BRCGS Packaging Materials Manufacturing Audyt CAPA Case study

Audyt klientowski BRCGS Packaging Materials bez chaosu — case study z fabryki opakowań

Pełnomocnik SZJ w fabryce opakowań kartonowych ma 6 tygodni na audyt klientowski BRCGS PM. 300+ wymagań, 5 działów, kilkadziesiąt CAPA. Case study pokazuje przepływ import → wyodrębnienie → przegląd przez Pełnomocnika SZJ → analiza luk → CAPA, który pozwolił zamknąć audyt bez pracy w weekendy.

Pulsar GRC Team
Audyt klientowski BRCGS Packaging Materials bez chaosu — case study z fabryki opakowań

Kontekst: 6 tygodni, 300+ wymagań, 180 FTE

Fabryka opakowań kartonowych, 180 pracowników, klient audytuje co 18 miesięcy wg BRCGS Packaging Materials. Pełnomocnik SZJ ma sześć tygodni. Dokumentacja procesów jest w porządku — ale rozsiana: część na dysku zespołowym, część w folderach per dział, część w skrzynkach mailowych, kilkanaście ważnych wersji w arkuszach Excel z formułami, których nikt już nie pamięta.

To typowy obraz z zakładów, które mają ISO 9001 + BRCGS i co 12–36 miesięcy przechodzą audyty klientowskie. Problem nie polega na braku danych — polega na tym, że nikt nie widzi pełnego obrazu na jednym ekranie, bez ręcznego zbierania statusów przez tydzień.

Dzień 1: upload licencjonowanej kopii standardu

Pierwszy krok nie polega na pisaniu procedur od zera. Pełnomocnik wgrywa do platformy swoją licencjonowaną kopię BRCGS Packaging Materials (PDF). Platforma prowadzi dokument przez proces wyodrębniania wymagań z kontrolą Pełnomocnika:

  1. Wyciąg wymagań — AI wyciąga każde wymaganie z cytowaniem sekcji standardu (np. „BRCGS PM section 4.8 — control of raw materials”). Nic nie trafia do bazy bez zgody użytkownika.
  2. Przegląd przez Pełnomocnika SZJ — Pełnomocnik przegląda wyodrębnione wymagania: akceptuje, odrzuca, koryguje cytaty i dodaje kontekst. To świadoma kontrola, nie mechaniczne zatwierdzenie.
  3. Commit do bazy — dopiero zaakceptowane wymagania tworzą baseline. Każde ma swój source pointer, wersję standardu i datę przeglądu.

Dzień pierwszy kończy się z baseline 300+ wymagań zmapowanych na sekcje standardu. Bez pisania procedur, bez „zabiegania ze szpadlem za dokumentami”.

Tydzień 1–2: mapowanie na procesy produkcyjne

Każde wymaganie BRCGS PM trzeba powiązać z realnym procesem: przyjęcie surowca, kontrola półproduktu, obieg druku, kontrola końcowa, wysyłka i identyfikowalność dla każdej partii. Mapowanie odbywa się w kilku sesjach z zespołem jakości i produkcji — każde wymaganie otrzymuje:

  • Właściciela kontroli (kto odpowiada)
  • Wymagany dowód (rejestr partii, certyfikat dostawcy, zapis z linii druku, wynik testu fizycznego)
  • Częstotliwość kontroli (dla każdej partii, dla każdej zmiany, raz w miesiącu, przy każdej zmianie dostawcy)
  • Flag applicability (czy wymaganie dotyczy wszystkich linii, czy tylko wybranych)

Po dwóch tygodniach widać dashboard pokrycia: zielone wymagania (kontrola + dowód), żółte (kontrola bez dowodu), czerwone (brak kontroli). Zespół wie, gdzie skupić uwagę w pozostałych 4 tygodniach.

Tydzień 3–4: analiza luk i CAPA z weryfikacją skuteczności

Czerwone i żółte wymagania stają się listą niezgodności do zamknięcia. Każde otrzymuje CAPA z właścicielem, terminem i weryfikacją skuteczności. Zamknięcie CAPA nie jest możliwe bez potwierdzenia, że działanie faktycznie rozwiązało problem.

Przykładowe CAPA z tego projektu:

  • CAPA-182 — BRCGS PM section 4.8.3: brak dowodu rotacji dostawców krytycznego surowca (karton powlekany). Właściciel: kierownik zakupów. Termin: +3 tygodnie. Weryfikacja skuteczności: rejestr rotacji za ostatnie 12 miesięcy + polityka ponownej akceptacji co 24 miesiące.
  • CAPA-198 — BRCGS PM section 5.4: ćwiczenie wycofania produktu nie było przeprowadzane od 15 miesięcy (wymóg: co 12). Właściciel: Pełnomocnik SZJ. Termin: +2 tygodnie. Weryfikacja skuteczności: ćwiczenie + dokumentacja TTX prowadzona w Zmianowo + wnioski po ćwiczeniu.
  • CAPA-207 — BRCGS PM, sekcja 6.1: zatwierdzenie nowego dostawcy farb — brak kompletnej dokumentacji audytowej. Właściciel: Inżynier Jakości. Termin: +4 tygodnie.

Tablica CAPA (Kanban Open → In Progress → Root Cause → Action Planned → Pending Verification → Closed) pokazuje status codziennie. Zamknięte CAPA nie wracają jako „zapomniane” — są wersjonowane, mają pakiet dowodowy, a każde przejście statusu zostawia ślad audytowy.

Tydzień 5: ewidencja i dokumentacja dostawców

Trzy tygodnie przed audytem zespół koncentruje się na dostawcach: 24 dostawców krytycznych, z czego 6 nowych w ciągu ostatniego roku. Rejestr dostawców z cyklem przeglądów (Draft → Under Review → Active Review → Approved → Suspended) pokazuje dokładnie, którzy mają kompletną dokumentację audytową, a którzy są w trakcie ponownej akceptacji.

Każde wymaganie BRCGS dotyczące dostawców ma flagę zastosowania (is_brcgs_supplier) i powiązane wymagania dowodowe. Dostawca bez kompletnych dowodów nie przechodzi do aktywnego przeglądu — system technicznie blokuje certyfikację do czasu dostarczenia brakujących dokumentów.

Tydzień 6: pakiet dowodowy i próba audytu

Ostatni tydzień to pakiet dowodowy dla sekcji BRCGS. Dla każdej sekcji standardu generowany jest kompletny pakiet: lista wymagań, powiązane kontrole, dowody z kryptograficznym potwierdzeniem pochodzenia, zatwierdzenia i oś czasu zmian. Pakiet ma weryfikację kryptograficzną — audytor dostaje archiwum, sprawdza manifest i widzi dokładnie to samo, co widzi zespół jakości.

Próba audytu z zespołem wewnętrznym (Portal audytora z ograniczonym zakresem dostępu i TTL) pozwala sprawdzić, czy zespół faktycznie wie, gdzie szukać dowodów i jak je prezentować. Ustalenia z próby trafiają jako zadania do zamknięcia w ostatnich 3 dniach.

Dzień audytu: rezultat

Audytor klienta dostaje:

  • Pakiet dowodowy dla sekcji BRCGS PM z weryfikacją kryptograficzną
  • Rejestr CAPA z weryfikacją skuteczności dla wszystkich zamkniętych niezgodności
  • Rejestr dostawców z kompletną dokumentacją dla każdego dostawcy
  • Activity Stream z 18 miesięcy — każda istotna zmiana w procesach ma timestamp, ownera i uzasadnienie
  • Przegląd zarządzania z ostatnich 4 kwartałów — z decyzjami i ich realizacją

Wynik audytu: 2 obserwacje (minor), zero non-conformities. Audytor zamyka dokumentację w pół dnia zamiast trzech dni.

Czego nauczył się zespół

Po projekcie Pełnomocnik SZJ zsumował kilka wniosków:

  1. Import standardu i przegląd przez Pełnomocnika SZJ to nie ułatwienie, tylko zmiana modelu operacyjnego. Wymagania nie są „gdzieś w PDFie”, tylko realnymi obiektami bazy danych z właścicielami i cyklem przeglądów.
  2. Weryfikacja skuteczności zmienia kulturę CAPA. Zamiast „zamknęliśmy, idziemy dalej”, zespół weryfikuje, że problem faktycznie nie wraca. Powtórne niezgodności spadły o 40% w kolejnym cyklu.
  3. Pakiet dowodowy z weryfikacją kryptograficzną ułatwia rozmowę z audytorem. Audytor nie musi mieć dostępu do systemu — wystarczy archiwum i komputer. Zaufanie rośnie szybciej.
  4. Dashboard pokrycia 6 tygodni przed audytem = żadnej pracy w weekendy. Zespół widział luki, gdy był czas je zamknąć — nie w ostatnim tygodniu.

Co by się nie udało bez odpowiedniego podejścia

Model „pod audyt” (zbieranie dowodów przez miesiąc przed wizytą, aktualizacja arkuszy w nocy, ręczne odtwarzanie statusu CAPA) byłby nie tylko bardziej stresujący — byłby też rzeczywiście droższy:

  • Koszt pracy ekspertów domenowych oderwanych od operacji (kilkaset godzin przez 6 tygodni)
  • Koszt powtórnych audytów (zwykle 1 na 5 audytów klientowskich kończy się wizytą powtórną z kosztem 8–15k PLN)
  • Koszt utraty certyfikatu lub downgrade statusu dostawcy (utrata kontraktu z OEM)

Systemowe podejście to nie „dodanie narzędzia” — to zmiana z trybu kryzysowego na ciągłą gotowość operacyjną.

Chcesz zobaczyć, jak taki proces mógłby wyglądać u Ciebie? Zapytaj o dostęp do Pulsar GRC i opisz swój scenariusz audytowy.