5 min. læsning
Internt audit i små organisationer: krydsaudit-modellen
ISO 22000 kræver uafhængige interne auditorer. Svært, når tre personer bærer hele systemet. Krydsaudit-modellen løser det — sådan sættes programmet op.
Standarden kræver, at interne auditorer er uafhængige af det, de auditerer. I er tre nøglepersoner, og den kvalitetsansvarlige ejer stort set hele systemet. Det lyder som et umuligt krav. Det er det ikke, men det kræver en model.
Kravet: auditorer skal være uafhængige af det, de auditerer
Internt audit er et krav i ISO 22000:2018, og dermed i FSSC 22000. Kernen er, at virksomheden selv skal efterprøve, om fødevaresikkerhedsledelsessystemet lever op til både standardens krav og virksomhedens egne, og om det reelt er implementeret.
Standarden forlanger, at auditorer udvælges, så auditprocessens objektivitet og upartiskhed er sikret (pkt. 9.2.2). I praksis betyder det én ting: ingen auditerer sit eget arbejde.
Problemet i en lille organisation
I en lille organisation ejer den kvalitetsansvarlige typisk det hele: HACCP-planen, dokumentstyringen, leverandørstyringen, træningsprogrammet. Hvem auditerer så den, der ejer systemet?
Det var præcis situationen hos MyBite A/S, hvor tre nøglepersoner bærer hele systemet. Svaret er ikke at lade den kvalitetsansvarlige auditere sig selv og håbe, at certificeringsauditoren ikke spørger. Det spørger de til. Svaret er at fordele auditrollerne på tværs.
Krydsaudit-modellen
Princippet er enkelt: rollerne bytter områder. Den, der ejer et område, bliver auditeret af en af de andre.
| Område | Ejes af | Auditeres af |
|---|---|---|
| HACCP, dokumentstyring, FSMS | Kvalitetsansvarlig | Direktør |
| Indkøb og leverandørstyring | Direktør | Kvalitetsansvarlig |
| Produktion og PRP'er | Tredje nøgleperson | Kvalitetsansvarlig |
Direktøren er sjældent uddannet auditor. Derfor bygges modellen op over to år: Det første år deltager en tredje nøgleperson som co-auditor på audits sammen med den kvalitetsansvarlige. Personen lærer metoden, spørgeteknikken og evidenskravene i praksis. Året efter auditerer personen selvstændigt, og organisationen har pludselig to interne auditorer i stedet for én.
Oplæringen skal dokumenteres som al anden kompetence: hvem deltog i hvilke audits, hvornår, og hvornår blev personen vurderet klar til selvstændige audits.
Programmet: risikobaseret frekvens, ikke alt hvert år
Et internt auditprogram er ikke én stor audit i november. Det er en plan, der fordeler audits over året på områder, med en frekvens, der følger risikoen.
Områder med direkte fødevaresikkerhedsbetydning, fx CCP-overvågning og rengøring, auditeres oftere end fx dokumentstyring. Områder, hvor tidligere audits eller den eksterne audit fandt afvigelser, rykker op i frekvens.
Auditprogrammet skal samlet set vise, at hele systemet lever op til både egne krav og standardens (pkt. 9.2.1), og frekvensen skal tage hensyn til områdernes vigtighed, ændringer i systemet og resultater fra tidligere audits (pkt. 9.2.2). "Vi auditerer alt i Q4" er hverken risikobaseret eller realistisk for tre personer. Fire til seks mindre audits fordelt over året er til gengæld til at bære, også i højsæson.
Fra plan til evidens
Certificeringsauditoren vil se kæden, ikke kun planen:
- Auditprogram: hvilke områder, hvilken frekvens, hvilken auditor
- Tjekliste pr. audit: de krav, der efterprøves, med plads til observationer
- Auditrapport: findings med objektiv evidens, altså hvad blev set, hvor og hvornår
- Opfølgning: hver finding får en ansvarlig, en frist og en lukning med evidens
Det sidste punkt er der, hvor det oftest knækker. Et internt audit, der finder ting, som ingen følger op på, er værre end ingenting: det er dokumenteret evidens for, at systemet kender sine egne huller og ignorerer dem. Findings skal ind i samme korrigerende-handlinger-spor som alt andet og samles op i ledelsens evaluering.
Internt audit som generalprøve
Brugt rigtigt er det interne audit jeres generalprøve før den eksterne. Auditér mod de samme krav, certificeringsauditoren bruger, og med samme evidenskrav. En finding fundet internt koster en opfølgningsopgave. Den samme finding fundet ved Stage 2 koster en afvigelse med frister på.
MyBite fik 21 afvigelser ved deres Stage 2-audit. En stor del af den type fund kan fanges internt, hvis generalprøven gennemføres seriøst inden. Sådan forbereder I Stage 2.
Årshjulet holder programmet i live
Det svageste punkt i interne auditprogrammer er ikke fagligheden. Det er kalenderen. Audits, der ikke har en dato og en ansvarlig, bliver ikke gennemført, og hullet opdages først, når den eksterne auditor beder om årets auditrapporter.
Hos MyBite ligger de interne audits i dag som tilbagevendende opgaver i et digitalt FSMS-årshjul med 41 faste opgaver, med ansvarlig og deadline på hver. Se hvordan årshjulet er bygget op, eller kontakt os, hvis I vil have hjælp til at få auditprogrammet til at køre af sig selv.