Hva revisor ser etter i en revisjon av kvalitetssystemet

Mange virksomheter møter revisjon med en følelse av at de er godt forberedt. Dokumentene er på plass, kvalitetssystemet er oppdatert, og forrige revisjon gikk greit. Likevel ender noen opp med avvik de ikke hadde forventet. Samtidig består andre – men sitter igjen med en uro over hvor nær det var.

Årsaken er ofte ikke mangel på dokumentasjon. Snarere er det en misforståelse av hva revisor faktisk ser etter i en revisjon kvalitetssystem. Med andre ord handler revisjon ikke primært om at prosedyrer finnes, men om at systemet fungerer i praksis.

Dette er kanskje den vanligste. Virksomheten har skrevet ned prosedyrene, lastet dem opp i et system, og regner seg som ferdig. Men en rutine som ligger i et kvalitetssystem er ikke det samme som en rutine som følges i praksis.

En revisor som undersøker avvikshåndtering i en revisjon av kvalitetssystemet spør ikke bare om prosedyren finnes. De spør hvem som kjenner til den, når den sist ble brukt, hva som skjedde sist gang det oppsto et avvik, og om det faktisk ble gjort slik prosedyren beskriver. Svaret på det første spørsmålet er sjelden det som avgjør utfallet.

En godkjenning ved forrige revisjon er et øyeblikksbilde, ikke en permanent tilstand. ISO 9001, 14001, 45001 og 27001 er alle bygget rundt prinsippet om kontinuerlig forbedring. Derfor betyr det at revisor ved neste revisjon ikke bare ser om dere oppfyller kravene i dag – men også om dere har fulgt opp det som ble identifisert sist.

Kort sagt blir en sertifisering som ikke vedlikeholdes, raskt en sertifisering som ikke fortjenes.

Standardene gjelder uavhengig av størrelse. En liten virksomhet kan ha enklere systemer og færre prosedyrer enn en stor – det er helt legitimt. Likevel forventer revisor fortsatt at det som finnes, faktisk brukes og følges opp. Dermed er størrelse ingen unnskyldning for manglende eierskap til eget kvalitetssystem.

En revisjon etter ISO 9001, 14001, 45001 eller 27001 er ikke en dokumentgjennomgang. I stedet er det en undersøkelse av om kvalitetssystemet fungerer i praksis – og om virksomheten faktisk lever som den lærer.

Revisor bruker dokumentasjonen som utgangspunkt, men det de egentlig leter etter er bevis for at systemet er i bruk. Dette skjer blant annet gjennom intervjuer med ansatte på ulike nivåer, gjennomgang av logger og registreringer, og sporing av hendelser fra start til avslutning.

Et viktig poeng mange undervurderer: revisor snakker ikke bare med kvalitetsansvarlig eller ledelsen. De kan like gjerne stoppe en tilfeldig ansatt i gangen og spørre om de kjenner til avviksprosedyren, hva de gjør hvis de oppdager et problem, eller hvem de melder fra til. Svarene fra den ansatte veier minst like tungt som svarene fra den som har forberedt seg i ukevis.

• Kan du vise meg et avvik som ble registrert de siste tre månedene – og fortelle meg hva som skjedde etterpå?
• Hvem er ansvarlig for denne prosedyren, og når ble den sist revidert?
• Har dere gjennomført ledelsens gjennomgåelse det siste året – hva ble besluttet, og hva er fulgt opp?
• Hvordan vet dere at de ansatte kjenner til og følger denne rutinen?
• Kan du vise meg dokumentasjon på at denne risikoen er vurdert og håndtert?

 Legg merke til at ingen av disse spørsmålene besvares med «ja, vi har en prosedyre på det».

En vanlig feilslutning er å behandle dokumentasjon som selve målet for revisjonen. Det er det ikke. Dokumentasjon er bevis for at noe er gjort, besluttet eller vurdert.

En godt skrevet prosedyre som aldri er fulgt, er svakere bevis enn en enkel rutine med klare spor av faktisk bruk. Loggføring, registrerte avvik, referater fra ledelsens gjennomgåelse og oppdaterte risikovurderinger er det revisor bruker for å vurdere om kvalitetssystemet lever.

Det betyr også at hull i dokumentasjonen sjelden er det største problemet. Det største problemet er hull mellom det som er dokumentert og det som faktisk skjer.

Alle de fire standardene stiller eksplisitte krav til ledelsens engasjement. Dette er ikke et punkt som kan delegeres fullt ut til kvalitetsansvarlig eller HMS-leder og glemmes.

Revisor vil typisk undersøke om ledelsen kjenner til virksomhetens vesentlige risikoer og miljøaspekter, om det er gjennomført ledelsens gjennomgåelse med reelt innhold, om mål er satt og fulgt opp, og om ressurser faktisk er stilt til rådighet for å drive systemet.

Her er det verdt å nevne en konkret felle mange går i: ledelsens gjennomgåelse gjennomføres som et kort møte der kvalitetsansvarlig presenterer en oppsummering og ledelsen nikker. Ingen beslutninger fattes, ingen tiltak dokumenteres, og møtet er glemt innen neste uke. For revisor er dette ikke en gjennomført ledelsens gjennomgåelse – det er et møte som tilfeldigvis hadde riktig navn.

En kvalitetsansvarlig som bærer hele systemet alene, uten reell ledelsesforankring, er et rødt flagg i en revisjon – uansett hvor gode dokumentene er.

Revisor er ikke ute etter perfeksjon. Men de er heller ikke imponert av et system som aldri registrerer noe som helst.

Et kvalitetssystem uten avvik er ikke et tegn på at alt går bra – det er et tegn på at systemet ikke brukes. I praksis ønsker revisor å se et visst volum av registrerte avvik, gjerne spredt på ulike typer og avdelinger. Det viser at innmelding skjer systematisk, ikke tilfeldig, og at kulturen for å melde fra faktisk eksisterer i organisasjonen.

Det revisor virkelig vurderer positivt, er avvik som er registrert, fulgt opp og lukket på en måte som viser at virksomheten har lært noe. Det er dette kontinuerlig forbedring ser ut som i praksis.

De virksomhetene som klarer seg best i revisjon er ikke nødvendigvis de med mest dokumentasjon. De er virksomhetene som kan svare på spørsmål om hva som faktisk skjer – og vise det frem.

Gå gjennom avviks- og forbedringsloggen og forsikre deg om at saker er lukket og fulgt opp. Sjekk at dokumenter med definert revisjonssyklus faktisk er revidert. Gjennomgå referater fra ledelsens gjennomgåelse og vurder om beslutninger er dokumentert og etterlevd. Snakk også med ansatte som bruker prosedyrene i det daglige. Hvis de ikke vet hva rutinen sier, er det et systemisk problem uavhengig av hvor godt dokumentet er skrevet.

Bak mye av det som beskrives her, ligger et grunnleggende krav: at virksomheten faktisk vet hvilke dokumenter som gjelder, hvem som er ansvarlig for dem, og at de er oppdaterte. Uten dette er det vanskelig å svare troverdig på revisors spørsmål – selv om praksisen i seg selv er god.

Et system som Certain QMS er bygget nettopp for å gi denne oversikten: tydelig eierskap, kontrollert publisering og sporbarhet som gjør det mulig å dokumentere ikke bare hva som gjelder, men hvordan det har utviklet seg over tid. Det er ikke en garanti for å bestå en revisjon – men det fjerner en av de vanligste snublesteinene.

Den beste måten å møte en revisjon på er ikke å pugge svar, men å kjenne sitt eget kvalitetssystem godt nok til å snakke naturlig om det. Revisor er ikke ute etter å ta noen. De undersøker om virksomheten styres på en måte som gjør den i stand til å levere det den lover – til kunder, ansatte, omgivelser og samfunn.

Virksomheter som forstår hva revisor faktisk ser etter i et kvalitetssystem opplever revisjon som nyttig. De andre opplever den som truende. Forskjellen ligger sjelden i dokumentene.