Коллизии аудита. Журнал «Методы менеджмента качества», 2014, № 3

Наше предприятие сертифицировано на со­ответствие требованиям стандарта ISO 9001 и ежегодно подвергается аудиту. От внешних аудиторов мы всегда ожидаем объективной оценки того, как функционирует наша систе­ма менеджмента качества (СМК), а также ре­комендаций по ее улучшению. Однако вместо этого поведение посетивших нас в этом году аудиторов вызвало лишь целый ряд вопросов. Первое. За месяц перед проведением аудита у нас были запрошены Руководство по качеству и шесть обязательных процедур. А за неделю аудиторы попросили дополни­тельно представить все остальные докумен­ты, действующие в рамках СМК. У нас же к ним отнесено многое: стандарты органи­зации, положения, инструкции и т. п. В связи с этим у нас первый вопрос к экспертам: зачем внешним аудиторам ана­лизировать выполнение всех наших стан­дартов, если у нас проводится внутренний аудит СМК, в ходе которого осуществля­ется проверка соблюдения требований всех этих документов? Второе. Во время аудита: 1) один из аудиторов в проверяемых подразделениях смотрел только должност­ные инструкции и положение о подразделе­нии и не задал ни одного вопроса по СМК; 2) другой аудитор, проверяя отдел метро­логии, созванивался со знакомым метрологом и консультировался. Как впоследствии вы­яснилось, консультации оказались неверны­ми, поскольку после этого он, ссылаясь на закон «Об обеспечении единства измерений», утверждал, что для проведения калибровки мы должны иметь соответствующую аккреди­тацию. Однако наше предприятие относится к машиностроению, и согласно п.п. 1 и 2 ст. 18 этого закона указанная аккредитация для нас не является обязательной; 3) в одном из цехов аудиторы потребо­вали представить документы о проведении «Дня охраны труда» - якобы это является обязательным требованием, но не смогли нам его показать; 4) аудиторы предложили нам переработать Руководство по качеству, хотя все, что тре­буется в стандарте ISO 9001, в нем учтено. Однако они считают, что Руководство по качеству должно иметь структуру, соответ­ствующую структуре стандарта ISO 9001; 5) аудиторы посчитали несоответстви­ем то, что в годовой программе внутрен­них аудитов указаны подразделения, но не указаны проверяемые пункты ISO 9001. У нас же установлено, что пункты ISO 9001 указываются в планах каждого конкретного аудита, и мы это выполняем; 6) аудиторы позволяли себе повышать голос, если мы с ними были не согласны и пытались аргументировать, что требо­вания учтены и выполняются. Но слушать они ничего не хотели, так как считали, что их мнение единственно верное; 7) при составлении отчета аудиторы попросили наших сотрудников набрать их замечания на наших компьютерах под их диктовку, при этом у них не было даже электронных шаблонов для регистрации несоответствий и уведомлений; 8) по результатам аудита объективные свидетельства (конкретные факты, при­меры) были выставлены как несоответст­вия и уведомления без обозначения того, какие требования при этом были нарушены. Наше впечатление от этого аудита было глубоко негативным. В связи с этим просим экспертов от­ветить на второй вопрос: насколько пра­вильным является такое поведение с точки зрения правил проведения аудитов и можем ли мы опротестовать выводы аудиторов, которые считаем необоснованными?

Характер ответов на эти два вопроса разный.

ОТВЕТ НА ПЕРВЫЙ ВОПРОС

К сожалению, позиция авторов письма здесь ошибочна. По двум причинам.

Во-первых, проведение командой по аудиту анализа документации сертифицируемой систе­мы менеджмента входит в программу ЛЮБОГО аудита, ибо в общем случае является одной из обязательных фаз подготовки к его проведению (см. [1, п. 6.3]). Его цель определена в [1, п. 6.3.1] и заключается в том, чтобы:

а) убедиться, что относящиеся к системе и действующие в организации документы (в нашем случае — «Руководство по качеству, обязательные процедуры, стандарты, положения, инструкции» и т. п.) СООТВЕТСТВУЮТ требованиям к ним, установленным в соответствующем стандарте;

б) ПОЗНАКОМИТЬСЯ ЗАРАНЕЕ с этими документами, чтобы во время аудита конкретных должностных лиц, подразделений, видов деятельности или процессов сконцентрироваться на анализе соблюдения установленных в них правил, а не заниматься изучением самих правил.

Для достижения этой цели аудиторы ВПРАВЕ попросить организацию-заявителя ЗАРАНЕЕ пред ставить для анализа тот или иной документ, относящийся к системе¹. Поэтому в просьбе ауди­торов предоставить дополнительно какие-то доку­менты нарушения правил проведения аудитов нет².

Во-вторых (и это является самым важным с точки зрения заданного вопроса, ибо указывает на серьезное недопонимание со стороны авторов письма), даже получив запрошенные докумен­ты, аудиторы ПРИНЦИПИАЛЬНО НЕ МОГУТ «анализировать их ВЫПОЛНЕНИЕ». Это мож­но сделать лишь в ходе аудита и только на месте ПРИМЕНЕНИЯ этих документов (что, как видно, с успехом и делают в этой организации внутрен­ние аудиторы). Заочно же аудиторы могут анали­зировать лишь сами документы (т. е. их содержа­ние), но никак не соблюдение заложенных в них требований, положений, правил, указаний и т. п.

По этой причине проведение внутренними аудиторами «проверки соблюдения требований всех этих документов» не может служить хоть каким-то основанием для аудиторов третьей стороны отказаться от проведения АНАЛИЗА «этих документов»³.

ОТВЕТ НА ВТОРОЙ ВОПРОС

Нельзя, к большому сожалению, не отметить, что по прошествии более двух десятков лет накоп­ления мирового и отечественного опыта сертифи­кации систем менеджмента в нашей стране все еще находятся органы по сертификации, аудиторы которых без тени смущения демонстрируют свою профессиональную некомпетентность и нарушают ключевые принципы реализации сертификацион­ных процедур. Приведенный в письме «букет» грубейших нарушений достоин того, чтобы рас­смотреть каждое из них в отдельности и аргументированно продемонстрировать, в чем именно описанные авторами письма действия расходятся с правилами проведения аудитов третьей стороной.

Пункт 1. Из письма неясно, осуществлялись ли кроме «чтения» должностных инструкций и поло­жений какие-то дополнительные действия, связан­ные с ними, например, проверялось ли соответ­ствие фактической компетентности сотрудников требованиям, установленным к ним в этих доку­ментах. Поэтому автор исходит из того, что во вре­мя аудита подразделений аудитор не проводил ин­тервью, не осуществлял наблюдений, а лишь «про себя» провел анализ каких-то документов, т. е. все его исследования свелись к анализу документации.

Сами по себе такие действия, конечно же, нуж­ны (о чем шла речь при обосновании ответа на пер­вый вопрос). Однако важно еще раз подчеркнуть: они должны ПРЕДШЕСТВОВАТЬ проведению аудита на месте. Конечно, с какими-то документа­ми аудиторам поневоле приходится сталкиваться по ходу аудита впервые, и это вызывает потребность проанализировать их содержание. Такая ситуация естественна, и, как отмечено в [1, п. 6.4.3], подоб­ный анализ проводится, чтобы:

• определить степень соответствия системы в том виде, как она была документирована, критериям аудита;
• собрать информацию в целях поддержки деятельности по аудиту⁴.

С другой стороны, в этом же разделе [1] чет­ко указано: все это МОЖЕТ осуществляться по ходу аудита только ПРИУСЛОВИИ, что это НЕ НАВРЕДИТ результативности проведения аудита.

В данном же случае, как можно понять из пись­ма, анализ должностных инструкций и положений о подразделениях был ЕДИНСТВЕННОЙ целью (фактически САМОЦЕЛЬЮ) посещения данным аудитором соответствующих подразделений. Подобный анализ он мог провести и ВНЕ организа­ции. А вот находясь на месте выполнения тех или иных работ, он НЕ ПРОВЕЛ какого-либо аудита деятельности соответствующих подразделений (анализа степени соответствия этой деятельности требованиям ISO 9001), чем поставил под удар ре­зультативность аудита в целом. А это недопустимо.

Пункт 2. То, что аудитор обратился за поддерж­кой (сделал «звонок другу»), вне сомнения, явля­ется оправданным и логичным шагом. Но то, что выбранный «друг» оказался, к сожалению, недоста­точно компетентным (а это становится очевидным, если обратиться к указанным пунктам Федерального закона от 26.06.2008 № 102-ФЗ «Об обеспечении единства измерений» в ред. от 28.07.2012) — также не вызывает никаких сомнений.

Ошибочность действий аудитора в данном слу­чае состояла не в том, что он слепо поверил совету своего знакомого. Его ошибка в том, что, выслушав аргументы организации, он их НЕ УСЛЫШАЛ и не счел необходимым ПРОВЕРИТЬ самого себя в обоснованности сделанного им заявления о несоответствии (отсутствие у организации не­обходимой аккредитации). А это — нарушение следующего требования: Несоответствия следует проанализировать вместе с аудитируемой органи­зацией , чтобы получить подтверждение того , что свидетельства аудита ТОЧНЫ , а несоответствия поняты аудитируемой организацией . Следует попытаться сделать все , чтобы УСТРАНИТЬ РАЗНОГЛАСИЯ во мнениях относительно свидетельств и / или результатов аудита[1, п. 6.4.7].

Пункт 3. Анализ соблюдения требований, относящихся к охране здоровья и обеспечению безопасности труда сотрудников, НЕ ВХОДИТ в цели и задачи аудита систем менеджмента КАЧЕСТВА. Подробно аргументы автора выска­заны в его статье [2].

Требования аудиторов необоснованны.

Пункт 4. Аналогичная ситуация описана в коллизии аудита, опубликованной в [3]. Опи­раясь на сделанные в ней комментарии автора, его мнение в отношении ситуации, приведенной в анализируемом письме, следующее.

Определять СТРУКТУРУ и НАИМЕНОВАНИЕ разделов Руководства по качеству — исклю­чительное ПРАВО самой организации. Разумеется, аудиторам органа по сертификации было бы про­ще проводить анализ этого документа, если бы все его разделы имели бы такую же последова­тельность и те же наименования, что и разделы ISO 9001 [4]. Однако это НЕ ВХОДИТ в круг тре­бований, предъявляемых к Руководству по качест­ву в п. 4.2.2 данного стандарта⁵.

Поэтому высказанное аудиторами суждение о том, что «Руководство по качеству ДОЛЖНО иметь структуру, соответствующую структуре стандарта ISO 9001», ничем не обосновано.

Пункт 5. Цели внутренних аудитов СМК и тре­бования к их проведению установлены в п. 8.2.2 ISO 9001. При этом определить, КАКИМ спосо­бом (в том числе с помощью какого механизма планирования внутренних аудитов) организация будет их достигать — исключительное ПРАВО самой организации. И если при этом все требования данного пункта ISO 9001 выполняются, никаких претензий к МЕТОДИКЕ планирования внутрен­них аудитов никто предъявить НЕ ВПРАВЕ.

Заметим также, что определение «программы аудита», данное в [1, п. 3.13], НЕ ПРЕДУ­СМАТРИВАЕТ включение в нее критериев аудита, к которым и относятся разделы ISO 9001.

Данное несоответствие является необоснованным.

Пункт 6. Не желая считаться с мнением аудитируемых, аудиторы нарушили как указанные при анализе пункта 2 требования [1, п. 6.4.7], так и следующее требование: Несоответствия должны быть ОБСУЖДЕНЫ с клиентом , чтобы обеспечить уверенность в том , что доказательства несоответствия точны и что содержание несоответствия понято[5, п. 9.1.9.6.3].

К этому также необходимо добавить очевидное несоответствие следующему. Аудиторам следует быть :

• этичными (нравственными), т .е . беспристрастными (справедливыми), правдивыми, искренними, честными и сдержанными;
• открытыми для дискуссии, т .е . готовыми рассматривать альтернативные идеи или точки зрения;
• дипломатичными , т .е . умеющими тактично вести себя с людьми ;
• готовыми к сотрудничеству , т .е . результативно взаимодействовать с другими, включая персонал аудитируемой организации[1, п. 7.2.2].

Примерами образа действий (поведения), которые важны для персонала , участвующего в деятельности по сертификации любой системы менеджмента , являются следующие :

• этичность , т .е . порядочность, правдивость, искренность, честность и благоразумность;
• открытость, т .е . готовность рассматривать альтернативные идеи или точки зрения;
• дипломатичность, т .е . тактичность в обще­нии с людьми;
• сотрудничество, т . е . способность результа­тивно взаимодействовать с другими людьми;
• гибкость , т .е . способность подстраиваться к различным ситуациям;
• профессионализм , т .е . способность проявлять на рабочем месте учтивость, добросовестность и деловые манеры поведения;
• моральная стойкость , т .е . готовность действовать ответственно и этично, даже если эти действия не всегда будут популярными и могут иногда привести к разногласиям или противостоянию [5, приложение D].

Пункт 7. Здесь, кроме очевидных нарушений этических норм, аудиторами нарушены еще и сле­дующие положения: членам команды по аудиту следует ПОДГОТОВИТЬ, при необходимости, ра­бочие документы, которые будут использоваться для фиксации свидетельств аудита. Такие доку­менты могут включать в себя формы (шаблоны) для регистрации информации, такой, как СВИДЕ­ТЕЛЬСТВА АУДИТА, поддерживающие принятие решений, РЕЗУЛЬТАТЫ АУДИТА [1, п. 6.3.4].

Пункт 8. Одно из требований стандарта [5] гласит: Результаты аудита , признанные НЕСООТВЕТСТВИЯМИ , должны быть зарегистри­рованы В СОПОСТАВЛЕНИИ с требованиями критериев аудита , СОДЕРЖАТЬ четкое заявление о несоответствии и ПОДРОБНЫЕ ДОКАЗАТЕЛЬСТВА того , на чем основано данное заявление о несоответствии [5, п. 9.1.9.6.3].

К этому следует добавить четкие пояснения, сделанные членами Группы по анализу практики проведения аудитов соответствия требованиям ISO 9001 [6]: хорошо документированное несоот­ветствие содержит три части:

• свидетельство аудита, чтобы поддерживать полученные аудитором результаты;
• запись требования, относительно которого обнаружено несоответствие;
• формулировка несоответствия.

Несоответствие — это невыполнение требования, поэтому если аудитор не может идентифицировать требование, то он не может признать наличие несоответствия.

В данном случае аудиторами ни одно из этих положений не соблюдено.

ЗАКЛЮЧЕНИЕ

Что касается первого вопроса, то аудиторы не только имеют право, но и обязаны знакомиться с документами анализируемой СМК в целях обеспечения результативности будущих сертифи­кационных действий «на месте». Аргументация организации о необоснованности этого по при­чине проверки соблюдения положений докумен­тов СМК в ходе внутренних аудитов к анализу документации отношения не имеет.

Если говорить о втором вопросе, то во всех описанных случаях поведение аудиторов не только не соответствовало правилам проведения аудитов третьей стороной, но и часто было просто недопустимым. Искренне жаль, что данная организация выбрала для себя орган по сертификации, при­знавший в качестве своих аудиторов ТАКИХ лиц. Но при этом (и это ответ на последнюю часть второго вопроса) еще не все потеряно. У организации-заявителя аудита всегда есть установленное правилами сертификации ПРАВО опротестовать в органе по сертификации любое заключение команды по аудиту, с которым она не согласна. Для этого можно:

• не подписывать согласие с заключениями, со­держащимися в соответствующих протоколах (актах, отчетах и т. п.) о несоответствии, вы­разив в них письменно свои аргументы и/или
• направить в орган по сертификации офи­циальную (разумеется, аргументированную) апелляцию на действия аудиторов или на сделанные ими заключения по аудиту.

В соответствии с разд. 4.7 и 7 стандарта [5] орган по сертификации обязан рассмотреть эти документы и принять соответствующее решение. И если при этом орган действительно руководствуется в своей деятельности ключевым для та­ких институтов документом — международным стандартом [5] — то он будет обязан признать описанные в письме действия аудиторов не со­ответствующими этим правилам и дезавуировать необоснованные несоответствия.

Если же в отношении указанных или подоб­ных им фактов решение органа по сертификации будет не в пользу организации, остается посове­товать лишь одно: отказаться от его услуг и обратиться за сертификацией в другой орган.

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

1 ISO 19011:2011(E). Guidelines for auditing management systems (Руководящие указания по проведению аудитов систем менеджмента).

2. Качалов В.А. Распространяются ли требования пункта 6.4 стандарта ISO 9001:2000 на охрану труда? // Методы менеджмента качества. – 2008. – № 7, 8.

3. Коллизии аудита // Методы менеджмента качества. – 2008. – № 7.

4. ISO 9001:2008(Е). Quality management systems. Requirements (Системы менеджмента качества. Требования).

5. ISO/IEC 17021:2011(E). Conformity assessment. Requirements for bodies providing audit and cer­tification of management systems (Оценка соответствия.Требования к органам, проводящим аудит и сертификацию систем менеджмента).

6. ISO 9001 Auditing Practices Group Guidance on: Documenting a Nonconformity, 5 June 2009 (Руководство Группы по анализу практики проведения аудитов соответствия требованиям ISO 9001 «Документирование несоответствий» от 5 июня 2009 г.).

______________

¹ Заметим отдельно, что у заявителя аудита не может быть оснований отказать в этой просьбе, если только запрашиваемый документ не содержит сведений, составляющих государственную тайну, или по решению руководства организации на его распространение вне организации наложен запрет (в последнем случае с таким документом аудиторы, при наличии соответствующих обоснований, могут быть ознакомлены непосредственно в организации по ходу аудита).

² Другое дело, насколько рационально и обоснованно запрашивать ВСЕ документы, относящиеся к СМК. Но это — отдельная проблема, решить которую не представляется возможным из-за отсутствия в письме необходимой информации, хотя в общем случае автор лично никакой необходимости в ЭТОМ не видит.

³ Нельзя при этом не отметить, что внутренние аудиторы ДО «проверки соблюдения требований всех этих документов» ТОЖЕ должны вначале все «эти документы» проанализировать.

⁴ Здесь и далее цитирование стандартов приводится в авторском переводе. Выделение в этих цитатах части текста ПРОПИСНЫМИ буквами тоже сделано автором.

⁵ Другое дело, что аудиторы вправе ожидать: при описании своей СМК организация будет придерживаться определенной логики и не будет описывать управление какой-то деятельностью в разделе, заголовок которого говорит совсем о другом. Однако и здесь они вправе только ОЖИДАТЬ, но не вправе ТРЕБОВАТЬ. Если же указанная логика отсутствует, аудиторам СЛЕДУЕТ (как и выше) ОБРАТИТЬ НА ЭТО ВНИМАНИЕ организации. Но и ТОЛЬКО!

Автор:  Качалов В.А.