Вопрос эксперту. Журнал «Методы менеджмента качества», 2019, № 2

Версия для печати

О проведении внутреннего аудита СМК и ее анализа со стороны руководства перед началом работ по сертификации

В нашей организации заканчивается работа по внедрению системы менеджмента качества (СМК) на основе стандарта ISO 9001:2015, и мы готовимся к сертификации. Орган по сертификации, в который мы планируем обратиться, ссылаясь на требования ISO/IEC 17021-1:2015, предупредил нас, что необходимой предпосылкой для начала работ по сертификации является проведение у нас хотя бы раз внутреннего аудита СМК и анализа ее функционирования со стороны руководства.

Мы начали планирование действий по реализации этого условия, но столкнулись со следующей проблемой.

С одной стороны, анализ со стороны руководства требует, чтобы в состав исходных данных для этого была включена информация о результатах аудитов СМК (п. 9.3.2.с.6 стандарта ISO 9001:2015). В нашем случае, как мы понимаем, речь может идти только о внутренних аудитах.

Вместе с тем, чтобы информация о внутреннем аудите была полной и адекватной, он должен охватить все требования стандарта ISO 9001:2015, включая раздел 9.3 «Анализ со стороны руководства». А это сделать будет нельзя, поскольку такого анализа еще не было.

И получается замкнутый круг: чтобы анализ со стороны руководства был проведен в соответствии с требованиями раздела 9.3, он должен охватить материалы внутреннего аудита, а они не могут быть полными, поскольку внутренний аудит изначально не охватит анализ со стороны руководства, ибо он еще не будет проведен.

Просим уважаемых экспертов посоветовать нам, как выполнить требование органа по сертификации.

В п. 9.3.1.2.2.g стандарта ISO/IEC 17021-1:2015 [1] (далее — ISO/IEC 17021-1) действительно определено, что в число целей первой стадии первоначального сертификационного аудита входит оценка того, были ли запланированы и проведены внутренние аудиты и анализы со стороны руководства1 (в оригинале — evaluate if the internal audits and management reviews are being planned and performed).

При этом стоит отметить, что:

  • во-первых, это не новое положение, появившееся в ISO/IEC 17021 лишь в редакции 2015 г. Абсолютно такая же цель (и именно в оригинальных текстах) была поставлена перед первой стадией первоначального сертификационного аудита и в предыдущих редакциях этого стандарта: в п. 9.2.3.1.1.g стандарта ISO/IEC 17021:2011 [2] и даже еще раньше — в п. 9.2.3.1.1.g стандарта ISO/IEC 17021:2006 [3];

  • во-вторых, в цели уже ВТОРОЙ стадии такого аудита в ISO/IEC 17021-1 включили аудитирование ПРОВЕДЕНИЯ внутренних аудитов и анализа со стороны руководства (п. 9.3.1.3.е);

  • в-третьих, все это относится к первой стадии первоначальных сертификационных аудитов не только СМК, а вообще ВСЕХ сертифицируемых систем менеджмента.

А теперь попробуем ответить и на саму просьбу заявителей. Для этого нам придется рассмотреть несколько ключевых вопросов.

1. Нужны пример отдельного внутреннего аудита или программа таких аудитов?

Когда в процитированных выше требованиях ISO/IEC 17021-1 говорится о внутренних аудитах и анализе со стороны руководства, то как это следует понимать: для этого достаточно провести какой-то один внутренний аудит ОДНОГО ИЛИ НЕСКОЛЬКИХ разделов стандарта, подразделений, процессов или должностных лиц или необходимо разработать и реализовать программу внутренних аудитов ВСЕЙ СМК?

Ответ на этот вопрос определяется НАЗНАЧЕНИЕМ обсуждаемого требования, которое становится понятным, если процитировать ОКОНЧАНИЕ приведенного выше положения пункта 9.3.1.2.2.g [1]: Целями первой стадии аудита является… ОЦЕНКА ТОГО… ЯВЛЯЕТСЯ ЛИ степень внедрения системы менеджмента ДОСТАТОЧНОЙ, чтобы считать клиента ГОТОВЫМ к проведению второй стадии аудита.

Проведение внутреннего аудита степени соответствия сертифицируемой СМК требованиям стандарта ISO 9001:2015 [4] (далее — ISO 9001) и последующего анализа СМК со стороны руководства НАКАНУНЕ прямых действий со стороны органа по сертификации по оценке ее соответствия позволяет:

  • организации и ее высшему руководству объективно подвести и оценить итоги деятельности по созданию СМК и ее подготовке к сертификации;

  • органу по сертификации получить уверенность в том, что система менеджмента ДЕЙСТВИТЕЛЬНО существует, внедрена и функционирует.

В конечном счете и для организации, и для органа по сертификации осуществление требуемых действий должно дать ответ на вопрос: «А вообще-то, есть ЧТО подвергать аудиту со стороны органа по сертификации или проверять по большому счету пока фактически НЕЧЕГО?» Понятно, что во втором случае все последующие шаги со стороны органа по сертификации СМК становятся бессмысленными.

Из этого очевидно, что достичь указанной цели на основе информации о каком-то внутреннем аудите одного или даже нескольких разделов стандарта, подразделений, процессов или должностных лиц невозможно. Ее можно достичь, ТОЛЬКО реализовав соответствующую ПРОГРАММУ внутренних аудитов, охватывающую требования раздела 9.2 ISO 9001 (таблица).

На это обращают внимание и официальные документы ISO.

Так, в п. 9.2.1 стандарта ISO/TS 9002:2016 [5] отмечено, что ОТДЕЛЬНЫЙ аудит МОЖЕТ охватить не все требования стандарта:

Несмотря на то что организация всегда должна стремиться к тому, чтобы ее система менеджмента качества соответствовала всем применимым требованиям ISO 9001, НЕТ ТРЕБОВАНИЯ, чтобы КАЖДЫЙ раздел стандарта ISO 9001 или процесс в системе менеджмента качества был оценен в ходе КАЖДОГО (внутреннего. — Прим. автора) аудита.

Да, организации МОЖНО так поступать. НО только при том условии, что ПРОГРАММА АУДИТОВ в совокупности обеспечит уверенность в том, что ВСЕ подразделения и функциональные структуры организации, ВСЕ элементы системы и ВСЯ область применения системы экологического менеджмента ПЕРИОДИЧЕСКИ подвергаются аудиту (п. 9.2 стандарта ISO 14004:2016 [6]).

Из вышеуказанного следует, что одна из таких программ должна быть разработана и реализована ДО начала официальных действий по сертификации СМК.

2. Когда именно должна быть реализована программа внутренних аудитов?

Очевидно, что, НАЧАВ реализацию указанной выше программы внутренних аудитов буквально через несколько дней или даже недель после «старта» разработанной и внедренной СМК, организация столкнется с ситуацией, в которой требования и ISO 9001, и собственные дополнительные требования организации к СМК распадутся на две группы.

В первую попадут те разделы ISO 9001 и собственные требования к СМК, в отношении которых у организации по истечении даже этого небольшого срока БУДЕТ объективная ВОЗМОЖНОСТЬ использовать весь набор подходящих методов проведения аудита для получения всесторонней и полноценной информации о соответствии СМК данным требованиям. Сюда попадают, например, требования разделов 4.1, 4.2, 5.2, 5.3, 6.2, 7.5 ISO 9001.

В другую группу попадут требования, в отношении которых организация по окончании этого короткого периода по объективным причинам еще НЕ СМОЖЕТ провести всестороннюю оценку соответствия им осуществляемой деятельности. Например, по причине ОТСУТСТВИЯ в короткий период после введения новых правил соответствующих ФАКТИЧЕСКИХ действий. Скажем, действий по проведению оценки поставщиков, подготовке персонала, осуществлению нового проектирования продукции. А это не позволяет провести в полной мере аудит разделов 8.4, 7.2 и 8.3 соответственно. Или по причине НЕДОСТАТКА после ввода СМК в действие ВРЕМЕНИ для получения отзывов потребителей и других заинтересованных сторон на запросы организации, что не позволяет провести в полном объеме аудит раздела 9.1.2.

Понятно, что в ТАКИХ условиях внутренний аудит в отношении второй группы требований изначально будет ограниченным.

Выход из этого положения ТОЛЬКО один: обращение в орган по сертификации надо планировать так, чтобы к началу первой стадии требуемая программа внутренних аудитов была реализована В ПОЛНОМ объеме. Другими словами, СМК должна ФАКТИЧЕСКИ профункционировать столько, сколько необходимо:

а) для ВВОДА в действие и ФУНКЦИОНИРОВАНИЯ ВСЕХ механизмов, требуемых ISO 9001 и собственными требованиями организации;

б) для получения информации, достаточной для проведения ОЦЕНКИ соответствия этих механизмов ВСЕМ требованиям СМК.

Только это позволит реализовать программу как минимум полноценного внутреннего аудита (см. таблицу).

Понятия «аудит» и «программа аудитов» применительно к внутренним аудитам сертифицируемой СМК

Термин

Определение

Интервал времени

Область аудита

Критерии аудита

Задание

Комментарии

Аудит

Аудит

П. 3.13.1 стандарта ISO 9000:

систематически осуществляемый, независимый и документируемый процесс получения объективных свидетельств и их объективного оценивания в целях установления (определения) степени соответствия критериям аудита

Как правило, за один «заход» в соответствии с планом аудита

Конкретное подразделение, процесс, место выполнения работ, должностное лицо или их совокупность

Устанавливает сама организация

Должно быть проанализировано соответствие ВСЕМ установленным организацией критериям

-

Единичный внутренний аудит в рамках СМК

ВСЕ ИЛИ ЧАСТЬ применимых к области аудита требований ISO 9001 + ВСЕ ИЛИ ЧАСТЬ применимых к области аудита собственных дополнительных требований организации к СМК

Должно быть проверено соответствие ВСЕМ требованиям, ВЫБРАННЫМ для анализа соответствия

ISO/TS 9002,

п. 9.2:

проверяться могут НЕ ВСЕ применимые требования

Программа аудитов

Программа аудитов

П. 3.13.4 стандарта ISO 9000:

совокупность одного или нескольких аудитов, запланированных на конкретный период времени и направленных на достижение конкретной цели

В один или несколько «заходов», каждый из которых реализуется в соответствии со своим планом отдельного аудита

Выбранная совокупность подразделений, процессов, мест выполнения работ или должностных лиц

Устанавливает сама организация по отношению к каждому подразделению, процессу, месту выполнения работ или должностному лицу

В каждом из мест должно быть проверено соответствие ВСЕМ установленным для него критериям

-

Программа внутренних аудитов СМК

На основе п. 3.13.4

стандарта ISO 9000:

совокупность одного или нескольких аудитов, запланированных на конкретный период времени и направленных на выполнение требований п. 9.2.1 стандарта ISO 9001

Совокупность ВСЕХ подразделений, процессов, мест выполнения работ и должностных лиц, на которые распространяются применимые требования стандарта ISO 9001 и дополнительные требования организации к СМК

Устанавливает организация по отношению к каждому подразделению, процессу, месту выполнения работ и должностному лицу из области аудита ИЗ ЧИСЛА применимых к ним требований стандарта ISO 9001 и дополнительных требований организации к СМК

В КАЖДОМ из объектов из области аудита должно быть проанализировано соответствие ВСЕМ применимым требованиям ISO 9001 + ВСЕМ дополнительным требованиям организации к СМК

Идеальный вариант

(иногда такой аудит называют «полным аудитом»)

Должно быть ВЫБОРОЧНО проанализировано соответствие ВСЕМ применимым требованиям ISO 9001 + ВСЕМ дополнительным требованиям организации к СМК

Приемлемый вариант

(иногда такой аудит называют «полноценным аудитом»)

 

Теперь становится понятным, почему в некоторых органах по сертификации в отношении заявителей СМК на сертификацию действовало прямое требование о том, чтобы система до начала сертификации функционировала, например, как минимум три месяца.

3. Какой анализ СМК должен быть проведен?

Как и в случае с внутренними аудитами, совершенно очевидно, что по прохождении очень короткого времени с момента ввода СМК в действие ее оценка со стороны руководства в ПОЛНОМ соответствии с требованиями раздела 9.3 ISO 9001 будет затруднена.

Выход здесь аналогичен случаю с внутренними аудитами: СМК должна ДО ее сертификации функционировать столько времени, сколько необходимо для получения соответствующей информации об СМК в объеме, дающем ВОЗМОЖНОСТЬ проведения анализа ее функционирования в соответствии с требованиями раздела 9.3. А в нем, напомним, «работают» требования трех подразделов, из которых проблемы могут возникнуть в отношении только подразделов 9.3.1 и 9.3.2.

Начнем со второго.

3.1. Возможность реализации требований под раздела 9.3.2 ISO 9001. Напомним, что здесь стандарт требует рассмотрения:

a) статуса (степени реализации) действий, осуществляемых по итогам предыдущих анализов со стороны руководства;

b) изменений во внешних и внутренних факторах, касающихся системы менеджмента качества;

c) информации о показателях функционирования и результативности системы менеджмента качества, включая тенденции, относящиеся к:

1) степени удовлетворенности потребителей и результатам обратной связи (отзывам) от соответствующих заинтересованных сторон;

2) степени достижения целей в области качества;

3) показателям функционирования процессов и к соответствию продукции и услуг;

4) несоответствиям и корректирующим действиям;

5) результатам мониторинга и измерений;

6) результатам аудитов;

7) показателям деятельности внешних поставщиков;

d) адекватности выделенных ресурсов;

e) результативности действий, предпринятых в ответ на риски и возможности (см. 6.1);

f) возможностей для улучшения.

Если необходимый период функционирования СМК выдержан, то:

по п. а рассматривать руководству организации будет нечего, ибо этот анализ СМК

является ПЕРВЫМ;

по п. b: если указанные изменения имели место, их нужно рассмотреть, а итоги представить руководству для анализа;

по п. с.1: выбранный интервал времени должен дать возможность направить потребителям запросы, получить от них ответы, позволяющие провести первую оценку их степени удовлетворенности, и представить результаты руководству для анализа. Оценить же требуемые в этом пункте тенденции будет нельзя, поскольку эта оценка СМК будет ПЕРВОЙ;

по п. с.2: выбранный интервал времени должен позволить собрать информацию, относящуюся к тенденциям в ХОДЕ РЕАЛИЗАЦИИ мероприятий по достижению целей, и представить ее для анализа. Оценить же само достижение целей будет возможно только по истечении установленных для их достижения сроков;

по пп. с.3, с.4, с.5, с.7, d, e и f: за период фактического функционирования СМК соответствующая информация может быть собрана без каких-либо проблем и представлена для анализа.

Что касается п. с.6, то с учетом соображений, высказанных выше в разделе 2 данного ответа, выбранный интервал времени позволит собрать информацию, относящуюся ко всем разделам ISO 9001, за исключением раздела 9.3. Поэтому дальнейшими шагами организации должны быть (это, собственно, и есть запрошенный в письме совет автора) следующие:

1. Проведение ПЕРВОГО этапа анализа СМК: в соответствии с требованиями раздела 9.3, но БЕЗ рассмотрения информации по разделу 9.3.1 ISO 9001 и БЕЗ информации по п. с.6 подраздела 9.3.2 ISO 9001 (или с рассмотрением информации по п. с.6, но без итогов аудита раздела 9.3 ISO 9001).

2. Проведение ЗАВЕРШАЮЩЕГО внутреннего аудита из программы аудитов (которым будет аудит раздела 9.3 ISO 9001) на основе всей информации о состоявшемся первом этапе анализа СМК.

3. Проведение ЗАВЕРШАЮЩЕГО этапа анализа СМК, включающего дополнительное рассмотрение полной информации по п. с.6 подраздела 9.3.2, а также положений подраздела 9.3.1, и при необходимости внесение дополнений и/или изменений в решения, принятые в ходе первого этапа анализа.

На принципиальную возможность ТАКОГО двухэтапного анализа указывает сама ИСО:

НЕ ТРЕБУЕТСЯ, чтобы ВСЕ исходные данные («входы») были рассмотрены ЗА ОДИН РАЗ, вместо этого они могли бы быть рассмотрены в ходе определенной последовательности анализов со стороны руководства (п. 9.3.1 [5]);

НЕТ НЕОБХОДИМОСТИ, чтобы повестка дня анализа со стороны руководства включала ВСЕ ВОПРОСЫ СРАЗУ. Анализ может проходить в течение НЕКОТОРОГО ПЕРИОДА ВРЕМЕНИ (п. А.9.3 стандарта ISO 14001:2015 [7]).

3.2. Возможность реализации требований п. 9.3.1 ISO 9001. Здесь ключевым является вопрос о возможности проведения по истечении установленного времени анализа сохраняющейся пригодности, адекватности и результативности СМК.

Для оценки этой возможности напомним вначале разъяснения ИСО указанных в п. 9.3.1 понятий (см. раздел А.9.3 стандарта ISO 14001:2015):

термин «пригодность (suitability)» используют для описания того, насколько система менеджмента пригодна (подходит) организации, ее деятельности, культуре и системе бизнеса;

термин «адекватность (adequacy)» используют для описания того, соответствует ли она требованиям международного стандарта и функционирует ли она подходящим образом;

термин «результативность (effectiveness)» используют для описания того, достигнуты ли запланированные результаты.

Теперь можно обсудить, ЧТО организация СМОЖЕТ проанализировать по итогам функционирования СМК в течение установленного периода времени.

Понятно, что оценить СОХРАНЯЮЩУЮСЯ пригодность, адекватность и результативность будет просто невозможно, ибо проведенный анализ СМК будет лишь ПЕРВЫМ.

Оценить же саму пригодность СМК, т. е. ее пригодность организации, ее деятельности, культуре и системе бизнеса, конечно, возможно.

Оценить адекватность СМК тоже, ибо к этому моменту будет проведен как минимум ее полноценный аудит.

А вот оценить результативность СМК в том виде, как это понимается в определении этого понятия, на данном этапе будет возможно только в том случае, когда к моменту проведения анализа наступят сроки достижения поставленных целей. Чего, скорее всего, не будет. Вместе с тем оценить тенденции в осуществлении мероприятий по их достижению руководство вполне может.

 

РЕЗЮМЕ

Накануне первой стадии сертификационного аудита организация действительно должна провести требуемые ISO/IEC 17021-1 внутренний аудит СМК в объеме всех требований раздела 9.2 ISO 9001 и анализ СМК со стороны руководства в объеме всех требований раздела 9.3 ISO 9001.

Рекомендации автора, КАК это сделать, чтобы преодолеть описанную в письме проблему, представлены в разделе 3.1 данного ответа. Он считает, что полученные на основании предложенного подхода результаты удовлетворят ЛЮБОЙ орган по сертификации.

 

НЕОБХОДИМОЕ ДОБАВЛЕНИЕ

Во-первых, еще раз отметим, что все вышеуказанное распространяется на любой другой стандарт на систему менеджмента.

Во-вторых (и это очень важно), обращаем внимание на следующее положение ISO/IEC 17021-1 (п. 9.3.1.2.4): При определении интервала между первой и второй стадиями аудита должны быть рассмотрены потребности клиента В НАВЕДЕНИИ ПОРЯДКА В ПРОБЛЕМНЫХ ОБЛАСТЯХ, выявленных на первой стадии аудита.

В число таких областей АВТОМАТИЧЕСКИ попадают:

НЕПРОВЕДЕННЫЕ внутренние аудиты и анализ со стороны руководства;

ВСЕ несоответствия, как выявленные в ходе реализации программы внутренних аудитов СМК и ее анализа со стороны руководства, так и выявленные аудиторами органа по сертификации в ходе проведения самой первой стадии сертификационного аудита.

В этих областях организация ОБЯЗАНА навести порядок, включая устранение ВСЕХ несоответствий, и представить свидетельства этого в орган по сертификации. В противном случае в проведении второй стадии сертификационного аудита организации будет просто отказано.

 

СПИСОК ЛИТЕРАТУРЫ

1. ISO/IEC 17021-1:2015(Е). Conformity assessment. Requirements for bodies providing audit and certification of management systems. Part 1: Requirements.

2. ISO/IEC 17021:2011(Е). Conformity assessment. Requirements for bodies providing audit and certification of management systems.

3. ISO/IEC 17021:2006(Е). Conformity assessment. Requirements for bodies providing audit and certification of management systems.

4. ISO 9001:2015(Е). Quality management systems. Requirements. 5. ISO/TS 9002:2016(Е). Quality management systems. Guidelines for the application of ISO 9001:2015.

6. ISO 14004:2016(Е). Environmental management systems. General guidelines on implementation.

7. ISO 14001:2015(Е). Environmental management systems. Requirements with guidance for use.

 

1Здесь и далее представлен авторский перевод оригинальных положений из англоязычных текстов.


Автор:  Качалов В.А.

Возврат к списку