Що відбувається на 2-му етапі сертифікаційного аудиту ISO: покроковий путівник для команди

Через 7 днів до вас приходить аудитор. Команда нервує, директор питає «а що якщо щось не так», а керівник з якості зайвий раз перечитує процедури. Це нормальна реакція, але вона ґрунтується на міфі, що 2-й етап (Stage 2) є екзаменом з невідомими питаннями.

Насправді другий етап аудиту: структурована перевірка з передбачуваною послідовністю кроків, регламентованими ролями і чіткими правилами поведінки сторін. Ці правила прописані в ISO/IEC 17021-1:2015, §9.4 «Проведення аудиту», і кожен орган сертифікації (CB) зобов'язаний їх дотримуватись.

Знаючи послідовність, команда може підготуватися без авралу: розподілити ролі, заздалегідь зібрати записи у відповідних місцях, відрепетирувати відповіді на типові питання. У цій статті ми покажемо погодинну логіку 2–3-денного 2-го етапу аудиту, дамо матрицю часу аудитора за типами активностей і, як ключовий елемент, проведемо реальний розрахунок тривалості аудиту за IAF MD 5:2023 для трьох розмірів компанії.

Це не теорія з підручника. Це послідовність, яку ми спостерігали на 200+ супроводжених аудитах: ISO 9001, ISO 22000, FSSC 22000, ISO 14001, ISO 45001, на одному майданчику та на кількох (multi-site), в Україні та для українських експортерів.

Сертифікаційний цикл за ISO/IEC 17021-1 розбивається на два формальні етапи. Часто плутанина починається саме тут: керівники готуються до 2-го етапу так, ніби це продовження 1-го. Це різні події з різними цілями.

1-й етап (Stage 1): перевірка готовності системи. Аудитор оцінює, чи документація достатньо зріла, чи внутрішній аудит і аналіз з боку керівництва (Management Review) вже відбулися, чи зрозуміла сфера сертифікації, чи зібрані докази для базового набору вимог. 1-й етап зазвичай завершується звітом із зонами стурбованості (areas of concern): ще не невідповідностями, а сигналами ризику.

2-й етап (Stage 2): перевірка ефективності системи в реальній операційній практиці. Аудитор уже не питає «де ваша процедура», а перевіряє «як вона працює щодня і як ви це можете довести записами».

За 2–4 тижні до 2-го етапу ви отримуєте від органу сертифікації пакет документів: підсумковий звіт 1-го етапу, оновлений план аудиту та порядок денний. Це не формальність: ваша інструкція з підготовки.

Як читати звіт 1-го етапу. Зверніть увагу на формулювання зон стурбованості: вони показують, де аудитор уже бачить ризик і куди обов'язково повернеться на 2-му етапі. Якщо у звіті написано «докази проведення аналізу з боку керівництва за 2025 рік не надано», підготуйте повний пакет за 12 місяців з протоколами, входами/виходами і коригувальними діями (CAPA).

Як читати план аудиту. Стандартний план 2-го етапу містить: дати, склад команди аудиторів, перелік аудитованих процесів з прив'язкою до пунктів стандарту, розподіл часу по днях, ролі представників компанії на кожній сесії. Кожна стрічка: сигнал, кого з ваших людей треба підготувати.

Що зробити за 7 днів до 2-го етапу:

• Підтвердити план аудиту і повідомити орган сертифікації про конфлікти (відрядження вищого керівництва, зупинка лінії).
• Розіслати персональні інструкції кожному учаснику: коли його сесія, які питання очікуються, які записи треба мати під рукою.
• Підготувати кімнату для аудиту з доступом до інтернету, проектором, окремим столом для аудитора.
• Перевірити, що всі коригувальні дії з останніх внутрішніх аудитів закриті або мають план з реалістичними термінами.
• Провести коротку репетицію з керівником з якості та вищим керівництвом: 30 хвилин з 5 типовими питаннями.

Детальний цикл підготовки за 90 днів описаний у нашому 90-денному плані підготовки до сертифікаційного аудиту, він закриває не лише 2-й етап, а й попередні фази аналізу розривів і внутрішнього аудиту.

Перший день, найнапруженіший за враженнями і найважливіший за тоном. Те, як команда поведе себе на вступній нараді, визначає атмосферу всього аудиту.

Що каже аудитор. Керівник команди аудиторів представляє склад команди, підтверджує сферу та критерії аудиту, нагадує про конфіденційність і неупередженість (вимога §5 ISO/IEC 17021-1), описує метод вибірки і пояснює, що не всі процеси будуть перевірені: робиться через відбір вибірки, тому відсутність питання не означає, що зона «чиста».

Що каже компанія. Вище керівництво відкриває словами «ми готові до перевірки і відкриті до співпраці». Керівник з якості представляє склад команди компанії і ролі. Не варто намагатись справити враження, аудитор оцінює систему, а не PR.

Типова помилка. Команда починає захищатись ще до того, як аудитор поставив питання. Фрази «ну, у нас не зовсім ідеально, але…» створюють негативне враження ще до огляду доказів.

Після початкового огляду документів аудитор виходить на виробництво або в офіс. Це найбільший блок аудиту за часом, і найбільш стресовий для лінійного персоналу. Зайва тривога знімається підготовкою: коли оператор знає 3–4 типові питання, він відповідає впевнено.

Питання операторам не вимагають теоретичних знань стандарту. Вони перевіряють, чи людина розуміє свою операцію, її ризики і свою роль у системі. Три типові формати питань:

• «Покажіть, як ви це робите», оператор має продемонструвати дію (заповнити запис, провести вимірювання, перевірити CCP).
• «А якщо?», гіпотетичний сценарій («що ви робите, якщо температура хокера падає нижче 70°C?»).
• «Простежте назад», аудитор бере партію готового продукту і просить простежити її компоненти, дату виробництва, оператора, результати лабораторного контролю.

Підготовка команди: проведіть за 2–3 дні до 2-го етапу репетиційні інтерв'ю по 15–20 хвилин з кожним ключовим оператором. Не репетируйте відповіді слово в слово, вчіть структуру: «коротка відповідь → демонстрація → запис».

На цьому етапі аудитор найчастіше знаходить найпоширеніші невідповідності. Огляд того, що саме ці типові невідповідності що знаходять на 2-му етапі аудиту, допоможе закрити вразливі зони ще до приходу органу сертифікації.

На цьому етапі аудитор переходить від «як ви це робите» до «доведіть записами, що це робиться щодня». Відбір вибірки записів: не суцільна перевірка, а вибірка, що базується на ризику і репрезентативності.

Логіка вибірки. Провідний аудитор обирає 3–10 партій / транзакцій / випадків з останніх 6–12 місяців. Критерії: зразок із зони високого ризику, зразок із зони низького ризику, зразок з періоду відомої події (рекламація клієнта, несправність обладнання, кадрова зміна).

Типовий тест простежуваності для ISO 22000 / FSSC 22000. Аудитор бере 3 партії готового продукту з різних дат і просить:

1. Простежити кожну партію назад до сировини (номери партій, постачальник, CoA).
2. Показати записи CCP на момент виробництва кожної партії.
3. Знайти результати лабораторного контролю готового продукту (мікробіологія, фізико-хімія).
4. Підтвердити навчання оператора, який виконував критичну операцію.
5. Перевірити калібрування обладнання, що використовувалось.

Норматив часу для повного тесту простежуваності: 2–4 години для 3 партій. Якщо команда не може зібрати ці записи за 30 хвилин: сигнал для major NC по §8.3 (Простежуваність).

Якщо в обраних 3 партіях все чисто, аудитор не зробить висновок «система працює». Він додасть ще 2–3 зразки з суміжних зон. Якщо в одному зразку знайшовся розрив: не одразу major NC, але аудитор збільшить вибірку до 5–7 зразків, щоб оцінити, чи це випадковість, чи систематична проблема. Саме систематичність і перетворює minor у major.

Для ISO 9001 типова вибірка інша: аудитор бере замовлення клієнтів, виробничі наряди, протоколи невідповідностей продукції, рекламації. Для ISO 14001, реєстр екологічних аспектів, моніторинг викидів, дозвільна документація. Для ISO 45001, звіти про інциденти, аналіз ризиків робіт (JSA), навчання з охорони праці.

Передостанньою активністю команди аудиторів є закрита робоча сесія: 1,5–2 години без присутності компанії. Аудитори консолідують спостереження, кваліфікують їх (Major NC / Minor NC / OFI / Сильні сторони) і готують презентацію. У цей час корисно зайнятись адміністративними питаннями і не намагатись «дізнатися заздалегідь» про виявлення: створює тиск і сприймається негативно.

1. НЕ заперечувати. Навіть якщо вам здається, що аудитор помилився, не починайте сперечатись на заключній нараді. Скажіть «дякую за спостереження, ми розглянемо його» і запросіть деталі.

2. НЕ виправдовуватись. Фрази «у нас же тільки одна людина в цьому процесі» або «у попередньому році ми це обговорювали з іншим аудитором» працюють проти вас. Аудитор не оцінює пом'якшуючі обставини, він фіксує факт.

3. Ставити уточнюючі питання. Це професійна реакція. «Чи можете уточнити, який пункт стандарту ви вважаєте порушеним?», «Який обсяг записів ви розглядали при формуванні цього висновку?», «Чи це поодинокий випадок, чи систематичний паттерн?», такі питання дають вам інформацію для якісних коригувальних дій, а не для оскарження.

Якщо ви категорично не згодні з кваліфікацією невідповідності, у вас є формальне право подати апеляцію в орган сертифікації протягом терміну, прописаного в договорі (зазвичай 14–30 днів). Але це інший канал, не заключна нарада.

Знаючи, як аудитор розподіляє час, ви можете розставити свої сили відповідно. Ця матриця базується на даних з 200+ супроводжених 2-х етапів і добре корелює з рекомендаціями ISO 19011:2018 щодо розподілу аудиторської активності.

Тривалість 2-го етапу, не довільна цифра. Її обчислюють за формулою з IAF MD 5:2023 («Визначення часу аудиту систем менеджменту якості, екологічного менеджменту та охорони праці»). Цей документ обов'язковий для всіх IAF-визнаних органів сертифікації. На жаль, лише 2 з 10 топових україно- і англомовних статей про сертифікацію взагалі цитують MD 5, а формулу не наводить ніхто. Тому розберемо її на прикладах.

H = базова таблиця × коефіцієнти коригування

Де:

• Базова таблиця. Таблиці QMS-1 / EMS-1 / OHS-1 з MD 5, що дають H у людино-днях як функцію кількості ефективних співробітників.
• Коефіцієнти коригування, підвищувальні (висока складність, новий стандарт, відсутність попередньої сертифікації) або знижувальні (зріла система, повторна сертифікація, інтегровані системи).

Для 1-го + 2-го етапів разом базова таблиця дає сумарне H. 1-й етап зазвичай ≈ 30% від первинного сертифікаційного аудиту, 2-й етап, решта 70%.

Ефективна кількість персоналу = повний штат – персонал, що повторює ті самі функції на тих самих змінах. Тобто 50 операторів на 3 змінах із однаковою функцією: 50 ефективних, а не 150.

Таблиця 1 (QMS-1) і Таблиця 2 (EMS-1): базові таблиці для ISO 9001 і ISO 14001. Лівий стовпець, діапазон ефективних співробітників, правий, H у людино-днях для первинного аудиту (1-й + 2-й етапи сумарно).

Таблиця 3 (OHS-1), для ISO 45001. Розрахунок аналогічний QMS-1, але з вищим базовим часом через специфіку охорони праці.

Додаток 3 регулює мультимайданчиковий аудит: для кожного додаткового виробничого майданчика додається ≈ 1–2 людино-дні залежно від складності. Якщо у вас 3 однотипні склади: не 3× час, а ≈ 1,3× базової H через вибірку.

Знижка за інтегрований аудит, якщо ви сертифікуєтесь одночасно за ISO 9001 + ISO 14001 + ISO 45001, MD 5 дозволяє знизити сумарну тривалість на 10–30% через спільні елементи (Лідерство, Контроль документів, Внутрішній аудит, Аналіз з боку керівництва).

Наглядові аудити = ⅓ від первинного. Ресертифікаційний аудит = ⅔ від первинного. Деталі вибірки за майданчиками добре розкриває European Accreditation FAQ Question 38-2.

Заключна нарада: ще не сертифікація. Далі йдуть:

• 0–14 днів: провідний аудитор готує підсумковий звіт аудиту і передає його в орган сертифікації.
• 14–30 днів: ви подаєте план коригувальних дій для всіх невідповідностей з кореневим аналізом і термінами.
• 30–90 днів: реалізація коригувальних дій, надання доказів закриття.
• 90–120 днів: незалежний сертифікаційний комітет органу сертифікації перевіряє пакет і ухвалює рішення про сертифікацію.
• 120–150 днів: видача сертифіката (зазвичай на 3 роки з річним наглядовим циклом).

Після видачі сертифіката починається інша фаза, підтримка системи у відповідному стані. Річний супровід системи допомагає не «втратити форму» між наглядовими аудитами, що типово стається у компаній на 2-му році сертифікації.

Якщо вам потрібно поглянути на повний 3-річний цикл або підготувати команду до конкретної сертифікації за ISO 9001 чи ISO 22000, напишіть нам, розрахуємо часові і фінансові показники під вашу сферу сертифікації.

Найпоширеніші запитання про другий етап сертифікаційного аудиту ISO, з реальної практики 200+ супроводжених аудитів і відповідних популярних запитів Google.