Коллизии аудита. Журнал «Методы менеджмента качества», 2011, № 11

Коллизии аудита. Журнал «Методы менеджмента качества», 2011, № 11

Версия для печати

В нашей организации часть технологических операций отдана на аутсорсинг. На соответствующем этапе производства промежуточная продукция передается по акту аусорсинговой компании, которая после осуществления с ней установленных действий возвращает ее нам по акту. Все получаемые от аутсорсинговой компании полуфабрикаты мы подвергаем входному контролю и при выявлении отклонений брак возвращаем на доработку.

В соответствии с требованиями п. 4.1 стандарта ISO 9001:2008 мы контролируем деятельность аутсорсинговой компании, в том числе периодически силами своих представителей непосредственно у нее проводим проверку соблюдения требований переданных ей технологических карт. Проведение таких проверок предусмотрено в заключенном с аутсорсинговой компанией договоре. При выявлении нарушений оформляется акт, в котором, кроме фиксирования несоответствий, содержится требование об их устранении в соответствующий срок и предоставлении нашей компании официального уведомления об этом. Копии актов и уведомления от аутсорсинговой компании мы храним.

При проведении аудита нашей СМК на просьбу аудиторов продемонстрировать доказательства осуществления деятельности по управлению процессами, переданными на аутсорсинг, мы показали несколько таких актов и уведомлений. Ознакомившись с ними, аудиторы зафиксировали несоответствие по разд. 8.5.2 следующего содержания: «Управление аутсорсинговой компанией в случае выявления несоответствий ограничивается требованием устранения несоответствий и не включает требования о проведении анализа причин возникновения этих несоответствий и разработки мероприятий по устранению этих причин».

Мы считаем, что решение вопроса о целесообразности или нецелесообразности разработки корректирующих действий должно относиться к области полномочий самой аутсорсинговой компании. Наша цель — получать от нее соответствующую продукцию, при этом свои риски мы минимизируем путем проведения 100%-ного входного контроля. Доводы же аудиторов были основаны на том, что при передаче исполнения какого-то процесса аутсорсинговой компании последняя должна обеспечить выполнение не только наших технических требований и требований соответствующего раздела стандарта ISO 9001:2008, но и всех других «связанных» с ними требований этого стандарта, включая требования о применении механизма корректирующих действий.

Просим пояснить, насколько позиция аудиторов обоснованна. И что нам делать, если они правы?

Считаю, что В ПРИНЦИПЕ позиция аудиторов обоснованна, и они В ЦЕЛОМ правы, хотя с одной из предъявленных ими претензий я согласиться не могу.

Аргументы в пользу этого изложены в моей статье «Что же это такое — «аутсорсинг»?» (ММК, 2008, № 4–5). Ее основные положения, относящиеся к анализируемой ситуации, сводятся к следующему.

Первое. Если ЧТО-ЛИБО из того, что влияет на качество продукции, сертифицируемая организация передает для исполнения кому-то другому, то он «ЭТО» должен выполнять согласно требованиям соответствующих разделов ISO 9001:2008. Другими словами, «на стороне» все должно быть организовано и происходить так, как если бы данная организация делала это У СЕБЯ САМА.

Обеспечение этого в конечном итоге и должно быть целью управления аутсорсинговой компанией, дающего сертифицируемой организации уверенность в том, что ПРИ ПЕРЕДАЧЕ части деятельности «на сторону» эта часть будет В ПОЛНОМ ОБЪЕМЕ соответствовать требованиям стандарта ISO 9001:2008.

Второе. При передаче на аутсорсинг определенного вида работ, названных в статье «базовыми», к которым относится, в том числе, и деятельность по созданию продукции, организация АВТОМАТИЧЕСКИ должна возложить на аутсорсинговую компанию обязанность ПРАВИЛЬНО выполнять не только переданные работы, но и целый ряд СОПУТСТВУЮЩИХ видов деятельности, которые аутсорсинговая компания должна осуществлять тоже в соответствии с требованиям стандарта ISO 9001:2008. Например, если компания передала аутсорсинговой компании необходимые для выполнения работы документы (чертежи, технологические регламенты, производственные инструкции и т. п.), то последняя ДОЛЖНА пользоваться ими так, чтобы при этом выполнялись требования разд. 4.2.3. В частности, выдавать на рабочие места только управляемые копии этих документов.

В итоге при передаче аутсорсинговой компании каких-то производственных процессов она должна, кроме правильного управления соответствующими технологическими операциями, быть ОБЯЗАНА со стороны организации также:

  • правильно управлять соответствующими документами и записями;
  • обеспечить установленный уровень компетентности исполнителей работ;
  • обеспечить соответствующую идентификацию продукции и заданную глубину прослеживаемости;
  • правильно осуществлять мониторинг и измерение продукции и т. д.

Контроль же за выполнением аутсорсинговой компанией ВСЕГО ЭТОГО в разд. 4.1 возлагается на сертифицируемую организацию, и требуется, чтобы она осуществляла СООТВЕТСТВУЮЩЕЕ по виду и объему управление аутсорсинговой компанией.

Чтобы проиллюстрировать сказанное, давайте представим, что организация не передала «на сторону» указанные в письме операции, а осуществляет их сама. Тогда, если бы во время аудита эксперты органа по сертификации обнаружили, что при выполнении этих операций используются неучтенные копии технологических документов, что они должны были сделать? Правильно! Зафиксировать несоответствие требованиям разд. 4.2.3.

А если бы выяснилось, что работа поручена некомпетентному персоналу? Зафиксировать несоответствие требованиям разд. 6.2.1. А если бы столкнулись с тем, что при выявлении несоответствий не проводится анализ вызвавших их причин? Вне сомнения, зафиксировать несоответствие требованиям разд. 8.5.2.

И это ОЧЕВИДНО, поскольку при выполнении конкретных работ по созданию продукции в организации должны руководствоваться НЕ ТОЛЬКО требованиями разд. 7.5.1, но и требованиями разд. 4.2.3, 6.2.1, 8.5.2 и других СООТВЕТСТВУЮЩИХ разделов.

Если же организация передает осуществление ряда операций «на сторону», то вместе с ответственностью за соблюдение требований разд. 7.5.1 она должна возложить на аутсорсинговую компанию ответственность и за соблюдение требований всех «сопутствующих» разделов, в число которых, конечно же, входит и разд. 8.5.2. Именно это обеспечивает МИНИМИЗАЦИЮ риска создания аутсорсинговой компанией несоответствующей продукции. Сама же организация-заказчик должна организовать соответствующее управление аутсорсером в целях обеспечения выполнения им всех этих требований. Именно это требуется в разд. 4.1.

А поскольку в компании, где работают авторы письма, ВСЕХ соответствующих требований в отношении своей аутсорсинговой компании не установили (во всяком случае, в отношении требования о применении механизма корректирующих действий, описанного в разд. 8.5.2), это означает, что ОБЪЕМ управления аутсорсинговой компанией не адекватен особенностям переданных «на сторону» процессов создания продукции. Что и является объективной предпосылкой оценить данный факт как несоответствие требованиям стандарта ISO 9001:2008, но не разд. 8.5.2, а разд. 4.1.

Другое дело, что сам по себе механизм управления корректирующими действия НЕ ТРЕБУЕТ, чтобы при выявлении несоответствий корректирующие действия обязательно были разработаны и реализованы. Однако он требует, чтобы обязательно был проведен анализ возможных причин появления несоответствия и был расмотрен вопрос о необходимости и целесообразности разработки и реализации корректирующих действий. ЭТИ действия аутсорсинговая компания ДОЛЖНА делать ВСЕГДА!

А вот решать вопрос о НЕОБХОДИМОСТИ разработки и реализации корректирующих действий должна решать компания-заказчик. Поскольку только она может оценить потенциальное влияние несоблюдения технологических требований на потребительские характеристики конечной продукции.

Из всего этого следуют два важных вывода.

Первое. Когда аудиторы установили, что в данной компании при выявлении у аутсорсинговой компании несоответствий ОГРАНИЧИВАЮТСЯ требованием устранения несоответствий и не ТРЕБУЮТ проведения анализа причин возникновения этих несоответствий, они совершенно обоснованно оценили ТАКОЕ управление аутсорсинговой компанией НЕПОЛНЫМ, поскольку оно НЕ ОХВАТИЛО механизм корректирующих действий. И по этой причине ТАКОЕ управление должно быть признано несоответствием требованиям разд. 4.1 стандарта в части, касающейся аутсорсинга.

Второе. При рассмотрении вопроса о необходимости разработки и реализации аутсорсинговой компанией корректирующих действий компания-заказчик В ПРИНЦИПЕ может принять и отрицательное решение, т. е. посчитать возможным не разрабатывать и не реализовывать корректирующие действия. По этой причине вторая часть претензий аудиторов, касающаяся отсутствия со стороны компании требования к аутсорсинговой компании ВСЕГДА РАЗРАБАТЫВАТЬ мероприятия по устранению причин выявленных несоответствий, является необоснованной.

Заключение. Компания не включила в состав управления аутсорсинговой компанией требование о применении ею механизма корректирующих действий, сопровождающего ЛЮБЫЕ виды деятельности, передаваемые на аутсорсинг. Что и зафиксировали аудиторы, обоснованно оценив это как невыполнение требований стандарта ISO 9001:2008, правда, при этом:

  • отнеся это несоответствие не к разд. 4.1, что было бы правильно, а к разд. 8.5.2 (что я считаю ошибкой технической, а не смысловой) и
  • необоснованно высказав претензию относительно отсутствия требования со стороны компании об ОБЯЗАТЕЛЬНОСТИ аутсорсинговой компании во всех случаях разрабатывать и реализовывать мероприятия по устранению причин несоответствий, выявляемых в ходе проверок со стороны компании-заказчика.

Несмотря на это, в целом я считаю аудиторов ПРАВЫМИ.

В данной компании следует:

1. Составить перечень «сопутствующих» действий, сопровождающих выполнение переданных аутсорсинговой компании конкретных технологических операций. К ним, скорее всего, будут отнесены действия по управлению документами и записями, обеспечению компетентности персонала, работоспособности оборудования, метрологической пригодности средств измерения и т. д. В этот список, конечно же, входит применение механизма корректирующих действий. В итоге компания должна определить для себя перечень ВСЕХ действий аутсорсинговой компании, управление которыми в соответствующим виде и объеме она со своей стороны должна будет организовать.

2. Проанализировать свой договор с аутсорсинговой компанией на предмет охвата в нем соответствующими механизмами управления не только переданных технологических операций, но и ВСЕХ сопутствующих действий.

3. При выявлении «сопутствующих» действий, которые не были охвачены ранее установленным механизмом управления, разработать и включить в договор с аутсорсинговой компанией дополнительные положения, обеспечивающие управление такими действиями.

4. В дальнейшем управлять аутсорсинговой компанией на основе откорректированного механизма. В реальности это будет означать переход от контроля за соблюдением технологических требований к своеобразному аудиту второй стороной, ограниченному, естественно, областью переданных на аутсорсинг процессов и сопутствующих им работ.

Необходимое послесловие-добавление

Некоторые читатели, возможно, скажут: а почему вы не считаете возможным и ДОСТАТОЧНЫМ, чтобы управление аутсорсинговой компанией осуществлялось на основе входного контроля изготовляемых ею полуфабрикатов? В стандарте ведь НЕ ОПРЕДЕЛЯЕТСЯ содержание управления! А если это так, то претензии аудиторов ничем не обоснованы, поскольку 100%-ный входной контроль исключает прием от аутсорсинговой компании полуфабрикатов с несоответствиями — в каком бы состоянии ни находилось у нее производство.

Получается, что ТАКОЕ управление в полной мере обеспечивает минимизацию рисков последующего использования полуфабрикатов с несоответствиями. Большего для СМК и не надо!

Должен сказать, что эти аргументы свидетельствуют о недостаточном понимании их авторами СУТИ модели менеджмента качества, заложенной в стандарт ISO 9001:2008. И вот почему.

В ISO 9001:2008 действительно НЕ ОПРЕДЕЛЯЕТСЯ конкретное содержание мер по управлению аутсорсинговыми компаниями. Тем не менее в нем дается ПОДСКАЗКА, ЧТО было бы целесообразно учесть при этом (см. примеч. 3 к разд. 4.1). А там предлагается, в том числе, рассмотреть вопрос о ДОСТАТОЧНОСТИ управления аутсорсинговой компанией на основе требований разд. 7.4.

Я свою позицию на этот счет выразил в уже упомянутой статье, где заявил следующее: «Аутсорсинг — это ВСЕГДА закупки. А вот закупки — далеко НЕ ВСЕГДА аутсорсинг».

В нашем случае, без сомнения, имеет место именно аутсорсинг. И это дает основание воспользоваться Руководством ISO по аутсорсинговым процессам (документ ISO/TC 176/SC 2/N 630R3, 15 октября 2008 г.), где сказано, что организация должна установить в отношении аутсорсинговой компании управление, достаточное для обеспечения того, чтобы этот процесс выполнялся согласно соответствующим требованиям ISO 9001:2008 и всем другим требованиям, установленным организацией в системе менеджмента качества.

Сама же организация при установлении объема управления должна рассмотреть процессы, относящиеся к системе менеджмента качества и связанные с деятельностью руководства, обеспечением ресурсами,созданием продукции, ИЗМЕРЕНИЕМ, АНАЛИЗОМ и УЛУЧШЕНИЕМ (в число последних входит и механизм корректирующих действий — прим. авт.).

И, наконец, самое главное: аутсорсинговая организация не обязательно должна иметь сертифицированную СМК, но она должна суметь продемонстрировать способность выполнять вышеупомянутые процессы.

А для этого ее нужно ОБЯЗАТЬ это делать, закрепив требование юридически значимым образом. И поэтому управлять аутсорсинговой компанией просто как поставщиком (на основании только требований разд. 7.4) для сертифицируемой организации В ОБЩЕМ СЛУЧАЕ НЕДОСТАТОЧНО. Это — первое.

Кроме того, миссия любой СМК — действительно МИНИМИЗИРОВАТЬ риски выпуска продукции с несоответствиями. Но именно для этого она должна действовать не как сумма разрозненных действий, а как СИСТЕМА мер. В нее, безусловно, в качестве одного из необходимых элементов, входит технический контроль получаемых «со стороны» сырья, материалов, комплектующих и полуфабрикатов.

Надо отчетливо понимать: САМ ПО СЕБЕ указанный приемочный контроль в полной мере снизить риски передачи на следующие после аутсорсинговой компании операции поставленных им полуфабрикатов с несоответствиями (а тем более исключить такие риски) просто НЕ МОЖЕТ. Даже 100%-ный контроль НЕ ИСКЛЮЧАЕТ возможность «проскока» несоответствий.

Для обеспечения приемлемого уровня риска нужен КОМПЛЕКС мер, а не просто контроль. Ведь если бы контрольные операции сами по себе признавались мировым сообществом в качестве исчерпывающе приемлемого решения для гарантирования качества, то органы по сертификации могли бы сертифицировать любое предприятие, в котором все действия в рамках ее сертифицируемой СМК сводились бы к действиям сотрудников службы технического контроля. Слава богу, так не происходит, поскольку чего можно достичь (а точнее, НЕ ДОСТИЧЬ) в массовом производстве с ТАКИМ подходом к менеджменту качества история многих стран, включая СССР, уже убедительно показала.

Именно поэтому передача аутсорсинговой компании ответственности за какой-либо процесс должна сопровождаться установлением его ответственности и за сопутствующие процессы: обеспечение исполнения переданных операций только компетентным персоналом, правильное управление документами, применение метрологически пригодных средств измерения и т. д.

Этого может не делать НЕСЕРТИФИЦИРУЕМАЯ организация. А вот сертифицируемая организация при принятии решения о привлечении аутсорсинговой компании должна отчетливо понимать: она будет передавать ей на исполнение не просто какой-то процесс. Она в соответствии с требованиями МОДЕЛИ СМК, заложенной в стандарте ISO 9001:2008, должна будет вместе с процессом «передать» ей и часть своей СМК — своего рода подсистему менеджмента качества, которая будет в качестве «филиала СМК организации» отвечать за минимизацию рисков создания полуфабрикатов с несоответствиями «на территории аутсорсинговой компании». И тогда у организации (и, кстати, у органа по сертификации тоже) будут основания считать, что при передаче части работ аутсорсинговой компании СУММАРНЫЙ риск создания конечной продукции с несоответствиями, как минимум, НЕ ПОВЫСИЛСЯ. Что и будет являться предпосылкой для начала проведения действий по собственно первичной сертификации этой организации или последующего поддержания ее сертификата в силе.

Так что и с точки зрения минимизации рисков возникновения в создаваемой продукции несоответствий управления аутсорсинговой компанией, построенного даже на 100%-ном входном контроле получаемых от нее полуфабрикатов, для сертифицируемой организации также НЕДОСТАТОЧНО. Это — второе.


Автор:  Качалов В.А.

Возврат к списку