استاندارد ISO19011:2002  راهنمایی هایی را برای مدیریت کردن (اداره کردن) برنامه های ممیزی، انجام ممیزی های داخلی و بیرونی در مورد سیستم ها و ابزارهای مدیریتی و مهندسی و همچنین شایستگی (صلاحیت) و ارزشیابی ممیزان، ارائه می نماید. قصد بر آن است تا راهنمایی های ذکر شده در این استاندارد بین المللی برای گستره وسیعی از استفاده کنندگان بالقوه، از جمله ممیزان، سازمانهای در حال اجرای سیستم‌ها و ابزارهای مدیریتی و مهندسی، سازمانهایی که ملزم به انجام ممیزی بر مبنای قرارداد هستند و همچنین سازمانهایی که در امر آموزش یا تائید شایستگی ممیزان، گواهی کردن/یا ثبت کردن سیستم ها و ابزارهای مدیریتی و مهندسی ، نهاد تائید صلاحیت یا استاندارد کردن در حیطه ارزیابی انطباق دخیل هستند، کاربرد داشته باشد.

همان طور که گفته شد این استاندارد بین المللی راهنمایی های را در مورد اصول اساسی ممیزی، مدیریت کردن (اداره کردن) برنامه های ممیزی، انجام ممیزی های سیستم مدیریت و همچنین راهنمایی هایی جهت شایستگی ممیزان سیستمهای مدیریت ارائه می دهد. این استاندارد برای کلیه سازمانهایی که به انجام ممیزی‌های داخلی یا بیرونی در رابطه با سیستم مدیریت یا مدیریت کردن برنامه ممیزی نیاز دارند، کاربرد دارد.

بکارگیری این استاندارد در انجام سایر انواع ممیزی ها نیز عموماً امکان پذیر است، مشروط بر آنکه در چنین مواردی ملاحظات لازم برای شناسایی شایستگی مورد نیاز برای اعضاء تیم ممیزی مد نظر قرار گیرد.

مفهوم ممیزی

ممیزی کردن بر پایه و اصول مشخصی استوار می باشد. این امر موجب می شود تا ممیزی به عنوان یک ابزار اثربخش و قابل اعتماد جهت پشتیبانی از خط مشی ها و کنترل های مدیریتی درآید و اطلاعاتی را فراهم آورد تا بر مبنای آنها سازمان بتواند عملکرد خود را بهبود بخشد. پیروی از این اصول یک پیش نیاز ضروری برای دستیابی به نتایج نهایی ممیزی است به گونه ای که منجر به کسب نتایجی گردد که کافی و مرتبط با یکدیگر باشند و همچنین ممیزان را قادر می سازد تا بتوانند به صورت مستقل از یکدیگر کار کنند و به نتایج مشابهی برای دستیابی مشابه دست یابند.

تعریف ممیزی (Audit)

فرآیندی نظام یافته، مستقل و مدون، به منظور بدست آوردن شواهد ممیزی و ارزیابی آنها به صورت عینی جهت تعیین میزانی که معیارهای ممیزی برآورده می شوند .

انواع ممیزی

• ممیزی شخص اول (داخلی)( First party audit (internal))

ممیزی های داخلی که گاهی “ ممیزی شخص اول” نیز نامیده می شود، توسط خود سازمان یا از جانب آن جهت بازنگری مدیریت و سایر مقاصد داخلی انجام می گیرد و می تواند مبنایی برای خود اظهاری سازمان در مورد انطباق باشد. در بسیاری موارد، بخصوص در سازمانهای کوچک، مستقل بودن می تواند از طریق مسئولیت نداشتن در فعالیتی که تحت ممیزی است، به اثبات برسد.

• ممیزی شخص دوم(Second party audit)

ممیزی ای است که توسط طرفهایی که در مورد سازمان ذینفع هستند، از قبیل مشتریان سازمان یا از جانب آنان بر پایه معیار یا استاندارد توافق شده انجام میگیرد.

• ممیزی شخص ثالث (بیرونی)( Third party audit (external))

ممیزی است که توسط سازمانهای برون سازمانی منتقل دارای صلاحیت و اعتبار یافته، انجام می گیرد. این سازمانها انطباق با الزاماتی از قبیل الزامات استاندارد ایزو 9001 یا ایزو 14001 و امثالهم را گواهی یا ثبت می کنند.

اصطلاحات و تعاریف ممیزی

1- معیارهای ممیزی (Audit criteria)

مجموعه ای از خط مشی ها، روشهای اجرایی یا الزامات و یا خواسته هایی که به عنوان مرجع مورد استفاده واقع می شود.

یادآوری : معیارهای ممیزی به عنوان یک مرجع که شواهد ممیزی با آن مقایسه میشود، بکار می روند.

2- شواهد ممیزی (Audit evidence)

سوابق، شرح ماوقع یا سایر اطلاعات که به معیارهای ممیزی مربوط و قابل تصدیق باشند.

یادآوری : شواهد ممیزی می تواند کیفی یا کمی باشد.

3- یافته های ممیزی (Audit findings)

نتایج حاصل از ارزیابی شواهد ممیزی گردآوری شده در مقایسه با معیارهای ممیزی.

یادآوری : یافته های ممیزی می تواند انطباق یا عدم انطباق با معیارهای ممیزی یا فرصتهای بهبود را مشخص کند.

4- نتیجه نهایی ممیزی (Audit conclusion)

ماحصل یک ممیزی فراهم شده بوسیله تیم ممیزی بعد از درنظر گرفتن اهداف ممیزی و کلیه یافته های ممیزی .

5- کارفرمای ممیزی (Audit client)

سازمان یا شخص درخواست کننده ممیزی .

یادآوری: کارفرمای ممیزی می تواند ممیزی شونده یا هر سازمان دیگری باشد که از نظر قانونی یا قراردادی حق درخواست ممیزی را دارا می باشد.

6- ممیزی شونده (Auditee)

سازمان مورد ممیزی .

7- ممیز (Auditor)

شخص دارای شایستگی جهت انجام ممیزی.

8- تیم ممیزی (Audit team)

یک یا چند ممیز که یک ممیزی را انجام می دهند و هرگاه لازم باشد، بوسیله کارشناسان فنی پشتیبانی می گردند.

یادآوری 1 : یک ممیز از بین تیم ممیزی معمولاً به عنوان راهبر تیم ممیزی (سر ممیز)  منصوب میشود.

یادآوری 2 : تیم ممیزی می تواند ممیزان در حال آموزش را شامل گردد.

9- طرح ممیزی (Audit plan)

شرحی در مورد فعالیت ها و ترتیبات، برای انجام یک ممیزی

10- دامنه ممیزی (Audit scope)

گستره و محدوده های یک ممیزی

یادآوری : دامنه ممیزی معمولاً شامل شرحی از مکانهای فیزیکی، واحدهای سازمانی، فعالیتها و فرآیندها و همچنین مدت زمانی که ممیزی بطول می انجامد می باشد.

11- شایستگی (competence)

توانایی و خصوصیات شخصی به اثبات رسیده دربکارگیری دانش و مهارت ها

12- مشاهده ( (Observation

بیانیه واقعیات، متکی بر شواهد عینی که در هنگام ممیزی تهیه می شود.

13- شواهد عینی ((Objective evidence

داده هایی که وجود یا واقعیت چیزی را تائید می کند.

یادآوری : شواهد عینی را می توان از طریق مشاهده، اندازه گیری، آزمون یا طرق دیگر بدست آورد.

14- آزمون (Test)

تعیین یک یا چند ویژگی بر طبق یک روش اجرایی.

15- روش اجرایی (Procedure)

طریقه مشخص شده ای برای اجرای یک فعالیت یا یک فرآیند .

16- فرآیند (Process)

مجموعه فعالیت های مرتبط به هم یا متعامل که ورودیها را به خروجیها تبدیل می کند.

17- انطباق (Conformity)

برآورده شدن یک الزام یا خواسته

اصطلاحات “مطابقت” و “تطابق” نیز به این معنا به کار می رود ولی بهتر است استفاده نشود.

18- عدم انطباق (Nonconformity)

برآورده نشدن یک الزام یا خواسته

19- عیب (Defect)

برآورده نشدن یک الزام و یا خواسته در رابطه با کاربرد مورد نظر یا کاربرد مشخص شده.

• تمایز میان مفاهیم عیب و عدم انطباق حایز اهمیت است. اصطلاح عیب را بایستی با نهایت احتیاط بکار برد.
• کاربرد مورد نظر به نحوی که مورد نظر مشتری، می تواند تحت تاثیر اطلاعاتی که سازمان (تامین کننده) ارائه می کند از قبیل دستورالعمل بکارگیری یا نگهداری قرار گیرد.

20- ممیزی تلفیقی (Combined Audit)

هنگامی که سیستم مدیریت کیفیت و سیستم مدیریت زیست محیطی با هم مورد ممیزی قرار می‌گیرند، آن را ممیزی تلفیقی می نامند.

21- ممیزی مشترک (Joint Audit)

هنگامی که دو یا چند سازمان ممیزی کننده در انجام مشترک ممیزی یک “ ممیزی شونده” همکاری می کنند، آن را ممیزی مشترک می نامند.

اهداف ممیزی (Objectives)

شامل موارد ذیل می باشد :

• تعیین میزان انطباق سیستم مدیریت ممیزی شونده یا بخشهایی از آن با معیارهای ممیزی
• ارزیابی توانمندی سیستم مدیریت جهت کسب اطمینان از مطابقت آن با الزامات قانونی ، مقرراتی و قراردادی
• ارزیابی اثربخشی سیستم مدیریت در برآورده کردن اهداف تعیین شده برای آن
• شناسایی نواحی بالقوه برای بهبود سیستم مدیریت

دامنـه ممیزی (Scope)

در واقع گستره و محدوده های ممیزی را مشخص می کند، از قبیل : مکان ها، فعالیت ها، فرآیندها، خدمات و مدت زمانی که بایستی به ممیزی اختصاص داده شود

معیـارهای ممیزی (Criteria)

معیارهای ممیزی در واقع اسناد و مدارک مرجعی هستند که ممیزی در مقایسه با آنها صورت می گیرد، و برای هر نوع ممیزی، تعیین معیارهای ممیزی حایز اهمیت هستند و در واقع انطباق در مقایسه با آنها سنجیده می شود.

این معیارها می تواند شامل خط مشی های مرتبط سازمان، روشهای اجرایی، استانداردها، قوانین و مقررات، الزامات سیستم مدیریت، الزامات قراردادی و آئین کارهای تجاری و فرآیندها باشد.

برنامه ممیزی audit program))

مجموعه ای از یک یا چند ممیزی برنامه ریزی شده برای محدوده زمانی مشخص و برای دستیابی به هدفی خاص.

لازم به یادآوری است که

• اهداف ممیزی بایستی توسط کارفرمای ممیزی تعیین گردد.
• معیارهای ممیزی بایستی بین کارفرمای ممیزی و راهبر تیم ممیزی تعیین گردد و به اطلاع ممیزی شونده نیز برسد.
• هر نوع تغییر در اهداف، دامنه و معیارهای ممیزی بایستی بر حسب توافق طرف های دخیل در ممیزی صورت گیرد.
• هر گاه ممیزی (مشترک) یا ممیزی (تلفیقی) صورت میگیرد، راهبر تیم ممیزی (سر ممیز) بایستی اطمینان یابد که اهداف ، دامنه و معیارهای ممیزی با ماهیت ممیزی هماهنگ و متناسب باشد.

روشهای اجرایی ممیزی(Audit procedures)

روشهای اجرایی ممیزی بایستی به موارد زیر ارجاع دهد:

• طرح ریزی و زمانبندی ممیزی ها
• نحوه حصول اطمینان از شایستگی ممیزان و راهبر تیم ممیزی (سر ممیز)
• نحوه انتخاب تیم ممیزی مناسب و واگذاری صحیح نقش ها و مسئولیت ها
• نحوه انجام ممیزی ها
• نحوه انجام ممیزی های پیگیرانه بعدی
• نحوه نگهداری سوابق ممیزی
• نحوه پایش از عملکرد و اثربخشی برنامه ممیزی
• نحوه گزارش دهی به مدیریت ارشد در مورد نتایج حاصل از انجام ممیزی

موارد فوق می تواند در یک روش اجرایی شرح داده شود.

سوابق ممیزی (Audit records)

سوابق ناشی از انجام ممیزی بایستی به طریق مناسب نگهداری شود. این سوابق می تواند شامل موارد زیر باشد:

•  طرح ها / برنامه های ممیزی
•  گزارش های ممیزی
• گزارش های ثبت و اعلام عدم انطباق ها
• گزارش های اقدامات اصلاحی و اقدامات پیشگیرانه اتخاذ شده
• گزارشهای ممیزی پیگیرانه بعدی
• نتایج بازنگری برنامه ممیزی
• شایستگی ممیز / ممیزان و ارزشیابی عملکرد آنان
• انتخاب اعضاء تیم ممیزی
• حفظ و ارتقاء شایستگی ممیزان

فعالیت های ممیزی(Audit activities)

طرح ریزی و انجام فعالیت های ممیزی جزئی از برنامه ممیزی محسوب می شود. این فعالیت ها به صورت عمده عبارتند از :

• آغاز ممیزی (Initiating audit)
• بررسی مستندات (Document review)
• آماده شدن برای ممیزی در محل (On-site audit preparing)
• انجام ممیزی در محل(On-site audit conducting)
• تهیه ، تائید و توزیع گزارش ممیزیPreparing, approving and distributing the audit) report)
• تکمیل ممیزی(Completing the audit)
• انجام ممیزی پیگیرانه (Follow-up audit)

تعیین تکلیف عدم انطباق(Desposition of Nonconformity)

اقدامی که در مورد یک مقوله نامنطبق باید صورت گیرد تا عدم انطباق برطرف گردد. این اقدام می تواند به صورت های “ اصلاح” از قبیل دوباره کاری یا بازکاری و نیز درجه بندی مجدد – اسقاط کردن یا باطل کردن – مردود کردن – اجازه ارفاقی و اصلاح یک سند و یا یکی از الزامات، انجام گیرد.

اقدام اصلاحی(Corrective action)

اقدامی که برای از بین بردن علل بوجود آورنده عدم انطباق یا عیب و یا سایر شرایط نا مطلوب بالفعل و به منظور جلوگیری از وقوع مجدد آنها انجام می گیرد.

میان “اصلاح” و “ اقدام اصلاحی” تفاوت وجود دارد .“ اصلاح” در مورد دوباره کاری-بازکاری یا تنظیم مجدد بکار می رود و به تعیین تکلیف برای عدم انطباق بالفعل مرتبط است ، در حالی که “ اقدام اصلاحی” به رفع علل عدم انطباق، مرتبط میشود.

اقدام پیشگیرانه(Preventive action)

اقدامی که برای از بین بردن علل بوجود آورنده عدم انطباق یا عیب و یا سایر شرایط نامطلوب بالقوه و به منظور پیشگیری از وقوع آنها انجام می گیرد.

مسئولیت های ممیز(Auditor’s responsibilities)

• انطباق و تبعیت از الزامات ممیزی
• انتقال و مشخص کردن الزامات ممیزی
• برنامه ریزی و انجام مسئولیت های واگذار شده به صورت موثر و کارا
• گزارش کردن یافته های ممیزی
• تصدیق اثربخش بودن اقدامات اصلاحی انجام شده (در صورت درخواست متقاضی یا بر حسب قرارداد)
• نگهداری و حفاظت از مدارک مرتبط به ممیزی (ارائه کردن – محرمانه ماندن – منطقی بودن)
• همکاری و حمایت از راهبر تیم ممیزی(سر ممیز)

مراحل ثبت و پیگیری عدم انطباق

•  Corrective action request form
• Root cause analysis form
• Action plan form
• Follow-up form

در مواجهه با یک عدم انطباق باید توجه داشت که :

•  همواره عدم انطباق را به روشنی و در حد کفایت شرح و به مدرک / مدارک مربوطه ارجاع داده شود، به گونه ای که موضوع قابل درک و قابل رجوع بعدی باشد.
•  توانایی به خلاصه نویسی “ زیاد” مطرح نیست. بلکه در حد کفایت نوشتن ضرورت است.