Наше предприятие сертифицировано на соответствие требованиям стандарта ISO 9001 и ежегодно подвергается аудиту. От внешних аудиторов мы всегда ожидаем объективной оценки того, как функционирует наша система менеджмента качества (СМК), а также рекомендаций по ее улучшению. Однако вместо этого поведение посетивших нас в этом году аудиторов вызвало лишь целый ряд вопросов. Первое. За месяц перед проведением аудита у нас были запрошены Руководство по качеству и шесть обязательных процедур. А за неделю аудиторы попросили дополнительно представить все остальные документы, действующие в рамках СМК. У нас же к ним отнесено многое: стандарты организации, положения, инструкции и т. п. В связи с этим у нас первый вопрос к экспертам: зачем внешним аудиторам анализировать выполнение всех наших стандартов, если у нас проводится внутренний аудит СМК, в ходе которого осуществляется проверка соблюдения требований всех этих документов? Второе. Во время аудита: 1) один из аудиторов в проверяемых подразделениях смотрел только должностные инструкции и положение о подразделении и не задал ни одного вопроса по СМК; 2) другой аудитор, проверяя отдел метрологии, созванивался со знакомым метрологом и консультировался. Как впоследствии выяснилось, консультации оказались неверными, поскольку после этого он, ссылаясь на закон «Об обеспечении единства измерений», утверждал, что для проведения калибровки мы должны иметь соответствующую аккредитацию. Однако наше предприятие относится к машиностроению, и согласно п.п. 1 и 2 ст. 18 этого закона указанная аккредитация для нас не является обязательной; 3) в одном из цехов аудиторы потребовали представить документы о проведении «Дня охраны труда» - якобы это является обязательным требованием, но не смогли нам его показать; 4) аудиторы предложили нам переработать Руководство по качеству, хотя все, что требуется в стандарте ISO 9001, в нем учтено. Однако они считают, что Руководство по качеству должно иметь структуру, соответствующую структуре стандарта ISO 9001; 5) аудиторы посчитали несоответствием то, что в годовой программе внутренних аудитов указаны подразделения, но не указаны проверяемые пункты ISO 9001. У нас же установлено, что пункты ISO 9001 указываются в планах каждого конкретного аудита, и мы это выполняем; 6) аудиторы позволяли себе повышать голос, если мы с ними были не согласны и пытались аргументировать, что требования учтены и выполняются. Но слушать они ничего не хотели, так как считали, что их мнение единственно верное; 7) при составлении отчета аудиторы попросили наших сотрудников набрать их замечания на наших компьютерах под их диктовку, при этом у них не было даже электронных шаблонов для регистрации несоответствий и уведомлений; 8) по результатам аудита объективные свидетельства (конкретные факты, примеры) были выставлены как несоответствия и уведомления без обозначения того, какие требования при этом были нарушены. Наше впечатление от этого аудита было глубоко негативным. В связи с этим просим экспертов ответить на второй вопрос: насколько правильным является такое поведение с точки зрения правил проведения аудитов и можем ли мы опротестовать выводы аудиторов, которые считаем необоснованными? |
Характер ответов на эти два вопроса разный.
К сожалению, позиция авторов письма здесь ошибочна. По двум причинам.
Во-первых, проведение командой по аудиту анализа документации сертифицируемой системы менеджмента входит в программу ЛЮБОГО аудита, ибо в общем случае является одной из обязательных фаз подготовки к его проведению (см. [1, п. 6.3]). Его цель определена в [1, п. 6.3.1] и заключается в том, чтобы:
а) убедиться, что относящиеся к системе и действующие в организации документы (в нашем случае — «Руководство по качеству, обязательные процедуры, стандарты, положения, инструкции» и т. п.) СООТВЕТСТВУЮТ требованиям к ним, установленным в соответствующем стандарте;
б) ПОЗНАКОМИТЬСЯ ЗАРАНЕЕ с этими документами, чтобы во время аудита конкретных должностных лиц, подразделений, видов деятельности или процессов сконцентрироваться на анализе соблюдения установленных в них правил, а не заниматься изучением самих правил.
Для достижения этой цели аудиторы ВПРАВЕ попросить организацию-заявителя ЗАРАНЕЕ пред ставить для анализа тот или иной документ, относящийся к системе1. Поэтому в просьбе аудиторов предоставить дополнительно какие-то документы нарушения правил проведения аудитов нет2.
Во-вторых (и это является самым важным с точки зрения заданного вопроса, ибо указывает на серьезное недопонимание со стороны авторов письма), даже получив запрошенные документы, аудиторы ПРИНЦИПИАЛЬНО НЕ МОГУТ «анализировать их ВЫПОЛНЕНИЕ». Это можно сделать лишь в ходе аудита и только на месте ПРИМЕНЕНИЯ этих документов (что, как видно, с успехом и делают в этой организации внутренние аудиторы). Заочно же аудиторы могут анализировать лишь сами документы (т. е. их содержание), но никак не соблюдение заложенных в них требований, положений, правил, указаний и т. п.
По этой причине проведение внутренними аудиторами «проверки соблюдения требований всех этих документов» не может служить хоть каким-то основанием для аудиторов третьей стороны отказаться от проведения АНАЛИЗА «этих документов»3.
Нельзя, к большому сожалению, не отметить, что по прошествии более двух десятков лет накопления мирового и отечественного опыта сертификации систем менеджмента в нашей стране все еще находятся органы по сертификации, аудиторы которых без тени смущения демонстрируют свою профессиональную некомпетентность и нарушают ключевые принципы реализации сертификационных процедур. Приведенный в письме «букет» грубейших нарушений достоин того, чтобы рассмотреть каждое из них в отдельности и аргументированно продемонстрировать, в чем именно описанные авторами письма действия расходятся с правилами проведения аудитов третьей стороной.
Пункт 1. Из письма неясно, осуществлялись ли кроме «чтения» должностных инструкций и положений какие-то дополнительные действия, связанные с ними, например, проверялось ли соответствие фактической компетентности сотрудников требованиям, установленным к ним в этих документах. Поэтому автор исходит из того, что во время аудита подразделений аудитор не проводил интервью, не осуществлял наблюдений, а лишь «про себя» провел анализ каких-то документов, т. е. все его исследования свелись к анализу документации.
Сами по себе такие действия, конечно же, нужны (о чем шла речь при обосновании ответа на первый вопрос). Однако важно еще раз подчеркнуть: они должны ПРЕДШЕСТВОВАТЬ проведению аудита на месте. Конечно, с какими-то документами аудиторам поневоле приходится сталкиваться по ходу аудита впервые, и это вызывает потребность проанализировать их содержание. Такая ситуация естественна, и, как отмечено в [1, п. 6.4.3], подобный анализ проводится, чтобы:
С другой стороны, в этом же разделе [1] четко указано: все это МОЖЕТ осуществляться по ходу аудита только ПРИУСЛОВИИ, что это НЕ НАВРЕДИТ результативности проведения аудита.
В данном же случае, как можно понять из письма, анализ должностных инструкций и положений о подразделениях был ЕДИНСТВЕННОЙ целью (фактически САМОЦЕЛЬЮ) посещения данным аудитором соответствующих подразделений. Подобный анализ он мог провести и ВНЕ организации. А вот находясь на месте выполнения тех или иных работ, он НЕ ПРОВЕЛ какого-либо аудита деятельности соответствующих подразделений (анализа степени соответствия этой деятельности требованиям ISO 9001), чем поставил под удар результативность аудита в целом. А это недопустимо.
Пункт 2. То, что аудитор обратился за поддержкой (сделал «звонок другу»), вне сомнения, является оправданным и логичным шагом. Но то, что выбранный «друг» оказался, к сожалению, недостаточно компетентным (а это становится очевидным, если обратиться к указанным пунктам Федерального закона от 26.06.2008 № 102-ФЗ «Об обеспечении единства измерений» в ред. от 28.07.2012) — также не вызывает никаких сомнений.
Ошибочность действий аудитора в данном случае состояла не в том, что он слепо поверил совету своего знакомого. Его ошибка в том, что, выслушав аргументы организации, он их НЕ УСЛЫШАЛ и не счел необходимым ПРОВЕРИТЬ самого себя в обоснованности сделанного им заявления о несоответствии (отсутствие у организации необходимой аккредитации). А это — нарушение следующего требования: Несоответствия следует проанализировать вместе с аудитируемой организацией , чтобы получить подтверждение того , что свидетельства аудита ТОЧНЫ , а несоответствия поняты аудитируемой организацией . Следует попытаться сделать все , чтобы УСТРАНИТЬ РАЗНОГЛАСИЯ во мнениях относительно свидетельств и / или результатов аудита[1, п. 6.4.7].
Пункт 3. Анализ соблюдения требований, относящихся к охране здоровья и обеспечению безопасности труда сотрудников, НЕ ВХОДИТ в цели и задачи аудита систем менеджмента КАЧЕСТВА. Подробно аргументы автора высказаны в его статье [2].
Требования аудиторов необоснованны.
Пункт 4. Аналогичная ситуация описана в коллизии аудита, опубликованной в [3]. Опираясь на сделанные в ней комментарии автора, его мнение в отношении ситуации, приведенной в анализируемом письме, следующее.
Определять СТРУКТУРУ и НАИМЕНОВАНИЕ разделов Руководства по качеству — исключительное ПРАВО самой организации. Разумеется, аудиторам органа по сертификации было бы проще проводить анализ этого документа, если бы все его разделы имели бы такую же последовательность и те же наименования, что и разделы ISO 9001 [4]. Однако это НЕ ВХОДИТ в круг требований, предъявляемых к Руководству по качеству в п. 4.2.2 данного стандарта5.
Поэтому высказанное аудиторами суждение о том, что «Руководство по качеству ДОЛЖНО иметь структуру, соответствующую структуре стандарта ISO 9001», ничем не обосновано.
Пункт 5. Цели внутренних аудитов СМК и требования к их проведению установлены в п. 8.2.2 ISO 9001. При этом определить, КАКИМ способом (в том числе с помощью какого механизма планирования внутренних аудитов) организация будет их достигать — исключительное ПРАВО самой организации. И если при этом все требования данного пункта ISO 9001 выполняются, никаких претензий к МЕТОДИКЕ планирования внутренних аудитов никто предъявить НЕ ВПРАВЕ.
Заметим также, что определение «программы аудита», данное в [1, п. 3.13], НЕ ПРЕДУСМАТРИВАЕТ включение в нее критериев аудита, к которым и относятся разделы ISO 9001.
Данное несоответствие является необоснованным.
Пункт 6. Не желая считаться с мнением аудитируемых, аудиторы нарушили как указанные при анализе пункта 2 требования [1, п. 6.4.7], так и следующее требование: Несоответствия должны быть ОБСУЖДЕНЫ с клиентом , чтобы обеспечить уверенность в том , что доказательства несоответствия точны и что содержание несоответствия понято[5, п. 9.1.9.6.3].
К этому также необходимо добавить очевидное несоответствие следующему. Аудиторам следует быть :
Примерами образа действий (поведения), которые важны для персонала , участвующего в деятельности по сертификации любой системы менеджмента , являются следующие :
Пункт 7. Здесь, кроме очевидных нарушений этических норм, аудиторами нарушены еще и следующие положения: членам команды по аудиту следует ПОДГОТОВИТЬ, при необходимости, рабочие документы, которые будут использоваться для фиксации свидетельств аудита. Такие документы могут включать в себя формы (шаблоны) для регистрации информации, такой, как СВИДЕТЕЛЬСТВА АУДИТА, поддерживающие принятие решений, РЕЗУЛЬТАТЫ АУДИТА [1, п. 6.3.4].
Пункт 8. Одно из требований стандарта [5] гласит: Результаты аудита , признанные НЕСООТВЕТСТВИЯМИ , должны быть зарегистрированы В СОПОСТАВЛЕНИИ с требованиями критериев аудита , СОДЕРЖАТЬ четкое заявление о несоответствии и ПОДРОБНЫЕ ДОКАЗАТЕЛЬСТВА того , на чем основано данное заявление о несоответствии [5, п. 9.1.9.6.3].
К этому следует добавить четкие пояснения, сделанные членами Группы по анализу практики проведения аудитов соответствия требованиям ISO 9001 [6]: хорошо документированное несоответствие содержит три части:
Несоответствие — это невыполнение требования, поэтому если аудитор не может идентифицировать требование, то он не может признать наличие несоответствия.
В данном случае аудиторами ни одно из этих положений не соблюдено.
Что касается первого вопроса, то аудиторы не только имеют право, но и обязаны знакомиться с документами анализируемой СМК в целях обеспечения результативности будущих сертификационных действий «на месте». Аргументация организации о необоснованности этого по причине проверки соблюдения положений документов СМК в ходе внутренних аудитов к анализу документации отношения не имеет.
Если говорить о втором вопросе, то во всех описанных случаях поведение аудиторов не только не соответствовало правилам проведения аудитов третьей стороной, но и часто было просто недопустимым. Искренне жаль, что данная организация выбрала для себя орган по сертификации, признавший в качестве своих аудиторов ТАКИХ лиц. Но при этом (и это ответ на последнюю часть второго вопроса) еще не все потеряно. У организации-заявителя аудита всегда есть установленное правилами сертификации ПРАВО опротестовать в органе по сертификации любое заключение команды по аудиту, с которым она не согласна. Для этого можно:
В соответствии с разд. 4.7 и 7 стандарта [5] орган по сертификации обязан рассмотреть эти документы и принять соответствующее решение. И если при этом орган действительно руководствуется в своей деятельности ключевым для таких институтов документом — международным стандартом [5] — то он будет обязан признать описанные в письме действия аудиторов не соответствующими этим правилам и дезавуировать необоснованные несоответствия.
Если же в отношении указанных или подобных им фактов решение органа по сертификации будет не в пользу организации, остается посоветовать лишь одно: отказаться от его услуг и обратиться за сертификацией в другой орган.
1 ISO 19011:2011(E). Guidelines for auditing management systems (Руководящие указания по проведению аудитов систем менеджмента).
3. Коллизии аудита // Методы менеджмента качества. – 2008. – № 7.
4. ISO 9001:2008(Е). Quality management systems. Requirements (Системы менеджмента качества. Требования).
5. ISO/IEC 17021:2011(E). Conformity assessment. Requirements for bodies providing audit and certification of management systems (Оценка соответствия.Требования к органам, проводящим аудит и сертификацию систем менеджмента).
6. ISO 9001 Auditing Practices Group Guidance on: Documenting a Nonconformity, 5 June 2009 (Руководство Группы по анализу практики проведения аудитов соответствия требованиям ISO 9001 «Документирование несоответствий» от 5 июня 2009 г.).
______________
1 Заметим отдельно, что у заявителя аудита не может быть оснований отказать в этой просьбе, если только запрашиваемый документ не содержит сведений, составляющих государственную тайну, или по решению руководства организации на его распространение вне организации наложен запрет (в последнем случае с таким документом аудиторы, при наличии соответствующих обоснований, могут быть ознакомлены непосредственно в организации по ходу аудита).
2 Другое дело, насколько рационально и обоснованно запрашивать ВСЕ документы, относящиеся к СМК. Но это — отдельная проблема, решить которую не представляется возможным из-за отсутствия в письме необходимой информации, хотя в общем случае автор лично никакой необходимости в ЭТОМ не видит.
3 Нельзя при этом не отметить, что внутренние аудиторы ДО «проверки соблюдения требований всех этих документов» ТОЖЕ должны вначале все «эти документы» проанализировать.
4 Здесь и далее цитирование стандартов приводится в авторском переводе. Выделение в этих цитатах части текста ПРОПИСНЫМИ буквами тоже сделано автором.
5 Другое дело, что аудиторы вправе ожидать: при описании своей СМК организация будет придерживаться определенной логики и не будет описывать управление какой-то деятельностью в разделе, заголовок которого говорит совсем о другом. Однако и здесь они вправе только ОЖИДАТЬ, но не вправе ТРЕБОВАТЬ. Если же указанная логика отсутствует, аудиторам СЛЕДУЕТ (как и выше) ОБРАТИТЬ НА ЭТО ВНИМАНИЕ организации. Но и ТОЛЬКО!