Denetim Prosedürü
PR 18 — Rev.01 –Rev. Tarihi: 01.06.2021
Denetimleri gerçekleştirmek ve raporlamak için yöntemi tanımlamak.
Bu prosedür, tetkik sürecinde yapılacakları kapsar.
Bu prosedürün uygulanmasından Belgelendirme Koordinatörü, Planlama Sorumlusu, Yönetim Temsilcisi, Tetkikçiler ve Belgelendirme Komitesi sorumludur.
Denetimin başlangıcında Açılış Toplantısı; denetimin sonunda Kapanış Toplantısı yapılır.
5.1. Açılış toplantısının gerçekleştirilmesi
Açılış Toplantısı, ISO 9001:2015, ISO 14001:2015 ve ISO 27001:2013, için FR47 Toplantı Tutanak Formu(Aşama 1) – FR47-2 Toplantı Tutanak Formu(Aşama 2) ile kayıt altına alınır. Formun denetim ekibi ve firma katılımcıları tarafından imzalanması gerekir.
Resmi açılış toplantısı, müşterinin üst yönetimi ve tetkik edilecek fonksiyon ve proseslerin sorumlu uygun personeli ile gerçekleştirilmelidir.
Açılış toplantısının amacı, tetkik faaliyetlerinin nasıl gerçekleştirileceğine dair kısa bir açıklamanın sağlanması olup genellikle Baş Denetçi tarafından yürütülür.
Detay derecesi müşterinin tetkik personeline aşinalığı ile uyumlu olmalı ve aşağıdakileri dikkate almalıdır:
- a) Katılımcıların görevleri dahil tanıtımı,
- b) Belgelendirme kapsamının teyit edilmesi,
- c) Tetkik planının teyit edilmesi (tetkikin tipi ve kapsamı, amaçlar ve kriterler dahil), herhangi bir değişiklik ve kapanış toplantısının tarih ve zamanı, tetkik ekibi ve müşterinin yönetim otoritesi arasındaki ara görüşmelergibi müşteri ile ilgili diğer düzenlemeler,
- d) Tetkik ekibi ve müşteri arasındaki resmi iletişim kanallarının teyit edilmesi,
- e) Tetkik ekibi tarafından ihtiyaç duyulan kaynakların ve tesislerin mevcut olduğunun teyit edilmesi
- f) Gizlilik ile ilgili konuların onaylanması,
- g) Tetkik ekibi ile ilgili iş güvenliği, acil durum ve güvenlik prosedürlerinin teyit edilmesi,
- h) Her bir rehber ve gözlemcinin durumu, görevi ve kimliklerinin teyit edilmesi,
- i) Tetkik bulgularının herhangi bir sınıflaması dahil olmak üzere raporlama yöntemi,
- j) Tetkikin zamanından önce sona erdirme koşulları hakkında bilgi verilmesi,
- k) Tetkikten sorumlu belgelendirme kuruluşunu temsil eden tetkik ekibi ve tetkik ekibi liderinin onayı ve tetkik planı, tetkik faaliyetleri ve tetkik yolları da dahil olmak üzere tetkikin yürütülmesi ve kontrolü,
- l) Uygun olan önceki gözden geçirme veya tetkik bulgularının durumunun onaylanması,
- m) Örneklemeye dayalı tetkik yapılması için kullanılacak prosedürler ve yöntemler,
- n) Tetkik sırasında kullanılacak olan dilin onaylanması,
- o) Tetkik sırasında, müşterinin tetkikin ilerlemesi ve herhangi bir durumdan haberdar edileceğinin teyit edilmesi,
- p) Müşteriye soru sorması için fırsat verilmesi.
5.2. Tetkik esnasında iletişim
Tetkik sırasında, tetkik ekibi, periyodik olarak tetkikin ilerlemesini değerlendirir ve bilgi alış verişinde bulunur.
Baş Denetçi, periyodik olarak tetkikin ilerlemesi ve müşterinin herhangi bir endişesi durumunda, iletişim kurarak tetkik ekibi üyelerinin arasındaki ihtiyaç duyulan iş durumunu yeniden düzenler.
Ulaşılamayan tetkik hedefleri ya da acil ve önemli bir risk (örneğin, güvenlik) varlığını gösteren mevcut tetkik kanıtlarının ortaya çıkması durumunda, tetkik ekibi lideri uygun eylemi belirlemek için müşteriye ve mümkünse, TB Belgelendirmeye rapor eder. Bu tür eylemler, tetkik hedeflerinin ya da tetkik kapsamının değiştirilmesi ya da feshedilmesi, tetkik planının değiştirilmesi veya yeniden teyit edilmesini gerektirebilir. Baş Denetçi, alınan eylem sonucunu, Başvuru yapılan ilgili standardın tetkik raporu ile TB Belgelendirmeye rapor eder.
Baş Denetçi, sahada yapılan tetkik faaliyetlerinin ilerlemesinde ortaya çıkan tetkik kapsamına yönelik herhangi bir değişikliği müşteri ile gözden geçirir ve bunu Başvuru yapılan ilgili standardın tetkik raporu ile TB Belgelendirmeye rapor eder.
5.3. Bilginin elde edilmesi ve doğrulanması
Tetkik sırasında, tetkik hedefleri, kapsamı ve kriterleri ile ilgili bilgiler (fonksiyonlar, faaliyetler ve prosesler arasındaki arabirimler ile ilgili bilgiler dahil) uygun örnekleme ile elde edilir ve tetkik kanıtı olması için doğrulanır.
Bilgi toplama yöntemi aşağıdakileri içermelidir ancak bunlarla sınırlı değildir:
- a) Görüşmeler,
- b) Proses ve faaliyetlerin gözlemleri,
- c) Dokümantasyon ve kayıtların gözden geçirilmesi.
5.4. Tetkik bulgularının belirlenmesi ve kaydedilmesi
Uygunluğu özetleyen ve uygunsuzluğu detaylandıran tetkik bulguları, bilinçli bir belgelendirme kararı alabilmek ya da sürdürülebilir belgelendirmeyi sağlayabilmek için Başvuru yapılan ilgili standardın tetkik raporu kullanılarak raporlanır ve kaydedilir.
İyileştirme fırsatları bir yönetim sistemi belgelendirme düzeni şartları tarafından yasaklanmadığı sürece, tanımlanabilir ve kaydedilebilir. Uygunsuzluk şeklinde tespit edilen tetkik bulguları, iyileştirme için fırsat olarak kaydedilemez.
Belirli bir şarta göre tespit edilen uygunsuzluk bulgusu; Majör Uygunsuzluk ya da Minör Uygunsuzluk olarak Başvuru yapılan ilgili standardın tetkik raporuna kaydedilir ve uygunsuzluğun esas aldığı objektif kanıtı detaylı bir şekilde tanımlayan açık bir uygunsuzluk ifadesi içerir.
Major Uygunsuzluk:
Objektif kanıtlara dayanarak, yürürlükteki standardın gereklerine uyulmaması veya uygulanması ve / veya sürdürülmesi hususunda önemli bir başarısızlık durumu
(Yani, standardın bir maddesinin dokümante edilmemesi ya da uygulanmaması) ya da Yönetim Sisteminin müşterinin belirtilen politika ve hedeflerini gerçekleştirme kabiliyeti konusunda önemli şüpheler uyandırması durumudur.
Minor Uygunsuzluk:
Bir yönetim sistemi zayıflığını ya da ele alınmazsa önemli bir uygunsuzluğa neden olabilecek küçük bir sorunu temsil eder. Potansiyel iyileştirme için her küçük uyumsuzluk dikkate alınmalı ve düzeltici eylem programına dahil edilmesine yönelik sistem zayıflıkları araştırılmalıdır.
Gözlem: Uygunsuzluk olarak tanımlanabilecek şekilde açık olmayan veya ilgili standarda refere edilemeyen, ilerde uygunsuzluk olabilme potansiyeli taşıyan bulgulardır.
Uygunsuzluklar; uygunsuzlukların anlaşılmasını, kanıtın kesin ve doğru olmasını temin etmek için müşteri ile tartışılır. Ancak tetkikçi, uygunsuzlukların nedenini veya bunların çözümünü önermekten kaçınmalıdır.
Baş Denetçi, tetkik kanıtı veya bulguları ile ilgili müşteri ve tetkik ekibi arasında farklılaşan görüşleri çözme girişiminde bulunur ve çözümlenmemiş hususları Başvuru yapılan ilgili standardın tetkik raporu ile kayıt altına alır.
27001:2013/27001:2017 tetkikleri için ek gereklilikleri; PR17 Belgelendirme Prosedüründe tanımlanmıştır.
5.5. Tetkik sonuçlarının hazırlanması
Baş Denetçinin sorumluluğu altında, kapanış toplantısı öncesinde gereçekleştirilen Denetim Ekibi Değerlendirme Toplantısında, tetkik ekibi Başvuru yapılan ilgili standardın tetkik raporunu kullanarak;
- a) Tetkik hedefleri ve kriterlerine karşı, tetkik sırasında toplanan tetkik bulgularını ve diğer uygun bilgileri gözden geçirir ve uygunsuzlukları belirler.
- b) Tetkik prosesinin doğasında var olan belirsizliği göz önüne alarak, tetkik sonuçları üzerinde mutabık kalır.
- c) Gerekli her türlü takip faaliyetlerinde anlaşmaya varır.
- d) Tetkik programının uygunluğunu onaylamalı veya gelecekteki tetkiklerle ilgili istenen herhangi bir değişikliği (örneğin, belgelendirmenin kapsamı, tetkik süresi veya tarihi, gözetim sıklığı, tetkik ekibinin yeterliliği) tanımlar.
5.6. Kapanış toplantısının yapılması
Kapanış Toplantısı, ISO 9001:2015 ve ISO 14001:2015 ve ISO 27001:2013, ISO 27001:2017 için FR47 Toplantı Tutanak Formu(Aşama 1) – FR47-2 Toplantı Tutanak Formu(Aşama 2) ile kayıt altına alınır. Formun denetim ekibi ve firma katılımcıları tarafından imzalanması gerekir.
Toplantı, müşterinin yönetim otoritesi ve tetkik edilen prosesler veya fonksiyonlardan sorumlu uygun personelin katılımı ile gerçekleştirilir.
Normal olarak Baş Denetçi tarafından yürütülen, kapanış toplantısının amacı, belgelendirme ile ilgili tavsiyeleri içeren tetkik sonuçlarının sunulmasıdır. Her bir uygunsuzluk anlaşılır bir şekilde sunulur ve bunlara yanıt vermeleri için süre verilir.
Not – “Anlaşılır” ifadesi uygunsuzluğun müşteri tarafından kabul edildiği anlamına gelmez.
Kapanış toplantısı aşağıdaki unsurları da içermelidir. Detay derecesi, müşterinin tetkik prosesine farkındalığı ile uyumlu olmalıdır:
- a) Müşteriye, elde edilen kanıtın örnekleme bilgisine dayanarak elde edildiğinin ifade edilmesi ve böylelikle belirsizliğin ifadesi,
- b) Tetkik bulgularının herhangi bir sınıflandırması da dahil, raporlama yöntemi ve süresi,
- c) Müşterinin belgelendirilme durumu ile ilgili herhangi bir sonuç da dahil, belgelendirme kuruluşunun uygunsuzlukları ele alma prosesi,
- d) Tetkik sırasında tespit edilen herhangi bir uygunsuzluğu düzeltme ve düzeltici faaliyeti yapmak için bir plan hazırlaması için müşteriye verilen süre,
- e) Belgelendirme kuruluşunun tetkik sonrası faaliyetleri,
- f) Şikayetlerin ele alınması ve itiraz prosesleri hakkında bilgiler.
Müşteriye soru sorma fırsatı verilir. Tetkik ekibi ve müşteri arasında tetkik bulguları veya sonuçları ile ilgili farklı görüşler tartışılır ve mümkünse bir karara bağlanır. Çözümlenmeyen farklı görüşler Başvuru yapılan ilgili standardın tetkik raporu ile kayıt altına alınır ve belgelendirme kuruluşuna bildirilir.
TB Belgelendirme, ISO 9001:2015 ve ISO 14001:2015 için Belgelendirme (Aşama 1) denetimi sonrasında FR39 Aşama 1 Denetim Raporu; Belgelendirme (Aşama 2) denetimi ve diğer denetimler sonrasında FR39-2 Aşama 2 / Gözetim / Yeniden Belgelendirme Denetim Raporu, ISO 27001 için Belgelendirme (Aşama 1) denetimi sonrasında ISO 27001 Aşama 2 Denetim Raporu; Belgelendirme (Aşama 2) denetimi ve diğer denetimler sonrasında ISO 27001 Aşama 2 Denetim Raporu formatını kullanarak her tetkik için müşteriye yazılı bir rapor sunar. Tetkik ekibi iyileştirme fırsatlarını tanımlayabilir, ancak belirli çözümleri tavsiye etmez. Tetkik raporunun mülkiyeti TB Belgelendirmeye aittir.
Baş Denetçi, tetkik raporunun hazırlanmasını güvence altın alır ve raporun içeriğinden sorumludur. Tetkik raporu, bildirilecek belgelendirme kararına imkan verebilecek tetkikin doğru, özlü ve net olmasını sağlamalı ve aşağıdakileri içerir veya atıf yapar.
- a) TB Belgelendirmenin tanımı,
- b) Müşteri ve müşteri yönetim temsilcisinin adı ve adresi,
- c) Tetkikin tipi (örneğin başlangıç, gözetim veya yeniden belgelendirme tetkiki ya da özel tetkikler),
- d) Tetkik kriterleri,
- e) Tetkikin amaçları,
- f) Tetkikin kapsamı, özellikle tetkik edilen kuruluşun organizasyon yapısı veya fonksiyonel birimlerin ya da proseslerin tanımlanması ve tetkikin süresi,
- g) Tetkik planından herhangi bir sapma ve nedenleri,
- h) Tetkik programını etkileyen önemli durumlar,
- i) Tetkik ekibi lideri, tetkik ekibi üyeleri ve beraberindeki kişilerin tanıtımı,
- j) Tetkik faaliyetlerinin yapıldığı (saha veya saha dışı, kalıcı ve geçici mekanlar) yerler ve tarihleri,
- k) Tetkik tipinin şartları ile tutarlı, kanıt ve sonuçlara referans veren tetkik bulguları (bk. Madde 9.4.5),
- l) Varsa, en son tetkikten beri meydana gelen müşterinin yönetim sistemini etkileyen önemli değişiklikler,
- m) Tanımlanmışsa, çözümlenmemiş hususlar,
- n) Tetkikin uygun olduğu takdirde, birleşik, ortak veya entegre olması,
- o) Tetkikin mevcut bilgilerin örneklemesi prosesi esas alınarak gerçekleştiğine dair ifade,
- p) Tetkik ekibinin tavsiyesi,
- q) Tetkik edilen müşterinin uygun şekilde, belgelendirme dokümanları ve markalarının kullanımının kontrolü,
- r) Daha önceden belirlenen uygunsuzluklarla ilgili uygulanabilir düzeltici faaliyetlerin etkinliğinin doğrulanması.
Rapor aşağıdakileri de kapsar.
- a) Aşağıdakilerle ilgili kanıtların bir özeti ile birlikte, yönetim sisteminin uygunluğu ve etkinliği ile ilgili ifade:
– Yönetim sisteminin uygulanabilir şartlar ve beklenen çıktıları karşılama yeteneği,
– İç tetkik ve yönetimin gözden geçirmesi prosesi,
- b) Belgelendirme kapsamının uygunluğu ile ilgili bir sonuç,
- c) Tetkik amaçlarının karşılandığının teyidi.
5.8. Uygunsuzlukların sebeplerinin analizi
TB Belgelendirme, Aşama 1 denetimi sırasında tespit edilen uygunsuzlukları Başvuru yapılan ilgili standardın tetkik raporuna kaydeder. Uygunsuzluklar, Aşama 2 denetimi sırasında doğrulanır.
Diğer denetimler sırasında tespit edilen uygunsuzluklar, Başvuru yapılan ilgili standardın tetkik raporuna kaydedilir. Uygunsuzluk formunda “Müşteri tarafından doldurulacaktır” yazan bölümün doldurulması ve en geç 15 gün içerisinde, planlanan faaliyetlerin gözden geçirilmesi için Baş denetçiye ve TB Belgelendirme’ye gönderilmesi gerekmektedir.
5.9. Düzeltme ve düzeltici faaliyetlerin etkinliği
TB Belgelendirme, müşteri tarafından tespit edilen düzeltmeleri, belirlenen sebepleri ve uygulanabilir düzeltici faaliyetleri gözden geçirir.
TB Belgelendirme, gerçekleştirilen her bir düzeltme ve düzeltici faaliyetin etkinliğini gerektiğinde yerinde doğrulama yoluyla veya müşteri tarafından sağlanan dokümanların gözden geçirilmesi ve incelenmesi yoluyla doğrular.
Uygunsuzluk formunda yöntem “Kapatma kayıtlarının kontrolü” olarak belirlenmişse; uygunsuzluklar için kapatma kayıtlarının 3 ay içerisinde Başdenetçiye ve TB Belgelendirme’ye gönderilmesi gerekmektedir.
Uygunsuzluk formunda yöntem “Kapatma planlarının kontrolü” olarak belirlenmişse; kapatma kayıtları bir sonraki denetim sırasında sahada değerlendirilir ve değerlendirme sonucu Başvuru yapılan ilgili standardın tetkik raporuna kaydedilir. Uygunsuzlukların çözümünü desteklemek için elde edilen kanıt kayıt altına alınır.
Müşteri, gözden geçirme ve doğrulama sonucundan haberdar edilir. Müşteri, etkin düzeltme ve düzeltici faaliyetlerin doğrulaması için ilave bir tam tetkik, ilave bir sınırlı tetkik veya dokümante edilmiş kanıt (gelecekteki tetkiklerde teyit edilecek) gerekip gerekmediği konusunda bilgilendirilir.
Uygunsuzlukların etkinliği genellikle tetkik ekibinin bir mensubu tarafından doğrulanır.
5.10. TETKİK SIRASINDA OLABİLECEK SORUNLARIN KONTROLÜ
- Tetkik Faaliyeti Öncesinde Ortaya Çıkabilecek sorunlar
Tetkik faaliyeti öncesinde (Ölüm, Hastalık, Yol Durumu, Denetçiden Kaynaklı v.b sorunlar) ın ortaya çıkması durumunda Planlama Sorumlusu Tarafından firmaya ve varsa takım arkadaşına (diğer denetçi) bilgilendirme yapılır. Eğer takım arkadaşının kodu firmanın kodu ile uyumluysa planda değişiklik yapılıp denetimin gerçekleşmesi sağlanır. Eger kod tutmuyorsa Kodu tutan bir denetçinin ataması yapılıp Denetim Ekibi Bildirim Formu ile firmaya bilgilendirme yapılır.
Bu ve benzeri bir durumda izlenecek diğer yol denetimin ertelenmesidir. Firmayla anlaşılarak denetim ertelenir.
Böyle bir çözüm yolu izlenirken firmaya mağdur etmemek esas alınır; eğer bu durum firmayı mağduriyete sokacaksa denetim ertelenmez mutlaka o gün denetimin yapılması sağlanır.
- Tetkik Sırasında Ortaya Çıkabilecek sorunlar
Tetkik Faaliyeti sırasında Denetçi ile firma arasında çıkabilecek anlaşmazlık, sorun karşısında
( Firmanın denetçiyi istememesi, denetçinin objektif delillerle ispatladığı bulgular hakkında münakaşaya girmesi, v.b) denetçinin o anda soruna yönelik çözüm üretmesi gerekmektedir. Eğer denetçinin çözemeyeceği bir sorun ise TB Belgelendirme Ofisi bilgilendirilerek çözüm yolu aranır. Bu tarz durumlarda denetçinin denetimi yarıda bırakmaması gerekmektedir. Eğer firma, TB Belgelendirmeye denetimin bitmesi yönünde bir bilgi verirse denetime son verilir.
Böyle bir durumda TB Belgelendirme sorunun kök nedenini araştırıp tekrarlanmaması için gerekli önlemleri alır. Bununla ilgili düzeltici faaliyet başlatılır.
- Tetkik Sonrasında Ortaya Çıkabilecek sorunlar
Tetkik gerçekleştikten sonra ortaya çıkabilecek sorunlar karşısında (Denetçinin firmaya takip denetimi yazması, uygunsuzlukların yazılması v.b) gibi sorunlar sebebiyle denetçinin firmaya haklı nedenleri söylediği halde, firmanın denetçi ile muhatap olması durumunda denetçi burada mutlaka TB BELGELENDIRME’ yi bilgilendirmeli bu konuda firma ile anlaşma durumuna asla gitmemelidir.