Типові невідповідності на сертифікаційному аудиті ISO: ТОП-15 з реального досвіду 200+ аудитів

Дані: наша агрегація 200+ супроводжених аудитів за 2024-2025 рр. (food + QMS + EMS), узгоджена з відкритими даними DNV (250 000 аудитів) і AFNOR (20 000 звітів). Сума %% > 100, бо аудит часто має кілька невідповідностей одночасно.

Що саме ми рахували. Кожне виявлення зі звіту аудиту кодувалося за пунктом стандарту, типом (критична/некритична/спостереження/OFI) і коротким описом. Дублі по майданчиках багатомайданчикових сертифікацій об'єднувалися. Це дає чисті частоти на рівні аудиту, а не на рівні окремих рядків.

Географія: переважно Україна, Молдова, Польща, Румунія. Галузі: харчова переробка (45%), агросектор та біопалива (20%), машинобудування і метал (15%), послуги (12%), хімія та упаковка (8%). Стандарти: ISO 9001 (38%), ISO 22000 (24%), FSSC 22000 (16%), ISCC EU/PLUS (12%), ISO 14001 (7%), інші (3%).

Чому це важливо. Багато публікацій про «типові висновки аудиторів» переказують публічні PDF з сайтів органів сертифікації без оригінальних даних. Наша вибірка відображає те, що реально відбувається в кімнаті з українським менеджером з якості та аудитором акредитованого органу сертифікації. Найкращий спосіб не потрапити в цю статистику: пройти незалежну діагностику готовності до приходу аудитора. Більшість виявлень з ТОП-15 закриваються за 2-8 годин, якщо знайти їх до 2-го етапу.

Перш ніж дивитись на ТОП-15, треба зрозуміти різницю між критичною (major) та некритичною (minor) невідповідністю. Вона визначає, чи отримаєте ви сертифікат, чи плани коригувальних дій з повторним візитом.

Критична — це провал, який ставить під сумнів здатність системи досягати запланованих результатів. Приклади: повна відсутність задокументованої процедури, систематичне ігнорування моніторингу CCP, відсутність управлінського перегляду за 18+ місяців. Некритична — це окремий збій, який не руйнує систему: один незаповнений запис, одна прострочена калібровка, одне навчання без підпису. Обидві вимагають коригувальної дії, але наслідки різні. IAF MD 4 і ISO 19011 дають загальні критерії, але кожен орган сертифікації трактує їх трохи по-своєму. Ось ключові різниці.

Кожне виявлення нижче має фіксовану структуру: частота, пункт стандарту, типова цитата аудитора, першопричина і чек-лист запобігання. Цифри округлені, але порядок рейтингу збережено по нашій вибірці. Те, що знаходять найчастіше, не обов'язково найсерйозніше; навпаки, ТОП-3 здебільшого некритичні, зате нижча частина списку часто містить критичні системні збої.

Частота: 32% аудитів. Пункт стандарту: ISO 9001 §7.5.3 / ISO 22000 §7.5.3.

Цитата аудитора: «Чинна редакція процедури управління закупівлями, версія 2.1, не відображає фактичний процес погодження заявок, який описав керівник відділу постачання під час інтерв'ю. Зміна впроваджена в роботу, але документ не оновлено.»

Чому це трапляється: процеси в компанії змінюються швидше за документи. Хтось вирішив, що погодження тепер електронне через 1С, а не паперове, але процедура лежить у папці «Документи СУЯ» з минулорічною датою. Менеджер з якості не знає про зміну, бо вона була зроблена «по-домашньому».

Чек-лист запобігання:

• Раз на квартал: формальний перегляд актуальних процедур з власниками процесів (не з менеджером з якості)
• Тригер на оновлення документа у будь-якому запиті на зміну при зміні роботи
• Колонка «Відповідальний за актуальність» у реєстрі документів з конкретним ПІБ
• За 30 днів до аудиту швидкий обхід ТОП-10 ключових процедур: «це досі так робиться?»
• Версіонування з датою та підписом затвердження на титульному аркуші

Орієнтовний час і вартість усунення: 4-8 годин роботи відповідального, €0-200 на оновлення документації.

Частота: 28% аудитів (харчові). Пункт стандарту: ISO 22000 §8.5.4 / FSSC 22000 v6 додаткові вимоги.

Цитата аудитора: «У записах моніторингу CCP-2 (термообробка) за період 14-21 квітня відсутні підписи оператора та значення температури за зміну з 22:00 до 06:00. Дії при відхиленні від критичної межі не задокументовані.»

Чому це трапляється: нічна зміна, оператор зайнятий, начальник зміни не нагадав. На паперовому журналі пропуски. Або форма заповнена, але не вказано, хто перевірив. Іноді критична межа порушена, оператор виправив параметр на лінії, але рядок «Корекційні дії» залишився порожнім.

Чек-лист запобігання:

• Електронний моніторинг там, де можливо (реєстратори температури з автоекспортом)
• Чек-лист передачі зміни обов'язково містить «всі CCP заповнено»
• Щотижневий обхід керівника виробництва з підписом на формах
• Окрема колонка «Дії при відхиленні» заповнюється завжди, навіть якщо «без відхилень»
• Внутрішній аудит CCP-журналів за 30 днів до сертифікації на вибірці 5-10 днів

Орієнтовний час і вартість усунення: 16-40 годин на впровадження дисципліни, €500-2000 на електронні реєстратори (опційно).

Частота: 24% аудитів. Пункт стандарту: ISO 9001 §7.1.5.

Цитата аудитора: «Термометр інв. №ТМ-014, що використовується для контролю температури зберігання сировини, має наклейку про калібрування з датою повірки 02.2024. Наступна повірка прострочена на 4 місяці. Записи про результати поточної калібровки не надано.»

Чому це трапляється: реєстр обладнання, що вимагає калібровки, ведеться в Excel, нагадування про повірку у голові метролога. Метролог звільнився, новий ще не отримав повний список. Або обладнання було виведене з експлуатації, але наклейку не зняли, і аудитор бачить активний прилад з простроченою датою.

Чек-лист запобігання:

• Реєстр з автоматичним нагадуванням за 60 днів до повірки
• Кольорове маркування: зелена наклейка (діє), червона (виведене з експлуатації)
• Архів сертифікатів калібровки в одному місці (паперово або в електронній системі)
• За 90 днів до аудиту: ревізія реєстру: «всі активні прилади мають чинну повірку?»
• Рішення про калібровку vs повірку оформлено письмово (різні юридичні режими в Україні)

Орієнтовний час і вартість усунення: 8-20 годин ревізії реєстру, €100-500 на термінову повірку, якщо знайдено просрочені.

Частота: 19% аудитів. Пункт стандарту: ISO 9001 §8.4.1 / ISO 22000 §7.1.6.

Цитата аудитора: «Постачальник сировини ТОВ "X" внесений до переліку схвалених постачальників. Остання документована оцінка від 2022 року. Періодичність переоцінки, визначена у процедурі П-08-2024, становить 1 рік. Поточна оцінка не проведена.»

Чому це трапляється: переоцінка постачальників це нудна робота, яка не блокує операційний день. Закупівля працює, претензій немає, навіщо переоцінювати. Через 18-24 місяці аудитор відкриває реєстр і бачить, що остання оцінка була два роки тому.

Чек-лист запобігання:

• Календар переоцінки в електронному вигляді з відповідальним
• Спрощена форма для постачальників без претензій (5 хвилин замість 1 години)
• Інтеграція з даними рекламацій: автоматична переоцінка при будь-якій претензії
• ABC-сегментація постачальників: критичні щороку, інші кожні 2 роки (з обґрунтуванням)
• За 60 днів до аудиту обхід по ТОП-20 постачальниках

Орієнтовний час і вартість усунення: 12-24 години на переоцінку 20-30 постачальників, €0.

Частота: 17% аудитів. Пункт стандарту: ISO 9001 §6.1.

Цитата аудитора: «Реєстр ризиків і можливостей містить 8 позицій, що стосуються виробничих ризиків. Не враховані ризики, пов'язані з ланцюгом постачання та регуляторним середовищем, які зазначені в розділі 4.1 (контекст організації).»

Чому це трапляється: ризик-аналіз робиться один раз перед першою сертифікацією як формальність. Записують очевидні речі (поломка обладнання, відключення електроенергії) і забувають. Через 2 роки контекст змінився (війна, санкції, нові регуляторні вимоги), а реєстр такий самий.

Чек-лист запобігання:

• Ревізія реєстру раз на 6 місяців з керівниками напрямків
• Шаблон з категоріями: продукт, процес, постачання, кадри, регуляція, фінанси, ринок
• Зв'язок «ризик → дія → відповідальний → дата» обов'язково для кожного запису
• Аналіз ризиків як вхід для управлінського перегляду
• Окремо реєстр можливостей (часто забувають саме його)

Орієнтовний час і вартість усунення: 8-16 годин на ревізію, €0.

Частота: 16% аудитів. Пункт стандарту: ISO 9001 §6.2 / ISO 22000 §5.2.

Цитата аудитора: «Ціль "підвищити задоволеність клієнтів" встановлена на 2026 рік без визначення вимірюваного показника, цільового значення, методу вимірювання та відповідального. Оцінити досягнення цілі неможливо.»

Чому це трапляється: цілі формулюються один раз на стратегічній сесії абстрактно («покращити», «оптимізувати», «зменшити») без переведення в KPI. Аудитор хоче бачити число, дату і ПІБ; без цього ціль не вимірювана.

Чек-лист запобігання:

• SMART-формат для всіх цілей: конкретно, вимірювано, досяжно, актуально, обмежено в часі
• Таблиця: ціль | KPI | базове значення | цільове | дата | відповідальний | метод
• Квартальний моніторинг прогресу як вхід для управлінського перегляду
• Зв'язок цілей з контекстом, ризиками та політикою
• Розділяти стратегічні цілі (на рік) і операційні (на квартал)

Орієнтовний час і вартість усунення: 4-8 годин на переписання цілей, €0.

Частота: 14% аудитів. Пункт стандарту: ISO 9001 §9.3 / ISO 22000 §9.3.

Цитата аудитора: «Протокол управлінського перегляду від 15.12.2024 не містить аналізу всіх обов'язкових входів, зокрема: результати моніторингу та вимірювань, відгуки клієнтів, статус коригувальних дій, можливості для покращення.»

Чому це трапляється: управлінський перегляд проводять раз на рік, готує менеджер з якості, директор підписує не читаючи. У протоколі констатація фактів («система працює»), без аналізу і без рішень. Стандарт вимагає 8-10 конкретних входів і виходів, а в протоколі їх 3.

Чек-лист запобігання:

• Шаблон протоколу зі всіма обов'язковими входами/виходами як заголовками
• Презентація з даними (графіки рекламацій, KPI, виявлення з аудитів) додається до протоколу
• Рішення з відповідальними і датами як окрема таблиця в протоколі
• Мінімум 1 раз на рік, але краще 2 рази (інтегрувати з річним плануванням)
• Учасники: реальне вище керівництво, а не лише менеджер з якості з директором

Орієнтовний час і вартість усунення: 4-6 годин на нормальний перегляд, €0.

Частота: 13% аудитів. Пункт стандарту: ISO 9001 §9.2.

Цитата аудитора: «План внутрішнього аудиту 2025 року передбачає перевірку 8 процесів. Звіти за результатами аудиту 4 процесів не надано. Записи про обговорення виявлень та коригувальні дії відсутні.»

Чому це трапляється: внутрішній аудит сприймається як формальність перед зовнішнім. Призначають внутрішнього аудитора, він проходить процеси за день, пише короткий звіт «все в порядку», файли губляться. Якщо ж знаходяться невідповідності, їх не закривають.

Чек-лист запобігання:

• Річний план з конкретними датами і аудиторами (затверджується на початку року)
• Чек-листи для кожного процесу: мінімум 15-20 питань на процес
• Звіт за встановленою формою з посиланнями на пункти стандарту
• Реєстр невідповідностей з внутрішнього аудиту з відстеженням закриття
• Незалежність аудитора від процесу, який він перевіряє (не аудиторити свою роботу)
• Внутрішній аудит закривається до зовнішнього з документальним підтвердженням закриття всіх невідповідностей

Орієнтовний час і вартість усунення: 24-40 годин на повноцінний цикл, €0-1500 на навчання внутрішніх аудиторів.

Частота: 12% аудитів. Пункт стандарту: ISO 9001 §8.4.

Цитата аудитора: «Послуги стерилізації упаковки надаються зовнішнім підрядником ТОВ "Y". Договір не містить специфікацій якості. Записи про вхідний контроль партій від підрядника відсутні.»

Чому це трапляється: аутсорсинг росте: клінінг, IT, метрологія, частина виробництва, логістика. Компанія звикла, що це «не наш процес», але стандарт каже: якщо вплив на якість продукту, ваш контроль. Договори часто старі, без додатків з вимог якості.

Чек-лист запобігання:

• Реєстр зовнішньо наданих процесів з категоризацією за впливом на продукт
• Додаток про вимоги якості до договору з критичними постачальниками послуг
• План моніторингу: вхідний контроль, аудити підрядників, KPI
• Наскрізна оцінка постачальників послуг разом з постачальниками сировини
• Ризик-аналіз аутсорсингу з планом дій при відмові підрядника

Орієнтовний час і вартість усунення: 12-30 годин, €0-500 на оновлення договорів.

Частота: 11% аудитів. Пункт стандарту: ISO 9001 §7.2.

Цитата аудитора: «Оператор лінії №3 не пройшов навчання з критичних точок контролю згідно з матрицею компетенцій. Записи про оцінку компетентності за 2025 рік відсутні.»

Чому це трапляється: план навчання є, виконання фрагментарне. Нові співробітники навчаються «на робочому місці» без документального підтвердження. Матриця компетенцій застаріла: додалися нові посади, не оновили вимоги.

Чек-лист запобігання:

• Матриця компетенцій: посада | вимоги | поточний рівень | план дій
• Чек-лист адаптації нових співробітників з підписами
• Щорічна оцінка компетентності з документуванням результатів
• Архів сертифікатів і протоколів навчання в одному місці (HR + менеджер з якості)
• Зв'язок навчання з ризиками і змінами (нове обладнання → навчання обов'язкове)

Орієнтовний час і вартість усунення: 16-32 години, €500-3000 на навчання, якщо знайдено реальні прогалини.

Частота: 10% аудитів. Пункт стандарту: ISO 9001 §10.2 / ISO 22000 §10.2.

Цитата аудитора: «Невідповідність №NC-2024-03, виявлена на наглядовому аудиті 2024 року, формально закрита 12.01.2025. На місці виявлено повторне виникнення відхилення в тому самому процесі. Аналіз першопричини проведено поверхнево.»

Чому це трапляється: коригувальна дія = «поговорили з оператором», без аналізу причин. Через 6 місяців те саме повертається, бо причина не усунута. Це часто стає критичною невідповідністю, бо демонструє, що система не вчиться на помилках.

Чек-лист запобігання:

• Шаблон коригувальної дії (CAR) з обов'язковими полями: симптом, першопричина (5 Why або Fishbone), дія
• Окремо стримування (швидке зупинення) і коригувальна дія (системне рішення)
• Верифікація: як перевірити, що проблема не повертається (через 30, 90 днів)
• Реєстр невідповідностей (NCR) з відстеженням повторюваності: повторна автоматично стає критичною
• Обговорення відкритих невідповідностей на управлінському перегляді

Орієнтовний час і вартість усунення: 4-12 годин на ревізію відкритих коригувальних дій, €0.

Частота: 9% аудитів. Пункт стандарту: ISO 9001 §7.5.3.

Цитата аудитора: «На робочому місці оператора виявлено робочу інструкцію версії 1.3 (затверджена 2023). Чинна версія 2.0 (затверджена 04.2025). Процедура управління документами не виконується в частині вилучення застарілих копій.»

Чому це трапляється: оператор роздрукував зручну версію і користується нею роками. Нова версія є на сервері, але до робочого місця не дійшла. Контроль роздруківок не ведеться.

Чек-лист запобігання:

• Електронна система документообігу з контролем доступу до актуальних версій
• Якщо паперовий формат, реєстр контрольованих копій з підписами
• Плановий обхід робочих місць раз на квартал з вилученням застарілих копій
• Маркування «КОНТРОЛЬОВАНА КОПІЯ» з номером і датою
• Заборона роздруківок «для себе», лише через QM

Орієнтовний час і вартість усунення: 8-16 годин, €0-500 (якщо потрібна електронна система).

Частота: 8% аудитів. Пункт стандарту: ISO 9001 §6.3.

Цитата аудитора: «У 2025 році впроваджено нову лінію розливу. Документований аналіз впливу зміни на систему менеджменту якості (риски, навчання, документація, ресурси) не проведено.»

Чому це трапляється: велика зміна (нове обладнання, реорганізація, новий продукт) сприймається як «технічний проєкт», а не як зміна СУЯ. Інвестиції є, навчання є, а формального управління змінами немає.

Чек-лист запобігання:

• Шаблон запиту на зміну: опис зміни, ризики, ресурси, навчання, документи, дата
• Процедура управління змінами інтегрована з інвестиційним процесом
• Огляд впливу зміни на ризик-реєстр і цілі
• Верифікація після впровадження: чи зміна досягла мети
• Управлінський перегляд великих змін як окремий пункт

Орієнтовний час і вартість усунення: 4-8 годин на одну зміну, €0.

Частота: 7% аудитів. Пункт стандарту: ISO 9001 §4.1.

Цитата аудитора: «Аналіз контексту організації затверджений у 2022 році. Не враховано суттєві зміни зовнішнього середовища 2023-2025 років, що впливають на діяльність організації.»

Чому це трапляється: контекст організації пишуть один раз перед першою сертифікацією за SWOT-шаблоном, кладуть у папку і забувають. Через 2-3 роки реальність зовсім інша (нові ринки, нові регуляції, нові ризики), а документ старий.

Чек-лист запобігання:

• Ревізія контексту раз на рік як вхід для управлінського перегляду
• Категорії: політичне, економічне, соціальне, технологічне, екологічне, правове (PESTEL)
• Зв'язок з реєстром зацікавлених сторін і їхніми вимогами
• Зміни контексту → автоматичний тригер для перегляду ризиків
• Документ короткий (1-2 сторінки), а не есей

Орієнтовний час і вартість усунення: 2-4 години, €0.

Частота: 6% аудитів (зростає у FSSC v6+). Пункт стандарту: ISO 9001 §5.1 / FSSC 22000 v6 вимоги до лідерства.

Цитата аудитора: «Під час інтерв'ю генеральний директор не зміг описати політику якості та ключові цілі системи менеджменту. Не виявлено документованих свідчень особистої участі вищого керівництва в просуванні культури якості/безпечності продукції.»

Чому це трапляється: вище керівництво делегує якість/безпечність продукції на менеджера з якості, підписує документи не читаючи, не з'являється на нарадах. Аудитор ставить прямі питання і виявляє відсутність реальної залученості. Це дедалі частіше критична невідповідність, особливо у FSSC 22000 v6 і ISO 9001:2026.

Чек-лист запобігання:

• Вище керівництво особисто бере участь у вступній і заключній нарадах аудиту
• Управлінський перегляд проводить директор, а не менеджер з якості
• Політика якості/безпечності підписана і пояснюється на нарадах
• KPI з якості/безпечності в системі винагороди вищого керівництва
• Коротка 30-хвилинна підготовка вищого керівництва до інтерв'ю з аудитором

Орієнтовний час і вартість усунення: 2-4 години підготовки вищого керівництва, €0.

Більшість невідповідностей з ТОП-15 закриваються одним інструментом: добре оформленим планом коригувальних дій (Corrective Action Report, CAR), який аудитор приймає без додаткових питань. Слабкий CAR — головна причина того, чому некритична стає критичною на повторному аудиті, а закрита невідповідність повертається через рік.

Ключова логіка: стримування (швидко зупинити) → першопричина (зрозуміти чому) → коригувальна дія (виправити причину) → запобіжна дія (не дати повторитись в інших процесах) → верифікація (перевірити, що працює). Без будь-якого з цих п'яти кроків CAR неповний. Аудитори акредитованих органів перевіряють саме структуру, а не довжину тексту.

2-й етап аудиту часто закінчується видачею 2-5 невідповідностей з дедлайном 30-90 днів. Ось мінімальний шаблон, який ми використовуємо в роботі з клієнтами під час супроводу сертифікаційного аудиту.

В Україні діють дві групи органів сертифікації: акредитовані НААУ (Національне агентство з акредитації України) та міжнародні органи сертифікації з акредитаціями DAkkS, UKAS, ANAB та іншими (часто через українські представництва). Виявлення бувають однакові, але є нюанси.

НААУ-органи частіше пишуть звіти українською, з прямими посиланнями на ДСТУ-версії стандартів, з акцентом на документарну відповідність. Міжнародні органи сертифікації пишуть англійською, частіше шукають доказ результативності системи (як вона реально працює), а не лише наявність документів.

Типова термінологія, яку варто знати команді:

• Невідповідність (NCR, Non-Conformity Report): звіт про невідповідність. В українських звітах часто пишуть просто «невідповідність №…»
• Коригувальна дія (CAR, Corrective Action Request/Report): план коригувальних дій. Українською саме «коригувальні дії» (не «корегувальні»)
• Запобіжна дія (PAR, Preventive Action Request): план запобіжних дій. ISO 9001:2015 прибрав окрему вимогу для запобіжних дій, але концепція збереглась у §6.1
• Можливість для покращення (OFI, Opportunity for Improvement): не невідповідність, але аудитор очікує реакцію
• Спостереження (observation): трохи серйозніше за OFI, але не невідповідність
• Критична / некритична / critical: у більшості органів сертифікації лише критична (major) і некритична (minor); critical зустрічається у схемах GFSI (FSSC 22000)

Практична порада: незалежно від органу сертифікації, фіксуйте формулювання виявлення дослівно у CAR. Не переписуйте «своїми словами», це створює ризик того, що орган сертифікації вважатиме, ніби ви не зрозуміли проблему. Англомовне виявлення → CAR теж англійською, з українським перекладом для команди.

Деякі виявлення універсальні (§7.5.3 документація, §6.1 ризики), деякі специфічні для галузі (моніторинг CCP лише в харчовій сфері). Таблиця нижче показує релевантність ТОП-15 по основних стандартах, з якими ми працюємо в межах послуги підготовки до аудиту з експертом.

Нижче питання, які найчастіше ставлять клієнти за тиждень до аудиту. Якщо ваше питання не покрите, пишіть нам через сторінку контактів, додамо до наступного оновлення статті.