Крайне важным требованием к системам менеджмента качества (СМК) согласно ISO 9001 является ПРОЗРАЧНОСТЬ процессов менеджмента.
Что это значит? На первый взгляд - еще одно избитое нашими реалиями слово. Поясню, почему оно избито реалиями.
Это значит, что, к примеру, согласно пункту 8.2 Стандарта необходимо:
1. Иметь результативную обратную связь от клиентов.
2. Выполнять контроль продукции.
3. Контролировать процессы.
4. Вести внутренние аудиты.
Далее, согласно пункту 8.4. необходимо:
5. Вести анализ данных (Data Analysis), собранных в 8.2.
И наконец, согласно пункту 5.5. необходимо:
6. Выполнять анализ всей системы управления качеством со стороны руководства (Management Review).
Венцом требований является необходимость ВЕСТИ ЗАПИСИ!!! ТОТАЛЬНО!
Я перечислил ШЕСТЬ типовых источников информации о результативности системы менеджмента (управления) организации. Причем конечно же всегда должна быть ЧЕТКАЯ оценка этой результативности согласно установленным критериям:
1. Результаты СООТВЕТСТВУЮТ.
2. Результаты НЕ СООТВЕТСТВУЮТ.
3. Хорошей практикой является "ПОХВАЛИТЬ" - об этом стандарты умалчивают, но так делается.
Что это за критерии такие? Каким таким критериям соответствуем или нет?
А любым требованиям, включая ISO9001, законы, стандарты, нормативные и правовые документы, договоры и т.п.(!!!) Более того: проверяются также достижение целей и выполнение установленных(!) показателей. Ну, к примеру, план продаж, уровень брака, отсутствие инцидентов, уровень компетентности и т.п.
Ну так вот, есть специальный пункт стандарта 8.5.2, который определяет порядок осуществления корректирующих действий для недопущения несоответствий всех типов и всех уровней.
Вот что стандарт говорит:
То есть, если у вас есть СМК, то несомненно в СМК есть записи о несоответствиях, об их анализе, о предпринятых действиях или планируемых действиях и сроках проверки результативности, результатах действий.
И в чем тут несовместимость с реалиями, спросите Вы?
Замечу две вещи: пункт 7.5.4 говорит "О СОХРАННОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ" (ну так, для заметки, почему безопасникам это адресовано), а также вообще: если СМК есть, то она есть ВЕЗДЕ, а не в одном кабинете. Ведь это система менеджмента процессов, влияющих на качество, она в голове у каждого боевого руководителя должна быть (согласно стандарту, пункт 5.1. Обязательства (вовлеченность) руководства). И вопросов персональных данных она касается тоже в полный рост.
Несовместимость заключается в том, что эта система никак не соответствует практике надзоров, которые зачастую нацелены на поиск несоответствий (нарушений), но не на улучшение. Поэтому конечно же организации стремятся не показать никаких нарушений, готовясь к надзору. То есть не показать, как они пришли к состоянию "отсутствия нарушений".
Подборка же несоответствий в СМК - это фактически работа, выполненная за надзор!?
А поскольку надзорные органы ищут в самом теле процессов, то зафиксированных несоответствий в теле не должно быть, иначе штраф! А значит и СМК в теле тоже не должно быть.
Вот поэтому получается, что СМК часто действуют отдельно от процессов. Часто в организациях о деятельности служб качества другие отделы ничего не знают, говоря, что "они там только документацией занимаются".
К сожалению, при консультировании клиентов такие вопросы не редкость.
Более того, отмечу что и норма, по которой нельзя вести надзор в одном юр. лице чаще, чем раз в 3 года, также указывает на то, что надзорной политике не интересно, как развиваются субъекты, а интересно "соответствие/несоответствие".
Ведь за ТРИ года может произойти всё что угодно, а в развивающейся среде 1 год для промежуточных аудитов - норма. А во внедряемых системах - 2 раза в год.
Напоследок всё же замечу два момента, что:
1. Надзор надзору рознь. Есть надзорные органы, нацеленные на нарушения, а есть и нацеленные на улучшения, что радует. При этом, ряд надзорных органов, накапливая опыт, в последние годы всё больше акцент делают на надзоры там, где вероятность нарушений выше.
2. ISO 9001 нацелен на улучшения. Для чего и необходима ПРОЗРАЧНОСТЬ. Потому что выполненная работа по недопущению несоответствий в будущем гораздо важнее факта их обнаружения. Именно такой подход соответствует целям развития.
В целом эти рассуждения могут нас вывести на варианты развития всей этой системы отношений с целью "Чтобы политика работала!"
P.S. Всё что изложено здесь, характерно и для ISO27001 и для всех других стандартов по системам менеджмента. Представьте, если вы задокументировали нарушение условий сертификата СЗИ, будете ли вы его показывать представителю надзорного органа?
С уважением.
Что это значит? На первый взгляд - еще одно избитое нашими реалиями слово. Поясню, почему оно избито реалиями.
Это значит, что, к примеру, согласно пункту 8.2 Стандарта необходимо:
1. Иметь результативную обратную связь от клиентов.
2. Выполнять контроль продукции.
3. Контролировать процессы.
4. Вести внутренние аудиты.
Далее, согласно пункту 8.4. необходимо:
5. Вести анализ данных (Data Analysis), собранных в 8.2.
И наконец, согласно пункту 5.5. необходимо:
6. Выполнять анализ всей системы управления качеством со стороны руководства (Management Review).
Венцом требований является необходимость ВЕСТИ ЗАПИСИ!!! ТОТАЛЬНО!
Я перечислил ШЕСТЬ типовых источников информации о результативности системы менеджмента (управления) организации. Причем конечно же всегда должна быть ЧЕТКАЯ оценка этой результативности согласно установленным критериям:
1. Результаты СООТВЕТСТВУЮТ.
2. Результаты НЕ СООТВЕТСТВУЮТ.
3. Хорошей практикой является "ПОХВАЛИТЬ" - об этом стандарты умалчивают, но так делается.
Что это за критерии такие? Каким таким критериям соответствуем или нет?
А любым требованиям, включая ISO9001, законы, стандарты, нормативные и правовые документы, договоры и т.п.(!!!) Более того: проверяются также достижение целей и выполнение установленных(!) показателей. Ну, к примеру, план продаж, уровень брака, отсутствие инцидентов, уровень компетентности и т.п.
Ну так вот, есть специальный пункт стандарта 8.5.2, который определяет порядок осуществления корректирующих действий для недопущения несоответствий всех типов и всех уровней.
Вот что стандарт говорит:
Организация должна предпринимать действия для устранения причин несоответствий, чтобы предотвратить повторное возникновение несоответствий. Корректирующие действия должны быть адекватными последствиям от несоответствий.
Должна быть установлена документированная процедура, определяющая требования к: a)анализу несоответствий (включая жалобы потребителей); b)определению причин несоответствий; c)оценке необходимости действий, гарантирующих; что несоответствия не повторятся; d)определению и внедрению необходимых действий; e)записям результатов предпринятых действий (см. 4.2.4); f)анализу результативности предпринятых корректирующих действий. |
То есть, если у вас есть СМК, то несомненно в СМК есть записи о несоответствиях, об их анализе, о предпринятых действиях или планируемых действиях и сроках проверки результативности, результатах действий.
И в чем тут несовместимость с реалиями, спросите Вы?
Замечу две вещи: пункт 7.5.4 говорит "О СОХРАННОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ" (ну так, для заметки, почему безопасникам это адресовано), а также вообще: если СМК есть, то она есть ВЕЗДЕ, а не в одном кабинете. Ведь это система менеджмента процессов, влияющих на качество, она в голове у каждого боевого руководителя должна быть (согласно стандарту, пункт 5.1. Обязательства (вовлеченность) руководства). И вопросов персональных данных она касается тоже в полный рост.
Несовместимость заключается в том, что эта система никак не соответствует практике надзоров, которые зачастую нацелены на поиск несоответствий (нарушений), но не на улучшение. Поэтому конечно же организации стремятся не показать никаких нарушений, готовясь к надзору. То есть не показать, как они пришли к состоянию "отсутствия нарушений".
Подборка же несоответствий в СМК - это фактически работа, выполненная за надзор!?
А поскольку надзорные органы ищут в самом теле процессов, то зафиксированных несоответствий в теле не должно быть, иначе штраф! А значит и СМК в теле тоже не должно быть.
Вот поэтому получается, что СМК часто действуют отдельно от процессов. Часто в организациях о деятельности служб качества другие отделы ничего не знают, говоря, что "они там только документацией занимаются".
К сожалению, при консультировании клиентов такие вопросы не редкость.
Более того, отмечу что и норма, по которой нельзя вести надзор в одном юр. лице чаще, чем раз в 3 года, также указывает на то, что надзорной политике не интересно, как развиваются субъекты, а интересно "соответствие/несоответствие".
Ведь за ТРИ года может произойти всё что угодно, а в развивающейся среде 1 год для промежуточных аудитов - норма. А во внедряемых системах - 2 раза в год.
Напоследок всё же замечу два момента, что:
1. Надзор надзору рознь. Есть надзорные органы, нацеленные на нарушения, а есть и нацеленные на улучшения, что радует. При этом, ряд надзорных органов, накапливая опыт, в последние годы всё больше акцент делают на надзоры там, где вероятность нарушений выше.
2. ISO 9001 нацелен на улучшения. Для чего и необходима ПРОЗРАЧНОСТЬ. Потому что выполненная работа по недопущению несоответствий в будущем гораздо важнее факта их обнаружения. Именно такой подход соответствует целям развития.
В целом эти рассуждения могут нас вывести на варианты развития всей этой системы отношений с целью "Чтобы политика работала!"
P.S. Всё что изложено здесь, характерно и для ISO27001 и для всех других стандартов по системам менеджмента. Представьте, если вы задокументировали нарушение условий сертификата СЗИ, будете ли вы его показывать представителю надзорного органа?
С уважением.
Комментариев нет:
Отправить комментарий