Коллизии аудита. Журнал «Методы менеджмента качества», 2005, № 9

Наша компания оказывает инжиниринговые услуги в области строительства энергетических объектов. Компания участвует в тендере на строительство объекта, подготавливает технико-коммерческое предложение и контракт с заказчиком на строительство объекта. Проектная и рабочая документация разрабатывается специализированными организациями на договорных условиях с нашей компанией. Поставка оборудования (в том числе требующего проектирования) и материалов осуществляется на договорных условиях с предприятиями-изготовителями. Строительно-монтажные и пусконаладочные работы осуществляются специализированными организациями на договорных условиях с нашей компанией. На строительной площадке наша компания организует дирекцию по строительству объекта, которая координирует и контролирует деятельность субподрядных организаций. Консалтинговая компания, помогающая нам в разработке документации СМК, считает, что на основании требований раздела 4.1 ГОСТ Р ИСО 9001-2001 наша компания должна обеспечивать контроль за процессом проектирования в проектной организации и контроль за процессом изготовления оборудования, требующего проектирования, на предприятии-изготовителе, так как это процессы, передаваемые сторонним организациям. Мы полагаем, что в структуре деятельности нашей компании процессов проектирования и изготовления продукции, требующей проектирования, никогда не было. Требования, которые мы предъявляем поставщикам на основе раздела 7.4 ГОСТ Р ИСО 9001-2001 (отбор, оценка и повторная оценка; предоставление планов качества для проектирования и изготовления; наличие СМК, отвечающей требованиям ГОСТ Р ИСО 9001-2001; проведение анализа проектной документации специализированными организациями; предоставление изготовителями актов исследования несоответствий в ответ на предъявленные рекламации и т.д.) вполне достаточны для управления поставщиками. Кроме того, неформальный контроль за этими процессами могут осуществлять только специалисты не ниже уровня специалистов проектной организации и предприятия-изготовителя, которых у нас нет в связи с тем, что мы никогда не «использовали» эти процессы в своей компании. Правомерны ли требования консалтинговой компании по контролю за процессами изготовления оборудования, требующего проектирования, на предприятии-изготовителе и за процессами проектирования в проектной организации, применительно к нашей компании? Как трактуются требования ГОСТ Р ИСО 9001-2001 по контролю процессов услуг, оборудования и работ, фактически закупаемых у поставщиков (проектных организаций, предприятий-изготовителей, строительно-монтажных и пусконаладочных организаций) компанией, оказывающей инжиниринговые услуги?

Следует отметить, что с подобной коллизией в той или иной степени сталкиваются сегодня многие организации. Суть проблемы состоит в том, необходимо ли и в каком объеме осуществлять управление деятельностью других организаций, привлекаемых к выполнению работ по контракту, ответственность за реализацию которого несет ваша организация.

Поскольку речь идет о соответствии ISO 9001:2000, то обратимся к этому документу. В нём в разделе 4.1 установлено следующее: «Если организация решает передать осуществление каких-либо процессов, влияющих на соответствие продукции требованиям, сторонним организациям, она должна обеспечивать, чтобы осуществлялось управление такими процессами. Управление такими процессами, выполняемыми сторонними организациями, должно быть идентифицировано в рамках системы менеджмента качества»¹⁾.

Представляется, что отмеченная в письме проблема будет разрешена, если мы сможем ответить на следующие четыре вопроса:

Какие процессы могут влиять на соответствие продукции требованиям?

Должна ли организация обеспечивать управление такими процессами при передаче их для осуществления «на сторону»?

Каков минимальный объем этого управления?

Что значит идентифицировать управление процессами в рамках системы менеджмента качества?

Итак, вопрос первый: какие виды деятельности влияют на соответствие продукции требованиям?

Вспомним известные «М» (обычно говорят о пяти «М», но иногда это число увеличивают до семи и даже больше), описывающие наиболее общие причины возможных несоответствий в продукции. Нет никаких сомнений, что связанная с ними деятельность влияет на соответствие продукции требованиям:

«М»	Деятельность, минимизирующая возможность появления несоответствия требованиям	Раздел ISO9001:2000, содержащий требования к этой деятельности
Man (иногда к этому фактору добавляют Monday)	Обеспечение квалифицированным персоналом	6.2
Machine	Обеспечение соответствующей инфраструктурой	6.3
Material	Обеспечение сырьем, материалами, комплектующими	7.4
Method	Обеспечение технологиями «делания» продукции или предоставления услуги	7.1
Milieu	Обеспечение соответствующей производственной средой	6.4
Measurement	Обеспечение соответствующими измерениями в целях контроля и управления	7.6; 8.2
Money	Обеспечение необходимыми финансовыми ресурсами	6.1
Management	Обеспечение результативного общего менеджмента	4; 5; 7.2; 8.1; 8.4; 8.5

Из содержания ISO 9001:2000 в этот перечень не попали лишь следующие виды деятельности:

• проектирование и разработка продукции (раздел 7.3);
• производство продукции/предоставление услуг (раздел 7.5);
• управление несоответствующей продукцией (раздел 8.3).

Но и для них очевиден положительный ответ на вопрос о том, влияют ли эти виды деятельности на обеспечение соответствия продукции требованиям.

Таким образом, можно констатировать, что в модели СМК, представленной в стандарте ISO 9001:2000, все виды деятельности могут влиять на соответствие продукции требованиям.

Для ответа на вопросы о том, кто должен обеспечивать управление указанными процессами при передаче их выполнения «на сторону» и каков должен быть объем этого управления, воспользуемся упомянутым в примечании «Руководством ИСО по аутсорсинговым процессам».

Там подчеркнуто следующее: когда организация решает передать сторонней организации (независимо от того, постоянно или временно) осуществление процесса, который влияет на соответствие продукции требованиям, она не может ни просто проигнорировать этот процесс, ни исключить его из системы менеджмента качества.

Организация должна демонстрировать, что она осуществляет управление, достаточное для обеспечения того, чтобы этот процесс выполнялся согласно соответствующим требованиям ISO 9001:2000 и любым другим требованиям, установленным организацией в системе менеджмента качества.

Итак, ответы на поставленные вопросы таковы:

во-первых, управление аутсорсинговыми процессами, кроме сторонней организации, должно осуществляться и самой организацией²⁾;

во-вторых, объем этого управления должен быть достаточным для обеспечения того, чтобы выполнялись соответствующие требования стандарта.

При этом в Руководстве ИСО отмечается, что характер этого управления будет зависеть, помимо прочего, от важности аутсорсингового процесса, связанного с этим риска и компетентности поставщика выполнять требования, установленные для процесса.

В Руководстве указывается на две ситуации, которые часто необходимо рассматривать при принятии решения о подходящем уровне управления аутсорсинговым процессом:

1. Организация обладает компетентностью и в состоянии сама осуществить процесс, но решает передать осуществление этого процесса сторонней организации (по коммерческим или иным причинам).
   В этом случае организации следует уже иметь в наличии установленные критерии управления таким процессом, и их можно при необходимости перенести в требования к поставщику аутсорсингового процесса.
2. Сама организация не обладает компетентностью для осуществления процесса и решает передать его осуществление сторонней организации.
   В этом случае организация должна обеспечить, чтобы средства управления процессом, предложенные поставщиком аутсорсингового процесса, были адекватными. В некоторых случаях для проведения оценивания адекватности предложенных средств управления может понадобиться привлечение внешних специалистов.

В Руководстве отмечается, что может быть удобно или даже необходимо определить некоторые или все методы, которые должны использоваться для управления аутсорсинговыми процессами, в контракте между организацией и поставщиком. Однако следует позаботиться о том, чтобы не препятствовать поставщику вносить инновации в аутсорсинговый процесс.

В некоторых ситуациях может быть невозможно верифицировать «выход» (результаты) аутсорсингового процесса последующим мониторингом или измерением. В этих случаях организации необходимо обеспечивать, чтобы управление аутсорсинговым процессом включало предварительную валидацию процесса в соответствии с разделом 7.5.2 ISO 9001:2000.

В Руководстве также отмечается, что аутсорсинговые процессы могут взаимодействовать с другими процессами системы менеджмента качества организации (эти другие процессы могут осуществляться самой организацией или сами могут быть аутсорсинговыми процессами). Менеджмент этих взаимодействий также необходимо осуществлять (см. пункт 4.1 (a) и (b) ISO 9001:2000).

Наконец, попробуем ответить на последний вопрос – об идентификации управления аутсорсинговыми процессами в рамкам СМК.

Используя англо-русские словари, не трудно установить, что слово «identification» переводится не только как «отождествление, опознавание, идентификация», но и как «определение, установление, указание». Поэтому смысл разбираемой фразы заключается в том, что организация должна определить (установить, указать) в рамках своей СМК (желательно письменным образом, но не обязательно) то, как она будет осуществлять управление соответствующими аутсорсинговыми процессами³⁾.

С учет этого пространного, но необходимого предисловия можно вернуться к самой коллизии. Позиция автора следующая:

1. Мнение компании о том, что «в структуре деятельности нашей компании процессы проектирования и изготовления продукции, требующие проектирования, никогда не были процессами нашей компании» правильно лишь в том смысле, что они никогда ранее не осуществлялись силами самой компании.
   Если же обратиться к описанной в письме области применения СМК, становиться ясно, что без реализации этих процессов конечных результатов, предусмотренных контрактными обязательствами по оказанию инжиниринговых услуг, получить нельзя. Следовательно, эти процессы влияют на обеспечение соответствия продукции требованиям и компания несет за них ответственность, хотя и осуществляет их силами сторонних организаций, т.е. реализует эти процессы с помощью аутсорсинга.
2. С учетом п.1 мнение консалтинговой организации о необходимости определенного управления со стороны компании деятельностью указанных поставщиков обосновано, оно опирается на соответствующее требование из последнего абзаца раздела 4.1 ISO 9001:2000.
3. Что касается фактического объема управления указанными в письме видами деятельности (аутсорсинговыми процессами проектирования будущих энергетических объектов, а также разработки и изготовления необходимого оборудования), то содержащаяся в письме информация недостаточно полная, чтобы сделать однозначный вывод.
   Вместе с тем, если при отборе поставщиков оборудования выполняются требования раздела 7.4.1 ISO 9001:2000, в том числе для их отбора требуется положительная оценка способности разрабатывать соответствующее оборудование и подтверждение наличия СМК, отвечающей требованиям ГОСТ Р ИСО 9001-2001, то, вместе с подготовкой соответствующей информации по закупке такого оборудования и верификацией закупаемого оборудования, этих действий по управлению достаточно для обеспечения того, чтобы процесс закупок оборудования выполнялся согласно требованиям раздела 7.4 ISO 9001:2000. Никакого прямого контроля за разработкой оборудования непосредственно у изготовителя этого оборудования, как считает консалтинговая организация, при этом не требуется.
   Если говорить о проектных организациях, то здесь на аутсорсинг передается деятельность по проектированию и разработке. Если при этом исполнители работ также отбираются на основе соответствующих положительных оценок, компания требует подтверждения наличия у них сертифицированной СМК, представления информации о результатах дополнительной экспертизы результатов проектирования внешними специализированными организациями и т.д., то совокупности этих действий также можно считать достаточными для выполнения требований раздела 7.3 ISO 9001:2000.
   Отметим еще раз, что все указанные выше действия по управлению закупками и разработкой проекта в рамках СМК должны быть определены/установлены/указаны, т.е. идентифицированы.
4. Что касается ответа на второй вопрос, поставленный в письме, касающийся того, как в целом «трактуются требования по контролю процессов, закупаемых у поставщиков», то он в общем виде уже дан выше в комментариях, взятых из «Руководства ИСО по аутсорсинговым процессам». Для более конкретного ответа нужен и более конкретный вопрос.

______________________

¹⁾ Во-первых, следует отметить, что цитирование ISO 9001:2000 делается по переводу, сделанному в Группе компаний «Интерсертифика» в редакции от 15.04.04. В аналогичном месте в ГОСТ Р ИСО 9001-2001 в первом предложении вместо слова «управление» (control) использовано слово «контроль», хотя уже в следующем предложении ГОСТ Р ИСО 9001-2001 применяет слово «управление». Не смотря на расхождение, для анализа коллизии это принципиального значения не имеет.

Во-вторых, отметим, что в «Руководстве ИСО по аутсорсинговым процессам» (документ ISO/TC 176/SC 2/N 630R2 от 24 ноября 2003 г. в переводе Группы компаний «Интерсертифика» от 12.04.04) процесс, который организация идентифицировала как необходимый для своей системы менеджмента качества, но для осуществления которого она выбрала внешнюю сторону, определяется как «аутсорсинговый процесс». Оксфордский словарь английского языка определяет глагол «outsource» как «получить… по контракту от источника вне организации или вне области деятельности организации; дать (работу) по контракту».

Аутсорсинговый процесс может выполняться поставщиком, который полностью независим от организации или который является частью одной и той же материнской организации (например, отдельный отдел или отделение, которые не попадают под действие системы менеджмента качества). Он может осуществляться в помещениях или в рамках производственной среды (на месте проведения работ) самой организации, на независимом от организации месте или каким-либо иным образом.

Приобретение аутсорсинговых процессов обычно будет связано с требованиями разделов 7.4 «Закупки» и 4.1 «Общие требования» ISO 9001:2000.

В Руководстве отмечается, что в некоторых ситуациях организация не может «покупать» аутсорсинговый процесс в традиционном смысле. Она может, например, получить услугу из главного офиса корпорации или из другого отделения внутри группы организаций без официального оформления какой-либо денежной сделки. В связи с этим в Руководстве подчеркивается, что, несмотря на это, в таких случаях разделы 7.4 и 4.1 ИСО 9001:2000, тем не менее, применимы.

Далее в тексте термин «аутсорсинговый процесс» употребляется именно в этом смысле. - Прим. автора.

²⁾ В этом смысле перевод на русский язык соответствующей фразы из раздела 4.1 ISO 9001:2000 в ГОСТ Р ИСО 9001-2001 (« …она должна обеспечивать со своей стороны контроль за таким процессом»), хоть и не является дословным переводом, но четко отражает суть вопроса. – Прим. автора.

³⁾ И в этом случае, не смотря на то, что перевод соответствующей фразы в ГОСТ Р ИСО 9001-2001 не полностью идентичен тексту ISO 9001:2000, смысл требования ISO 9001:2000 в ГОСТ Р 9001-2001 сохранен («Управление им должно быть определено в системе менеджмента качества»). – Прим. автора.

Автор:  Качалов В.А.