ISO 9001 İç Tetkik Nasıl Yapılır? Adım Adım İç Denetçi Rehberi
Belgelendirme denetimi gelmeden önce kalite yönetim sisteminizi kendi gözünüzle yoklamanın yolu, ISO 9001 standardının madde 9.2'sinde tanımlanan iç tetkiktir (iç denetim). Düzgün yürütülen bir iç tetkik, dış denetimde karşınıza çıkacak uygunsuzlukları önceden yakalar, süreçlerin planlandığı gibi işleyip işlemediğini kanıtla ortaya koyar ve yönetime sahadan gelen somut veri taşır. Eksik yapılan ya da hiç yapılmayan bir iç tetkik ise belgelendirme denetiminde büyük uygunsuzluklara, hatta belgenin askıya alınmasına kadar uzanan bir zincirin ilk halkasıdır.
İç tetkik, kuruluşun kendi sistemini kendi personeliyle, planlı ve kanıta dayalı biçimde denetlemesidir. Sürecin omurgasında şu adımlar yer alır: tetkik programı ve tetkik planının hazırlanması, iç denetçi yetkinliği ve eğitimi, kontrol listesi oluşturma, kanıt toplama, uygunsuzluk ile düzeltici faaliyet (DÖF) yönetimi, tetkik raporunun yazılması, bulguların Yönetimin Gözden Geçirmesi (YGG) girdisi olarak kullanılması ve hepsinin üstünde duran tarafsızlık ilkesi. Aşağıda bu adımları, yeni bir iç denetçinin de sistemini olgunlaştırmak isteyen kalite yöneticisinin de doğrudan uygulayabileceği biçimde açıyoruz.
ISO 9001 İç Tetkik Nedir? (Madde 9.2)
İç tetkik, kuruluşun kendi kalite yönetim sistemini, kendi personeli (veya adına hareket eden bir taraf) eliyle, planlı aralıklarla ve sistematik biçimde denetlemesidir. ISO 9001:2015 standardının madde 9.2'si bunu "Performans değerlendirmesi" başlığı altında zorunlu tutar. İç tetkikin yanıt aradığı iki temel soru vardır:
- Uygunluk: Kalite yönetim sistemi, kuruluşun kendi belirlediği şartlara ve ISO 9001 standardının şartlarına uyuyor mu?
- Etkinlik: Sistem yalnızca kâğıt üzerinde mi var, yoksa sahada gerçekten etkili biçimde uygulanıp sürdürülüyor mu?
İç tetkiki bir ceza mekanizması gibi görmek baştan yanlış bir başlangıçtır; o bir iyileştirme aracıdır. Maksat kişileri suçlamak değil, sistemdeki boşlukları dış denetçiden önce bulup kapatmaktır. Bu yönüyle iç tetkik, üçüncü taraf belgelendirme denetiminden (Stage 1 ve Stage 2) ayrı bir denetimdir; ama o denetime en sağlam hazırlığı sağlayan birinci taraf denetimdir. İç tetkiklerin zamanla nasıl olgunlaştığını ve dış denetime nasıl bağlandığını ISO 9001 denetim aşamaları yazımızda bütünüyle ele alıyoruz. İç tetkikin denetlediği zorunlu maddelerin tamamını ise ISO 9001 şartları ve maddeleri rehberinde madde madde görebilirsiniz.
İç Tetkik Türleri: Birinci, İkinci ve Üçüncü Taraf
Kafa karışıklığını baştan gidermek için tetkik türlerini ayıralım. İç tetkik "birinci taraf" denetimdir ve onu ikinci ile üçüncü taraf denetimlerle karıştırmamak gerekir.
| Tetkik Türü | Kim Yapar | Amaç |
|---|---|---|
| Birinci taraf (İç Tetkik) | Kuruluşun kendisi / adına hareket eden taraf | Kendi sistemini doğrulamak, iyileştirme fırsatı bulmak |
| İkinci taraf (Tedarikçi Tetkiki) | Müşteri ya da onun adına bir taraf | Tedarikçinin uygunluğunu doğrulamak |
| Üçüncü taraf (Belgelendirme) | Bağımsız, akredite belgelendirme kuruluşu | Belge düzenlemek (Stage 1 / Stage 2) |
İç tetkik, üçüncü taraf belgelendirme denetiminin provası gibi çalışır: aynı standart maddelerini, aynı süreçleri masaya yatırır, ama bunu kuruluşun kendi gözüyle yapar. Böylece dış denetçi kapıdan girmeden, büyük uygunsuzluk adaylarını tespit edip kapatma şansı doğar.
İç Tetkik Programı (Audit Programme) Nasıl Oluşturulur?
Madde 9.2.2, kuruluştan bir tetkik programı oluşturmasını ister. Tetkik programı tek bir denetimin planı değildir; belirli bir dönem boyunca (çoğunlukla bir yıl) yapılacak tüm iç tetkiklerin çerçevesidir. İşe yarayan bir tetkik programı şu unsurları içerir:
- Sıklık ve zamanlama: Hangi süreç ya da bölüm ne zaman tetkik edilecek? Yıl içinde sistemin tamamı en az bir kez kapsanmalıdır.
- Risk temelli planlama: Her süreci aynı sıklıkta denetlemek zorunda değilsiniz. Risk düzeyi yüksek, müşteriyi doğrudan etkileyen veya önceki tetkiklerde uygunsuzluk çıkmış süreçler daha sık ve daha derin denetlenir.
- Önceki tetkik sonuçlarının dikkate alınması: Geçen dönem açık kalan bulgular, bu dönemin programını şekillendirir.
- Süreçlerin önemi: Kuruluşa ve müşteriye etkisi büyük olan süreçlere öncelik verilir.
- Raporlama ve kayıt: Programın kendisi, sonuçları ve dokümante edilmiş bilgiler kayıt altına alınır.
Tetkik programının çıktısı genellikle bir yıllık tetkik takvimidir: hangi ay hangi sürecin ya da bölümün, hangi iç denetçi tarafından denetleneceğini gösterir.
Tetkik Planı (Audit Plan) ile Programın Farkı
Bu iki kavram sahada sık karıştırılır, ayıralım. Tetkik programı dönemsel ve geneldir; tetkik planı ise tek bir tetkik faaliyetine özeldir ve o denetimin gününü, saatini, kapsamını ayrıntılandırır. Tek bir tetkik planı tipik olarak şunları içerir:
- Tetkikin amacı ve kapsamı (hangi süreç, hangi standart maddeleri)
- Tetkik kriterleri (ISO 9001 maddeleri, kuruluş prosedürleri, yasal şartlar)
- Tetkik tarihi, saati ve süresi
- Görevli iç denetçi(ler) ile denetlenecek bölüm ve sorumlular
- Açılış ve kapanış toplantısı zamanları
Tetkik planı, denetlenecek bölüme önceden iletilir; böylece sahadaki ekip hazırlanır ve denetim gününde doğru kişiler masada olur.
İç Denetçi Yetkinliği ve Eğitimi
İç tetkikin kalitesi büyük ölçüde iç denetçinin yetkinliğinde saklıdır. ISO 9001 madde 7.2 (yetkinlik) çerçevesinde iç denetçiden hem standardı hem de denetim tekniğini bilmesi beklenir. İyi bir iç denetçide aranan temel yetkinlikler şunlardır:
- ISO 9001 standardı bilgisi: Annex SL yapısını ve madde 4-10 şartlarını kavramak.
- Denetim tekniği: Soru sorma, kanıt toplama, örnekleme ve bulgu sınıflandırma becerisi.
- Proses ve sektör bilgisi: Denetlenen sürecin gerçek işleyişini okuyabilmek.
- İletişim ve tarafsızlık: Suçlamadan, kanıta dayalı ve yapıcı bir denetim yürütebilmek.
Bu yetkinlik çoğunlukla bir ISO 9001 iç denetçi (iç tetkikçi) eğitimi ile kazanılır. Eğitim; standardın yorumunu, denetim planlamasını, kontrol listesi hazırlamayı, bulgu yazmayı ve uygunsuzluk sınıflandırmasını kapsar. İç denetçinin bağımsız olması, yani kendi işini denetlememesi de yetkinlik kadar belirleyici bir koşuldur; bu ilkeyi aşağıda tarafsızlık başlığında ayrıntılandırıyoruz. Ekibinizdeki iç denetçi yetkinliğini standardın beklediği seviyeye taşımak için DIM Danışmanlık'tan iç denetçi eğitimi ve danışmanlık desteği talep edebilirsiniz.
İç Tetkik Adım Adım: Kontrol Listesinden Rapora
ISO 9001 iç tetkik süreci, sahada uygulanırken birbirini izleyen şu adımlardan oluşur:
- Hazırlık ve kontrol listesi oluşturma: İç denetçi, denetlenecek sürecin dokümanlarını (prosedür, talimat, kayıt) önceden inceler ve standardın ilgili maddelerini sahaya uyarlayan bir tetkik kontrol listesi hazırlar. Kontrol listesi, sorulacak soruları ve aranacak kanıtları atlamamak için yol haritasıdır; ama denetçiyi köreltmemeli, ortaya çıkan ipuçlarını da izlemesine alan bırakmalıdır.
- Açılış toplantısı: Denetlenen birimle kısa bir toplantı yapılır; tetkikin amacı, kapsamı, yöntemi ve süresi paylaşılır.
- Kanıt toplama (saha denetimi): İç denetçi; mülakat (sorular), gözlem (sahayı izleme) ve doküman/kayıt inceleme yoluyla objektif kanıt toplar. "Bu işi nasıl yapıyorsunuz?", "Bunu nereden görebilirim?", "Bu kaydın son örneğini gösterebilir misiniz?" gibi açık uçlu sorular esastır. Örnekleme yöntemiyle yeterli ve temsil edici kanıt aranır.
- Bulguların değerlendirilmesi: Toplanan kanıtlar tetkik kriterleriyle (standart maddeleri, prosedürler) karşılaştırılır. Sonuç ya uygunluk ya uygunsuzluk ya da iyileştirme fırsatıdır.
- Kapanış toplantısı: Bulgular denetlenen birimle paylaşılır; uygunsuzluklar üzerinde mutabakat sağlanır ve sonraki adımlar (DÖF) konuşulur.
- Tetkik raporunun yazılması: Tüm bulgular dokümante edilir ve rapor ilgili taraflara iletilir.
- Takip (follow-up): Açılan düzeltici faaliyetlerin uygulanıp uygulanmadığı ve etkinliği bir sonraki adımda doğrulanır.
Sistem kurulumu mu, iç denetçi eğitimi mi? Danışmanımızla ücretsiz görüşün
Uygunsuzluk ve Düzeltici Faaliyet (DÖF) Yönetimi
İç tetkikin asıl çıktısı, tespit edilen uygunsuzlukların doğru yönetilmesidir. Madde 10.2 (uygunsuzluk ve düzeltici faaliyet), her uygunsuzluk için yalnızca anlık düzeltmeyi değil, kök nedene yönelik bir düzeltici faaliyet (DÖF) açılmasını ister. Uygunsuzluklar genellikle iki düzeyde sınıflandırılır:
- Majör (büyük) uygunsuzluk: Bir standart şartının tümüyle karşılanmaması veya sistemin etkinliğini ciddi biçimde zedeleyen bir boşluk. Örneğin zorunlu bir sürecin hiç tanımlanmamış olması.
- Minör (küçük) uygunsuzluk: Sistemin genel etkinliğini bozmayan, tekil ve sınırlı bir sapma. Örneğin bir kaydın bir kez güncellenmemiş olması.
Bunların yanında, doğrudan uygunsuzluk sayılmayan ama iyileştirme potansiyeli taşıyan iyileştirme fırsatları (OFI) de raporlanabilir. Her uygunsuzluk için sağlıklı bir DÖF döngüsü şu adımları izler:
- Anlık düzeltme (containment): Sorunun anlık etkisini gidermek.
- Kök neden analizi: "5 Neden", balık kılçığı gibi tekniklerle gerçek nedeni bulmak.
- Düzeltici faaliyet: Kök nedeni ortadan kaldıracak kalıcı aksiyonu uygulamak.
- Etkinlik doğrulama: Faaliyetin sorunun tekrarını önleyip önlemediğini bir sonraki tetkikte teyit etmek.
DÖF kapatılmadan uygunsuzluk gerçekten çözülmüş sayılmaz; takip adımının sürecin ayrılmaz parçası olmasının sebebi budur.
Tetkik Raporu ve Dokümante Edilmiş Bilgi
İç tetkikin sonuçları, madde 9.2.2 gereği dokümante edilmiş bilgi olarak saklanmalıdır. Sağlam bir iç tetkik raporu şu unsurları içerir:
- Tetkikin amacı, kapsamı ve kriterleri
- Tetkik tarihi, görevli iç denetçi ve denetlenen birimler
- Tespit edilen uygunsuzluklar (majör/minör) ve kanıtları
- İyileştirme fırsatları ve gözlemler
- Olumlu yönler (güçlü uygulamalar)
- Açılan DÖF'ler, sorumluları ve termin tarihleri
- Genel değerlendirme ve sonuç
Rapor hem denetlenen birime hem de üst yönetime iletilir. Bu kayıtlar, belgelendirme denetiminde dış denetçinin ilk isteyeceği belgeler arasındadır; çünkü iç tetkik kayıtları, sistemin canlı ve işler olduğunun en güçlü kanıtıdır.
İç Tetkik Sonuçları YGG'nin Girdisidir
İç tetkik tek başına kapanan bir adım değil, yönetim sistemini besleyen bir döngüdür. Madde 9.3 (Yönetimin Gözden Geçirmesi - YGG), iç tetkik sonuçlarını YGG toplantısının zorunlu girdilerinden biri sayar. Yani iç tetkikte çıkan uygunsuzluklar, eğilimler ve iyileştirme fırsatları üst yönetimin önüne taşınır; yönetim bunları değerlendirir, kaynak ayırır ve sistemin sürekli iyileştirilmesine yön verir. Bu da Planla-Uygula-Kontrol Et-Önlem Al (PUKÖ / PDCA) döngüsünü tamamlar:
| PUKÖ Aşaması | İç Tetkikteki Karşılığı |
|---|---|
| Planla | Tetkik programı ve tetkik planının hazırlanması |
| Uygula | Saha tetkikinin yürütülmesi, kanıt toplama |
| Kontrol Et | Bulguların değerlendirilmesi, rapor, YGG girdisi |
| Önlem Al | Düzeltici faaliyetler (DÖF) ve etkinlik doğrulama |
Bu döngü, kuruluşun sahip olduğu ISO 9001 kalite yönetim sistemi belgesinin duvarda asılı bir sertifika olmaktan çıkıp gerçekten işleyen bir yönetim aracına dönüşmesini sağlar. İç tetkik, bu işleyişin nabzını tutan adımdır.
En Kritik İlke: Tarafsızlık (Kendi İşini Denetlememe)
İç tetkikin geçerliliğini en çok yıpratan hata, tarafsızlık ilkesinin çiğnenmesidir. Madde 9.2.2, tetkik sürecinin objektifliğinin ve tarafsızlığının güvence altına alınmasını açıkça ister. Bunun sahadaki en temel kuralı şudur: bir iç denetçi kendi işini ya da kendi sorumluluğundaki süreci denetleyemez.
- Satın alma sorumlusu, satın alma sürecini denetleyemez; başka bir bölümden eğitimli bir iç denetçi denetler.
- Kalite yöneticisi, kendi yazdığı prosedürün uygulandığı süreçte tarafsızlığını koruyamayacağı durumlarda devreden çıkar.
- Küçük kuruluşlarda yeterli bağımsız personel yoksa, tarafsızlığı sağlamak için dışarıdan yetkin bir iç denetçiden destek alınabilir.
Tarafsızlık olmadan iç tetkik, sistemin gerçek boşluklarını göremez; insan kendi işindeki körlüğü fark edemez. Bu yüzden denetçi atamasında bağımsızlık, yetkinlik kadar belirleyici bir kriterdir. Dış belgelendirme denetçileri de iç tetkik kayıtlarını incelerken bu tarafsızlığın sağlanıp sağlanmadığına özellikle bakar.
İç Tetkikte En Sık Yapılan Hatalar
Sahada en çok karşılaşılan ve belgelendirme denetiminde başınızı ağrıtabilecek iç tetkik hataları şunlardır:
- Göstermelik tetkik: Yalnızca dosya doldurmak için yapılan, kanıt aramayan yüzeysel denetim.
- Tarafsızlığın ihlali: Kişinin kendi sürecini denetlemesi.
- Kontrol listesine körü körüne bağlılık: Ortaya çıkan ipuçlarını izlemeyip yalnızca listedeki soruları sormak.
- Kök nedene inmemek: Uygunsuzluğu anlık düzeltip DÖF açmamak; aynı sorunun tekrar etmesi.
- Takip eksikliği: DÖF'lerin kapatılıp kapatılmadığının doğrulanmaması.
- Tüm sistemin kapsanmaması: Bazı süreçlerin yıl içinde hiç tetkik edilmemesi.
Bu hataların çoğu, iyi bir tetkik programı ve eğitimli iç denetçilerle baştan önlenir. İç tetkikle ilgili sıkça merak edilen ek soruların yanıtlarını en çok sorulan ISO 9001 soruları ve cevapları rehberimizde bulabilirsiniz.
İç Tetkik Sürecinde DIM Danışmanlığın Rolü
İç tetkik kuruluşunuzun kendi sorumluluğundadır; ne var ki ilk kez sistem kuran ya da iç denetçi kadrosunu olgunlaştırmak isteyen işletmeler için doğru bir başlangıç çoğu zaman tüm süreci belirler. DIM Danışmanlık tam burada devreye girer: tetkik programınızı risk temelli kurar, tetkik planı ve kontrol listesi şablonlarını oluşturur, iç denetçi ekibinize ISO 9001 iç denetçi eğitimi verir, uygunsuzluk ve DÖF yönetimini öğretir ve ilk iç tetkiklerinizde mentörlük yapar. Burada şu ayrımı netleştirelim: DIM Danışmanlık sistemi kuran, eğiten ve hazırlayan taraftır; kuruluşunuzun ISO 9001 belgesini düzenleyen ve üçüncü taraf denetimi yapan taraf ise bağımsız, akredite bir belgelendirme kuruluşudur.
Kalite yönetim sisteminizin iç tetkik altyapısını standardın beklediği seviyeye taşımak, iç denetçi ekibinizi yetkinleştirmek ve belgelendirme denetimine eksiksiz hazırlanmak için DIM Danışmanlık'tan ücretsiz ön değerlendirme talep edebilirsiniz.
