Audyt certyfikacyjny ISO to formalna ocena przeprowadzana przez niezależną, akredytowaną jednostkę certyfikującą, której celem jest sprawdzenie, czy system zarządzania organizacji spełnia wymagania normy ISO. Dobrze przygotowana organizacja przechodzi audyt sprawnie i bez niespodzianek — źle przygotowana traci czas na gromadzenie dokumentacji podczas audytu i ryzykuje niezgodności, których dało się uniknąć.
Multicert Polska przeprowadziła ponad 3000 audytów certyfikacyjnych. Z doświadczenia naszych auditorów wiemy, że organizacje, które systematycznie przygotowują się do audytu, o 60% rzadziej otrzymują niezgodności poważne (major) blokujące wydanie certyfikatu.
Rodzaje audytów ISO — czym się różnią?
Zanim zaczniesz przygotowania, warto wiedzieć, jaki typ audytu Cię czeka. Każdy z nich ma inny cel i wymagania:
| Typ audytu | Kiedy | Cel | Czas trwania |
|---|---|---|---|
| Audyt etapu 1 (dokumentacyjny) | Przed certyfikacją; ~4–6 tyg. przed etapem 2 | Ocena gotowości dokumentacyjnej i określenie zakresu etapu 2 | 0,5–1 dzień |
| Audyt etapu 2 (certyfikacyjny) | Główny audyt certyfikacyjny | Weryfikacja wdrożenia systemu zarządzania w praktyce | 1–5 dni |
| Audyt nadzoru (surveillance) | Co roku, przez 2 lata po certyfikacji | Potwierdzenie utrzymania systemu; fokus na celach i działaniach korygujących | 60–70% czasu audytu etapu 2 |
| Audyt recertyfikacyjny | Po 3 latach (przed wygaśnięciem certyfikatu) | Pełna ponowna ocena systemu; podobny zakres do etapu 2 | Zbliżony do etapu 2 |
| Audyt wewnętrzny | Co najmniej raz w roku (wymaganie normy) | Samoocena; identyfikacja niezgodności i obszarów doskonalenia przed audytem zewnętrznym | Zależnie od zakresu |
Jak przebiega audyt certyfikacyjny ISO — etap po etapie
| Faza | Co się dzieje | Czego auditor oczekuje |
|---|---|---|
| Spotkanie otwierające | Auditor przedstawia plan i zakres audytu; kierownictwo potwierdzą dostępność osób | Obecności kierownictwa, dostępu do obszarów, harmonogramu |
| Przegląd dokumentacji | Auditor analizuje polityki, procedury, rejestry, oceny ryzyka | Aktualnych dokumentów z datami przeglądów i podpisami zatwierdzeń |
| Wywiady z pracownikami | Auditor rozmawia z pracownikami na różnych poziomach | Że pracownicy znają politykę, swoje role i procedury |
| Obserwacja procesów | Wizyta na hali produkcyjnej / w biurze / na budowie; obserwacja pracy | Zgodności praktyki z udokumentowanymi procedurami |
| Weryfikacja zapisów | Sprawdzenie rejestrów, protokołów, wyników pomiarów, zapisów szkoleń | Kompletnych, czytelnych zapisów z datami i podpisami |
| Spotkanie zamykające | Auditor prezentuje wyniki: niezgodności (major/minor) i spostrzeżenia (OFI) | Obecności kierownictwa; otwartości na wyniki |
Checklist przygotowania do audytu ISO — 8 tygodni przed
8 tygodni przed audytem — dokumentacja
- Sprawdź daty przeglądów wszystkich kluczowych dokumentów — żaden nie powinien być przeterminowany
- Zaktualizuj politykę jakości / środowiskową / BHP — czy odzwierciedla aktualny kontekst organizacji?
- Upewnij się, że zakres systemu zarządzania jest prawidłowo udokumentowany i zatwierdzony
- Zweryfikuj rejestr wymagań prawnych — czy uwzględnia ostatnie zmiany w przepisach?
- Sprawdź, czy ocena ryzyka jest aktualna (zazwyczaj co najmniej raz w roku)
6 tygodni przed — audyt wewnętrzny
- Przeprowadź pełny audyt wewnętrzny obejmujący wszystkie klauzule normy i procesy w zakresie
- Udokumentuj wyniki audytu wewnętrznego — raporty, lista niezgodności, plan działań
- Upewnij się, że wszystkie niezgodności z audytu wewnętrznego mają wdrożone działania korygujące
- Zbierz dowody zamknięcia działań korygujących (zdjęcia, zaktualizowane procedury, wyniki weryfikacji)
4 tygodnie przed — przegląd zarządzania
- Przeprowadź przegląd zarządzania z udziałem najwyższego kierownictwa
- Udokumentuj protokół przeglądu zawierający wszystkie wymagane przez normę punkty wejścia i wyjścia
- Upewnij się, że cele systemu zarządzania mają mierzalne wskaźniki i aktualne wyniki
- Sprawdź, czy zasoby przydzielone do systemu zarządzania są udokumentowane
2 tygodnie przed — szkolenia i ludzie
- Sprawdź, czy rejestry szkoleń są aktualne dla wszystkich pracowników objętych zakresem
- Przypomnij pracownikom o audycie — kiedy, kto będzie dostępny, jak rozmawiać z auditorem
- Przygotuj listę osób do wywiadów dla auditora (właściciele procesów, kierownicy działów)
- Upewnij się, że kierownictwo jest dostępne podczas spotkania otwierającego i zamykającego
Dzień przed audytem — logistyka
- Przygotuj sala konferencyjna z dostępem do dokumentacji i komputera
- Skompletuj teczki z kluczowymi dokumentami: polityki, procedury, rejestry, wyniki audytów wewnętrznych, protokoły przeglądów zarządzania
- Przygotuj listę obecności i harmonogram dnia audytu
- Sprawdź, czy auditor ma dostęp do wszystkich obszarów objętych zakresem
Dokumenty, które auditor na pewno poprosi — lista kontrolna
| Dokument | Co sprawdza auditor | Częsty błąd |
|---|---|---|
| Polityka systemu zarządzania | Aktualność, zatwierdzenie przez zarząd, komunikacja pracownikom | Nieaktualna wersja lub brak dowodów komunikacji |
| Zakres systemu zarządzania | Czy jest kompletny i precyzyjny; czy wyłączenia są uzasadnione | Zakres nie opisuje granic i lokalizacji |
| Ocena ryzyka i szans | Metodyka, aktualność, powiązanie z celami | Ocena ryzyka nieaktualizowana po zmianach w organizacji |
| Cele systemu zarządzania | Mierzalność, przypisanie odpowiedzialności, terminy, wyniki | Cele bez wskaźników lub z przeterminowanymi terminami |
| Wyniki audytu wewnętrznego | Kompletność zakresu, kwalifikacje auditora, działania korygujące | Auditor wewnętrzny auditował własne procesy (brak niezależności) |
| Protokół przeglądu zarządzania | Kompletność punktów agendy, decyzje i zasoby, podpis zarządu | Brak wszystkich wymaganych normą punktów wejścia |
| Rejestry szkoleń i kompetencji | Wszyscy pracownicy w zakresie mają aktualne szkolenia | Brak szkoleń dla nowych pracowników lub podwykonawców |
| Działania korygujące | Przyczyna źródłowa zidentyfikowana, działanie wdrożone, skuteczność zweryfikowana | Działanie korygujące = usunięcie objawu, a nie przyczyny |
| Wymagania prawne | Kompletność rejestru, ocena zgodności przeprowadzona | Brak aktualnej oceny zgodności lub pominięte przepisy branżowe |
Jak rozmawiać z auditorem? Praktyczne wskazówki
Wiele niezgodności wynika nie z braków w systemie, ale ze sposobu komunikacji podczas audytu. Wskazówki dla pracowników:
| ✅ Rób | ❌ Unikaj |
|---|---|
| Odpowiadaj konkretnie na zadane pytanie | Mów wszystko co wiesz — auditor może wychwycić obszary, które nie są gotowe |
| Gdy nie wiesz — powiedz „nie wiem, ale mogę sprawdzić” | Zgadywać lub podawać niepewne informacje |
| Pokazuj dowody: zapisy, rejestry, zdjęcia, procedury | Opisywać jak coś powinno być bez pokazywania dowodów |
| Mów o tym jak faktycznie pracujesz | Opisywać jak jest napisane w procedurze, a nie jak pracujesz |
| Pytaj auditora o wyjaśnienie, gdy nie rozumiesz pytania | Odpowiadać na inne pytanie niż zadane |
Niezgodności — co zrobić, gdy auditor je znajdzie?
| Typ niezgodności | Definicja | Skutek | Czas na zamknięcie |
|---|---|---|---|
| Major (poważna) | Brak spełnienia wymagania normy lub systemowa awaria procesu | Certyfikat nie może być wydany do czasu zamknięcia i weryfikacji | Zazwyczaj do 3 miesięcy; weryfikacja przez auditora |
| Minor (drobna) | Pojedyncze uchybienie, które nie podważa działania całego systemu | Certyfikat może być wydany; zamknięcie wymagane do audytu nadzoru | Zazwyczaj do 6 miesięcy; dowód dokumentacyjny |
| OFI (Opportunity for Improvement) | Spostrzeżenie — nie jest niezgodnością, ale wskazuje obszar doskonalenia | Brak formalnego wymagania zamknięcia; dobra praktyka to uwzględnienie w planowaniu | Brak terminu; dobrowolne |
Najczęstsze przyczyny niezgodności major podczas audytu ISO
Na podstawie doświadczenia z tysięcy audytów, oto obszary najczęściej generujące niezgodności poważne:
| Norma | Najczęstsza niezgodność major |
|---|---|
| ISO 9001 | Brak audytu wewnętrznego lub audyt niekompletny (nie objął wszystkich klauzul i procesów w zakresie) |
| ISO 14001 | Brak oceny zgodności z wymaganiami prawnymi lub rejestr prawny nieaktualny od ponad roku |
| ISO 45001 | Brak identyfikacji zagrożeń dla wszystkich czynności lub brak planów reagowania na sytuacje awaryjne |
| ISO 27001 | Brak SoA (Statement of Applicability) lub SoA nieuzasadniający wyłączeń kontroli z Załącznika A |
| Wszystkie normy | Brak przeglądu zarządzania lub protokół przeglądu niezawierający wszystkich wymaganych przez normę punktów |
Przygotowanie do konkretnych typów audytów
Przygotowanie różni się w zależności od tego, czy to Twój pierwszy audyt certyfikacyjny, audyt nadzoru czy recertyfikacja. Szczegółowe wskazówki dotyczące samego procesu certyfikacji znajdziesz w artykule Certyfikacja ISO krok po kroku. Informacje o wyborze właściwej jednostki certyfikującej — w artykule Jak wybrać jednostkę certyfikującą ISO.
Jeśli masz audyt nadzoru: auditor skupi się szczególnie na postępie w realizacji celów, zamknięciu niezgodności z poprzedniego audytu, wynikach audytów wewnętrznych i aktualności oceny ryzyka. Jeśli masz audyt recertyfikacyjny: traktuj go jak pełny audyt certyfikacyjny — obejmuje wszystkie obszary systemu.
Pytania i odpowiedzi o przygotowaniu do audytu ISO
Ile czasu przed audytem powinienem zacząć przygotowania?
Minimalne przygotowanie to 8 tygodni przed audytem — szczególnie jeśli musisz przeprowadzić audyt wewnętrzny i przegląd zarządzania. Jeśli organizacja utrzymuje system na bieżąco (aktualna dokumentacja, regularne audyty wewnętrzne, monitorowanie celów), wystarczy 2–3 tygodnie na weryfikację i logistykę. Systemy, które „żyją tylko przed audytem”, zawsze generują więcej niezgodności.
Czy mogę przeprowadzić audyt wewnętrzny sam, czy potrzebuję zewnętrznego auditora?
Audyt wewnętrzny może przeprowadzić własny pracownik organizacji, ale musi on spełniać dwa warunki: posiadać odpowiednie kompetencje (znajomość normy i technik audytowania) oraz być niezależny od auditowanego obszaru — nie może auditować swojej własnej pracy. Jeśli organizacja jest mała i brakuje niezależnych auditorów wewnętrznych, warto skorzystać z zewnętrznego auditora lub firmy doradczej.
Co jeśli nie zdążę zamknąć niezgodności przed audytem etapu 2?
Niezgodności z audytu wewnętrznego nie muszą być zamknięte przed audytem etapu 2, ale muszą mieć udokumentowany plan działań korygujących z terminami i przypisanymi odpowiedzialnościami. Auditor zewnętrzny ocenia, czy proces zarządzania niezgodnościami funkcjonuje — aktywne działania korygujące są dowodem działającego systemu. Brak jakichkolwiek działań byłby niezgodnością.
Czy auditor może zadawać pytania bezpośrednio pracownikom bez obecności kierownictwa?
Tak — i zazwyczaj tak robi. Rozmowy z pracownikami bez obecności przełożonych są standardową techniką audytową pozwalającą ocenić, czy system zarządzania jest rzeczywiście wdrożony, a nie tylko udokumentowany. Dlatego tak ważne jest przeszkolenie pracowników przed audytem — powinni znać politykę, swoje role i podstawowe procedury.
Jak długo trwa audyt certyfikacyjny i od czego zależy jego czas?
Czas trwania audytu określa norma EN ISO/IEC 17021-1 na podstawie liczby pracowników, złożoności procesów i zakresu systemu. Orientacyjnie: firma 50-osobowa z jedną normą — 1,5–2 dni; firma 200-osobowa — 3–4 dni. Dodatkowe czynniki wydłużające audyt to wiele lokalizacji, praca zmianowa i złożone procesy produkcyjne.
Czy mogę odmówić pokazania auditoru określonych dokumentów?
Organizacja może zastrzec niektóre dokumenty jako poufne (np. dane finansowe, dane osobowe pracowników w szczegółowych rejestrach). Jednak odmowa pokazania dokumentów wymaganych normą (np. oceny ryzyka, wyników audytów wewnętrznych, rejestru wymagań prawnych) skutkuje niezgodnością. Kwestie poufności najlepiej omówić z audytorem przed audytem.
Potrzebujesz audytu wewnętrznego lub przygotowania do certyfikacji?
Multicert Polska oferuje usługę audytu przedcertyfikacyjnego — niezależnego przeglądu Twojego systemu zarządzania przeprowadzonego przez doświadczonego eksperta przed audytem jednostki certyfikującej. Pozwala to zidentyfikować i usunąć potencjalne niezgodności zanim zobaczy je auditor certyfikacyjny.
Oferujemy również wsparcie przy wdrożeniu ISO 14001, ISO 45001 i ISO 27001, które przygotowuje organizację do audytu certyfikacyjnego od pierwszego dnia.
Skontaktuj się z nami, aby umówić audyt przedcertyfikacyjny lub bezpłatną konsultację dotyczącą przygotowania do certyfikacji ISO.
