прочитано
#СМК #стандарты ИСО #управление рисками #ликбез #аудит

Между аудиторами органов по сертификации и специалистами компаний в рамках исполнения требований стандарта ИСО 9001-2015 регулярно возникают конфликтные ситуации, пропасть непонимания растет. Как правильно вести себя в спорных ситуациях организациям, которые внедрили (или думают, что внедрили) стандарт?

1 9

Коллизия первая. Про документы

Первая спорная ситуация появилась с выходом стандарта ИСО 9001 версии 2015 года. Наибольшее количество вопросов возникает у предприятий при подаче заявки на сертификацию.

Как правило, организация заполняет и отправляет заявку в орган по сертификации. Обычно к ней прикладывают схему организационной структуры и документы, подтверждающие выполнение требований стандарта.

Притом стандарт не обязывает предоставлять документированный вариант описания организационной структуры.

При получении заявки для проведения первого этапа сертификации – а именно, анализа документации – орган по сертификации запрашивает пакет документов. Либо все сразу, либо что-то из перечисленного:

1. Область применения СМК, включая описание среды организации (продукция и услуги);

2. Заинтересованные стороны и их требования;

3. Внешние и внутренние факторы, влияющие на функционирование СМК;

4. Документированные описания основных процессов СМК, включающие:

  • входы и выходы процессов;
  • последовательность и взаимодействие процессов;
  • критерии и методы оценки результативности процессов;
  • ресурсы, необходимые для функционирования процессов;
  • обязанности, ответственность и полномочия персонала, задействованного в реализации процессов;
  • риски и возможности для каждого процесса и т.д.

В стандарте ИСО 9001-2015 нет никаких конкретных требований к документированию именно нормативной, стратегической и иной информации, направленной на обеспечение выполнения работ, как это было, например, в версии 2008 года. Организация теперь сама определяет достаточность таких документов.

Орган по сертификации не вправе требовать от организации при проведении сертификации или предварительной оценки какие-либо документы для анализа, кроме политики и целей в области качества

В ИСО 9001-2015 не заложено юридических оснований для этого.

Особо стоит обратить внимание на формулировку требований в пункте 4.3 «Определение области применения системы менеджмента качества».

Область применения системы менеджмента качества организации должна быть доступна, разрабатываться, актуализироваться и применяться как документированная информация.

Притом организация может документировать сведения там, где ей удобно, например, в приказе о внедрении СМК или в любом другом документе. Одновременно компания документирует свою область непосредственно в подаваемой заявке.

Как же тогда проводить анализ документации органу по сертификации? Какие именно документы анализировать на первом этапе? Ответ заложен в самих требованиях стандарта.

Первый этап сертификации – ознакомление с организацией, а уже потом, как составная часть этого процесса, – анализ документации.

План действий

Можно поступить двумя способами:

  • Запросить у организации, какие именно документы она себе разработала в части исполнения и реализации требований ИСО 9001-2015. Просмотреть их заранее.
  • При в выезде на место выяснить, какие документы, а главное – зачем, организация разработала, внедряя требования ИСО 9001-2015. Уже на месте посмотреть эти документы.

Коллизия вторая. Про риск-ориентированное мышление

Ситуация: по итогам аудита в компании оформлен акт о несоответствии по отделу закупок.

Заключение аудитора: «В своей работе отдел закупок никоим образом не предусмотрел риск санкций и невозможности провести закупку при ее планировании на следующий плановый период. Данный риск нигде не учтен и не идентифицирован. Не соответствует требованиям стандарта ИСО 9001-2015 пункт 6.1.1.а.»

Притом в компании вообще не разрабатывалась процедура по управлению рисками. Требований в руководстве по качеству по оценке и идентификации рисков нет.

Однако аудитор настаивает, что корректирующие действия должны быть направлены именно на разработку и внедрение таких процедур. Компания разделяет другой взгляд на вещи.

  • Вопрос: прав ли аудитор?
  • Ответ: категорически неправ.

Достаточно внимательно посмотреть требования подраздела 6.1 целиком. Там нет указания идентифицировать, оценивать какие-либо риски и документировать результаты данной работы. Тем более раздел 6.1. не содержит требований, которые предусматривают:

  • процедуру внедрения риск-ориентированного мышления;
  • разработку документированной процедуры по управлению рисками.

Концепция стандарта ИСО 9001-2015 в части риск-ориентированного мышления заключается совершенно в другом.

В приложении А-4 разработчики делают акцент на том, что стандарт не требует от компании тщательной проработки всех рисков, их анализа и документирования.

В данном приложении разработчики поясняют, как они интерпретируют требования раздела 6.1.
Приведем и разберем некоторые позиции из этого приложения.

А.4 Риск-ориентированное мышление:

«Одна из ключевых целей системы менеджмента качества состоит в том, чтобы она действовала как инструмент предупреждения. Поэтому настоящий стандарт не имеет отдельного раздела или пункта по предупреждающим действиям. 

Понятие предупреждающего действия выражено через использование риск-ориентированного мышления при формулировке требований к системе менеджмента качества».

Таким образом, мы понимаем, что и в старой версии стандарта с помощью пункта «Предупреждающие действия» пытались «навязать» компаниям действовать с позиции «семь раз отмерь, один раз отрежь».

Просто в форме и порядке изложения данной концепции в старой версии стандарта эта мысль была недостаточно раскрыта по сравнению с новой.

По сути, предупреждающие действия превратились в риск-ориентированное мышление, которое теперь прослеживается в каждом пункте стандарта

Но если вспомнить, версия стандарта 2008 года не требовала от нас процедур управления рисками, построенных на базе требований стандарта ИСО 31000, например.

Это также отдельно прописано в приложении А-4:

«Несмотря на то, что п. 6.1 указывает, что организация должна планировать действия в отношении рисков, стандарт не требует формализованных методов менеджмента рисков или документированного процесса менеджмента рисков. 

Организации могут решать, следует ли разрабатывать более обширную методологию менеджмента риска, чем требуется настоящим стандартом, например, за счет применения других руководящих указаний или стандартов».


Очень нужный и актуальный материал. Практично, доступно, образно.
Ответить