Вопрос эксперту. Журнал «Методы менеджмента качества», 2018, № 4

Версия для печати

В стандартах ISO на системы менеджмента предусматривается возможность создания и сертификации систем, распространяющихся как на компанию в целом, так и на какую-то ее часть. В нашей компании, выпускающей бытовую технику, было принято (не важно, по каким причинам) решение о создании и сертификации системы менеджмента качества (СМК) на соответствие требованиям стандарта ISO 9001:2015 в подразделении, деятельность которого связана с обеспечением производства работоспособной инфраструктурой и средой для функционирования технологических процессов. Для выполнения этой задачи мы привлекли консультантов одной из консалтинговых фирм.

И вот с какой проблемой мы столкнулись. Уже в ходе первого этапа сертификационного аудита налицо было расхождение в понимании аудиторами и нами содержания и объема деятельности по реализации риск-ориентированного мышления в СМК, которая охватывает не всю организацию, а только какое-то одно подразделение. А именно предложенный консультантами и реализованный нами подход к выявлению и реагированию на риски в этом подразделении был оценен аудиторами как недостаточный и не учитывающий целый ряд важных рисков.

Просим ваших уважаемых экспертов разъяснить, имеются ли отличия в применении риск-ориентированного подхода при внедрении СМК по стандарту ISO 9001:2015 в зависимости от того, охватывает такая система всю организацию или только какое-то одно подразделение. Возможно, что с аналогичным вопросом сталкиваются и другие компании. Заранее благодарны за ответ.

Конечно, было бы гораздо проще разобрать эту коллизию, если бы в письме была приведена дословная и полная аргументация аудиторов.

Однако таковая, к сожалению, не представлена. Вместе с тем не менее интересно и важно взглянуть на данную проблему В ПРИНЦИПЕ. Давайте так и поступим.

ЧАСТЬ ПЕРВАЯ (В КАЧЕСТВЕ ПРЕДИСЛОВИЯ). ЧТО ПОДЛЕЖИТ СЕРТИФИКАЦИИ

Для начала обратим внимание авторов письма и читателей на два важных обстоятельства, связанных с рассматриваемым случаем. Оба они относятся к базовым методическим основам при определении того, ЧТО должно быть охвачено в организации сертифицируемой СМК (заметим, что, как следует из письма, в данной компании СМК «по факту» охватила ТОЛЬКО одно подразделение).

Первое обстоятельство. В стандарте ISO 9000:2015 [1] действительно заявлено, что понятие организации включает в себя… компании, корпорации, фирмы, промышленные предприятия, органы власти, товарищества, ассоциации, благотворительные организации или учреждения или их часть1 [1, примечание 1 к п. 3.2.1].

Да, это так. Организацией в понимании этого стандарта может считаться даже часть компании.

При этом НЕЛЬЗЯ не учитывать, что «организация» В ЛЮБОМ ЕЕ ВИДЕ — это не просто какая-то выделенная (пусть даже в отдельное официально оформленное подразделение) группа людей с соответствующей материально-технической базой. Необходимым (и ключевым) здесь является то, что у этой группы ДОЛЖНЫ БЫТЬ в нужном объеме ответственность, полномочия и взаимоотношения для достижения целей этой группы (см. [1, само определение 3.2.1]). В нашем случае такой целью, как сказано в письме, является обеспечение производства работоспособной инфраструктурой и средой для функционирования технологических процессов.

Однако представляется просто невероятным, чтобы САМО ПО СЕБЕ указанное подразделение изначально ОБЛАДАЛО всем тем объемом ответственности, полномочий и взаимоотношений (в том числе с другими подразделениями и должностными лицами), который необходим для достижения этой цели. При этом заметим, вне зависимости от того, кто является заказчиком и потребителем данной деятельности — какие-то подразделения внутри самой компании и/или внешние организации. В частности, общепринятая практика вряд ли позволит ожидать, что руководство этого подразделения в соответствии с определением организации [1, п. 3.2.1]:

а) обладает полномочиями РЕШАТЬ такие вопросы, как, например:

  • выделение необходимого объема финансирования деятельности своего подразделения;

  • прием на работу, перемещение по службе и увольнение сотрудников подразделения;

  • повышение компетентности сотрудников подразделения и т. п.;

б) ДОЛЖНО нести ответственность, например:

  • за работоспособность внутрифирменной электронной сети и базы данных, необходимых для обеспечения деятельности своего подразделения;

  • за сохранение на складе комплектующих и расходных материалов, необходимых для достижения цели деятельности подразделения, и т. п.;

в) ИМЕЕТ ПРАВО напрямую коммуницировать с другими подразделениями, в том числе, например, давать им задания:

  • на поддержание в метрологически пригодном состоянии оборудования для мониторинга и измерений, необходимого для деятельности своего подразделения;

  • на вывод основного оборудования из эксплуатации для его технического обслуживания или ремонта вне связи с планами производства и т. п.

И если исходить из определения п. 3.2.1 в [1], то все вышеуказанное лишь подтверждает следующее: само по себе указанное подразделение НЕ МОЖЕТ быть признано организацией в понимании стандартов ISO.

Для получения статуса организации оно должно СВЕРХ своих основных функций по прямому «обеспечению производства…» ОДНОВРЕМЕННО выполнять также функции финансово-экономической, кадровой, информационной, метрологической, планово-диспетчерской службы, складского хозяйства и т. д. И только ТОГДА подразделение можно будет рассматривать в качестве организации и ставить вопрос о создании в нем и сертификации СМК на соответствие требованиям стандарта ISO 9001:2015 [2].

Однако ТАКОЕ представить себе в отношении компании с классическим закреплением функций за соответствующими РАЗНЫМИ специализированными подразделениями просто невозможно.

Второе обстоятельство. Как известно, сертификаты соответствия СМК выдают организациям.

При этом надо понимать, что сами сертифицируемые СМК распространяются НЕ на организации, а на определенные выбранные в них для сертификации ВИДЫ ДЕЯТЕЛЬНОСТИ.

И именно это определяет тот круг должностных лиц и структурных подразделений, которые ДОЛЖНЫ быть охвачены в организации сертифицируемой СМК:

  • если сертифицируемая деятельность требует закупок (сырья, материалов, комплектующих изделий), в область распространения/применения СМК должна входить служба закупок вместе со службой, обеспечивающей их сохранность и защиту от повреждения;

  • если при осуществлении сертифицируемой деятельности для контроля используются средства измерений, то область распространения/применения СМК должна охватывать службу, обеспечивающую их метрологическую пригодность;

  • если для изготовления заказанной продукции ее вначале необходимо разработать / сконструировать, СМК должна охватывать конструкторский отдел и т. д.

В нашем случае охваченное СМК подразделение должно обеспечивать выполнение требований стандарта ISO 9001:2015, относящихся к обеспечению производства работоспособной инфраструктурой и средой для функционирования технологических процессов. Очевидно, что это невозможно сделать без:

  • ресурсного обеспечения, а эти обязанности возлагаются обычно на финансовую, кадровую и метрологическую службу;

  • управления внешне поставляемыми процессами, продукцией и услугами, а это обычно функции службы закупок и складирования;

  • синхронизации своей деятельности с общими планами производства, а это функции планово-диспетчерской службы и т. д.

Только в совокупности с деятельностью всех других соответствующих служб и должностных лиц указанное подразделение будет в состоянии результативно осуществлять закрепленную за ним ПРЯМУЮ деятельность по «обеспечению производства…», подлежащую сертификации.

Итоги. Планирование, организация и управление деятельностью по обеспечению производства работоспособной инфраструктурой и средой для функционирования технологических процессов НЕ МОГУТ быть реализованы силами ТОЛЬКО того подразделения, за которым закреплена функция НЕПОСРЕДСТВЕННОГО осуществления такой деятельности. Без соответствующей поддержки со стороны целого ряда ДРУГИХ подразделений и согласования с ними своих действий полноценное управляемое «обеспечение производства…» просто НЕВОЗМОЖНО.

По этой причине желание создать и сертифицировать СМК, область распространения / применения которой будет ограничена рамками только данного отдельно взятого подразделения, являлось изначально ошибочным. И если какие-то консультанты взялись помочь компании в достижении именно этой цели, их компетентность в вопросах создания СМК и подготовки их к сертификации можно поставить под большое сомнение.

С учетом этого важного предисловия-разъяснения теперь можно перейти к рассмотрению заданного в письме вопроса по существу.

ЧАСТЬ ВТОРАЯ (ОСНОВНАЯ). УПРАВЛЕНИЕ РИСКАМИ

Нет никаких сомнений, что, как и любой другой, деятельности по обеспечению производства работоспособной инфраструктурой и средой для функционирования технологических процессов присущи риски недостижения желаемых результатов. Для нас здесь ключевым является то, что они включают риски, связанные НЕ ТОЛЬКО с деятельностью сотрудников самого подразделения, чьей основной функцией является прямое «обеспечение производства…».

Риски, сопровождающие деятельность самого подразделения (назовем их рисками, относящимися к первой группе), очевидны, ибо связаны с хорошо известными в менеджменте качества четырьмя «М» (хотя это число часто увеличивают, даже до семи):

1) с рисками применения:

  • неадекватной технической документации;

  • некомпетентного персонала;

  • несоответствующих материалов, запасных частей и оборудования (в том числе для целей мониторинга и измерений);

2) с рисками несоблюдения установленной технологии работ и т. д.

Вместе с тем при организации подготовки и управлении «обеспечением производства…» НЕЛЬЗЯ исключать из рассмотрения и ДРУГИЕ риски, которые потенциально не в меньшей степени могут негативно повлиять на результаты этой деятельности. В том числе риски, присущие деятельности, осуществляемой ДРУГИМИ подразделениями (назовем их рисками, относящимися ко второй группе), которые входят в область распространения/применения СМК (см. первую часть ответа), а именно:

1) риски нарушения ритмичности выделения или недостатка финансовых средств и других видов ресурсов, необходимых для осуществления деятельности по «обеспечению производства…» (что входит в область ответственности финансово-экономической службы);

2) риски несвоевременного удовлетворения потребности подразделения в соответствующих специалистах (область ответственности кадровой службы);

3) риски организационно-технических сбоев в системах внутренней и внешней коммуникации (область ответственности службы информационной поддержки);

4) риски нарушений в других направлениях деятельности, являющихся областью ответственности других подразделений и должностных лиц, в том числе риски сбоев в механизмах:

  • установления и анализа требований к осуществляемой деятельности;

  • планирования деятельности с точки зрения согласованности ее с деятельностью других подразделений;

  • управления аутсорсинговыми организациями;

  • проведения входного контроля закупленных материалов, сырья, комплектующих и обеспечения их сохранности;

  • управления знаниями;

  • управления собственностью потребителей или внешних поставщиков со стороны других подразделений и т. д.

Если во время сертификационного аудита было установлено, что анализ рисков и выработка мер управления ими были ограничены только первой группой рисков (т. е. только рисками, сопровождающими деятельность сотрудников самого подразделения-исполнителя), то у аудиторов были все основания считать, что в организации выявлены и проанализированы не все риски, которые должны быть учтены в соответствии с требованиями п. 6.1.1 стандарта ISO 9001:2015. Ведь вторая группа рисков (а она связана с тем, что в стандартах ISO называется «заинтересованными сторонами», см. [1, п. 3.2.3]) очевидным образом ТОЖЕ влияет на обеспечение уверенности в том, что система менеджмента качества может получить свой намеченный результат(ы) — см. [2, п. 6.1.1.а].

Итоги. На способность СМК достигать намеченных результатов (см. [2, п. 4.1]) и на способность организации постоянно поставлять продукцию и услуги, которые соответствуют требованиям (см. [2, п. 4.2]), влияет не только деятельность тех подразделений, где создается ценность для потребителя и получаются конечные (намеченные) результаты сертифицируемой бизнес-деятельности. На это оказывает влияние совокупность многих других факторов, в том числе деятельность различных внутренних заинтересованных сторон.

В стандарте ISO 9001:2015 требуется, чтобы риск-ориентированное мышление применялось по отношению ко ВСЕМ подразделениям и должностным лицам, деятельность которых так или иначе влияет на указанные «способность СМК» и «способность организации».

ЗАКЛЮЧЕНИЕ

Первое. Анализ информации, содержащейся в письме, показывает, что решение о создании и сертификации СМК, распространяющейся на отдельно взятое подразделение (пусть даже непосредственно осуществляющее сертифицируемую бизнес-деятельность), БЕЗ охвата системой деятельности других соответствующих подразделений и должностных лиц было методически несостоятельным, ибо никак не учитывало ключевых основ создания таких систем и определения области их распространения/применения. По этой причине можно было с самого начала предвосхитить возникновение проблем при сертификации такой СМК. Что и случилось.

Привлеченные же организацией консультанты, как видно, эту методическую ошибку в намерениях компании не увидели и (по тем или иным причинам) предостеречь от нее компанию-заказчика своих услуг не смогли.

Второе. Что касается риск-ориентированного мышления, то в соответствии с моделью СМК, описанной в стандарте ISO 9001:2015, оно должно применяться КО ВСЕЙ ОБЛАСТИ РАСПРОСТРАНЕНИЯ/ПРИМЕНЕНИЯ СМК, ибо сбой в ЛЮБОЙ части этой системы может повлиять на ее итоговую результативность. Именно поэтому СМК называется СИСТЕМОЙ, а не простой совокупностью отдельных требований.

Другое дело, что сама по себе область распространения/применения СМК может охватить как всю организацию, так и какую-то ее часть. Однако только при условии, что эта часть в полном объеме попадает под понятие организации, установленное в п. 3.2.1 стандарта ISO 9000:2015.

При этом степень охвата СМК подразделений и должностных лиц компании, если этот охват соответствует положениям п. 3.2.1 стандарта ISO 9000:2015,

  • ни на само применение риск-ориентированного мышления,

  • ни на объем и глубину подходов к выявлению, оценке и управлению рисками, влияющими на способность представляемой на сертификацию СМК достигать намеченных результатов, никак НЕ ВЛИЯЕТ.

ВО ВСЕХ СЛУЧАЯХ деятельность по управлению рисками должна основываться на положениях п. 6.1 стандарта ISO 9001:2015, охватывая в рамках установленной области распространения/применения СМК риски, связанные со всеми соответствующими внутренними и внешними факторами/обстоятельствами и всеми заинтересованными сторонами, включая внутренние. Это и есть ответ на заданный в письме вопрос.

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

1. ISO 9000:2015. Quality management systems. Fundamentals and vocabulary. Системы менеджмента качества. Основные положения и словарь.

2. ISO 9001:2015. Quality management systems. Requirement. Системы менеджмента качества. Требования.

______________

1 Цитаты из стандартов ISO выделены полужирным курсовым шрифтом и приводятся в переводе автора. Выделение в них отдельных слов ПРОПИСНЫМИ буквами сделано автором.


Автор:  Качалов В.А.

Возврат к списку