Главная » Дополнительно » ПУБЛИКАЦИИ


ПУБЛИКАЦИИ

Коллизии аудита. Журнал «Методы менеджмента качества», 2009, №5

Качалов В.А.

ОПИСАНИЕ СИТУАЦИИ:

СМК нашей компании была разработана и введена в действие за шесть месяцев до сер­тификационного аудита. При сертификации эксперты фиксируют критическое несоответ­ствие, а именно: «Не проведен анализ СМК со стороны руководства». Однако во всех на­ших документах указано, что этот анализ проводится раз в год, в январе. Там же указа­но, что входные данные для анализа должны быть максимально объемны (собраны в течение всего года) в целях наиболее полного представ­ления фактов и сведений о тенденциях изме­нений показателей функционирования СМК на протяжении года. При этом в стандарте ISO 9001:2000 (да и в ISO 9001:2008 тоже) указано, что высшее руководство само опреде­ляет периодичность проведения анализа СМК. У нас на момент аудита до указанного срока (январь) оставалось еще четыре месяца, и по этой причине в полном объеме всей необходи­мой информации мы собрать, естественно, не могли, поэтому и не планировали проведе­ние указанного анализа.

ПРОСИМ ОБЪЯСНИТЬ, НАСКОЛЬКО ОБОСНО­ВАНЫ НАШИ АРГУМЕНТЫ. ИЛИ В ДАННОМ СЛУЧАЕ ВСЕ-ТАКИ ПРАВЫ АУДИТОРЫ?

В данном КОНКРЕТНОМ случае правы аудиторы (хотя, как будет показано ниже, ИСТИННОЙ ПРИЧИНОЙ появления указанного критического несоответствия, скорее всего, является нарушение, допущенное их органом по сертификации).

Основанием для склонения чаши в пользу аудиторов являются требования к ЛЮБОМУ органу по сертификации (а, значит, и к аудиторам ЛЮБОГО органа), касающиеся ОБЯЗАТЕЛЬНОСТИ получения подтверждения в ходе первой ступени сертификационного аудита1 того, что компания-заявитель запланировала и провела внутренний аудит системы менеджмента и анализ ее функционирования со стороны руководства ДО ТОГО, как начнутся собственно сертификационные действия.

Эти требования проистекают из стандарта ISO/IEC 17021:2006 «Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента», где в пп. 9.2.3.1.1 (ж) говорится, что при проведении первой ступени сертификационного аудита аудиторы должны оценить, «были ли запланированы и проведены внутренние аудиты и анализ со стороны руководства». Вместе с другими это требование относится к предпосылкам, являющимся необходимыми для признания возможности проведения второй ступени сертификационного аудита.

Важно отметить, что в данном случае в стандарте ISO/IEC 17021 говорится не о проверке того, насколько планирование и проведение внутренних аудитов и анализа СМК СООТВЕТСТВУЮТ ТРЕБОВАНИЯМ стандарта ISO 9001. Этим аудиторы должны заниматься на второй ступени сертификационного аудита. Речь идет о другом.

Процитированное требование по своей сути направлено на создание уверенности в том, что компания, предъявляя свою систему менеджмента органу по сертификации, будет предъявлять не просто новый механизм, запущенный в работу только «вчера» (пусть даже очень хороший), а систему, функционирующую уже В ПОЛНОЙ МЕРЕ. По этой причине многие органы по сертификации (в частности, ТÜV Thüringen e.V.) требуют, чтобы предъявляемая для сертификации система менеджмента к моменту сертификации функционировала, по меньшей мере, три месяца. Это дает аудиторам достаточную уверенность в том, что все или, по крайней мере, многие исполнители уже поработали по новым правилам и «почувствовали» механизм каждой новой процедуры не только по ее описанию, но и непосредственно на практике. Другими словами, аудиторам БУДЕТ ЧТО проверять.

Признаком же того, что система менеджмента существует не только на бумаге, а действительно функционирует, ISO/IEC посчитали проведение полноценного внутреннего аудита системы и анализа ее функционирования со стороны высшего руководства. И с этим трудно не согласиться: НЕЛЬЗЯ провести аудит НЕСУЩЕСТВУЮЩЕЙ системы, равно как и НЕВОЗМОЖНО проанализировать то, чего НЕТ. Более того, отсутствие анализа и непроведение внутреннего аудита изначально делает для аудиторов неразрешимой задачу проведения анализа соответствия СМК требованиям п. 5.6 и пп. 8.2.2 стандарта ISO 9001, а это, в свою очередь, делает невозможным достижение целей аудита.

Другое дело, что авторы письма правы: тщательный анализ СМК требует максимальной полноты данных о функционировании системы, для чего требуется достаточно большой промежуток времени — обычно год. Однако даже ограниченный объем информации дает принципиальную возможность провести определенный оценочный анализ, при этом не только пригодности, адекватности и результативности СМК в целом, но и действенности самого механизма анализа СМК со стороны руководства. В этом смысле авторы письма хоть и правы, но лишь частично: конечно, данных за год будет больше, чем за полгода, но и собранную за шесть месяцев информацию также можно подвергнуть анализу со стороны руководства. Аудиторам же на этом этапе важно получить свидетельства того, что МЕХАНИЗМ проведения аудитов и анализа СМК РАБОТАЕТ.

Вместе с тем, возвращаясь к сути проблемы, хотелось бы еще раз подчеркнуть: дело заключается не в том, что в этой компании анализ СМК (будь он проведен) потенциально был бы в чем-то неполным. Дело совсем в другом. Такого анализа просто НЕ БЫЛО. Иными словами, отсутствовала одна из необходимых ПРЕДПОСЫЛОК для проведения второй ступени сертификационного аудита. А без нее вторую ступень начинать нельзя. Поэтому и несоответствие было справедливо отнесено к категории критических: его необходимо устранить ДО начала второй ступени аудита. Точнее: оно должно быть обязательно устранено, ибо с ТАКИМ несоответствием требованиям стандарта ISO/IEC 17021:2006 проводить вторую ступень сертификационного аудита аудиторы НЕ ИМЕЮТ ПРАВА.

Заключение. Проведение анализа СМК со стороны руководства за период после ее ввода в действие и до приезда аудиторов третьей стороны является одной из обязательных предпосылок проведения второй ступени сертификационного аудита. По этой причине непроведение такого анализа является, по своей сути, критическим несоответствием. Правда, отметим особо, не требованиям стандарта ISO9001:2000, а требованиям правил сертификации, изложенным в стандарте ISO/IEC 17021:2006.

Аудиторы были правы: вторая ступень сертификационного аудита может состояться только после представления им доказательств проведения хотя бы одного анализа СМК со стороны руководства.

Необходимое послесловие

1. Знание и соблюдение требований стандарта ISO/IEC 17021:2006 — прямая обязанность аудиторов третьей стороны. И в отношении описанной коллизии ОНИ поступили абсолютно обоснованно. Тем не менее, следует заметить, что среди требований ISO/ IEC 17021:2006 есть и такое (пп. 8.6.1):

«Сертифицирующий орган должен предоставлять клиентам следующую информацию:

а) ПОДРОБНОЕ ОПИСАНИЕ первичной деятельности по сертификации;

г) ТРЕБОВАНИЯ органа по сертификации к потенциальным клиентам СООТВЕТСТВОВАТЬ требованиям к сертификации».

Из письма же очевидным образом следует, что орган по сертификации это требование не выполнил. Он не РАЗЪЯСНИЛ компании:

  • порядок проведения сертификации, включая отнесение к числу предпосылок для начала второй ступени сертификационного аудита анализа функционирования СМК со стороны руководства;
  • последствия невыполнения компанией требований к сертификации, в том числе последствия отсутствия необходимых предпосылок для проведения сертификации.

Если бы это было сделано, описанной в письме коллизии просто не возникло бы.

2. Нам известны случаи, когда при ПОВТОРНОМ сертификационном аудите аудиторы требовали от компании представления результатов анализа СМК со стороны руководства ВНЕ сложившегося у них графика, т. е. фактически требовали проведение такого анализа ДОСРОЧНО.

Так, в одной сертифицированной компании анализ СМК по графику проводился по итогам года в апреле. При проведении повторного сертификационного аудита, состоявшегося в сентябре, аудиторы одного из органов по сертификации потребовали предъявления материалов анализа функционирования СМК за период апрель-август, заявляя, что в противном случае они квалифицируют это как несоответствие.

Мы не знаем, что послужило основанием для такого требования, но считаем, что в данном случае, в отличие от ситуации, описанной в письме, оно ничем не обосновано.

В стандарте ISO/IEC 17021:2006 требования к органам по сертификации относительно правил проведения повторной сертификации отдельно описаны в п. 9.4 «Ресертификация», который, в отличие от раздела, содержащего требования к проведению первой ступени сертификационного аудита, никаких требований, подобных описанному в этом примере, не содержит.

Конечно, анализируя выполнение требований п. 5.6 стандарта ISO 9001, аудиторам необходимо будет получить определенные свидетельства. Но при этом материалов последнего планового анализа СМК вполне ДОСТАТОЧНО для оценки соответствия требованиям этого раздела и получения необходимых результатов аудита подобно тому, как это происходит во время любого наблюдательного (надзорного) аудита функционирующей системы при анализе выполнения требований п. 5.6.

Поэтому, сталкиваясь с подобным поведением аудиторов третьей стороны, компании следует связаться непосредственно с органом по сертификации и потребовать разъяснений относительно правомочности требований аудиторов о досрочном проведении анализа СМК со стороны руководства. Уверены, что никаких оснований согласиться с позицией аудиторов у органа по сертификации просто не будет, и это их требование будет отменено.

_______________________

1Мы относим описанную ситуацию именно к первой, а не второй ступени сертификационного аудита, поскольку «пропуск» описанного критического несоответствия на этой ступени является серьезнейшим нарушением правил проведения аудита, изложенных в стандарте ISO/IEC 17021:2006. Трудно представить, чтобы аудиторы могли позволить себе ТАКУЮ ошибку.