Skip to Menu Skip to Search Напишите нам Russia Выбрать веб-сайт и язык Skip to Content

Цифровизация вносит свои коррективы в привычные практики аудита систем менеджмента качества (СМК). Все больше процессов компьютеризированы и/или автоматизированы. ERP, CRM, CAD/CAM, чат-боты и искусственный интеллект, - все это видоизменяет как саму СМК, так и методы ее оценки.

Группа по практике проведения аудитов ISO 9001 ISO 9001 Auditing Practices Group, состоящая из экспертов по системам менеджмента качества из Технического комитета ISO/TC 176 и Международного аккредитационного форума IAF, проанализировала коллизии, возникающие у аудиторов в связи с цифровизацией предприятий, и предложила ряд примеров и рекомендаций в своем документе Auditing Digital Processes

Цифровизация видоизменяет СМК и методы ее оценки

Выделяем процессы виртуальные и выполняемые людьми

Эксперты советуют на стадии предварительной документарной проверки (первого этапа аудита СМК) изучать IT-решения, которые использует проверяемая компания, а также картировать их таким образом, чтобы на схеме процессов было ясно, как действия, автоматизированные с помощью программного обеспечения (virtual processes), взаимодействуют с процессами, которые выполняются людьми. Например, в современной бургерной:

  • Процесс обработки заказа может быть полностью автоматизирован (программа).
  • Последовательность операций по приготовлению может принудительно диктоваться алгоритмом (программа).
  • Но заказ и не поддающиеся автоматизации действия выполняют сотрудники, руководствуясь подсказками и предупреждающими сигналами от автоматизированной системы (человек).

Процесс обработки заказа в бургерной может быть полностью автоматизирован 

Если в ходе проверки системы менеджмента аудитор наткнулся на цифровой процесс, который не был учтен в плане проверки, то рекомендуется остановиться и изучить, как программа влияет на способность организации достигать запланированных результатов. Затем следует изменить план аудита в соответствии с выводами анализа.

Особое внимание на самообучающиеся системы

Если за процесс отвечает голосовой помощник или чат-бот, способный менять себя сам (машинное обучение), а это реальность современного бизнеса, то перед аудитором появляется дополнительная задача. Мало учитывать входные требования к программному обеспечению, нужно также понять, насколько правильно он «учится» без какого-либо контроля со стороны людей.

Когда за процесс отвечает чат-бот

Эксперты ISO 9001 Auditing Practices Group в этой ситуации советуют аудиторам узнать больше о модели машинного обучения, положенной в основу программы. Так, процесс может быть построен по принципу нейронной сети (Neural Network), методу случайного леса (Random Forest) или методу k-ближайших соседей (kNN). Задача аудитора – понять, не заложены ли ошибки на этапе планирования программного обеспечения. 

Причем задавать вопросы по принципам работы программы имеет смысл не пользователям ПО, а его разработчикам. Ведь понимание пользователя программы и задумка тех, кто программу проектировал, могут не совпадать. 

Примеры вопросов при аудите цифровых процессов

Зачастую сбои в бизнес-процессах возникают в связи с несогласованностью между различными программными продуктами, а также между ПО и физическими процессами. Вот список вопросов от ISO 9001 Auditing Practices Group, которые помогут выявить возможные проблемы такого рода: 

  • Есть ли четкое понимание, какие цифровые приложения используются в организации? 
  • Есть ли четкое понимание области применения каждого программного продукта и его задач? 
  • Какие объекты (тип используемых в ПО данных: данные о клиентах, о продукции, финансовые данные и т.п.) присутствуют в этих моделях? 
  • Каким образом взаимодействуют между собой различные программы? 
  • Насколько совместимы эти модели, могут ли данные переноситься из одной в другую автоматически (не вручную)? 
  • Структурированы ли массивы данных единообразно? 

Имея общую картину, карту процессов и понимая их взаимосвязи, можно переходить к оценке результативность отдельных цифровых программ. Вот вопросы, которые рекомендуют задавать эксперты ISO 9001 Auditing Practices Group:

  • Какова область применения данной модели? 
  • Каковы запланированные результаты? 
  • Каковы входы и выходы у этой модели, как они реализованы, как распространяется/передается информация о них? 
  • Каким образом была разработана данная модель? Какие допущения и упрощения были сделаны? 
  • Кто разработал модель? У кого есть права и обязанности изменить ее? 
  • Как проверялось соответствие модели установленным требованиям, как проверялась модель на предмет единообразия? 
  • Каким образом была проведена валидация модели, каковы результаты? 
  • Были ли выявлены отклонения от действительности /ограничения в использовании? 
  • Как меняется модель? 
  • Предусмотрен ли сценарий на случай, если модель неправильно выполняет свою задачу?

Пример проверки автоматизированного процесса закупок

Документ Auditing Digital Processes приводит пример действий аудитора при высокой степени автоматизации закупочного процесса. 

Предположим, программные алгоритмы ERP-систем без участия человека рассчитывают потребности в пополнении запасов, учитывая множество факторов.

Когда по расчетам наступает время пополнить склад, программное обеспечение передает через EDI (электронный обмен данными) заказ поставщику. Он доставляет продукцию в пункт приема на складе, где работники сканируют ручным оборудованием штрих-коды на упаковке с грузом. Данные от ручных сканнеров поступают в ERP-систему. При этом в системе не предусмотрено никакого входного контроля закупок, так как предполагается, что этот контроль осуществляется самим поставщиком (DTS – Dock-to-Stock). Все получаемые складом товары автоматически помечаются как имеющие «ноль дефектов».

Автоматизированный процесс закупок тоже подлежит проверке при аудите ISO 9001

Управление процессами, продукцией и услугами от внешних поставщиков является требованием стандарта ISO 9001:2015 (пункт 8.4). Как аудитору проверить выполнение этого требования алгоритмами программы?

Аудитор может запросить отчеты о проведении аудитов поставщика, загруженные в ERP-систему. Затем аудитор может узнать, были ли задержки отгрузки товара заказчикам из-за недостачи на складе. Будут полезны интервью с представителем отдела закупок и специалистом, который отвечает за выставление параметров в ERP-системе, чтобы убедиться в соответствии целей по поддержанию запасов с финансовыми целями организации. И так далее по другим пунктам стандарта.

Цифровизация и стандарт ISO 9001:2015 – точки пересечения

В Приложении 5 к документу Auditing Digital Processes приведена интересная таблица, в которой различные электронные данные и цифровые процессы сопоставляются с конкретными разделами ISO 9001:2015. Из нее отлично видно, насколько важно учитывать цифровизацию современной организации при аудите СМК.

Ниже вы можете изучить эту таблицу с незначительными сокращениями.

Пункт стандарта Процесс (деятельность)
4.4 Система менеджмента качества и ее процессы
  • Определение взаимосвязей между виртуальными процессами
  • Аудит процессного подхода в отношении планирования, реализации и изменений в рамках виртуальных процессов
5.3 Функции, ответственность и полномочия в организации
  • Определение уровней доступа и прав
  • Ответственность программистов
    Ответственности пользователей ПО
6.1 Действия в отношении рисков и возможностей
  • Использование алгоритмов для оценки рисков
7.1.3 Инфраструктура
  • Программы по техническому обслуживанию оборудования
  • ПО, направленное на превентивное обслуживание, в т.ч. интегрированное в ERP
  • Программные обновления
  • Совместимость «железа» и ПО
7.1.5 Ресурсы для мониторинга и измерения
  • Выбор ресурсов для проведения мониторинга и измерений
  • Обеспечение целостности алгоритмов и других электронных мониторинговых схем
  • Программы калибровки, управляемые посредством ПО
  • Доступ к записям о калибровке через портал стороннего поставщика калибровочных услуг
7.2 Компетентность
  • Способность понимать и результативно использовать цифровые инструменты
  • Наличие собственных онлайн-тренингов
  • Компетентность программистов
  • Компетентность пользователей ПО
7.4  

Обмен информацией 

  • Запрограммированные оповещения и т.п.
  • Коммуникация с другими площадками при мультисайтовой сертификации
  • Коммуникация с клиентами, поставщиками и другими заинтересованными сторонами посредством порталов
7.5 Документированная информация
  • Контроль электронной инфраструктуры, включая безопасность и другие риски
  • Контроль и поддержание веб-сайта
  • Наличие надлежащих процессов для: идентификации, описания, форматирования, анализа, одобрения, получения доступа и хранения
  • Контроль за изменениями
8.1 Планирование и управление операционной деятельностью
  • Планирование производства, включая определение ресурсных ограничений
  • Планирование оказания услуг
  • Как требования к продукции и услугам, критерии приемки и критерии оценки процессов интегрированы в ПО
8.2 Требования к продукции и услугам
  • Требования клиентов к продукции и требования, связанные с СМК, доступные через порталы
  • Передача заказов посредством системы электронного обмена данными EDI либо клиентских порталов
  • Электронная коммерция
  • Коммуникация с клиентами, в т.ч. порталы, аккумулирующие жалобы, содержащие корректирующие действия
8.3 Проектирование и разработка продукции и услуг
  • Любые ПО для проектирования, включая CAD/CAM и т.п.
  • Входные данные для проектирования программ
  • Контроль за изменениями в проектировании программ
8.4 Управление процессами, продукцией и услугами от внешних поставщиков
  • Система ERP
  • Система электронного обмена данными EDI
  • Мониторинг срока годности товаров и т.п.
8.5 Производство продукции и предоставление услуг
  • Мониторинг и контроль автоматизированных процессов – скорость, время, температура, вес и т.п.
  • Удаленный мониторинг и контроль процессов как совместная ответственность поставщика и покупателя
8.5.6 Управление изменениями
  • Автоматическая запись изменений с указанием даты и прав
9.1 Мониторинг, измерение, анализ и оценка
  • Оценка деятельности – мониторинг процессов посредством электронных инструментов и способность анализировать данные для принятия решений
  • Валидация данных: как на входе, так и на выходе
10.2 Несоответствия и корректирующие действия
  • Способность связать несоответствие с корректирующими действиями и другими процессами

Современный аудитор - на все руки мастер? 

Доля промышленных предприятий в России, использующих элементы диджитализации: автоматизацию, «Big Data», «блокчейн» и так далее, постоянно увеличивается, в частности, в 2020 году толчок к цифровизации дала пандемия. 

Очевидно, что все чаще аудиторы СМК будут сталкиваться с задачей проверки процессов, в которых очень слабо или совсем не вовлечен человек. Соответственно, аудиторам, проверяющим системы менеджмента, следует расширять свой кругозор и в сфере диджитал, учитывать нюансы виртуального мира и соответственно корректировать свою аудиторскую практику. 

Но это не значит, что все аудиторы СМК должны срочно отправиться на курсы программирования. Как известно, существует практика привлечения технических экспертов к участию в аудиторских командах. Обладающие специальными знаниями специалисты помогают профессиональным аудиторам в полной мере учесть отраслевую специфику клиентов. Технические эксперты могут также помочь разобраться и в деталях функционирования корпоративных автоматизированных систем. 

Тестирование системы в точках потенциального риска

«Аудитор всегда проверяет работу процессов в системе, а от того, какой перед ними процесс – цифровой или физический – зависят только способы проверки», - говорит Алексей Перетолчин, технический руководитель направления сертификации систем менеджмента и ведущий аудитор SGS

Исходя из аудиторского опыта, имеет смысл проверять те точки, где больше вероятность влияния человеческого фактора. Например, где данные заносятся в складскую программу человеком, который ручным сканером считывает штрих-код. «Неоднократно на аудитах сталкивались с ситуацией, когда перед нами физически находится 1-3 штуки какого-то товара, а в компьютерной системе их нет (ячейка пустая). Стоит короб, весь обклеенный штрих-кодами, но ERP/SAP о нем не знает», - рассказывает Алексей Перетолчин.

Человек ручным сканером считывает штрих-код

В случае цифровизации и роботизации, безусловно, влияние человеческого фактора сильно уменьшается, но не устраняется полностью. Всегда необходимо помнить, что любую программу, любого робота создают люди, и они могут ошибиться. Например, штрих-код считывает не человек, а датчик, установленный над транспортером. Вроде бы проблем с учетом быть не должно. Но установлен ли датчик правильно, так чтобы не пропускать ни одной единицы продукции без сканирования? Гарантирован ли маршрут следования продукции, с тем чтобы она 100% попадала в зону охвата датчика? Какая скорость передвижения должна поддерживаться? Практика показывает, что продукция при движении может периодически выходить за пределы этой зоны. Скорость может меняться. В итоге часть продукции не будет занесена в систему. 

Так или иначе, следует стремиться проверять точки потенциального риска, где система менеджмента качества может дать сбой.

Такое тестирование позволяет идентифицировать риски, которым подвергается организация, с тем чтобы нивелировать их и увеличивать способность организации быть более устойчивой и успешной.

ПОНРАВИЛАСЬ ЭТА СТАТЬЯ? ИНТЕРЕСУЮТ СТАНДАРТЫ ISO И СИСТЕМЫ МЕНЕДЖМЕНТА? ПОДПИШИТЕСЬ НА НАШУ РАССЫЛКУ И РЕГУЛЯРНО ПОЛУЧАЙТЕ ПОЛЕЗНУЮ ИНФОРМАЦИЮ ОБ ИЗМЕНЕНИЯХ В СТАНДАРТАХ, РАЗЪЯСНЕНИЯ ОТ АУДИТОРОВ SGS И ПРИМЕРЫ ЛУЧШИХ ПРАКТИК.

О КОМПАНИИ SGS

Группа SGS является мировым лидером в области независимой экспертизы, контроля, испытаний и сертификации. Основанная в 1878 году, сегодня SGS признана эталоном качества и деловой этики. В состав SGS входят свыше 2 600 офисов и лабораторий по всему миру, в которых работает 89 000 сотрудников.