примечание: «В требования организации следует включать требования потребителя и требования действующих законодательных и нормативных документов системы менеджмента качества». Хотя примечания в стандартах не относятся к требованиям, но это очень хорошая рекомендация!

Что следует включать в состав критериев внутреннего аудита?

Ограничиваться только требованиями стандарта на систему менеджмента и собственными требованиями нельзя, поскольку не всегда собственные (внутренние) требования организации учитывают:

• законодательные и нормативные требования (например, проектирование продукции осуществляется без учета этапов, перечисленных в отраслевом ГОСТе на постановку изделий на производство);
• требования заказчиков (например, организация не выполняет процедуру информирования заказчика об изменениях в процессах производства, о чем есть указание в дого­воре);
• требования других заинтересованных сторон (например, организация не предоставила помещение подрядчику с соответствующими условиями для проведения ремонта и обслуживания оборудования, о чем есть требование в договоре).

Следует отметить, что подобные несоответствия, как правило, относятся к критическим (значительным).

Подсказки о том, что именно необходимо рассматривать в качестве критериев внутреннего аудита, можно найти в разделе «Введение» ГОСТ Р ИСО 19011 [2]: «Аудит можно проводить по целому ряду критериев, взятых в отдельности или в сочетании, включая... следующие:

• требования, определенные в одном или нескольких стандартах на системы менедж­мента;
• политики и требования, установленные соответствующими заинтересованными сторонами;
• законодательные и нормативные правовые требования;
• один или несколько процессов системы менедж­мента, определенные организацией и другими сторонами;
• план(ы) системы менеджмента, касательно обеспечения конкретных результатов системы менеджмента (например, план качества, план проекта)».

Руководителям и специалистам, ответственным за проведение внутреннего аудита систем менеджмента, рекомендуется учесть вышеперечисленные критерии в программе, планах и процедуре аудита.

ПОСТСКРИПТУМ

Хочется надеяться, что при очередных переизданиях стандартов на системы менеджмента содержание требований к внутреннему аудиту будут корректироваться с учетом сформулированных предложений.

ИСТОЧНИКИ

1. ГОСТ Р ИСО 9001–2015. Системы менеджмента качества. Требования.
2. ГОСТ Р ИСО 19011–2021. Оценка соответствия. Руководящие указания по проведению аудита систем менеджмента.
3. ISO/IEC Directives. Part 1. Consolidated ISO Supplement. Procedures for the technical work. Procedures specific to ISO. 12th ed. 2021. Annex SL Appendix 2 (normative). Harmonized structure for MSS with guidance for use.
4. ГОСТ Р ИСО 14001–2016. Системы экологического менедж­мента. Требования и руководство по применению.
5. ГОСТ Р ИСО 45001–2020. Системы менеджмента безопасности труда и охраны здоровья. Требования и руководство по применению.
6. ГОСТ Р ИСО 50001–2023. Системы энергетического менедж­мента. Требования и руководство по применению.
7. ГОСТ Р 58139–2024. Системы менеджмента качества. Требования к организациям автомобильной промышленности.
8. ГОСТ Р ИСО 19443–2020. Системы менеджмента качества. Специальные требования по применению ИСО 9001:2015 организациями цепи поставок ядерного энергетического сектора, поставляющими продукцию и услуги, важные для ядерной безопасности (ITNS).
9. ГОСТ Р 58876–2020. Системы менеджмента качества организаций авиационной, космической и оборонной отраслей промышленности. Требования.

¹ В соответствии с п. 3.7 ГОСТ Р ИСО 19011 [2], критерии аудита — это «совокупность требований, используемых как основа для сравнения с ними объективного свидетельства».
² Это объясняется тем, что все они разработаны в соответ­ствии с единой «Гармонизированной структурой стандартов на системы менеджмента», утвержденной директивами ИСО/МЭК [3].
³ Эти дополнения основаны на требованиях п. 5.2 к политикам организации в соответствующих предметных областях, включающих выполнение «ее принятых обязательств» [4] и «законодательных и иных требований» [5].

01.04.2026

---

448

Поделиться: