AIC B 39/12 AIM/Aeronautical Information Management, Edvard Thomsensvej 14, DK-2300 Copenhagen S, Denmark TEL: +45 7221 8800, FAX: +45 7221 8888, E-mail: ais@trafikstyrelsen.dk, Internet: www.trafikstyrelsen.dk 10 DEC 2012 AIC B 39/12. Minimumskrav til procedurer og dokumentation for Compliance Audit* under Part M og Part 145. Baggrund Trafikstyrelsen har i forbindelse med vort generelle funktionstilsyn af autoriserede organisationer fundet flere forhold og mangler i den måde som Compliance Audit udføres og dokumenteres. Styrelsen har derfor fundet grundlag for denne præcisering. * I denne forbindelse skal Compliance Audit forstås som den del af en organisations kvalitetssystem, der monitorerer overensstemmelse mellem organisationen, det i expositionen beskrevet og kravene i bestemmelserne herunder f.eks. auditering af procedurer, faciliteter, styring af resursers (ressourcer?), udførsel af opgaver, dokumentation, o.s.v.. Compliance Audit Generelt: Organisationen skal sikre at der findes: klare beskrivelser i exposition omhandlende hele auditsystemet og dets afvikling, herunder bl.a. ansvar, delegering af udførsel, processer og anvendt dokumentation. Den nøjagtige beskrivelse i exposition af hvordan en organisation udøver Compliance Audit, vil altid være individuel og direkte tilpasset den enkelte organisation. detaljerede records med dokumentation for at de enkelte emner og områder er dækket og udført (f.eks. auditplan, auditrapporter, auditchecklister, notater, kopier af dokumenter fundet under audits, dokumentation for at der er foregået en proces for lukning af en konstateret afvigelse, referater fra møder osv.). Uddybning: Compliance Audit består af to led: 1. Sikring af, at denne omfatter hele organisationens autorisationsområde og 2. Den samlede proces. Ad.1. Audit systemet/strukturen skal sikre at der auditeres mod samtlige aktiviteter i organisationens (det fulde scope), også selv om det måtte omfatte auditering af de samme bestemmelser flere gange. Som eksempler på forskellige aktiviteter der kan være omfattet af de samme bestemmelser kan nævnes: Faciliteter på forskellige lokaliteter, line stationer, subcontracting, sample check af forskellige produktlinjer, samme produkt der behandles efter forskellige processer eller i forskellige faciliteter, osv.. Ad. 2. Den samlede proces skal indeholde følgende elementer: a. Beskrivelse af det system og/eller struktur som organisationen vil anvende for at dække det fulde scope. b. En fremadrettet plan som viser, hvornår på året de enkelte emner/områder planlægges auditeret. Det er et krav, at denne plan skal udarbejdes, gennemgås eller revideres hvert år. Planen (eller et eksempel på planen), skal være godkendt af Accountable Manager. c. En metode til at sikre og monitorere, at planen for de planlagte audits overholdes. d. Auditchecklister som er sporbare tilbage til systemet/strukturen. e. Auditrapporter efter udførte audits som er direkte sporbare tilbage til systemet/strukturen og planen. f. Metode til at lukke konstaterede afvigelser under auditeringen. Lukning af hver enkel afvigelse omfatter to niveauer: 1. Umiddelbar aktion i forhold den konstaterede afvigelse (afhjælpende aktion/remediate action) 2. Fastlæggelse af årsagen til afvigelsen,og evt. aktion for at forhindre gentagelse (root cause/correctiv action) g. Metode til at monitorere, hvordan konstaterede afvigelser korrigeres. h. System til sikring af at Accountable Manager holdes informeret om kvalitetsarbejdet og konstaterede afvigelser, herunder møder med relevante managers (Management Evaluation). (Bilag 5 sider)
Compliance Audit visualiseret: Exposition beskrivelse Compliance Audit Audit plan Supplerende dokumentation Checklister Notater Kopi Audit Rapport 1 Audit Rapport 2 Audit Rapport 3 Audit Rapport x Finding 1 Finding 2 Finding 3 Finding x Opfølgning Af Findings Øjeblikkelig Root cause Audit plan - status Management Evaluation Eksempler: På de næste sider følger et par eksempler på hvordan de styrende dokumenter kan se ud og/eller hvad de kan indeholde. Eksemplerne er taget fra Part 145 miljø men de kan anvendes til de fleste bestemmelser og organisationer.
Eksempler på dokumentation for Compliance Audit under Part 145, punktangivelserne henviser til Ad. 2 og dets underpunkter): a) Et eksempel på en visualisering af et audit system/struktur:
b) En eksempel på en auditplan - bemærk sammenhæng med system/struktur ovenfor. c) Organisationens individuel udformning Trafikstyrelsen ser ofte at en digital kopi af auditplanen anvendes, hvor så aktuelle datoer for udførte audits indtastes. d) Eksempel på en auditcheckliste med reference til bestemmelse som ligeledes er sporbare tilbage til systemet/strukturen. Herudover er der konkrete og relevante spørgsmål, samt mulighed for kommentarer og/eller referencer. e) Eksempel på emner som den enkelte auditrapport som minimum skal indeholde. Der skal være en konstaterbar sammenhæng med system/struktur og audit plan: Unikt nummer Dato Navn på auditør Scope sporbar tilbage til system/struktur og auditplan herunder f.eks.: o Hvilke bestemmelser og expositionafsnit auditten omfatter o Adresse på den facilitet der auditeres o Evt. om auditten omfatter en line stationer, subcontracting, eller sample check. Listning af hvilke personer der er set og/eller interviewet.
Summary Findings. Der vedlægges relevante attesterede checklister, understøttende dokumentation, notater og kopier af relevante dokumenter. f) Eksempler på emner der minimum skal angives i en afvigelsesrapport for oprettelse, opfølgning og lukning af en afvigelse: Auditøren opretter første del af afvigelsesrapporten: Reference til oprindelse: auditrapport, ekstern audit (f.eks. kunder eller Trafikstyrelsen), intern deviation, o.l. Dato Reference til det område der er i non-conformance (bestemmelse, exposition o.l.) Beskrivelse af non-conformance Evt. alvorlighedsgrad (f.eks. level 1 eller 2) Due date Navn på den auditør, der har rejst afvigelsesrapporten Navn på den person, der får ansvar for opfølgning og korrigerende handling normalt den manager, der har ansvaret for den del af produktionen hvor afvigelsen er konstateret. Manageren behandler afvigelsen indenfor to områder: Aktion: 1. Umiddelbar aktion i forhold den konstaterede afvigelse (afhjælpende aktion / remediate action) 2. Fastlæggelse af årsagen til den konstaterede afvigelse og evt. aktion for at undgå fremtidige gentagelser (root cause / correctiv action) Navn og dato for termin for afsluttet aktion skal anføres. Kvalitetsafdelingen lukker afvigelsesrapporten: Attestation for verifikation efter at auditøren har vurderet at de beskrevne tiltag er tilstrækkelige. Der skal evt. foretages geninspicering før endelig lukning, hvis det fremsendte materiale ikke er tilstrækkelig til fuldstændig verifikation. Navn og dato for lukningen skal anføres. Normalt oprettes der en afvigelsesrapport pr. afvigelse. Dette sikrer af hver afvigelse behandles individuelt og kan afsluttes separat. En afvigelsesrapport kan også anvendes som grundlag for opfølgning på afvigelser konstateret af eksterne auditører herunder også Trafikstyrelsens tilsyn. Den kan evt. også anvendes som opfølgning på deviationsrapporter indrapporteret fra det interne occurrence-rapporterings-system. g) Eksempler på elementer der skal tages stilling til for at skabe overblik, og sikre dokumentation for at der er foretaget opfølgning på konstaterede afvigelser: Reference til afvigelsesrapporten Resume af afvigelsens emne Dato hvor afvigelsen er konstateret
Dato / termin hvor den konstaterede afvigelse skal være lukket. Evt. dato for accepteret udsættelse Dato for managers lukning af afvigelsesrapporten: o Umiddelbar aktion - remediate action o Root cause / correctiv action Dato for kvalitetsafdelingens verifikation og lukning. h) Management Evaluation møder afholdes mellem Accountable Manager, Quality Manager (funktionen og ofte også med deltagelse af den øvrige ansvarlige ledelse. Møderne afholdes minimum 2 gange om året. Følgende er eksempler på dagsordenspunkter for mødet i forhold til Compliance Audit. Andre og flere punkter kan være relevante afhængig af organisationens størrelse og scope. En systematisk og dokumenteret gennemgang af organisationens afholdte audits herunder: o Resultaterne af audits o Organisationens evne til at korrigere afvigelser inden for givne tidsrammer o Afdækning af specifikke områder som kræver særlig indsats o Afdækning af trends som kræver særlig indsats o Generel vurdering af effektiviteten af organisationens procedurer Afsluttes med en status, konklusion og anbefalinger. Mødet dokumenteres ved referat.