چک لیست آمادگی برای ممیزی Stage 1/2

برای بسیاری از سازمان‌ها، تفاوت بین یک ممیزی آرام و قابل‌پیش‌بینی با یک روز پراسترس و پر از غافلگیری، فقط در آماده‌سازی هدفمند نهفته است. این راهنما، چک‌لیست عملی و توضیح‌محور Stage 1 و Stage 2 را به زبان ساده ارائه می‌کند تا بدانید دقیقاً چه چیزهایی باید آماده باشد، چه کسی مسئول هر قلم است و در «روز ممیزی» چه انتظاری داشته باشید.

جهت دریافت اطلاعات بیشتر مطالعه اخذ گواهینامه ایزو: مراحل و شرایط را به شما توصیه می کنیم.

Stage 1 دقیقاً به دنبال چیست؟

Stage 1 را «ممیزی آمادگی» در نظر بگیرید. هدف آن این است که نشان دهید سیستم مدیریت‌تان به‌قدر کافی مستقر شده و برای ارزیابی کامل (Stage 2) آماده است. تیم ممیزی در این مرحله روی چند محور تمرکز می‌کند: تعیین دامنه و حدود سیستم، کفایت مستندات و کنترل آن‌ها، شواهد اجرای اولیهٔ فرآیندها، انجام‌شدن ممیزی داخلی و بازنگری مدیریت، و آمادگی لجستیکی برای Stage 2. چارچوب کلی برنامه‌ریزی و اجرای ممیزی، مطابق راهنمای رسمی ISO 19011 است که اصول ممیزی، مدیریت برنامه ممیزی و شایستگی ممیزان را مشخص می‌کند.

در عمل، Stage 1 باید پاسخ دهد: «آیا سیستم شما روی کاغذ و در سطح مقدماتی برقرار است، و آیا برای ارزیابی اثربخشی در میدان عمل آمادگی دارید؟» برخی CBها نیز صریحاً این تفکیک را توضیح می‌دهند: Stage 1 بیشتر مرور انطباق مستندات و شواهد پایه است، Stage 2 مشاهدهٔ اجرای واقعی و ارزیابی اثربخشی.

Stage 2 چه انتظاری دارد؟

Stage 2 ممیزی فرآیندمحور و میدانی است. تیم ممیزی می‌خواهد ببیند فرآیندها واقعاً چطور اجرا می‌شوند، خروجی‌ها چه کیفیتی دارند، شاخص‌ها و شواهد عملی چه می‌گویند، و آیا اقدامات اصلاحی قبلی (CAPA) مؤثر بوده‌اند یا خیر. این مرحله معمولاً بر اساس برنامه ممیزی که پیش‌تر تأیید شده پیش می‌رود و با مصاحبه، مشاهده، ردیابی نمونه‌ها و بازنگری سوابق، تصویر جامعی از اثربخشی سیستم ارائه می‌دهد. CBهای معتبر معمولاً از پیش، فرایند دو مرحله‌ای را توضیح و مستند می‌کنند تا بدانید بعد از Stage 2، فرآیند تصمیم‌گیری دربارهٔ گواهی چگونه انجام می‌شود.

خط زمان پیشنهادی آمادگی (از دو هفته قبل تا روز ممیزی)

دو هفته تا یک هفته قبل: دامنهٔ سیستم را نهایی و مستند کنید؛ نقشهٔ فرآیندها، سیاست و اهداف، ماتریس ریسک/فرصت، ارزیابی انطباق قانونی و سوابق پشتیبان را به‌روز کنید. اگر ممیزی داخلی و بازنگری مدیریت هنوز انجام نشده، همین حالا انجام و خروجی‌ها را منظم کنید. مبانی و اصول این آمادگی در ISO 19011 آمده است و به شما کمک می‌کند برنامه ممیزی داخلی‌تان هم هم‌راستا و حرفه‌ای باشد.

یک هفته تا یک روز قبل: برنامهٔ ممیزی (Audit Plan) را با ممیز نهایی کنید؛ لیست افراد کلیدی و زمان‌بندی مصاحبه‌ها را هماهنگ کنید؛ دسترسی به سوابق و محیط‌ها را تضمین کنید. اگر بخشی از ممیزی به‌صورت راه‌دور انجام می‌شود، ابزارهای ارتباطی/اشتراک‌گذاری را تست و تمهیدات محرمانگی/امنیت اطلاعات را امضا/ابلاغ کنید. برای ممیزی‌های راه‌دور و ترکیبی، سند IAF MD 4 الزامات توافق طرفین و ملاحظات امنیت/محرمانگی را صریح بیان کرده است.

روز ممیزی: جلسهٔ افتتاحیه، مرور دامنه/هدف/معیار و سپس اجرای برنامه. از همان ابتدا، پاسخ‌ها را بر شواهد عینی بنا کنید: رکوردها، لاگ‌ها، فرم‌ها، گزارش‌ها، نمونه‌های محصول/خدمت، روند KPIها، و مشاهدهٔ میدانی. در پایان، جلسهٔ اختتامیه برای جمع‌بندی یافته‌ها، عدم‌انطباق‌ها (در صورت وجود) و توافق بر مهلت ارسال CAPA برگزار می‌شود. چارچوب ارتباط و گزارش، مطابق راهنمای ISO 19011 است.

چک‌لیست عملی Stage 1 (با توضیح کوتاه)

دامنه و محدودهٔ سیستم: بیانیهٔ دامنه باید محصولات/خدمات، سایت‌ها، فعالیت‌ها و هر محدودیتی را روشن کند. این سند مبنای برنامه‌ریزی و نمونه‌برداری در Stage 2 خواهد بود.

نقشهٔ فرآیندها و تعاملات: برای هر فرآیند صاحب‌فرآیند، ورودی/خروجی‌ها، کنترل‌ها و شاخص‌ها را مشخص و قابل‌نمایش کنید. نقشه باید نشان دهد جریان کار چگونه به اهداف کیفیت/ایمنی/محیط‌زیست و… منتهی می‌شود.

سیاست و اهداف: سیاست تصویب‌شده و اهداف قابل‌اندازه‌گیری که با ریسک‌ها و فرصت‌ها هم‌راستا باشند. ممیز انتظار دارد اهداف و KPIها با شواهد پایش شوند.

اطلاعات مدون و کنترل نسخه: روش‌ها/راهنماها/فرم‌ها باید دسترس‌پذیر، با کنترل نسخه و توزیع مدیریت‌شده باشند. ممیز روی «سازگاری بین آنچه نوشته‌اید و آنچه انجام می‌دهید» حساس است.

ممیزی داخلی و بازنگری مدیریت: برنامه، گزارش‌ها، عدم‌انطباق‌ها و CAPAهای بسته یا در حال پیگیری را مرتب کنید. بازنگری مدیریت باید ورودی‌ها/خروجی‌های الزامی را پوشش داده باشد (روند عملکرد، وضعیت اهداف، منابع، ریسک‌ها، فرصت‌ها و…).

انطباق قانونی/مشتری: فهرست الزامات شناسایی‌شده و ارزیابی انطباق به‌روز باشد؛ شواهد رعایت الزامات کلیدی را آماده کنید.

آمادگی لجستیکی برای Stage 2: برنامهٔ ممیزی، دسترسی‌ها، هماهنگی مصاحبه‌ها و بازدیدها، و در صورت چندسایته‌بودن، تدارک مسیر/زمان لازم.

چک‌لیست عملی Stage 2 (فرآیندمحور و شواهدمحور)

اجرای فرآیندها: نشان دهید آنچه در مستندات نوشته‌اید، واقعاً اجرا می‌شود. ممیز با مصاحبه، مشاهده و ردیابی نمونه‌ها صحت اجرا را می‌سنجد.

طراحی/توسعه (اگر در دامنه است): شواهد برنامه‌ریزی، بازنگری‌ها، تأیید/اعتبارسنجی، و کنترل تغییر را منظم داشته باشید.

تأمین‌کنندگان و برون‌سپاری: معیارهای ارزیابی، نتایج پایش، اقدامات اصلاحی و کنترل فرآیندهای برون‌سپرده شده را ارائه کنید.

تجهیزات پایش و اندازه‌گیری: گواهی‌های کالیبراسیون معتبر، برچسب وضعیت و سوابق نگهداری/اعتبارسنجی در دسترس باشد.

کنترل محصول/خدمت: مشخصات، دستورالعمل‌ها، بازرسی‌ها، شناسایی/ردیابی (در صورت نیاز) و مدیریت خروجی نامنطبق را نشان دهید.

CAPA و اثربخشی: عدم‌انطباق‌های قبلی، ریشه‌یابی‌ها و شواهد اثربخشی اقدامات اصلاحی را آماده کنید؛ این قسمت در Stage 2 بسیار تعیین‌کننده است.

مصاحبه با مدیریت ارشد: رهبری، آگاهی، تعهد و هم‌سویی اهداف با استراتژی سازمان باید در گفت‌وگوها و شواهد پشتیبان مشهود باشد.

اگر چندسایت دارید یا ممیزی ترکیبی می‌گیرید

در سازمان‌های چندسایته، قواعد نمونه‌برداری و نقش «مرکز (Central Function)» طبق اسناد IAF تعیین می‌شود و بر برنامه‌ریزی و زمان ممیزی اثر دارد. آگاهی از این قواعد (مانند IAF MD 1 و روش‌شناسی تعیین زمان در IAF ID 14/MD 5) به شما کمک می‌کند از همان ابتدا، انتظار واقع‌بینانه‌ای از پوشش سایت‌ها و زمان ممیزی داشته باشید و مدارک هر سایت را به‌موقع آماده کنید.

اگر بخشی از ممیزی به صورت راه‌دور/ترکیبی انجام می‌شود، پیشاپیش دربارهٔ محدودهٔ فعالیت‌هایی که می‌توان با ICT پوشش داد، توافق کنید و تمهیدات امنیت/محرمانگی را پیاده‌سازی نمایید. سند IAF MD 4 این الزامات را شفاف بیان می‌کند و تأکید دارد استفاده از ICT باید با توافق طرفین و ارزیابی ریسک همراه باشد.

اشتباهات رایج که باید از آن‌ها دوری کنید

اشتباه رایج اول، تمرکز صرف بر «مدرک‌سازی» و غفلت از «عملکرد فرآیند» است. ممیزان در Stage 2 به‌دنبال شواهد اثربخشی هستند، نه فقط وجود فرم و روش. اشتباه دوم، سازمان‌نیافتگی در پاسخ‌گویی است: نبود فرد پاسخ‌گو در هر فرآیند یا دسترسی‌نداشتن به سوابق کلیدی، زمان ممیزی را هدر می‌دهد و برداشت منفی می‌سازد. اشتباه سوم، تعویق CAPAها و نداشتن شواهد راستی‌آزمایی اثربخشی است؛ هر CAPA باید با معیار موفقیت، مسئول و موعد روشن ثبت شود و قبل از ممیزی بعدی بسته و اثربخشی‌اش تأیید شود (این رویکرد در ISO 19011 نیز در بخش پیگیری توصیه شده است).

«روز ممیزی» را چطور قابل‌پیش‌بینی کنیم؟

از ابتدای روز، یک نقطهٔ تماس (نماینده مدیریت) را برای هماهنگی‌ها مشخص کنید. اتاقی آرام برای مصاحبه‌ها و بررسی سوابق تدارک ببینید. اگر در میانهٔ روز یافته‌ای حساس مطرح شد، آرام بمانید، شواهد را مرور کنید و در صورت سوء‌برداشت، با فکت و رکورد شفاف‌سازی کنید. هدف ممیزی «یافتن حقیقت» است نه غافلگیرکردن؛ هرچه اسناد و پاسخ‌ها مبتنی بر شواهد و منسجم‌تر باشد، روند کار حرفه‌ای‌تر پیش می‌رود.

جمع‌بندی اجرایی چک لیست آمادگی برای ممیزی Stage 1/2

Stage 1 و Stage 2 دو بخش از یک دنباله‌اند: اولی می‌پرسد «آماده‌اید؟»، دومی ثابت می‌کند «اثربخش هستید یا نه». با آماده‌سازی دامنه و مستندات، چیدمان صحیح سوابق و فرآیندها، برنامه‌ریزی مصاحبه‌ها و دسترسی‌ها، و فراهم‌کردن شواهد CAPA و عملکرد، روز ممیزی تبدیل به یک گفت‌وگوی حرفه‌ای و قابل‌پیش‌بینی می‌شود. تکیه بر اصول و روش‌های ISO 19011، لحاظ‌کردن قواعد IAF دربارهٔ زمان/دامنه/چندسایته‌بودن و استفادهٔ کنترل‌شده از ICT، ریسک غافلگیری را پایین می‌آورد و شانس موفقیت شما را افزایش می‌دهد.

منابع

• راهنمای رسمی فرآیند Stage 1/2 و پیش‌نیازهای آمادگی (NQA – صفحهٔ «فرایند ما» و بلاگ Stage 2). nqa.com+1
• ISO 19011: اصول ممیزی، برنامه ممیزی، اجرای ممیزی. ISOASQ
• IAF MD 5 (Duration of Audits) و IAF ID 14 (تعریف «روز ممیزی» ~ ۸ ساعت). iaf.nu+1
• IAF MD 4:2025 (کاربرد ICT در ممیزی‌های راه‌دور/ترکیبی – الزامات به‌روز). iaf.nu