Главная » Дополнительно » ПУБЛИКАЦИИ


ПУБЛИКАЦИИ

Коллизии аудита. Журнал «Методы менеджмента качества», 2010, №10

Качалов В.А.

ОПИСАНИЕ СИТУАЦИИ:

В марте 2010 г. в нашей организации прошел сертификационный аудит на соответствие требованиям стандарта ISO 9001:2008. При этом было зафиксировано следующее несо­ответствие по п. 5.1 а): «В представленных трудовых договорах с сотрудниками в разде­ле «Обязанности работодателя» отсутствуют сведения об исполнении организацией требо­ваний Федерального закона «О персональных данных» № 152-ФЗ от 27.07.2006», вызвав­шее спор между нами и аудиторами. Аудито­ры считают, что необходимо подготовить до­полнительные соглашения к трудовым дого­ворам, в которых должна быть записана фра­за о том, что работодатель обеспечивает со­хранность персональных данных согласно требованиям законодательства Российской Федерации.

Мы со своей стороны объясняли, что трудовой договор не относится к документации СМК, а п. 5.1 а) стандарта ISO 9001:2008 понимает­ся нами как то, что высшее руководство дово­дит до сведения организации важность вы­полнения нормативных требований в части разработки, внедрения и повышения резуль­тативности СМК. Другими словами, мы счита­ем, что требования закона о защите персо­нальных данных никак не влияют на СМК.

Аудиторы же аргументировали свою позицию следующим образом: они должны проверять систему на соответствие действующему зако­нодательству, а в п. 5.1 а) конкретно подразу­мевается выполнение организацией действу­ющего законодательства.

ПОМОГИТЕ РАЗОБРАТЬСЯ, НАСКОЛЬКО ПРАВЫ АУДИТОРЫ В ЭТОМ ВОПРОСЕ!

Аудиторы здесь не правы. К этому выводу автор пришел на основе совокупности трех заключений.

Заключение первое. Оно связано с результатами анализа обоснованности тех двух тезисов, которыми аудиторы аргументируют свою позицию.

Первый из них касается заявления о том, что в обязанности аудиторов органа по сертификации входит проверка соответствия СМ К действующему за­конодательству. Оно не выдерживает никакой крити­ки, поскольку, чтобы провести ТАКУЮ проверку, в законодательстве ДОЛЖНЫ БЫТЬ ТРЕБОВАНИЯ к СМК, а таковые в нашем законодательстве просто-напросто отсутствуют. Другое дело, что они существу­ют и установлены в стандарте ISO 9001:2008. И поэто­му СМК анализируют при аудите третьей стороны на соответствие не действующему законодательству, а требованиям стандарта ISO 9001:20081.

Если же говорить о втором аргументе аудиторов от­носительно того, что в п. 5.1 а) требуется от организа­ции выполнения законодательства, то и он несостояте­лен, поскольку анализ соответствия СМК требованиям п. 5.1 а) никак не подразумевает оценивание деятель­ности организации с подобной точки зрения.

Это становится очевидным, если вспомнить, что содержание обсуждаемого требования стандарта ISO 9001:2008 состоит в том, что высшее руководство должно представить доказательства наличия своих ОБЯ­ЗАТЕЛЬСТВ по разработке и внедрению системы менедж­мента качества, а также постоянному повышению ее ре­зультативности посредством доведения до сведения орга­низации ВАЖНОСТИ ВЫПОЛНЕНИЯ законодательных и нормативных требований. Иными словами, в этом пункте говорится о ВАЖНОСТИ ВЫПОЛНЕНИЯ требований, а не о САМОМ их выполнении. А это — разные вещи.

Заключение второе. Оно связано с результатом ана­лиза того, в какой связи находятся требования п. 5.1 а) и информация об отсутствии в трудовых договорах с сотрудниками сведений об исполнении организаци­ей требований закона о защите персональных данных.

Нетрудно заметить, что этот факт, возможно и не­гативный по своей сути, тем не менее, никакого от­ношения к содержанию приведенного выше требова­ния не имеет, поскольку не отражает ни наличия, ни отсутствия тех обязательств со стороны руководства, о которых идет речь в этом пункте. А поскольку данное требование является КРИТЕРИЕМ для оценивания соответствия СМК при аудите третьей стороны, это означает (и для нас это очень важно), что полученная аудиторами информация никакого отношения к дан­ному критерию аудита НЕ ИМЕЕТ.

По этой причине отраженная в описанном несоот­ветствии информация НЕ МОЖЕТ рассматриваться как свидетельство аудита по п. 5.1 а), поскольку это понятие определено в п. 3.2 стандарта ISO 19011:2002 как записи, изложения фактов или другая информация, которые ИМЕЮТ ОТНОШЕНИЕ к критериям аудита. Тогда, не являясь свидетельством аудита, зафиксиро­ванная аудиторами информация не может быть рас­ценена ни как соответствие, ни как несоответствие.

Из этого следует, что осуществленное аудиторами «превращение» рассматриваемой ИНФОРМАЦИИ в НЕСООТВЕТСТВИЕ требованиям п. 5.1 а) стандарта ISO 9001:2008 является искусственным и полностью расходится с правилами проведения аудита, изложен­ными в стандарте ISO 19011:2002.

Заключение третье. Оно связано с результатами анализа того, о КАКИХ законодательных и норматив­ных требованиях говорится в п. 5.1 а).

Нет никаких сомнений (и это следует подчерк­нуть), что, хотя в этом пункте и использовано слово­сочетание «законодательные и нормативные требова­ния», речь здесь идет далеко НЕ О ВСЕХ законода­тельных и нормативных требованиях ВООБЩЕ, как это, видимо, поняли аудиторы (и о чем можно, на первый взгляд, подумать, рассматривая положения этого пункта стандарта ОТДЕЛЬНО от других).

Если бы это было действительно так, то разработ­чики стандарта вошли бы в противоречие с положе­нием разд. 0.4 стандарта ISO 9001:2008, в котором четко указано на то, что данный стандарт НЕ СО­ДЕРЖИТ требований к ДРУГИМ системам менедж­мента и что в модели данного стандарта НЕ РАС­СМАТРИВАЮТСЯ требования, НЕ ОТНОСЯЩИЕ­СЯ к менеджменту качества2. А это значит, что в рамках стандарта ISO 9001:2008 ИЗНАЧАЛЬНО НЕТ положений о соблюдении организацией требований, выходящих за рамки проблем менеджмента качества.

По этой причине при проведении анализа СМ К предметом оценивания не являются законодательные и нормативные требования, относящиеся к социаль­ной сфере, куда, без сомнения, входят и законода­тельные требования к обеспечению сохранности пер­сональных данных.

Но и это еще не все. Во введении к стандарту ISO 9001:2008 круг рассматриваемых в нем проблем ограничен областью менеджмента качества, примени­тельно к законодательным и нормативным документам этот круг в стандарте сужен еще больше. Судите сами.

Простой анализ показывает, что выделенное выше словосочетание «законодательные и нормативные тре­бования» именно в ТАКОМ виде применяется в со­ставе требований стандарта всего ОДИН раз — только в п. 5.1 а)3. Во всех же других местах ISO 9001:2008 используется оборот «законодательные и нормативные требования, применимые к продукции». Именно этот оборот применен вначале в самых первых (фактиче­ски объясняющих основу и цели механизмов менедж­мента качества) разделах стандарта, а затем в составе других требований, где говорится:

об оценке способности организации выполнять законо­дательные и нормативные требования, применимые к продукции — разд. 0.1. Заметим: выполнять требова­ния, только применимые к продукции, а не вообще все законодательные и нормативные требования;

о демонстрации организацией способности постав­лять продукцию, которая отвечает применимым законодательным и нормативным требованиям (т. е. отвечает требованиям, применимым к продук­ции, а не вообще всем законодательным и нормативным требованиям) — разд. 1.1;

об определении законодательных и нормативных требований, применимых к продукции п. 7.2.1 в).

Здесь опять: определение только требований, при­менимых к продукции, а не вообще всех законода­тельных и нормативных требований;

• наконец, о том, что входные данные, относящиеся к продукции, должны включать соответствующие за­конодательные и нормативные требования, а не во­обще все законодательные и нормативные требова­ния — п. 7.3.2 б).

Это позволяет уверенно говорить о том, что и в п. 5.1 а) контекстный смысл законодательных и нор­мативных требований также ограничен и заключается в том, что здесь говорится лишь о тех законодатель­ных и нормативных требованиях, которые применимы к продукции.

Из этого следует, что аудиторы необоснованно рас­ширили трактовку понятия законодательных и норма­тивных требований, о которых идет речь в п. 5.1 а), включив в них, в частности, требования, относящиеся к социальной сфере. Подведем итоги:

  1. Исходные аргументы аудиторов в защиту своей позиции полностью несостоятельны.
  2. Включение требований Федерального закона «О персональных данных» в число требований, о ко­торых говорится в п. 5.1 а) стандарта ISO 9001:2008, является необоснованным.
  3. Информация, собранная аудиторами, не являет­ся свидетельством аудита, и по этой причине не мо­жет быть «превращена» в несоответствие требованиям стандарта ISO 9001:2008.

Общее заключение. Зафиксированное аудиторами несоответствие является необоснованным. В лучшем случае выявленное обстоятельство могло служить лишь рекомендацией руководству данной организа­ции рассмотреть вопрос о целесообразности включе­ния соответствующего тезиса в текст типового трудо­вого соглашения с работниками.

Необходимое дополнение. Объективности ради, к вышесказанному следует добавить комментарии к по­зиции и самих авторов письма.

Да, они правы, заявляя, что требования закона о защите персональных данных никак не влияют на СМК.

Однако они, как и аудиторы, не правы, ошибочно трактуя требования п. 5.1 а) как обязанность высшего руководства доводить до сведения организации важ­ность выполнения нормативных требований в части разработки, внедрения и повышения результативности СМК. Объяснение этому дано выше и кратко сводит­ся к следующему: во-первых, ТАКИХ НОРМАТИВ­НЫХ требований в России нет, а во-вторых, в этом пункте речь идет все-таки о ДРУГИХ требованиях.

_____________________

1Заметим, что, хотя в России действует национальный стандарт ГОСТ Р ИСО 9001-2008, его применение является добровольным, и поэтому он НЕ ЯВЛЯЕТСЯ ни законодательным, ни нормативным документом в том смысле, который обычно вкладывают в словосочетание «законодательные и нормативные документы», понимая под этим документы, требования которых ОБЯЗАТЕЛЬНЫ для вы­полнения.

2Ранее автор уже высказывался по этой проблеме в статье «Рас­пространяются ли требования пункта 6.4 стандарта ISO 9001:2000 на охрану труда?» (ММК, 2008, № 7, 8).

3Заметим, что примечание 3 к п. 4.1 стандарта ISO 9001:2008, где тоже применяется данное словосочетание, ТРЕБОВАНИЕМ этого стандарта не является.