Как проверять цифровые процессы в рамках аудита по ISO 9001?

Цифровизация вносит свои коррективы в привычные практики аудита систем менеджмента качества (СМК). Все больше процессов компьютеризированы и/или автоматизированы. ERP, CRM, CAD/CAM, чат-боты и искусственный интеллект, - все это видоизменяет как саму СМК, так и методы ее оценки.

Группа по практике проведения аудитов ISO 9001 Auditing Practices Group, состоящая из экспертов по системам менеджмента качества из Технического комитета ISO/TC 176 и Международного аккредитационного форума IAF, проанализировала коллизии, возникающие у аудиторов в связи с цифровизацией предприятий, и предложила ряд примеров и рекомендаций в своем документе
Auditing Digital Processes.

Выделяем процессы виртуальные и выполняемые людьми

Эксперты советуют на стадии предварительной документарной проверки (первого этапа аудита) изучать IT-решения, которые использует проверяемая компания, а также картировать их таким образом, чтобы на схеме процессов было ясно, как действия, автоматизированные с помощью программного обеспечения (virtual processes), взаимодействуют с процессами, которые выполняются людьми. Например, в современной бургерной:

1. Процесс обработки заказа может быть полностью автоматизирован (программа).
2. Последовательность операций по приготовлению может принудительно диктоваться алгоритмом (программа).
3. Но заказ и не поддающиеся автоматизации действия выполняют сотрудники, руководствуясь подсказками и предупреждающими сигналами от автоматизированной системы (человек).

Если в ходе проверки аудитор наткнулся на цифровой процесс, который не был учтен в плане проверки, то рекомендуется остановиться и изучить, как программа влияет на способность организации достигать запланированных результатов. Затем следует изменить план аудита в соответствии с выводами анализа.

Особое внимание на самообучающиеся системы

Если за процесс отвечает голосовой помощник или чат-бот, способный менять себя сам (машинное обучение), а это реальность современного бизнеса, то перед аудитором появляется дополнительная задача. Мало учитывать входные требования к программному обеспечению, нужно также понять, насколько правильно он «учится» без какого-либо контроля со стороны людей.

Эксперты ISO 9001 Auditing Practices Group в этой ситуации советуют аудиторам узнать больше о модели машинного обучения, положенной в основу программы. Так, процесс может быть построен по принципу нейронной сети (Neural Network), методу случайного леса (Random Forest) или методу k-ближайших соседей (kNN). Задача аудитора – понять, не заложены ли ошибки на этапе планирования программного обеспечения.

Причем задавать вопросы по принципам работы программы имеет смысл не пользователям ПО, а его разработчикам. Ведь понимание пользователя программы и задумка тех, кто программу проектировал, могут не совпадать.

Примеры вопросов при аудите цифровых процессов

Зачастую сбои в бизнес-процессах возникают в связи с несогласованностью между различными программными продуктами, а также между ПО и физическими процессами. Вот список вопросов от ISO 9001 Auditing Practices Group, которые помогут выявить возможные проблемы такого рода:

• Есть ли четкое понимание, какие цифровые приложения используются в организации?
• Есть ли четкое понимание области применения каждого программного продукта и его задач?
• Какие объекты (тип используемых в ПО данных: данные о клиентах, о продукции, финансовые данные и т.п.) присутствуют в этих моделях?
• Каким образом взаимодействуют между собой различные программы?
• Насколько совместимы эти модели, могут ли данные переноситься из одной в другую автоматически (не вручную)?
• Структурированы ли массивы данных единообразно?

Имея общую картину, карту процессов и понимая их взаимосвязи, можно переходить к оценке результативность отдельных цифровых программ. Вот вопросы, которые рекомендуют задавать эксперты ISO 9001 Auditing Practices Group:

• Какова область применения данной модели?
• Каковы запланированные результаты?
• Каковы входы и выходы у этой модели, как они реализованы, как распространяется/передается информация о них?
• Каким образом была разработана данная модель? Какие допущения и упрощения были сделаны?
• Кто разработал модель? У кого есть права и обязанности изменить ее?
• Как проверялось соответствие модели установленным требованиям, как проверялась модель на предмет единообразия?
• Каким образом была проведена валидация модели, каковы результаты?
• Были ли выявлены отклонения от действительности /ограничения в использовании?
• Как меняется модель?
• Предусмотрен ли сценарий на случай, если модель неправильно выполняет свою задачу?

Пример проверки автоматизированного процесса закупок

Документ Auditing Digital Processes приводит пример действий аудитора при высокой степени автоматизации закупочного процесса.

Предположим, программные алгоритмы ERP-систем без участия человека рассчитывают потребности в пополнении запасов, учитывая множество факторов.

Когда по расчетам наступает время пополнить склад, программное обеспечение передает через EDI (электронный обмен данными) заказ поставщику. Он доставляет продукцию в пункт приема на складе, где работники сканируют ручным оборудованием штрих-коды на упаковке с грузом. Данные от ручных сканнеров поступают в ERP-систему. При этом в системе не предусмотрено никакого входного контроля закупок, так как предполагается, что этот контроль осуществляется самим поставщиком (DTS – Dock-to-Stock). Все получаемые складом товары автоматически помечаются как имеющие «ноль дефектов».

Управление процессами, продукцией и услугами от внешних поставщиков является требованием стандарта ISO 9001:2015 (пункт 8.4). Как аудитору проверить выполнение этого требования алгоритмами программы?

Аудитор может запросить отчеты о проведении аудитов поставщика, загруженные в ERP-систему. Затем аудитор может узнать, были ли задержки отгрузки товара заказчикам из-за недостачи на складе. Будут полезны интервью с представителем отдела закупок и специалистом, который отвечает за выставление параметров в ERP-системе, чтобы убедиться в соответствии целей по поддержанию запасов с финансовыми целями организации. И так далее по другим пунктам стандарта.

Цифровизация и стандарт ISO 9001:2015 – точки пересечения

В Приложении 5 к документу Auditing Digital Processes приведена интересная таблица, в которой различные электронные данные и цифровые процессы сопоставляются с конкретными разделами ISO 9001:2015. Из нее отлично видно, насколько важно учитывать цифровизацию современной организации при аудите СМК.

Ниже вы можете изучить эту таблицу с незначительными сокращениями.

	Пункт стандарта	Процесс (деятельность)
4.4	Система менеджмента качества и ее   процессы	Определение взаимосвязей между виртуальными процессами  Аудит процессного подхода в отношении планирования, реализации и   изменений  в рамках виртуальных процессов
5.3	Функции, ответственность и полномочия   в организации	Определение уровней доступа и прав  Ответственность программистов  Ответственности пользователей ПО
6.1	Действия в отношении рисков и   возможностей	Использование алгоритмов для оценки рисков
7.1.3	Инфраструктура	Программы по техническому обслуживанию оборудования  ПО, направленное на превентивное обслуживание, в т.ч.   интегрированное в ERP  Программные обновления  Совместимость "железа" и ПО
7.1.5	Ресурсы для мониторинга и измерения	Выбор ресурсов для проведения мониторинга и измерений  Обеспечение целостности алгоритмов и других электронных   мониторинговых схем  Программы калибровки, управляемые посредством ПО  Доступ к записям о калибровке через портал стороннего поставщика   калибровочных услуг
7.2	Компетентность	Способность понимать и результативно использовать цифровые   инструменты  Наличие собственных онлайн-тренингов  Компетентность программистов  Компетентность пользователей ПО
7.4	Обмен информацией	Запрограммированные оповещения и т.д.  Коммуникация с другими площадками при мультисайтовой сертификации  Коммуникация с клиентами, поставщиками и другими заинтерисованными   сторонами посредством порталов
7.5	Документированная информация	Контроль электронной инфраструктуры, включая безопасность и другие   риски  Контроль и поддержание веб-сайта  Наличие надлежащих процессов для: идентификации, описания,   форматирования,   анализа, одобрения, получения доступа и хранения  Контроль за изменениями
8.1	Планирование и управление   операционной   деятельностью	Планирование производства, включая определение ресурсных   ограничений  Планирование оказания услуг  Как требования к продукции и услугам, критерии приемки и критерии   оценки процессов   интегрированы в ПО
8.2	Требования к продукции и услугам	Требования клиентов к продукции и требования, связанные с СМК,   доступные через   порталы  Передача заказов посредством системы электронного обмена данными   EDI либо   клиентских порталов  Электронная коммерция  Коммуникация с клиентами, в т.ч. порталы, аккумулирующие жалобы,   содержащие   корректирующие действия
8.3	Проектирование и разработка продукции   и услуг	Любые ПО для проектирования, включая CAD/CAM и т.п.  Входные данные для проектирования программ  Контроль за изменениями в проектировании программ
8.4	Управление процессами, продукцией и   услугами от внешних поставщиков	Система ERP  Система электронного обмена данными EDI  Мониоринг срока годности товаров и т.п.
8.5	Производство продукции и   предоставление услуг	Мониторинг и контроль автоматизированных процессов - скорость, время,   температура, вес и т.п  Удаленный мониторинг и контроль процессов как совместная   ответственность поставщика и покупателя
8.5.6	Управление изменениями	Автоматическая запись изменений с указанием даты и прав
9.1	Мониторинг, измерение, анализ и оценка	Оценка деятельности - мониторинг процессов посредством   электронных инструментов и способность анализировать   данные для принятия решений  Валидация данных: как на входе, так и на выходе
10.2	Несоответствия и корректирующие   действия	Способность связать несоответствие с корректирующими действиями и   другими   процессам

Современный аудитор - на все руки мастер?

Доля промышленных предприятий в России, использующих элементы диджитализации: автоматизацию, «Big Data», «блокчейн» и так далее, постоянно увеличивается, в частности, в 2020 году толчок к цифровизации дала пандемия.

Очевидно, что все чаще аудиторы будут сталкиваться с задачей проверки процессов, в которых очень слабо или совсем не вовлечен человек. Соответственно, аудиторам, проверяющим системы менеджмента, следует расширять свой кругозор и в сфере диджитал, учитывать нюансы виртуального мира и соответственно корректировать свою аудиторскую практику. 

Но это не значит, что все аудиторы СМК должны срочно отправиться на курсы программирования. Как известно, существует практика привлечения технических экспертов к участию в аудиторских командах. Обладающие специальными знаниями специалисты помогают профессиональным аудиторам в полной мере учесть отраслевую специфику клиентов. Технические эксперты могут также помочь разобраться и в деталях функционирования корпоративных автоматизированных систем.

Тестирование системы в точках потенциального риска

«Для меня как аудитора не важно, какой передо мной процесс – цифровой или физический. Мы все равно должны проверить, как он работает», - говорит Алексей Перетолчин, технический руководитель направления сертификации систем менеджмента и ведущий аудитор SGS.

Имеет смысл проверять те точки, где больше вероятность влияния человеческого фактора, например, где данные заносятся в программу вручную, человеком, который считывает штрих-код (в случае складской программы). «Регулярно на аудитах сталкиваемся с такой ситуацией: на складе физически лежит 1-3 штуки какого-то товара, а в компьютерной системе их нет (ячейка пустая). Лежит какой-то тюк, но ERP о нем не знает», - рассказывает Алексей Перетолчин.

В случае роботизации, казалось бы, человеческий фактор устраняется. Однако надо помнить, что любую программу, любого робота создают люди, и они могут ошибиться. Например, штрих-код считывает не человек, а датчик, установленный над транспортером. Вроде бы проблем с учетом быть не должно. Но установлен ли датчик правильно, так чтобы не пропускать ни одной единицы продукции без сканирования? Гарантирован ли маршрут следования продукции, с тем чтобы она 100% попадала в зону охвата датчика? Практика показывает, что продукция при движении может периодически выходить за пределы этой зоны. В итоге часть продукции не будет занесена в систему.

Так или иначе, следует стремиться проверять точки потенциального риска, где система менеджмента качества может дать сбой. Например, в автоматизированной бургерной сделать заказ, через минуту его отменить и сделать другой, либо внести изменения в первоначальный, чтобы посмотреть, как реагирует система.

Такое тестирование позволяет идентифицировать риски, которым подвергается организация, с тем чтобы нивелировать их, тем самым делая организацию более устойчивой и успешной.

Тестирование системы в точках потенциального риска

«Аудитор всегда проверяет работу процессов в системе, а от того, какой перед ними процесс – цифровой или физический - зависят только способы проверки», - говорит Алексей Перетолчин, технический руководитель направления сертификации систем менеджмента и ведущий аудитор SGS.

Исходя из аудиторского опыта, имеет смысл проверять те точки, где больше вероятность влияния человеческого фактора. Например, где данные заносятся в складскую программу человеком, который ручным сканером считывает штрих-код. «Неоднократно на аудитах сталкивались с ситуацией, когда перед нами физически находится 1-3 штуки какого-то товара, а в компьютерной системе их нет (ячейка пустая). Стоит короб, весь обклеенный штрих-кодами, но ERP/SAP о нем не знает», - рассказывает Алексей Перетолчин.

В случае цифровизации и роботизации, безусловно, влияние человеческого фактора сильно уменьшается, но не устраняется полностью. Всегда необходимо помнить, что любую программу, любого робота создают люди, и они могут ошибиться. Например, штрих-код считывает не человек, а датчик, установленный над транспортером. Вроде бы проблем с учетом быть не должно. Но установлен ли датчик правильно, так чтобы не пропускать ни одной единицы продукции без сканирования? Гарантирован ли маршрут следования продукции, с тем чтобы она 100% попадала в зону охвата датчика? Какая скорость передвижения должна поддерживаться? Практика показывает, что продукция при движении может периодически выходить за пределы этой зоны. Скорость может меняться. В итоге часть продукции не будет занесена в систему.

Так или иначе, следует стремиться проверять точки потенциального риска, где система менеджмента качества может дать сбой

Такое тестирование позволяет идентифицировать риски, которым подвергается организация, с тем чтобы нивелировать их и увеличивать способность организации быть более устойчивой и успешной.

Как SGS может помочь?

Компания SGS проводит аудиты, сертификацию и тренинги, направленные на повышение устойчивости бизнеса и реализацию принципов ESG.  Мы готовы делиться своей экспертизой и опытом и помогать компаниям вносить свой вклад в устойчивое будущее. Свяжитесь с нами, чтобы обсудить ваши задачи и пути их решения с помощью наших услуг.