90-денний план підготовки до сертифікаційного аудиту: дорожня карта без авралу

90 днів — це мінімум часу для підготовки до сертифікаційного аудиту без авралу. Менше, буде паніка та виявлення на аудиті; більше, команда втратить фокус і почне «полірувати» документи замість роботи з реальними процесами.

Ця стаття, повна дорожня карта на 12 тижнів: п'ять фаз, головний контрольний список на 50+ пунктів, окремий план на стислі 30 днів і специфіка українського ринку. Матеріал зібраний на основі 200+ супроводжених аудитів ISO 9001, ISO 22000, FSSC 22000 та галузевих стандартів за останні 12 років.

Щоб одразу побачити логіку плану, ось зведення по тижнях. Деталі кожної фази розкриваються нижче.

Сертифікаційний аудит ISO — це незалежна перевірка системи менеджменту акредитованим органом сертифікації (CB) на відповідність вимогам конкретного стандарту: ISO 9001, ISO 14001, ISO 45001, ISO 22000, FSSC 22000 та інших. Аудит складається з двох етапів: 1-й етап (документальна перевірка) та 2-й етап (перевірка впровадження на місці). За результатом орган сертифікації приймає рішення про видачу сертифіката строком на 3 роки з щорічним наглядовим аудитом.

Методологія аудиту описана у ISO 19011:2018, а вимоги до самих органів сертифікації, у ISO/IEC 17021-1 та обов'язкових документах IAF. Це означає, що поведінка аудитора, обсяг вибірки та критерії оцінки не довільні: команді можна підготуватися саме до тієї структури, за якою працює CB.

Найпоширеніший сценарій провалу: почати готуватися «коли вже призначили дату». За 2–3 тижні неможливо ні зібрати записи за 3 місяці, ні провести повноцінний внутрішній аудит, ні відпрацювати коригувальні дії. Аудитор побачить систему «лише на папері» й видасть значні невідповідності (major), які заблокують сертифікат.

З 200+ супроводжених аудитів ми бачимо стабільне розподілення часу клієнтів на підготовку:

• 38% починають за 30 днів і паникують, типово отримують 3–7 незначних (minor) + 1–2 значні (major) невідповідності;
• 42% починають за 60–90 днів і проходять впевнено, у середньому 1–3 незначних невідповідності без значних;
• 20% стартують за 6+ місяців і втрачають фокус, команда «виснажується», документи «перевпорядковуються» по 5 разів, а реальні процеси не зміцнюються.

90 днів, точка балансу: достатньо часу зібрати докази за повний квартал, але команда ще тримає темп. Менше, і немає доказів; більше, і втрачається пріоритезація.

Перші три тижні: чесна оцінка стартової позиції. Без неї будь-який план буде «лікуванням від уявних хвороб». Перевірка готовності до аудиту, це структурований аналіз розривів по всіх пунктах стандарту, який дає команді карту того, що працює, що працює формально і чого немає взагалі.

Методологія аналізу розривів:

1. Складіть таблицю пунктів стандарту (наприклад, для ISO 9001 це §4.1–§10.3).
2. По кожному пункту присвойте статус: «впроваджено + докази», «впроваджено формально», «частково», «відсутнє».
3. По кожному «частково» і «відсутнє», оцінка ризику (значна / незначна / спостереження) і обсяг роботи в годинах.
4. Інтерв'ю з власниками процесів (по 30–45 хв) для перевірки самооцінки.
5. Спостереження на ґемба: пройти 2–3 виробничі процеси з оператором.

Головний результат Фази 1, звіт з аналізу розривів з пріоритезацією. Без цього документа решта 9 тижнів буде хаотичною. Якщо команда не має досвіду самостійного аналізу розривів, на цьому етапі логічно залучити незалежну оцінку готовності, зовнішнє око знаходить у середньому 30–40% розривів, які внутрішня команда вже не помічає через звичку.

Типові помічники Фази 1:

• контрольний список пунктів стандарту з полями статусу;
• матриця процесів (власник процесу, документ, вхід, вихід, KPI);
• зведена ризик-карта топ-15 розривів з оцінкою компромісу «час проти пріоритету».

З Фази 1 у вас на руках список розривів. Фаза 2: систематичне закриття документальних і процедурних розривів. Тут важливо не «писати красиво», а формулювати процедури так, щоб оператор міг за ними працювати без додаткового пояснення.

Як пріоритезувати:

1. Спочатку значні ризики, розриви, що ведуть до значних невідповідностей (major NCR), наприклад, відсутність процедури управління невідповідною продукцією, відсутність аналізування з боку керівництва за останній рік.
2. Потім незначні ризики, формальні розриви, які аудитор оформить як minor (застарілі версії документів, відсутність журналу).
3. В останню чергу, спостереження, речі, що не блокують сертифікат, але покращують систему.

Типові процедури, які потребують переробки:

• управління документованою інформацією (часто застарілі версії в обігу);
• управління невідповідною продукцією та CAPA;
• внутрішній аудит (програма + процедура);
• аналізування з боку керівництва (порядок денний + входи + виходи);
• управління ризиками (реєстр ризиків або еквівалент);
• компетентність та записи з навчання.

Деталізований розбір типових проблемних зон, що повторюються з аудиту до аудиту, ми зібрали в окремій статті, детальніше про типові невідповідності на сертифікаційному аудиті.

Принцип «один власник процесу на документ»: кожна процедура має одного власника, який відповідає за її актуальність. Якщо «відповідають усі», не відповідає ніхто, і це найшвидший шлях до застарілих документів в обігу.

Результат Фази 2, оновлений документообіг із підписаними версіями, пронумерованими ревізіями та чітким списком розповсюдження. Для бізнесів, що готуються до ISO 9001, мінімальний пакет, 6 обов'язкових документованих процедур + політика якості + цілі. Для ISO 22000 додається повна HACCP-документація, PRP-програми та план верифікації.

Аудитор не вірить словам. Він вірить записам: заповненим журналам, протоколам, актам, чек-листам із реальними датами та підписами. Фаза 3, це систематичний збір доказів за останні 3 місяці роботи системи, плюс підготовка до тестів простежуваності.

Періодичність ведення записів:

За 3 місяці перед аудитом усі ключові записи мають вестись щоденно/щозміни/щотижня, з тією періодичністю, яку вимагає процедура. Аудитор на 2-му етапі робитиме вибірку «покажіть журнал моніторингу CCP за 14 березня о 14:00», і пропуск однієї зміни тягне за собою NCR за §8.5.4 ISO 22000 або §7.1.5 ISO 9001.

Типові категорії доказів, які перевіряють найчастіше:

• журнали моніторингу процесів (температура, тиск, час, концентрація);
• акти калібрування та повірки вимірювального обладнання;
• протоколи внутрішніх аудитів і аналізування з боку керівництва;
• записи з навчання з підписами учасників та оцінкою результативності;
• оцінювання постачальників з фактичними даними за період;
• журнали невідповідної продукції, скарг клієнтів і CAPA.

Тест простежуваності: аудитор бере одну партію готової продукції і просить «розкласти» її назад до сировини, постачальника, операторів, обладнання, параметрів процесу. У харчовій галузі це обов'язкова частина 2-го етапу. Готовий тест простежуваності, це 4–6 годин роботи команди, який відтворює маршрут «відвантаження → склад → пакування → виробництво → сировина» з усіма документами в одному пакеті.

Результат Фази 3, пакет доказів: папка (фізична або електронна) з усіма заповненими записами за 3 місяці, відсортованими по пунктах стандарту, плюс 1–2 готові сценарії простежуваності.

Внутрішній аудит: обов'язкова вимога будь-якого ISO-стандарту і одночасно найкраща «репетиція» сертифікаційного. Аудитор від CB на 2-му етапі спершу перевірить, чи проводився внутрішній аудит, чи покривав він усі процеси та чи були закриті виявлені невідповідності.

Методологія внутрішнього аудиту (за ISO 19011):

1. Програма, на рік уперед, з пріоритетами по ризику та частотою для кожного процесу.
2. План конкретного аудиту, ділянка, пункти, аудитор, дата, тривалість, інтерв'юйовані.
3. Контрольний список, пункт + питання + точка доказу + результат.
4. Аудит на місці, інтерв'ю + спостереження + перевірка записів + виявлення невідповідностей.
5. Звіт, рівень виявлення (NC / OFI / спостереження), посилання на пункт, доказ.
6. CAPA, корекція + коригувальна дія + перевірка результативності.

Шаблон CAPA, який працює:

Критично: на момент 2-го етапу всі CAPA з внутрішнього аудиту мають бути або закриті, або в плановому виконанні з документованим прогресом. «Заплановано і нічого не зроблено», це автоматична незначна невідповідність.

Результат Фази 4, звіт внутрішнього аудиту з усіма виявленнями, заповнений CAPA-трекер, докази виконання коригувальних дій. Бажано додати аналізування з боку керівництва одразу після внутрішнього аудиту, вище керівництво офіційно фіксує результати і затверджує ресурси для CAPA.

Останній тиждень не для нової роботи з системою, а для підготовки команди як аудиторії аудитора. Пробне інтерв'ю, імітація реального аудиту: один із внутрішніх аудиторів (або зовнішній консультант) грає роль CB-аудитора і ставить ті самі питання, які прозвучать на 2-му етапі.

Кого готувати в першу чергу:

• вище керівництво (питання про політику, цілі, аналізування з боку керівництва, ресурси);
• менеджер з якості (вся система, широкий огляд);
• власники процесів (їхні процеси, глибоко);
• операторів (3–5 ключових питань про процедури, які вони виконують щодня).

Техніка інтерв'ю: аудитор не «екзаменує», він збирає докази. Завдання співробітника, показати, що він знає процедуру, де лежить документ і яким чином це робиться щодня. Не треба заучувати пункти стандарту, треба впевнено говорити про власну роботу.

Підготовка вступної та заключної нарад:

• зал з проектором, місце для аудитора, доступ до Wi-Fi і принтера;
• список присутніх на вступній нараді (керівник + менеджер з якості + власники процесів);
• порядок денний і тайм-таблиця, які аудитор узгодив у плані аудиту;
• готова презентація компанії на 5–7 хвилин (структура, продукт, сфера сертифікації);
• супроводжуючий для аудитора на території (хто супроводжує по виробництву).

Детальний розбір того, як проходить день за днем сертифікаційний аудит,, у статті про те, що очікувати на 2-му етапі сертифікаційного аудиту. Знаючи послідовність, команда менше нервує і більше демонструє реальну роботу системи.

Результат Фази 5, впевнена команда, узгоджений план аудиту, підготовлена логістика, готовий пакет доказів у одному місці.

Цей чек-лист об'єднує всі п'ять фаз. Використовуйте його як робочий інструмент: відмічайте виконане, фіксуйте відповідального, контролюйте дедлайн. Колонка «Години» дає приблизну оцінку часу для бізнесу 50–150 співробітників, для більших підприємств помножте на 1,5–2.

Реальність буває жорсткою: дату 2-го етапу уже узгоджено, перенести неможливо, а часу лише місяць. У такому сценарії 90-денний план треба стискати, але не «рівномірно», деякі фази скоротити критично, інші пропустити нерозумно. Ось стислий план, який ми використовуємо як «план Б».

Тиждень 1: Тільки значні ризики

• Швидкий аналіз розривів по топ-10 типових зонах значних ризиків (документована інформація, невідповідності, внутрішній аудит, аналізування з боку керівництва, CAPA, сфера, політика, цілі, ресурси, навчання).
• Зовнішній передаудит обов'язково, він покаже, що рятувати в першу чергу.
• Розподіл ролей у команді: хто за що відповідає в стислі терміни.

Тиждень 2: Документація-мінімум

• Закрити лише ті процедури, відсутність яких = автоматична значна невідповідність (управління документами, управління невідповідною продукцією, внутрішній аудит, аналізування з боку керівництва, CAPA, реєстр ризиків).
• Не намагатись переписати все, зосередитись на 6–8 критичних документах.
• Видати оновлені версії у виробництво, вилучити старі.

Тиждень 3: Спринт записів + внутрішній аудит

• Зібрати всі записи, які реально ведуться (не вигадувати минуле, це автоматично невідповідність).
• Провести внутрішній аудит за 2–3 дні силами 1–2 аудиторів.
• Закрити критичні CAPA по корекції (системні дії, після сертифікації).

Тиждень 4: Пробне інтерв'ю + логістика

• Пробне інтерв'ю з вищим керівництвом і власниками процесів (1–2 дні).
• Підготувати пакет доказів, те, що зібрали.
• Логістика, порядок денний, презентація.

Чого НЕ варто робити в стислі терміни:

• ❌ Підробляти записи заднім числом, досвідчений аудитор бачить це за хвилину (один колір ручки, одна дата підпису, ідеальна каліграфія).
• ❌ «Полірувати» документи в 5-й раз, краще робочий документ, ніж ідеальний папір.
• ❌ Тренувати персонал за день до аудиту цитувати пункти стандарту, це провокує невпевненість, а не докази.

Якщо є можливість перенести аудит хоча б на 4 тижні, переносьте. Втрата 4 тижнів дешевша за значну невідповідність і повторний візит CB.

Український ринок сертифікації має кілька особливостей, які впливають на підготовку команди. Розберемо три критичні нюанси.

1. Мовні питання аудиту

Якщо орган сертифікації міжнародний (DNV, SGS, BV, TÜV, DQS), частина інтерв'ю може проходити англійською, особливо з вищим керівництвом і менеджером з якості. Українські аудитори зазвичай ведуть аудит українською, але документація для міжнародних органів має бути доступна англійською або щонайменше з англомовними резюме. Підготуйте 1–2 співробітників, які впевнено говорять про систему англійською, це знімає половину стресу команди.

2. ДССУ проти міжнародного CB

В Україні працюють як акредитовані НААУ органи сертифікації, так і міжнародні CB з акредитацією IAF. Підхід до аудиту схожий, але є відмінності в обсязі документації та інтерпретації пунктів. Перед вибором CB переконайтеся, що його сертифікат буде прийнятним для ваших клієнтів, особливо для експортних ринків ЄС, де очікують саме IAF-акредитацію.

3. Типові графіки для харчової галузі + QMS

За нашим досвідом 200+ аудитів, типова тривалість 2-го етапу для українських компаній:

• ISO 9001 (QMS) для бізнесу 50–100 співробітників, 2 дні аудиту;
• ISO 22000 / FSSC 22000 для харчового виробництва (1 майданчик), 3–4 дні;
• IFS / BRCGS для рітейл-постачальників, 2–3 дні (більше фокус на безпечності продукту).

Для кількох майданчиків або великих підприємств тривалість визначається за IAF MD 5:2023, це обов'язковий референс для CB при розрахунку часу аудиту.

Для українських харчових компаній додатковий нюанс, інтеграція аудитної системи з вимогами Держпродспоживслужби (ДССУ). Журнали моніторингу, які ви вже ведете для національного нагляду, у 80% випадків покривають вимоги ISO 22000 §8, головне, щоб формат був достатньо детальним.

Якщо ви вперше проходите міжнародний аудит, варто розглянути передаудит від консультанта з досвідом саме у вашій галузі: різниця між підходом аудитора DNV і аудитора TÜV у деталях, які експертне око бачить, а перший раз пройти неможливо.

Зібрали 8 запитань, які найчастіше ставлять команди в перші тижні підготовки. Якщо ваша ситуація специфічніша, напишіть нам, розберемо саме ваш випадок.