ISO 9001 Denetiminde En Çok Takılan 5 Nokta (ve Nasıl Önlenir)

ISO 9001:2015 belgelendirme süreci iki aşamalı bir ilk denetimle başlar; Aşama 1'de doküman ve sistemin denetime hazır olup olmadığına bakılır, Aşama 2'de uygulamanın gerçekten standardı karşılayıp karşılamadığı sahada kontrol edilir. Denetçinin çıkardığı bulgular **majör** (sistemin bir temel şartını karşılamayan, tek başına belgelendirmeyi engelleyen) ve **minör** (sistemi ciddi etkilemeyen, ama düzeltilmesi gereken) uygunsuzluk olarak ikiye ayrılır. Tek bir majör uygunsuzluk bile, kapatılana kadar belgenin verilmesini durdurur. İşin kötüsü, sahadaki yüzlerce şartın aksine uygunsuzlukların büyük kısmı her sektörde aynı birkaç maddeden çıkar. Standardın güncel ve ücretsiz görüntülenebilen maddelerini ISO Online Browsing Platform üzerinden inceleyebilir, akredite belgelendirme kurallarını ise TÜRKAK üzerinden teyit edebilirsiniz. Aşağıda denetçilerin en sık takıldığı beş maddeyi ve her birini denetim öncesi nasıl kapatacağınızı sıraladık.

En klasik bulgu burada çıkar: sahada eski revizyonu kullanılan bir prosedür, onaysız yayımlanmış bir form, ya da hangi belgenin güncel olduğunun belirsiz olması. Madde 7.5, dokümante edilmiş bilginin yayımlanmadan önce onaylanmasını, revizyon durumunun belirlenmesini, kullanım noktasında erişilebilir ve okunabilir olmasını, dış kaynaklı belgelerin de kontrol edilmesini ister. Denetçi tipik olarak rastgele bir formu eline alır ve 'bunun güncel sürümü bu mu, kim ne zaman onaylamış?' diye sorar. Klasör ve paylaşılan ağ sürücüsüyle yürüyen sistemlerde bu sorunun cevabı çoğu zaman bulunamaz; aynı dokümanın 'son_final_v3' türevleri farklı bilgisayarlarda dolaşır. Önlem: tek doğruluk kaynağı (single source of truth) bir doküman yönetimi mantığı kurmak; her dokümanın sahibi, onay tarihi, revizyon numarası ve geçerlilik durumu otomatik takip edilmeli. KaliteJet gibi bir kalite yönetim yazılımında versiyon geçmişi, onay akışı ve eski revizyonun otomatik arşivlenmesi tam da bu uygunsuzluğu kökten kapatmak için vardır.

İkinci en sık bulgu, açılmış bir uygunsuzluğun 'düzeltme' ile 'düzeltici faaliyet' farkını gözetmemesi. Madde 10.2, uygunsuzluk oluştuğunda yalnızca anlık olarak düzeltmeyi (correction) değil; nedenini ortadan kaldırıp tekrarını önleyecek kök neden analizini ve faaliyetin etkinliğinin gözden geçirilmesini de şart koşar. Denetçiler belirtiyi (symptom) değil kök nedeni adresleyen kayıt ararlar ve en sık takıldıkları yer 'planlanan faaliyetin etkinliğinin sonradan teyit edilmemesi' yani PUKÖ döngüsünün 'Önlem Al' adımının takip edilmemesidir. Excel tablosunda 'düzeltildi' yazıp kapatılan DÖF'ler, kök neden ve etkinlik doğrulaması olmadığı için minör hatta majör bulgu üretir. Önlem: her DÖF/CAPA kaydında 'kök neden', 'yapılan faaliyet', 'etkinlik doğrulama tarihi' alanları zorunlu olmalı ve kapatma ancak etkinlik teyit edildiğinde mümkün olmalı. Yazılım tarafı bunu zorunlu alan ve durum (status) akışıyla otomatik dayatır; süresi gelen etkinlik kontrolleri hatırlatılır.

Madde 9.2 kuruluşun planlı aralıklarla iç denetim yapmasını, bir denetim programı oluşturmasını ve sonuçların ilgili yönetime raporlanmasını ister. Pratikte sık görülen bulgu: planlanan iç denetimin yıl içinde hiç yapılmaması, son ay sıkıştırılarak göstermelik kapatılması ya da bütün proseslerin programa alınmaması. İç denetim 'sistemin kendi kendine denetimi' olduğu için, dış denetim öncesinde bu boşluk genellikle başka uygunsuzlukların da habercisidir; denetçi iç denetimin zayıf olduğu yerde diğer maddelerde de bulgu bekler. Önlem: yıllık bir iç denetim takvimi kurun, her prosesi yılda en az bir kez kapsayın, denetim bulgularını da birer DÖF olarak izleyin. Dijital bir denetim modülü; soru listesi (checklist), bulgu kaydı, sorumlu atama ve termin takibini tek akışta yürütür, böylece 'son hafta sıkıştırma' refleksi ortadan kalkar. Süreci canlı görmek için ücretsiz demo talep edebilirsiniz.

İki teknik madde sıklıkla birlikte bulgu üretir. Madde 6.1, kuruluşun kalite yönetim sistemini etkileyebilecek risk ve fırsatları sistematik bir yöntemle belirlemesini ister; en sık takılma, risklerin bir kez yazılıp rafa kaldırılması, kalite hedefleri ve operasyonel kontrollerle ilişkilendirilmemesidir. Denetçi 'bu risk için ne yaptınız, etkinliğini izlediniz mi?' diye sorduğunda cevap çıkmaz. Madde 7.1.5 ise izleme ve ölçme kaynaklarının uygunluğunu, gerekli olduğunda kalibrasyon/doğrulama kayıtlarının tutulmasını ister; eksik veya süresi geçmiş kalibrasyon kayıtları sektör bağımsız en sık görülen bulgulardan biridir. Önlem: yaşayan bir risk kayıt defteri (risk register) tutun, her riski bir aksiyon ve hedefe bağlayın; ölçüm cihazları için kalibrasyon takvimi ve süresi yaklaşan cihaz uyarısı kurun. Bu iki kalemi tek panelde izlemek manuel takvimlerin gözden kaçırdığı sürelerin önüne geçer.

Beşinci grup üst yönetim katmanında çıkar. Madde 9.3, yönetimin gözden geçirmesinin (YGG) belirli girdileri kapsamasını ister: önceki YGG aksiyonlarının durumu, uygunsuzluk ve düzeltici faaliyet eğilimleri, iç/dış denetim sonuçları, müşteri geri bildirimi, kaynak yeterliliği. Sık bulgu: YGG toplantısının hiç yapılmaması ya da yapılıp tüm zorunlu girdilerin kayda geçmemesi. Madde 7.2 ise işi yapan personelin eğitim, beceri ve deneyime dayalı yetkinliğinin belirlenmesini ister; denetçiler yalnızca eğitim katılım listesini değil, eğitimin etkinliğinin değerlendirilmesini de arar. Denetim öncesi hızlı checklist: (1) Sahadaki her doküman güncel revizyonda ve onaylı mı? (2) Eski revizyonlar arşivde mi? (3) Tüm DÖF/CAPA'larda kök neden ve etkinlik doğrulaması var mı? (4) Yıllık iç denetim programı tamamlanmış ve tüm prosesleri kapsıyor mu? (5) Risk defteri güncel, riskler aksiyona bağlı mı? (6) Kalibrasyonlar güncel mi? (7) Son YGG tüm zorunlu girdileri içeriyor mu? (8) Yetkinlik matrisi ve eğitim etkinlik kayıtları tam mı? Bu kontrolleri manuel yürütmek hata payı yüksek bir iştir; doküman versiyonu, DÖF durumu, denetim takvimi, kalibrasyon süresi ve YGG kayıtlarını tek panelde otomatik izleyen bir kalite yönetim yazılımı 'denetime hazır' durumu sürekli canlı tutar.