چک لیست آمادگی برای ممیزی Stage 1/2

روزهای نزدیک ممیزی، معمولاً مشکل اصلی این نیست که «کار انجام نشده»؛ مشکل این است که کارها پراکنده‌اند: یک مدرک امضا ندارد، یک فرم آخرین نسخه نیست، شواهد اجرا روی زمین هست ولی در پوشه درست نیست، یا مسئول‌ها دقیق نمی‌دانند ممیز از هر بند چه نوع شاهد قابل قبول می‌خواهد. نتیجه‌اش هم معلوم است: جلسه‌ها کش می‌آید، عدم‌انطباق‌های قابل‌پیشگیری ثبت می‌شود، و تیم شما بی‌دلیل تحت فشار می‌رود.

این چک‌لیست را دقیقاً برای همین نقطه نوشته‌ایم: یک مسیر «قبل از ممیزی» که به شما کمک می‌کند مرحله‌به‌مرحله از آماده بودن مستندات، شواهد اجرا، نقش‌ها و آمادگی تیم مطمئن شوید—چه ممیزی شما مرحله ۱ و ۲ باشد، چه مراقبتی یا تمدید. اگر می‌خواهی در کمتر از ۳۰ دقیقه بفهمی کجای کار می‌لنگد و چه چیزهایی را باید همین امروز جمع‌وجور کنی، این مقاله را مثل یک برنامه عملیاتی جلو برو.

مبنای درست Stage 1 و Stage 2 در ممیزی‌های صدور

وقتی درباره Stage 1 و Stage 2 صحبت می‌کنیم، منظور ما معمولاً ممیزی‌های صدور گواهینامه توسط مرجع صدور (CB) است؛ نه صرفاً ممیزی داخلی سازمان. در این فضا، مبنای اصلی الزامات برای نهادهای ممیزی و صدور، ISO/IEC 17021-1 است؛ یعنی استانداردی که الزامات صلاحیت، بی‌طرفی و اجرای ممیزی/صدور را برای CBها تعریف می‌کند و اساساً ممیزی صدور را یک فعالیت «ارزیابی انطباق شخص ثالث» می‌داند.

در مقابل، ISO 19011 نقش «راهنمای اجرایی ممیزی» را دارد؛ یعنی به شما کمک می‌کند ممیزی را بهتر برنامه‌ریزی کنید، شواهد را درست آماده کنید، مصاحبه‌ها را هدفمند پیش ببرید و تیم را برای روز ممیزی منسجم کنید. خود ISO 19011 هم صراحتاً اشاره می‌کند که برای ممیزی‌های صدور شخص ثالث، ISO/IEC 17021-1 مرجع الزامی است و ISO 19011 می‌تواند به‌عنوان راهنمای تکمیلی استفاده شود. بنابراین در این مقاله، ما برای آمادگی Stage 1/Stage 2 از هر دو استفاده می‌کنیم: 17021-1 برای چارچوب الزامی ممیزی صدور و 19011 برای آماده‌سازی عملی و مدیریت اجرای ممیزی.

در عمل، بسیاری از جزئیات اجرایی ممیزی‌های صدور (مثل زمان ممیزی، ممیزی چندسایته، یا ممیزی‌های مبتنی بر ICT) در اسناد تکمیلی IAF (MD Series) هم تنظیم می‌شود تا اجرای ممیزی بین مراجع مختلف، یکنواخت‌تر و قابل اتکاتر باشد.

Stage 1 دقیقاً به دنبال چیست؟

Stage 1 را «ممیزی آمادگی» در نظر بگیرید. هدف آن این است که نشان دهید سیستم مدیریت‌تان به‌قدر کافی مستقر شده و برای ارزیابی کامل (Stage 2) آماده است. تیم ممیزی در این مرحله روی چند محور تمرکز می‌کند: تعیین دامنه و حدود سیستم، کفایت مستندات و کنترل آن‌ها، شواهد اجرای اولیهٔ فرآیندها، انجام‌شدن ممیزی داخلی و بازنگری مدیریت، و آمادگی لجستیکی برای Stage 2. چارچوب کلی برنامه‌ریزی و اجرای ممیزی، مطابق راهنمای رسمی ISO 19011 است که اصول ممیزی، مدیریت برنامه ممیزی و شایستگی ممیزان را مشخص می‌کند.

در عمل، Stage 1 باید پاسخ دهد: «آیا سیستم شما روی کاغذ و در سطح مقدماتی برقرار است، و آیا برای ارزیابی اثربخشی در میدان عمل آمادگی دارید؟» برخی CBها نیز صریحاً این تفکیک را توضیح می‌دهند: Stage 1 بیشتر مرور انطباق مستندات و شواهد پایه است، Stage 2 مشاهدهٔ اجرای واقعی و ارزیابی اثربخشی.

Stage 2 چه انتظاری دارد؟

Stage 2 ممیزی فرآیندمحور و میدانی است. تیم ممیزی می‌خواهد ببیند فرآیندها واقعاً چطور اجرا می‌شوند، خروجی‌ها چه کیفیتی دارند، شاخص‌ها و شواهد عملی چه می‌گویند، و آیا اقدامات اصلاحی قبلی (CAPA) مؤثر بوده‌اند یا خیر. این مرحله معمولاً بر اساس برنامه ممیزی که پیش‌تر تأیید شده پیش می‌رود و با مصاحبه، مشاهده، ردیابی نمونه‌ها و بازنگری سوابق، تصویر جامعی از اثربخشی سیستم ارائه می‌دهد. CBهای معتبر معمولاً از پیش، فرایند دو مرحله‌ای را توضیح و مستند می‌کنند تا بدانید بعد از Stage 2، فرآیند تصمیم‌گیری دربارهٔ گواهی چگونه انجام می‌شود.

خط زمان پیشنهادی آمادگی (از دو هفته قبل تا روز ممیزی)

دو هفته تا یک هفته قبل: دامنهٔ سیستم را نهایی و مستند کنید؛ نقشهٔ فرآیندها، سیاست و اهداف، ماتریس ریسک/فرصت، ارزیابی انطباق قانونی و سوابق پشتیبان را به‌روز کنید. اگر ممیزی داخلی و بازنگری مدیریت هنوز انجام نشده، همین حالا انجام و خروجی‌ها را منظم کنید. مبانی و اصول این آمادگی در ISO 19011 آمده است و به شما کمک می‌کند برنامه ممیزی داخلی‌تان هم هم‌راستا و حرفه‌ای باشد.

یک هفته تا یک روز قبل: برنامهٔ ممیزی (Audit Plan) را با ممیز نهایی کنید؛ لیست افراد کلیدی و زمان‌بندی مصاحبه‌ها را هماهنگ کنید؛ دسترسی به سوابق و محیط‌ها را تضمین کنید. اگر بخشی از ممیزی به‌صورت راه‌دور انجام می‌شود، ابزارهای ارتباطی/اشتراک‌گذاری را تست و تمهیدات محرمانگی/امنیت اطلاعات را امضا/ابلاغ کنید. برای ممیزی‌های راه‌دور و ترکیبی، سند IAF MD 4 الزامات توافق طرفین و ملاحظات امنیت/محرمانگی را صریح بیان کرده است.

روز ممیزی: جلسهٔ افتتاحیه، مرور دامنه/هدف/معیار و سپس اجرای برنامه. از همان ابتدا، پاسخ‌ها را بر شواهد عینی بنا کنید: رکوردها، لاگ‌ها، فرم‌ها، گزارش‌ها، نمونه‌های محصول/خدمت، روند KPIها، و مشاهدهٔ میدانی. در پایان، جلسهٔ اختتامیه برای جمع‌بندی یافته‌ها، عدم‌انطباق‌ها (در صورت وجود) و توافق بر مهلت ارسال CAPA برگزار می‌شود. چارچوب ارتباط و گزارش، مطابق راهنمای ISO 19011 است.

ممیزی راه‌دور و ترکیبی بر اساس IAF MD 4:2025 (Issue 3)

اگر در ممیزی شما قرار است بخشی از ارزیابی به‌صورت آنلاین، ویدئویی، اشتراک‌گذاری صفحه، بررسی مدارک از راه دور یا مدل ترکیبی (حضوری + غیرحضوری) انجام شود، بهتر است این موضوع را با IAF MD 4:2025 (Issue 3) تنظیم کنید. این سند از سوی IAF منتشر شده و از 30 ژانویه 2026 تاریخ کاربرد (Application Date) دارد؛ یعنی الان برای ممیزی‌های مبتنی بر ICT، مرجع اجرایی مهم و به‌روز محسوب می‌شود. این سند همچنین نسخه قبلی IAF MD 4:2023 را جایگزین کرده است.

نکته مهم این است که استفاده از ICT (ابزارهای ارتباطی و فناوری اطلاعات) اجباری نیست؛ اما اگر مرجع ممیزی/صدور و سازمان شما بخواهند از آن استفاده کنند، اجرای ممیزی باید با الزامات همین سند منطبق باشد. در عمل، یعنی قبل از شروع ممیزی باید درباره استفاده از ICT توافق دوطرفه وجود داشته باشد، ملاحظات امنیت اطلاعات، محرمانگی و حفاظت از داده‌ها مشخص شود، و اگر این توافق یا الزامات امنیتی فراهم نشود، ممیزی باید با روش دیگری انجام شود.

برای اینکه این بخش در عمل به درد شما بخورد، در برنامه ممیزی داخلی خودتان از قبل مشخص کنید: دقیقاً کدام بخش‌ها با ICT انجام می‌شود (مثلاً مصاحبه‌ها، مرور سوابق، بازدید تصویری)، آیا زیرساخت لازم (اینترنت، دسترسی، ابزارها) برای همه طرف‌ها آماده است، و چه شواهدی از این روش در گزارش ممیزی ثبت می‌شود. طبق MD 4، تیم ممیزی باید ریسک‌ها و فرصت‌های استفاده از ICT را مستندسازی کند، میزان استفاده از ICT در برنامه ممیزی روشن باشد، و در گزارش نهایی هم مشخص شود ICT تا چه حد استفاده شده و چقدر به تحقق اهداف ممیزی کمک کرده است.

اگر سازمان شما «سایت مجازی» (Virtual Site) هم در اسکوپ دارد (مثلاً بخشی از فرآیندها واقعاً در محیط آنلاین انجام می‌شود)، این مورد باید در مستندات ممیزی و محدوده ارزیابی به‌صورت شفاف ذکر شود و فعالیت‌هایی که در سایت مجازی انجام می‌شوند مشخص باشند. این نکته جلوی اختلاف برداشت در روز ممیزی را می‌گیرد.

چک‌لیست عملی Stage 1 (با توضیح کوتاه)

Stage 1 را باید «چک نهایی آمادگی» ببینی، نه ممیزی کاملِ اثربخشی. یعنی در این مرحله ممیز بیشتر می‌خواهد مطمئن شود سیستم مدیریت شما واقعاً شکل گرفته، مستندات پایه‌اش سر جایش هست، شواهد اولیه اجرا وجود دارد، و ورود به Stage 2 منطقی و کم‌ریسک است. در مقاله فعلی هم همین منطق درست دیده می‌شود و بهتر است این بخش را با نگاه کاملاً اجرایی جلو ببری: برای هر قلم فقط تیک نزن؛ مسئول، شاهد قابل قبول، وضعیت و اقدام باقیمانده را هم مشخص کن.

پیشنهاد ما این است که این چک‌لیست را با یک فرم ساده ۴ ستونه اجرا کنی:
آیتم | مالک (مسئول) | شاهد قابل قبول | وضعیت (آماده/نیمه‌آماده/نیازمند اقدام).
اگر همین قالب را رعایت کنی، در روز ممیزی هم تیم‌ات سردرگم نمی‌شود و هر سؤال ممیز سریع به صاحب‌فرآیند مربوط ارجاع داده می‌شود.

1) دامنه (Scope) و حدود سیستم را نهایی و شفاف کن

اولین چیزی که باید بدون ابهام آماده باشد، بیانیه دامنه است. دامنه باید دقیق بگوید چه محصولات/خدماتی، کدام سایت‌ها، چه واحدهایی و چه فعالیت‌هایی داخل سیستم هستند و اگر محدودیتی وجود دارد (مثلاً بخشی از طراحی، انبار، یا سایت دوم)، روشن و قابل دفاع بیان شود. ابهام در Scope معمولاً باعث سؤال‌های تکراری در Stage 1 و اختلاف برداشت در Stage 2 می‌شود.

برای اینکه این بخش فقط «متن» نباشد، یک نسخه نهایی از Scope را کنار فهرست سایت‌ها و فعالیت‌های هر سایت نگه دار. اگر ممیزی چندسایته یا بخشی از ممیزی راه‌دور است، همین‌جا باید تکلیفش روشن باشد، نه روز ممیزی.

2) نقشه فرآیندها و تعاملات را قابل ارائه کن

در Stage 1 ممیز معمولاً دنبال این است که بفهمد سیستم شما فقط یک سری فرم پراکنده نیست و واقعاً «معماری فرآیندی» دارد. یعنی باید بتوانی نشان بدهی فرآیندهای اصلی و پشتیبان چه هستند، خروجی هرکدام چیست، بینشان چه ارتباطی هست، و هر فرآیند با کدام هدف/ریسک/شاخص کنترل می‌شود.

لازم نیست نقشه خیلی پیچیده باشد؛ اما باید واقعی باشد. اگر نقشه فرآیند روی کاغذ چیزی بگوید و در عمل مدیران واحدها چیز دیگری توضیح بدهند، همینجا یک علامت خطر برای Stage 2 ایجاد می‌شود. بهترین حالت این است که برای هر فرآیند یک صاحب‌فرآیند مشخص، چند KPI مشخص و چند رکورد نمونه آماده داشته باشی.

3) اطلاعات مدون و کنترل نسخه را مرتب کن

در این مرحله ممیز خیلی به «نظم مستندات» حساس است، چون این بخش نشانه بلوغ اولیه سیستم شماست. باید مطمئن شوی نسخه‌های جاری سیاست‌ها، روش‌ها، دستورالعمل‌ها و فرم‌ها مشخص‌اند، دسترسی‌ها کنترل شده‌اند، و نسخه‌های منسوخ در گردش نیستند.

نکته مهم اینجاست که فقط داشتن فایل کافی نیست. اگر فرم جدید صادر کرده‌ای ولی واحدها هنوز با فرم قدیمی کار می‌کنند، در Stage 1 همین ناسازگاری دیده می‌شود. یک مرور سریع روی ۵ تا ۱۰ فرم پرکاربرد انجام بده و مطمئن شو همان چیزی که در پوشه «نسخه جاری» هست، در عمل هم همان استفاده می‌شود.

4) سیاست، اهداف و شاخص‌های پایش را به هم وصل کن

سیاست باید فقط یک متن تزئینی روی دیوار نباشد. در Stage 1 ممیز انتظار دارد ببیند اهداف سازمان از دل سیاست درآمده‌اند، برایشان شاخص تعریف شده و حداقل شواهد اولیه پایش وجود دارد. اگر هدف‌ها خیلی کلی باشند (مثلاً «بهبود کیفیت») اما شاخص و عدد نداشته باشند، معمولاً در Stage 2 به مشکل می‌خوری.

بهتر است برای هر هدف، این ۴ مورد را آماده کنی: شاخص، مقدار هدف، مسئول پایش، آخرین وضعیت. همین قالب ساده باعث می‌شود وقتی ممیز سؤال می‌پرسد، پاسخ تو سریع و شواهدمحور باشد، نه توضیحی و کلی.

5) ریسک‌ها، فرصت‌ها و الزامات انطباق را عملی نشان بده

خیلی از سازمان‌ها ماتریس ریسک دارند، اما Stage 1 جایی است که ممیز می‌خواهد ببیند این ماتریس «استفاده» هم می‌شود یا نه. یعنی فقط لیست ریسک‌ها کافی نیست؛ باید نشان بدهی برای ریسک‌های مهم چه اقداماتی تعریف شده، چه کسی مسئول است، و چه چیزی به‌عنوان شاهد اجرا وجود دارد.

در کنار ریسک‌ها، فهرست الزامات قانونی/قراردادی/مشتری هم باید به‌روز باشد. اگر سازمان شما با مقررات خاص، الزامات مشتری یا تعهدات قراردادی کار می‌کند، چند نمونه شاهد رعایت آن‌ها را آماده کن (مجوز، گزارش پایش، فرم کنترل، تأییدیه مشتری و…). این قسمت معمولاً در Stage 1 خیلی تعیین‌کننده است چون نشان می‌دهد سیستم فقط «استاندارد محور» نیست و به واقعیت کسب‌وکار هم متصل است.

6) ممیزی داخلی و CAPA را واقعاً ببند

یکی از مهم‌ترین نقاط تصمیم‌گیری برای عبور از Stage 1 این است که ممیز ببیند ممیزی داخلی انجام شده و خروجی آن فقط یک گزارش تشریفاتی نیست. برنامه ممیزی داخلی، گزارش‌ها، عدم‌انطباق‌ها، تحلیل علت و وضعیت اقدامات اصلاحی باید منظم و قابل ارائه باشد.

اگر هنوز CAPAها باز هستند، اشکالی ندارد؛ اما باید وضعیتشان شفاف باشد: چه چیزی کشف شده، ریشه چه بوده، چه اقدامی تعریف شده، چه زمانی بسته می‌شود و معیار اثربخشی چیست. چیزی که معمولاً دردسر درست می‌کند «عدم‌انطباق ثبت‌شده بدون پیگیری روشن» است، نه صرفاً وجود عدم‌انطباق.

7) بازنگری مدیریت را از حالت صوری خارج کن

بازنگری مدیریت در Stage 1 معمولاً یک سند کلیدی است، چون ممیز از روی آن می‌فهمد مدیریت سازمان واقعاً درگیر سیستم هست یا نه. صورتجلسه بازنگری باید ورودی‌ها و خروجی‌های اصلی را پوشش دهد: وضعیت اهداف، نتایج ممیزی‌ها، عملکرد فرآیندها، منابع، ریسک‌ها/فرصت‌ها، شکایات/بازخوردها (اگر مرتبط است)، و تصمیم‌های مدیریتی.

اگر بازنگری مدیریت فقط یک صفحه امضا شده بدون داده و تصمیم اجرایی باشد، سیگنال خوبی برای Stage 2 نیست. بهتر است صورتجلسه را با چند پیوست واقعی کامل کنی: گزارش KPI، خلاصه ممیزی داخلی، لیست اقدامات باز، و تصمیم‌های مشخص با مسئول و زمان‌بندی.

8) آمادگی افراد کلیدی را قبل از روز ممیزی چک کن

در Stage 1 هنوز تمرکز اصلی روی ساختار و مستندات است، اما ممیز معمولاً با چند نفر کلیدی هم صحبت می‌کند تا ببیند سیستم «فقط کار واحد سیستم» نیست. بنابراین لازم است صاحبان فرآیندها بدانند نقششان چیست، چه شاخصی را پایش می‌کنند، ریسک‌های مهم واحدشان چیست و شواهدشان کجاست.

اینجا منظور «حفظ کردن متن استاندارد» نیست. کافی است هر مسئول بداند در واحد خودش چه کاری انجام می‌شود، چه فرم/رکوردی شاهد اجرای آن است، و اگر مشکلی پیش بیاید مسیر اقدام اصلاحی چیست. یک جلسه ۳۰ تا ۴۵ دقیقه‌ای هماهنگی داخلی قبل از ممیزی، معمولاً خیلی از تنش‌های روز ممیزی را حذف می‌کند.

9) لجستیک Stage 2 را همین الان آماده کن

Stage 1 فقط بررسی کاغذها نیست؛ ممیز می‌خواهد ببیند شما برای Stage 2 هم آماده‌اید. یعنی برنامه‌ریزی مصاحبه‌ها، دسترسی به سایت/واحدها، حضور افراد کلیدی، امکان مشاهده فرآیندها، و دسترسی به سوابق باید از قبل قابل اجرا باشد. اگر این بخش مبهم باشد، ممیز ممکن است در مورد آمادگی واقعی شما تردید کند.

اگر قرار است بخشی از ممیزی به‌صورت راه‌دور یا ترکیبی انجام شود، موضوع ICT را هم در همین مرحله شفاف کن: ابزار جلسه، اشتراک‌گذاری مستندات، ملاحظات محرمانگی، و دسترسی‌های لازم. IAF هم صراحتاً تأکید می‌کند که استفاده از ICT اختیاری است، اما اگر استفاده شود باید با قواعد همان سند و با توافق طرفین انجام شود.

10) یک «نمونه‌ردیابی» واقعی از ابتدا تا انتها آماده داشته باش

بهترین کار برای اینکه Stage 1 شما محکم و قابل‌دفاع باشد این است که قبل از ممیزی، یک نمونه واقعی را از ابتدا تا انتها ردیابی کنی. مثلاً یک سفارش/خدمت/پرونده/پروژه را انتخاب کن و نشان بده از مرحله دریافت تا تحویل/خروجی، چه فرآیندهایی درگیر بوده‌اند و چه سوابقی تولید شده است.

این کار یک تست عالی است، چون شکاف‌ها را قبل از ممیز به تو نشان می‌دهد: فرم ناقص، تاریخ نامنطبق، نبود امضا، نبود شاهد پایش، یا ناهماهنگی بین واحدها. اگر همین یک ردیابی را درست انجام بدهی، معمولاً ۷۰٪ ایرادهای قابل‌پیشگیری Stage 1 خودشان پیدا می‌شوند.

اگر فقط ۳۰ دقیقه وقت داری، این 8 مورد را اول چک کن

اگر به روز ممیزی نزدیک شده‌ای و زمان کم است، اول این‌ها را جمع‌وجور کن:

Scope نهایی، نقشه فرآیندها، لیست مستندات جاری، اهداف و KPIها، گزارش ممیزی داخلی، بازنگری مدیریت، وضعیت CAPAها، برنامه و هماهنگی Stage 2.

این‌ها همان نقاطی هستند که اگر شفاف و مرتب باشند، Stage 1 معمولاً آرام‌تر، کوتاه‌تر و قابل‌پیش‌بینی‌تر جلو می‌رود. ضمن اینکه زمان ممیزی (و تفکیک Stage 1 و Stage 2) در چارچوب ممیزی‌های صدور، در اسناد IAF برای اجرای یکنواخت‌تر توسط CBها هم دیده می‌شود.

چک‌لیست عملی Stage 2 (فرآیندمحور و شواهدمحور)

Stage 2 جایی است که ممیز دیگر فقط «مستندات» را نمی‌بیند؛ می‌خواهد مطمئن شود سیستم شما واقعاً در فرآیندها اجرا می‌شود و شواهد آن در عمل قابل ردیابی است. برای همین، این بخش را بهتر است با منطق «فرآیند → شاهد → نتیجه → اقدام» بچینی، نه صرفاً فهرست بندهای استاندارد. در ممیزی‌های صدور، چارچوب کلی توسط CBها در بستر ISO/IEC 17021-1 اجرا می‌شود و ISO 19011 هم برای مدیریت و اجرای حرفه‌ای ممیزی، راهنمای خوبی است.

پیشنهاد اجرایی: این چک‌لیست را با یک فرم ساده اجرا کن:
آیتم | مالک فرآیند | شاهد قابل قبول | وضعیت | اقدام فوری
اگر این ساختار را رعایت کنی، پاسخ‌های تیم در روز ممیزی منسجم‌تر می‌شود و احتمال «پاسخ‌های کلی و بدون شاهد» خیلی کمتر می‌شود.

1) برنامه ممیزی را بر اساس فرآیندهای واقعی بچین، نه فقط واحدها

قبل از روز ممیزی، مطمئن شو برنامه داخلی شما فقط «نام واحدها» نیست. بهتر است مشخص باشد ممیز در هر بازه زمانی قرار است کدام فرآیند واقعی را ببیند: فروش/قرارداد، طراحی، خرید، تولید/ارائه خدمت، کنترل کیفیت، تحویل، پشتیبانی، رسیدگی به شکایت و… .

این کار دو مزیت دارد: اول اینکه هر صاحب‌فرآیند از قبل آماده است؛ دوم اینکه ردیابی شواهد از ابتدا تا انتهای جریان کار راحت‌تر می‌شود. اگر سازمان شما چندشیفته است، پوشش شیفت‌ها را هم از قبل مشخص کن تا روز ممیزی بهانه «مسئول مربوطه حضور ندارد» پیش نیاید.

2) برای هر فرآیند، یک «ردیابی نمونه» آماده کن (Traceability)

بهترین ابزار Stage 2 این است که برای ۲ تا ۳ نمونه واقعی، مسیر را از ابتدا تا انتها نشان بدهی. مثلاً یک سفارش یا پرونده را انتخاب کن و نشان بده:

• ورودی چه بوده،
• چه کسی بررسی کرده،
• چه تصمیمی گرفته شده،
• چه خروجی ثبت شده،
• و در هر مرحله چه رکوردی وجود دارد.

این روش باعث می‌شود ممیز به‌جای پرسیدن سؤال‌های پراکنده، یک مسیر شفاف ببیند. برای تیم شما هم مفید است، چون شکاف‌های پنهان (مثل فرم ناقص، امضای جاافتاده، تاریخ‌های ناهماهنگ، یا نبود شاهد کنترل) قبل از ممیز پیدا می‌شود.

3) شواهد اجرای کنترل‌های کلیدی را «کنار فرآیند» آماده بگذار

در Stage 2، داشتن روش اجرایی کافی نیست؛ باید شاهد اجرای همان روش آماده باشد. برای هر فرآیند کلیدی، ۳–۵ شاهد واقعی کنار هم قرار بده (نه پراکنده در چند پوشه):

• نمونه فرم تکمیل‌شده
• گزارش پایش/اندازه‌گیری
• تأییدیه یا امضا
• سوابق اقدام اصلاحی (اگر رخ داده)
• خروجی گزارش یا داشبورد مرتبط

مهم‌ترین نکته این است که شواهد، «نسخه جاری» و «قابل ربط به همان فرآیند» باشند. یعنی ممیز اگر از فرآیند خرید سؤال کرد، سریع همان رکوردهای خرید را ببیند؛ نه یک پوشه عمومی پر از فایل‌های نامرتبط.

4) KPIها را فقط نشان نده؛ روند و تصمیم مدیریتی را هم نشان بده

خیلی از سازمان‌ها نمودار دارند، اما Stage 2 روی این حساس است که با این داده چه کار کرده‌اید. برای هر شاخص مهم، این ۴ چیز را آماده داشته باش:

• تعریف شاخص
• مقدار هدف
• روند چند دوره اخیر
• اقدام انجام‌شده وقتی شاخص از هدف عقب افتاده

اگر KPI فقط گزارش شده ولی هیچ تصمیم یا اقدام اصلاحی پشتش نیست، ممیز معمولاً آن را «پایش واقعی» تلقی نمی‌کند. چیزی که امتیاز می‌آورد، اتصال KPI به تصمیم، اقدام، و پیگیری است.

5) مصاحبه با افراد کلیدی را از قبل تمرین «واقعی» کن

در Stage 2، ممیز معمولاً با افراد فرآیندی صحبت می‌کند تا ببیند سیستم فقط روی کاغذ نیست. لازم نیست افراد متن استاندارد را حفظ باشند؛ کافی است هر نفر بداند:

• نقش خودش چیست،
• چه ریسکی در کارش مهم است،
• چه رکوردی تولید می‌کند،
• در صورت خطا/عدم‌انطباق چه می‌کند.

یک جلسه کوتاه هماهنگی داخلی (مثلاً ۳۰ تا ۶۰ دقیقه) قبل از ممیزی خیلی کمک می‌کند. در این جلسه روی «پاسخ شواهدمحور» تمرین کن؛ یعنی هر پاسخ با یک رکورد یا نمونه واقعی همراه باشد.

6) ریسک‌ها و فرصت‌ها را در عمل نشان بده، نه فقط در ماتریس

اگر ممیز ببیند ماتریس ریسک دارید ولی در تصمیم‌های عملی اثرش مشخص نیست، احتمالاً آن را صوری تلقی می‌کند. در Stage 2 بهتر است برای چند ریسک کلیدی، یک مسیر شفاف ارائه بدهی:

• ریسک چه بوده،
• ارزیابی چطور انجام شده،
• چه کنترلی تعریف شده،
• نتیجه کنترل چه بوده،
• و آیا بازنگری شده یا نه.

برای فرصت‌ها هم همین منطق را رعایت کن. اگر مثلاً یک بهبود فرآیندی، کاهش خطا، یا تغییر روش ثبت داده اجرا کرده‌اید، آن را به‌عنوان «فرصت عملی‌شده» با شاهد نشان بده.

7) تغییرات (Change) را کنترل‌شده نشان بده

یکی از نقاطی که در Stage 2 زیاد خطا می‌دهد، تغییرات بدون کنترل است: تغییر نسخه فرم، تغییر تأمین‌کننده، تغییر نفرات کلیدی، تغییر فرآیند، تغییر نرم‌افزار، یا تغییر محدوده کار.

برای هر تغییر مهمِ چند ماه اخیر، بهتر است نشان بدهی:

• چه تغییری رخ داده،
• چه کسی تأیید کرده،
• چه ریسکی بررسی شده،
• چه آموزش/اطلاع‌رسانی انجام شده،
• و چه رکوردی از اجرای نسخه جدید وجود دارد.

این بخش اگر خوب آماده شود، درک ممیز از «بلوغ سیستم» شما خیلی بهتر می‌شود.

8) تأمین‌کنندگان و برون‌سپاری را با نمونه واقعی پوشش بده

اگر بخشی از کار شما وابسته به پیمانکار/تأمین‌کننده است، Stage 2 معمولاً سراغ این حوزه می‌رود. فقط فهرست تأمین‌کنندگان کافی نیست؛ چند نمونه واقعی آماده کن:

• معیار انتخاب/ارزیابی
• نتیجه ارزیابی یا تأیید
• سوابق عملکرد (کیفیت/زمان/شکایت)
• اقدامات انجام‌شده برای تأمین‌کننده ضعیف

اگر فرآیند برون‌سپاری دارید، مرز مسئولیت‌ها را هم شفاف کن: «چه چیزی بیرون از سازمان انجام می‌شود، اما مسئولیت کنترلش با ماست؟»

9) عدم‌انطباق‌ها، شکایات و CAPA را «تا اثربخشی» ببند

در Stage 2، صرفِ ثبت عدم‌انطباق یا شکایت کافی نیست. ممیز دنبال زنجیره کامل است:
رخداد → اصلاح فوری → علت ریشه‌ای → اقدام اصلاحی → بررسی اثربخشی.

برای چند نمونه واقعی (ترجیحاً یکی ساده و یکی جدی‌تر)، کل مسیر را آماده کن. چیزی که در ممیزی خیلی مهم است، «اثربخشی» است: آیا اقدام اصلاحی فقط روی کاغذ بسته شده، یا واقعاً تکرار مشکل را کم کرده است؟

10) ممیزی داخلی و بازنگری مدیریت را به عملیات وصل کن

در Stage 2، ممیز معمولاً بررسی می‌کند خروجی ممیزی داخلی و بازنگری مدیریت فقط جلسه و گزارش نبوده، بلکه به اقدامات واقعی منجر شده است. پس برای هر مورد مهم در این دو بخش، شواهد اجرا را کنارشان بگذار:

• تصمیم مدیریتی
• مسئول
• موعد
• وضعیت اجرا
• شاهد انجام

اگر بتوانی نشان بدهی که «موضوعات مهم از بازنگری مدیریت وارد برنامه اجرایی شده‌اند و پیگیری شده‌اند»، برداشت ممیز از جدیت سیستم بسیار بهتر می‌شود.

11) چک میدانی (On-site Walkthrough) را از قبل طراحی کن

برای فرآیندهای عملیاتی، یک بازدید داخلی کوتاه قبل از ممیزی انجام بده و دقیقاً همان چیزهایی را چک کن که ممیز احتمالاً می‌بیند:

• تطابق کار واقعی با روش اجرایی
• فرم‌های در حال استفاده (نسخه درست)
• وضعیت شناسایی/رهگیری (اگر مرتبط است)
• شرایط نگهداری/کنترل/ایمنی (بسته به نوع سیستم)
• دسترسی به رکوردها و سوابق

این «بازدید داخلی پیش‌ممیزی» معمولاً خطاهای ریز ولی پرتکرار را پیدا می‌کند؛ همان‌هایی که در روز ممیزی بی‌جهت عدم‌انطباق می‌سازند.

12) اگر ممیزی ترکیبی/راه‌دور دارید، ICT را در برنامه Stage 2 شفاف کن

اگر بخشی از Stage 2 با جلسه آنلاین، اشتراک‌گذاری صفحه، بازدید تصویری یا بررسی سوابق از راه دور انجام می‌شود، باید از قبل شفاف کنی:

• کدام بخش‌ها با ICT انجام می‌شوند،
• زیرساخت همه طرف‌ها آماده است یا نه،
• توافق امنیت اطلاعات/محرمانگی انجام شده یا نه،
• و در گزارش ممیزی، میزان استفاده از ICT چگونه ثبت می‌شود.

این‌ها صرفاً توصیه عمومی نیستند؛ در IAF MD 4:2025 صریحاً آمده که استفاده از ICT اختیاری است، اما اگر استفاده شود باید با الزامات آن منطبق باشد، امنیت و محرمانگی حفظ شود، استفاده از ICT با توافق طرفین باشد، و اگر توافق امنیتی/حفاظت داده فراهم نشود باید از روش دیگری استفاده شود. همچنین میزان استفاده از ICT و اثربخشی آن باید در گزارش/سوابق ممیزی منعکس شود، و اگر سایت مجازی داخل Scope است، باید در مستندات ممیزی صراحتاً ذکر شود.

13) «پوشه شواهد روز ممیزی» بساز (Evidence Pack)

برای Stage 2 یک پوشه یا ساختار واضح آماده کن که ممیز و تیم داخلی هر دو سریع به مدارک برسند. پیشنهاد ساده:

• 01-Scope & Process Map
• 02-Policies/Objectives/KPIs
• 03-Core Process Records
• 04-Risks & Compliance
• 05-Internal Audit & CAPA
• 06-Management Review
• 07-Suppliers/Outsourcing
• 08-Training/Competence
• 09-Complaints/Incidents
• 10-ICT/Remote Audit (اگر مرتبط است)

این کار زمان ممیزی را کوتاه‌تر و فشار تیم را کمتر می‌کند. ضمن اینکه از نظر مدیریت زمان هم منطقی است، چون در اسناد IAF (مثل MD 5) زمان ممیزی فقط زمان حضور در سایت نیست و زمان‌های برنامه‌ریزی، مرور مدارک، تعامل با پرسنل و گزارش‌نویسی هم در «Audit Time» حساب می‌شود؛ بنابراین هرچه شواهد شما منظم‌تر باشد، اجرای ممیزی مؤثرتر می‌شود.

14) نقش «هماهنگ‌کننده ممیزی» را مشخص کن

در روز Stage 2 یک نفر باید مسئول هماهنگی باشد؛ نه لزوماً مدیر سیستم، بلکه کسی که:

• برنامه را جلو ببرد،
• افراد را به‌موقع وارد جلسه کند،
• مدارک را سریع پیدا کند،
• و اگر سؤال خارج از دامنه مطرح شد، پاسخ را مدیریت کند.

این نقش ساده به نظر می‌رسد، اما در عمل جلوی خیلی از آشفتگی‌های روز ممیزی را می‌گیرد.

اگر فقط ۴۵ دقیقه وقت داری، این ۷ مورد را اول جمع کن

اگر به روز ممیزی نزدیک هستی و زمان کم است، اول این‌ها را آماده کن:
نقشه فرآیندها + ۲ نمونه ردیابی واقعی + KPIهای رونددار + ۳ پرونده CAPA کامل + خروجی بازنگری مدیریت با شواهد اجرا + رکوردهای فرآیندهای کلیدی + برنامه/زیرساخت ICT (اگر ممیزی ترکیبی است).

این ۷ مورد معمولاً بیشترین اثر را روی آرام و شواهدمحور شدن Stage 2 دارد.

اگر چندسایت دارید یا ممیزی ترکیبی می‌گیرید

در سازمان‌های چندسایته، قواعد نمونه‌برداری و نقش «مرکز (Central Function)» طبق اسناد IAF تعیین می‌شود و بر برنامه‌ریزی و زمان ممیزی اثر دارد. آگاهی از این قواعد (مانند IAF MD 1 و روش‌شناسی تعیین زمان در IAF ID 14/MD 5) به شما کمک می‌کند از همان ابتدا، انتظار واقع‌بینانه‌ای از پوشش سایت‌ها و زمان ممیزی داشته باشید و مدارک هر سایت را به‌موقع آماده کنید.

اگر بخشی از ممیزی به صورت راه‌دور/ترکیبی انجام می‌شود، پیشاپیش دربارهٔ محدودهٔ فعالیت‌هایی که می‌توان با ICT پوشش داد، توافق کنید و تمهیدات امنیت/محرمانگی را پیاده‌سازی نمایید. سند IAF MD 4 این الزامات را شفاف بیان می‌کند و تأکید دارد استفاده از ICT باید با توافق طرفین و ارزیابی ریسک همراه باشد.

اشتباهات رایج که باید از آن‌ها دوری کنید

اشتباه رایج اول، تمرکز صرف بر «مدرک‌سازی» و غفلت از «عملکرد فرآیند» است. ممیزان در Stage 2 به‌دنبال شواهد اثربخشی هستند، نه فقط وجود فرم و روش. اشتباه دوم، سازمان‌نیافتگی در پاسخ‌گویی است: نبود فرد پاسخ‌گو در هر فرآیند یا دسترسی‌نداشتن به سوابق کلیدی، زمان ممیزی را هدر می‌دهد و برداشت منفی می‌سازد. اشتباه سوم، تعویق CAPAها و نداشتن شواهد راستی‌آزمایی اثربخشی است؛ هر CAPA باید با معیار موفقیت، مسئول و موعد روشن ثبت شود و قبل از ممیزی بعدی بسته و اثربخشی‌اش تأیید شود (این رویکرد در ISO 19011 نیز در بخش پیگیری توصیه شده است).

«روز ممیزی» را چطور قابل‌پیش‌بینی کنیم؟

از ابتدای روز، یک نقطهٔ تماس (نماینده مدیریت) را برای هماهنگی‌ها مشخص کنید. اتاقی آرام برای مصاحبه‌ها و بررسی سوابق تدارک ببینید. اگر در میانهٔ روز یافته‌ای حساس مطرح شد، آرام بمانید، شواهد را مرور کنید و در صورت سوء‌برداشت، با فکت و رکورد شفاف‌سازی کنید. هدف ممیزی «یافتن حقیقت» است نه غافلگیرکردن؛ هرچه اسناد و پاسخ‌ها مبتنی بر شواهد و منسجم‌تر باشد، روند کار حرفه‌ای‌تر پیش می‌رود.

جمع‌بندی اجرایی چک لیست آمادگی برای ممیزی Stage 1/2

Stage 1 و Stage 2 دو بخش از یک دنباله‌اند: اولی می‌پرسد «آماده‌اید؟»، دومی ثابت می‌کند «اثربخش هستید یا نه». با آماده‌سازی دامنه و مستندات، چیدمان صحیح سوابق و فرآیندها، برنامه‌ریزی مصاحبه‌ها و دسترسی‌ها، و فراهم‌کردن شواهد CAPA و عملکرد، روز ممیزی تبدیل به یک گفت‌وگوی حرفه‌ای و قابل‌پیش‌بینی می‌شود. تکیه بر اصول و روش‌های ISO 19011، لحاظ‌کردن قواعد IAF دربارهٔ زمان/دامنه/چندسایته‌بودن و استفادهٔ کنترل‌شده از ICT، ریسک غافلگیری را پایین می‌آورد و شانس موفقیت شما را افزایش می‌دهد.

منابع

• ISO 19011:2018 – Guidelines for auditing management systems
  مرجع اصلی راهنمای برنامه‌ریزی و اجرای ممیزی (داخلی/خارجی) و مدیریت برنامه ممیزی. (ISO)
• ISO/IEC 17021-1:2015 – Conformity assessment — Requirements for bodies providing audit and certification of management systems
  مرجع پایه برای ممیزی و صدور گواهی توسط CBها (چارچوب Stage 1 / Stage 2 در ممیزی‌های صدور). (ISO)
• IAF MD 1:2023 – Audit and Certification of a Management System Operated by a Multi-Site Organization
  اگر در مقاله درباره ممیزی چندسایته صحبت کرده‌ای، این مرجع خیلی مهم است. (iaf.nu)
• IAF MD 4:2025 (Issue 3) – Use of ICT for Auditing/Assessment Purposes
  مرجع اصلی ممیزی راه‌دور/ترکیبی (ICT). این نسخه جایگزین MD 4:2023 شده و در صفحه رسمی IAF برای آن Application Date: 30 Jan 2026 درج شده است. (iaf.nu)
• IAF MD 5:2023 – Determination of Audit Time
  برای توضیح منطق زمان ممیزی (Stage 1 + Stage 2) و عوامل مؤثر بر مدت ممیزی. (iaf.nu)
• IAF ID 14:2023 – Guidance on the Determination of Audit Time
  راهنمای تکمیلی برای تعیین زمان ممیزی و ملاحظات عملی (به‌ویژه اگر بخواهی توضیح اجرایی‌تر بدهی). (iaf.nu)
• IAF MD 11:2023 – Application of ISO/IEC 17021-1 for Audits of Integrated Management Systems
  اگر مقاله‌ات به ممیزی سیستم‌های یکپارچه (IMS) اشاره دارد (مثل 9001+14001+45001)، این منبع را اضافه کن. (iaf.nu)
• IAF Documents (Official Repository / Categories)
  برای ارجاع به مخزن رسمی اسناد IAF و تفکیک اسناد Mandatory و Informative. (iaf.nu)