Audit secundă parte furnizor ISO: 3 modele și cost
Auditul de secundă parte verifică furnizorii ISO. Trei modele (intern, consultant, SMETA), cost 0-8.000 lei și când e obligatoriu pe clauza 8.4.
Daca firma ta are subcontractori, furnizori de materii prime sau prestatori critici, la un moment dat trebuie sa-i auditezi. Auditul de secunda parte este verificarea facuta de client (sau auditor delegat de client) la furnizorul sau, ca sa confirme ca respecta cerintele contractuale si standardul ISO relevant. Costa intre 0 si 8.000 lei pe sesiune, dureaza 0,5-2 zile la fata locului si se poate organiza in trei modele diferite.
ISO 9001 clauza 8.4 cere control proportional asupra furnizorilor externi, iar pentru anumite standarde (IATF 16949 auto, ISO 22000 alimentar, ISO 27001 IT) auditul la furnizor devine practic obligatoriu. Mai jos ai tabelul comparativ pe modele, decizia “cand e necesar” si un calcul real pe un SRL cu 12 angajati.
Cele 3 modele de audit la furnizor
Alegerea modelului depinde de numarul de furnizori critici, bugetul anual si recunoasterea ceruta de clientii tai sau de standard.
| Model | Cost | Durata pe furnizor | Recunoastere externa | Recomandat cand |
|---|---|---|---|---|
| Audit cu auditor propriu instruit | 0 lei direct | 1-2 zile-om + raport | Nu | Ai sub 5 furnizori critici si auditor intern cu curs ISO 19011 |
| Outsourcing la consultant ISO | 3.500-8.000 lei + TVA | 0,5-2 zile audit + 2-5 zile raport | Limitata, accepta de majoritatea clientilor | Ai 5-15 furnizori, vrei raport independent |
| Platforme tip Sedex (SMETA) | 1.500-3.500 USD per audit | 1-2 zile audit, raport in Sedex 12 luni | Internationala, retail major | Esti retailer mare sau lucrezi cu lanturi gen Carrefour, Lidl, Auchan |
Modelul intern e gratuit pe hartie, dar consuma resursa. Un auditor propriu pierde 2-3 zile per furnizor (pregatire, deplasare, audit, raport), plus costul cursului initial de auditor intern (1.500-3.500 lei).
Outsourcingul la consultant ISO este cea mai folosita varianta in firmele mici si mijlocii. Consultantul vine cu fisa de audit, intervieveaza personalul cheie, verifica documente si livreaza raport in 5-7 zile lucratoare. Bonus: raportul vine de la o terta persoana, deci e mai obiectiv decat unul intern.
Platformele Sedex au alt scop. SMETA (Sedex Members Ethical Trade Audit) standardizeaza auditurile pe 4 piloni: munca, sanatate si securitate, mediu, etica de afaceri. Auditul e facut de organism de certificare acreditat, iar raportul ramane vizibil in baza Sedex pentru toti clientii furnizorului 12 luni. Folosit aproape exclusiv in retail si supply chain global.
Prima, secunda sau terta parte: care e diferenta?
Confuzia apare frecvent pentru ca cele trei tipuri au actori diferiti si scopuri diferite.
| Tip audit | Cine il face | Subiect auditat | Scop |
|---|---|---|---|
| Prima parte (intern) | Auditor propriu sau contractat | Propria organizatie | Verificare interna inainte de audit extern (clauza 9.2) |
| Secunda parte | Clientul sau auditor delegat de client | Furnizorul clientului | Decizia de a continua colaborarea, control pe clauza 8.4 |
| Terta parte (certificare) | Organism de certificare acreditat (de exemplu RENAR) | Organizatia care vrea certificatul | Emiterea sau mentinerea certificatului ISO |
Detalii pe toate cele cinci subcategorii de audit (intern, secunda parte, certificare initiala, supraveghere, recertificare) gasesti in ghidul cu tipurile de audit ISO.
Cand devine obligatoriu auditul la furnizor
Standardele impun audit la furnizor diferit, in functie de risc si industrie.
ISO 9001 (calitate) prin clauza 8.4 cere control proportional cu impactul furnizorului asupra produsului final. Pentru un furnizor de papetarie, evaluarea pe chestionar e suficienta. Pentru un furnizor de componente care intra direct in produsul finit, auditul devine obligatoriu in practica.
IATF 16949 (auto) prin clauza 8.4.2.1 cere program documentat de audituri la furnizorii semnificativi. Daca firma ta livreaza catre Dacia, Ford sau orice constructor auto, auditurile de secunda parte sunt obligatorii anual la furnizorii proprii din lant.
ISO 22000 (siguranta alimentara) impune verificarea Programelor Preliminare (PRP) la furnizorii de materii prime, ambalaje si servicii care influenteaza siguranta alimentului. Auditul la fata locului e frecvent in industria alimentara, mai ales pentru furnizorii de carne, lactate si aditivi.
ISO 27001:2022 (securitate informatie) prin controalele A.5.19, A.5.20, A.5.21 si A.5.23 cere evaluarea si monitorizarea furnizorilor de servicii IT si cloud. Pentru furnizorii cloud critici, auditul anual sau accesul la rapoarte de tip SOC 2 sunt practica standard.
Retail major. Carrefour, Lidl, Kaufland si Auchan impun audituri SMETA prin Sedex la furnizorii de produse private label. Fara raport Sedex valabil, contractul cu retailul mare nu poate continua.
In afara acestor cazuri, auditul de secunda parte este optional. Ramane recomandat pentru furnizorii cu impact mare asupra calitatii, termenului de livrare sau reputatiei tale fata de clienti.
Cum decurge concret un audit la furnizor
Un audit de secunda parte tipic are 4 etape, indiferent de model.
- Pregatire (cu 1-2 saptamani inainte). Trimiti furnizorului tematica auditului, lista documente cerute si data propusa. Furnizorul confirma sau renegociaza.
- Audit la fata locului (0,5-2 zile). Sedinta deschidere, verificare documente, interviuri cu personalul cheie, vizita in productie sau in spatiul de operare, sedinta de inchidere.
- Raport (2-5 zile dupa audit). Raportul listeaza neconformitati majore, neconformitati minore, observatii si oportunitati de imbunatatire.
- Plan de actiuni corective. Furnizorul propune termene, tu validezi, urmaresti inchiderea in 30-90 zile.
Auditul nu emite un certificat. Rezultatul ramane intre client si furnizor si influenteaza doar decizia clientului de a continua, renegocia sau inceta colaborarea.
Metodologia oficiala e reglementata de SR EN ISO 19011:2018 (ghid pentru auditarea sistemelor de management), care defineste principii, competenta auditorului si gestionarea programului de audit.
Ce documente verifici la furnizor
Lista tipic ceruta inainte si la fata locului:
- Certificatul ISO valabil al furnizorului (daca e certificat)
- Raportul ultimului audit intern si planul de actiuni corective inchise
- Procedura de control al productiei sau serviciului
- Fisa de evaluare a furnizorilor sai (sub-furnizori, daca exista)
- Registru neconformitati si reclamatii client cu rezolvare
- Dovezi calibrare echipamente critice (acolo unde se aplica)
- Plan de continuitate sau plan de urgenta
- Pentru ISO 27001: registru active, evaluare risc, declaratie aplicabilitate
In functie de standard, lista se ajusteaza. Pentru un furnizor de servicii IT cu ISO 27001, cere si rapoarte de penetration test si log-uri de incidente. Pentru un producator alimentar, cere planul HACCP si trasabilitatea loturilor.
Cost pe model: calcul real
Daca ai 8 furnizori si auditezi anual doar cei 3 critici, calculul arata asa.
| Model | Cost anual direct | Resursa interna |
|---|---|---|
| Auditor intern propriu (2 zile/furnizor) | 0 lei | 6 zile-om/an + curs auditor 1.500-3.500 lei (o data) |
| Consultant outsourcing (3 audituri x 2.500 lei) | 7.500 lei + TVA | 1 zi-om coordonare |
| SMETA prin organism acreditat | 4.500-10.500 USD | minim, organismul livreaza tot |
Tariful unui consultant ISO senior in Romania e intre 1.500 si 3.000 lei pe zi in 2026, plus 0,5 zi de raport. Detalii pe alte tipuri de audituri si scope in ghidul cu preturile pe tipuri de audit ISO si in intrebarea ce este auditul ISO.
Scenariu concret: SRL distribuitor IT cu 12 angajati
Ai un SRL care distribuie echipamente IT, esti certificat ISO 27001 si lucrezi cu 8 furnizori: 3 furnizori cloud (2 internationali plus un provider local), 2 firme de service hardware si 3 transportatori.
Riscul cel mai mare este la cei 3 furnizori cloud, pentru ca proceseaza date ale clientilor tai. Auditul de secunda parte la cloud-urile internationale nu se poate face direct (nu te primesc in centrele lor de date), asa ca te bazezi pe rapoartele lor SOC 2 si ISO 27001 plus contracte cu clauze de securitate stricte. La providerul cloud local faci audit anual de 1 zi cu un consultant ISO 27001: 2.500 lei audit plus 1.000 lei raport, total 3.500 lei.
La cele 2 firme de service hardware faci audit la 2 ani, cate o jumatate de zi cu auditorul tau intern. La transportatori, evaluarea ramane pe chestionar plus indicatori de performanta (timp livrare, incidente).
Bugetul anual pentru auditare furnizori: circa 4.500 lei + TVA plus 3-4 zile-om interne. Costul ramane sub 0,2% din cifra de afaceri pentru o firma cu 1,5-2 milioane lei venituri.
Procesul tau e documentat conform clauzei 8.4 si controalelor A.5.19-A.5.23 din ISO 27001:2022. La auditul de supraveghere extern, auditorul vede ca ai un sistem functional de control al furnizorilor si trece sectiunea fara observatii. Detalii despre cerintele pe care le verifica auditorul intern gasesti in ghidul cu auditul intern ISO pas cu pas.
Daca tu esti furnizorul auditat
Daca esti pe partea cealalta a relatiei (un client important te anunta ca vine sa te auditeze), ai nevoie de patru lucruri:
- Certificat ISO valabil pe standardele relevante (9001, 14001, 27001 etc.)
- Raport audit intern recent, sub 12 luni vechime
- Procedurile principale documentate si aplicate vizibil
- Lista de actiuni corective inchise pe ultimele 12 luni
Daca certificatul tau expira inainte de auditul anuntat sau inca nu ai unul, ai nevoie de obtinere sau reinnoire rapida. Daca timpul conteaza, exista furnizori care emit certificatul in 3-5 zile lucratoare, 100% online. Vezi onlineiso.ro pentru oferta curenta.
Auditul de secunda parte se intersecteaza cu cerintele clauzei 8.4 din ISO 9001 pe care le aplici si tu, ca client, asupra propriilor furnizori. Lista de criterii, fisa de punctaj si registru model gasesti in ghidul pe clauza 8.4 si evaluarea furnizorilor.
Intrebari frecvente
Cat dureaza un audit de secunda parte la un furnizor mic?
Pentru un furnizor cu sub 25 de angajati, auditul la fata locului dureaza 0,5-1 zi. Raportul ajunge in 3-5 zile lucratoare. Durata totala a proiectului: 1-2 saptamani de la anuntare la planul de actiuni corective.
Pot folosi raportul de audit secunda parte ca sa-mi inlocuiesc auditul intern?
Nu. Auditul intern (clauza 9.2 din ISO 9001) se face pe propria organizatie, nu pe furnizori. Auditul de secunda parte acopera clauza 8.4 (control furnizori externi), care e o clauza diferita. Trebuie sa pastrezi inregistrari separate pentru fiecare.
Auditorul de secunda parte trebuie sa fie certificat?
SR EN ISO 19011:2018 cere competenta, nu o certificare individuala obligatorie. Auditorul tau intern, daca a urmat un curs acreditat de auditor intern ISO (40 ore), poate face audituri de secunda parte la furnizori. Pentru audituri SMETA sau IATF 16949, cerintele sunt mai stricte (curs specific Sedex sau IATF).
Cine plateste auditul de secunda parte?
Clientul, adica cel care initiaza auditul. Furnizorul nu primeste factura, dar suporta costurile indirecte: timp personal alocat, intreruperi de productie in timpul vizitei, eventualele actiuni corective dupa raport.
Pot refuza un audit de secunda parte de la un client?
Tehnic da, dar contractual ai semnat probabil clauze de control al calitatii si dreptul la audit. Refuzul deschide drumul rezilierii sau pierderii contractului. In practica, furnizorii accepta auditurile si negociaza doar data, durata si scope.
De cate ori pe an se face audit la acelasi furnizor?
Depinde de risc si standard. La ISO 9001 clauza 8.4 nu exista frecventa obligatorie, dar furnizorii critici se auditeaza tipic anual sau la 2 ani. La IATF 16949, anual pentru furnizorii semnificativi. La SMETA, raportul ramane valabil 12 luni in Sedex.
Adelina coordonează certificarea companiilor din România și oferă consultanță pentru implementarea sistemelor de management. Specialist în ISO 9001, 14001 și 45001.
Vezi toate articolele