В каждом из новых изданий наиболее популярных стандартов на системы менеджмента число содержащихся в них требований, которые полностью или частично повторяют друг друга, только возрастает. Это усложняет проведение аудитов, поскольку возникает неопределенность: к какому именно разделу стандарта отнести несоответствие таким перекрывающим друг друга требованиям.

В статье рассматривается характер взаимосвязи между дублирующими требованиями, на основе которых формулируются предложения по регистрации несоответствий.

ПРИМЕРЫ ДУБЛИРУЮЩИХ ТРЕБОВАНИЙ В СТАНДАРТАХ НА СИСТЕМЫ МЕНЕДЖМЕНТА

Под дублирующими требованиями автор понимает требования, ФАКТИЧЕСКОЕ содержание которых в полном объеме или частично повторяется в НЕСКОЛЬКИХ разделах/пунктах одного стандарта. Так, например, в п. 5.1.2 ISO 9001:2015 требуется, чтобы

• были выявлены требования потребителей, а также применимые законодательные и нормативные правовые требования¹.

А в п. 8.2.2 — чтобы

• требования к продукции и услугам были определены, включая все применимые к ним законодательные и нормативные правовые требования.

Другими словами, ОДНО и ТО ЖЕ в стандарте требуется ДВАЖДЫ.

Или в п. 5.1.1 от высшего руководства организации требуется, чтобы

• была установлена политика в области качества и чтобы она была согласована с контекстом организации и со стратегией ее развития.

При этом в п. 5.2.1 от него же требуется

• разработать политику в области качества, которая должна соответствовать контексту организации и поддерживать стратегию ее развития.

Что в полном объеме ДУБЛИРУЕТ предыдущее требование.

Аналогичные случаи имеют место и в других стандартах. Так, например, в п. 5.2 ISO 14001:2015 требуется, чтобы

• экологическая политика была распространена внутри организации.

При этом в п. 7.3 этого же стандарта требуется, чтобы

• лица, осуществляющие работу под управлением организации, были осведомлены о содержании экологической политики.

В п. 5.1.d ISO 45001:2018 требуется

• обеспечить наличие ресурсов, необходимых для создания, применения, поддержания в работоспособном состоянии и улучшения системы менеджмента ОЗиОБТ.

А в п. 7.1 этого стандарта содержится требование о том, что нужно

• предоставить ресурсы, необходимые для создания, применения, поддержания в работоспособном состоянии и постоянного улучшения системы менеджмента ОЗиОБТ.

Найдется ли при этом хоть кто-то несогласный с тем, что в каждом из этих двух стандартов приведенные пары требований — ровно об одном и том же?

Примечательным здесь является то, что наличие дублирующих требований не является каким-то исключением и имеет место начиная с самых первых версий стандартов. Более того, количество дублирующих требований в стандартах с появлением их новых редакций, к сожалению, только растет. Так, например:

• в ISO 9001:1994 дублирующих требований было семь, при этом в двух случаях они присутствовали в тексте более двух раз (см. Приложение 1);

• в ISO 9001:2008 таковых требований было уже 17, из которых семь были включены в текст более двух раз (см. Приложение 2);

• в ISO 9001:2015 число дублирующих требований возросло до 22, шесть из которых полностью или частично присутствуют в тексте в общей сложности 38 раз (см. Приложение 3)².

Кроме того, если в ISO 9001:1994 полностью совпадающих требований не было вообще, то в ISO 9001:2008 и ISO 9001:2015 они уже появились общим числом по четыре в каждом стандарте.

Подобное явление, конечно же, говорит об определенных недостатках в логике и упорядоченности размещения в стандартах соответствующих положений, об их недостаточной конкретности или избыточной размытости. Но критиковать и обсуждать причины этого сейчас бессмысленно, ибо тексты действующих стандартов УТВЕРЖДЕНЫ.

Вопрос в другом.

Данное явление создает прямую методическую проблему при проведении АУДИТОВ по оценке соответствия деятельности организации подобным требованиям.

Давайте вернемся, например, к самому первому из приведенных выше примеров одинаковых требований и зададим себе следующий вопрос: «Если аудиторы в ходе анализа установят, что организация выявила не все законодательные и нормативные правовые требования, относящиеся к продукции, это будет невыполнением КАКИХ требований ISO 9001:2015 — п. 5.1.2 или п. 8.2.2?»

А ВЫБРАТЬ ведь какой-то пункт для ссылки на него придется, ибо отнести это несоответствие одновременно к ДВУМ пунктам стандарта означало бы использование ОДНОГО свидетельства аудита для регистрации ДВУХ несоответствий. Поэтому первая проблема такова: допускает ли ЭТО методика регистрации несоответствий при проведении аудитов систем менеджмента?

МНЕНИЯ ДРУГИХ СПЕЦИАЛИСТОВ

Специализированных изданий по вопросу проведения аудитов систем менеджмента на русском языке буквально единицы, включая учебные пособия, которые были изданы некоторыми вузами и доступны в интернете. Их анализ показал, что ни в одном из них наличие указанной выше проблемы не отмечено и, соответственно, никак не прокомментировано.

Такая же ситуация в отношении и тех статей по отдельным проблемам аудита систем менеджмента, которые были опубликованы в разных периодических изданиях, в первую очередь в журнале «Методы менеджмента качества». Искать в них подсказку выхода из такой ситуации бесперспективно.

Зато здесь на помощь приходят документы Международной организации по стандартизации (ISO).

ПОЗИЦИЯ ISO

Во-первых, обращает на себя внимание следующее обстоятельство.

Первое определение термина «несоответствие» было дано в п. 3.20 ISO 8402—86: Несоответствие — невыполнение установленных ТРЕБОВАНИЙ. Но уже в следующей редакции (в п. 2.10 ISO 8402—1994) оно было изменено: Несоответствие — невыполнение установленного ТРЕБОВАНИЯ. И практически в этом же виде «несоответствие» определено во всех последующих редакциях терминологических стандартов:

• Несоответствие — невыполнение требования (п. 3.6.2 ISO 9000:2000, п. 3.6.2 ISO 9000:2005, п. 3.6.9 ISO 9000:2015).

Здесь важно то, что в действующем определении термина «несоответствие» ссылка на требование сделана в ЕДИНСТВЕННОМ числе.

При этом понятие «требование» в п. 3.6.4 ISO 9000:2015 определено в том числе как потребность или ожидание, которое заявлено (установлено, задано). С учетом разъяснений, содержащихся в примечаниях 2 и 3 к этому определению, получается, что при проведении аудита СМК на соответствие ISO 9001:2015 несоответствием будет невыполнение требования, установленного в тексте разделов 4—10 этого стандарта.

Из этого следует важное для проведения аудитов положение: ЛЮБОЕ свидетельство аудита может быть признано несоответствием ТОЛЬКО тогда, когда четко и однозначно будет указано САМО связанное с ним невыполненное ТРЕБОВАНИЕ. Поэтому не удивительно, что данное положение напрямую зафиксировано в нормативных и методических документах ISO по проведению аудитов систем менеджмента.

Так, в ISO 17021-1:2015 установлено, что выявленное несоответствие должно быть зарегистрировано в сопоставлении с КОНКРЕТНЫМ ТРЕБОВАНИЕМ [1, п. 9.4.5.3].

Аналогичное положение декларируется в рекомендации на тему «Документирование несоответствий» из комплекта рекомендаций Группы по анализу практики проведения аудитов соответствия ISO 9001 [2]. При этом важно отметить, что во всех трех редакциях (от 10 февраля 2005 г., 5 июня 2009 г. и 13 января 2016 г.), выходивших последовательно в привязке к издаваемым в 2000, 2008 и 2015 гг. редакциям стандарта ISO 9001, содержание этих рекомендаций НЕ МЕНЯЛОСЬ. Так вот, группа рекомендует исходить из следующего: Хорошо документированное несоответствие содержит три части:

• свидетельство аудита, чтобы поддерживать полученные аудитором результаты;

• запись требования, относительно которого обнаружено несоответствие;

• формулировка несоответствия.

И если свидетельство аудита зафиксировано, то следующий шаг, который нужно будет сделать аудитору, — идентифицировать и записать КОНКРЕТНОЕ ТРЕБОВАНИЕ, которое не выполняется. И далее: если аудитор НЕ МОЖЕТ идентифицировать требование, он НЕ МОЖЕТ признать наличие несоответствия.

К этому группа сделала не менее важное примечание:

• ISO 9001 содержит разделы, которые включают более одного требования. Важно, чтобы аудитор идентифицировал и записал конкретное требование, четко относящееся к несоответствию, — например, выписывая из стандарта точный текст требования, которое применимо к свидетельству аудита.

Эта же позиция озвучена еще в одном документе — ISO 19011:2018 [3]: Свидетельства аудита следует оценить по отношению к критериям аудита… [3, п. 6.4.8].

Если в этом же стандарте [3, п. 3.7] обратиться к понятию «критерии аудита», то оно определяется как совокупность требований, используемых в качестве ссылки, с которыми сопоставляются объективные свидетельства. И тогда приведенная выше фраза выглядит аналогично тем, которые заявлены в документах [1, 2] и обсуждены выше: Свидетельства аудита следует оценить по отношению к ТРЕБОВАНИЯМ…

Обобщая этот обзор, нетрудно заметить, что все изложенное выше действительно логично, понятно и не вызывает никаких вопросов: ОСНОВАНИЕМ для несоответствия может быть ТОЛЬКО невыполнение КОНКРЕТНОГО ТРЕБОВАНИЯ стандарта.

Применительно к нашему примеру это означает следующее: когда аудиторы в ходе анализа установят, что организация выявила не все законодательные и нормативные правовые требования, относящиеся к продукции, это будет несоответствием требованиям КАК п. 5.1.2 ISO 9001:2015, ТАК и п. 8.2.2, ибо это ОДНО И ТО ЖЕ КОНКРЕТНОЕ ТРЕБОВАНИЕ.

И это будет ОДНО несоответствие, а не два.

Вывод: документы ISO однозначны в том, что КОНКРЕТНОЕ несоответствие должно быть связано с невыполнением КОНКРЕТНОГО требования — конкретного ПО СУЩЕСТВУ, а не по месту его нахождения в тексте стандарта. Поэтому если требование ОДНО, то и несоответствие тоже ОДНО.

Именно это положение стало автору подсказкой для формирования предложений по вопросу о том, как вести себя аудиторам при регистрации несоответствий дублирующим требованиям.

ФИКСАЦИЯ НЕСООТВЕТСТВИЙ ДУБЛИРУЮЩИМ ТРЕБОВАНИЯМ

Чтобы проиллюстрировать свои соображения и при этом максимально приблизиться к реальной практике, автор в дальнейшем рассматривает только те дублирующие положения, которые содержатся в стандарте ISO 9001:2015 (см. Приложение 3). Концептуально он разделил их на два вида.

Дублирующие требования первого вида. К ним относятся требования, БУКВАЛЬНО дублирующие (т. е. по своему содержанию ПОЛНОСТЬЮ ПОВТОРЯЮЩИЕ) друг друга (табл. 1).

Таблица 1

Повторяющиеся требования ISO 9001:2015

Представляется, что при оформлении несоответствия любому из этих требований НЕТ никакой разницы, на какой пункт стандарта будет при этом сделана ссылка.

Более того, автор принципиально не видит никаких нарушений правил регистрации несоответствий, если при этом будет сделана ссылка одновременно на ДВА пункта стандарта, содержащих ОДНО И ТО ЖЕ требование, ибо и в этом случае будет зарегистрировано ОДНО несоответствие ОДНОМУ КОНКРЕТНОМУ требованию. Другое дело, что такой подход к регистрации несоответствия вызовет очевидную проблему, если орган по сертификации или сама организация решат вести статистический учет частоты выявляемых несоответствий по различным пунктам стандарта. Но еще раз заметим, что источником этой проблемы будут не правила регистрации несоответствий, а текст стандарта(ов), содержащий в разных пунктах совпадающие требования.

В целом же основания для предложенного подхода к регистрации несоответствий этого вида автор видит в следующем:

а) несоответствие будет зафиксировано ОДНО;

б) невыполненным требованием, которое организации надо будет УСТРАНИТЬ, будет ОДНО (что соответствует правилам ISO);

в) если осуществленная коррекция будет результативной, то несоответствие будет устранено В ПОЛНОМ ОБЪЕМЕ ОДНОВРЕМЕННО по отношению к каждому из двух требований-близнецов, если даже в протоколе (акте, отчете и т. п.) о фиксации данного несоответствия ссылка будет только на одно из этих требований.

А ведь последнее — самое главное.

Дублирующие требования второго вида. В эту группу автор включил те из них, связь между которыми имеет характер, названный автором «требование-принцип» — «требование-частность». Поскольку дублирующих требований этого вида большинство, ниже для иллюстрации приведены лишь некоторые из них (табл. 2).

Таблица 2

Примеры связанных между собой «требований-принципов» и «требований-частностей» в ISO 9001:2015

При регистрации несоответствий дублирующим требованиям этого вида автор считает необходимым принимать во внимание следующие два обстоятельства.

Первое. Если в качестве примера рассмотреть первую пару связанных требований из табл. 2 (п. 5.3 и п. 8.3.2), то очевидно, что невыполнение требования п. 8.3.2 ОДНОВРЕМЕННО будет невыполнением и требования п. 5.3. А вот обратное — совсем даже не очевидно. Ибо, если аудиторы выявят отсутствие установленных обязанностей, ответственности и полномочий в отношении любых функций, ОТЛИЧНЫХ от проектирования и разработки, это, безусловно, может служить законным основанием для регистрации несоответствия требованию п. 5.3. Но этот факт НЕ БУДЕТ даже свидетельством аудита применительно к требованию п. 8.3.2.

Подобные отношения являются характерной особенностью ВСЕХ пар «требование-принцип» — «требование-частность», а именно невыполнение «требования-частности» ВСЕГДА будет одновременно означать невыполнение «требования-принципа», тогда как свидетельство невыполнения «требования-принципа» НЕ ВСЕГДА одновременно будет свидетельствовать о невыполнении также и «требования-частности».

Поэтому, учитывая, что несоответствие ОБЯЗАНО быть «привязано» к КОНКРЕТНОМУ требованию, автор считает, что при регистрации несоответствия, обусловленного невыполнением «требования-частности», более правильно делать ссылку на конкретное невыполненное «требование-частность», а не на связанное с ним «требование-принцип».

Другое дело (и это надо отметить особо), что даже в том случае, когда аудиторы сделают при оформлении несоответствия ссылку не на «требование-частность», а на «требование-принцип», это НЕ БУДЕТ методической ошибкой, ведь «требование-принцип» тоже в соответствующей части не выполнено. Просто такой подход представляется менее рациональным. И вот почему.

«Требование-частность» всегда находится в составе определенного целевого блока требований, и при разработке организацией мероприятий по коррекции и корректирующих действий это обстоятельство может сыграть немаловажную роль. Если же отнести несоответствие к «требованию-принципу», входящему в состав другого тематического блока, особенности блока, содержащего «требование-частность», по естественным причинам уходят на второй план и могут быть не приняты во внимание.

Еще раз проиллюстрируем это на выбранном примере.

Если в ходе аудита будет определено, что в организации не установили обязанности, ответственность и полномочия лиц, участвующих в процессе проектирования и разработки, аудиторы МОГУТ зафиксировать это как несоответствие требованиям п. 5.3, и это будет ОБОСНОВАННО. Но при этом БОЛЕЕ обоснованным и БОЛЕЕ рациональным будет отнесение данного несоответствия к п. 8.3.2, подразумевающее, что при разработке мероприятий по его устранению организацией целенаправленно будут учтены особенности, свойственные не какой-то деятельности в рамках СМК вообще, а именно деятельности по проектированию и разработке.

Второе. При оформлении несоответствий дублирующим требованиям второго вида НЕЛЬЗЯ делать ссылку ОДНОВРЕМЕННО на два или более связанных между собой пункта стандарта, находящихся в соотношении «принцип» — «частность». В отличие от случая с дублирующими требованиями первого вида, здесь это будет концептуальной ошибкой, так как дублирующие требования второго вида — это РАЗНЫЕ требования: «требование-принцип» ВСЕГДА «шире» «требования-частности». А ссылка на разные требования будет изначально порождать неоднозначность ссылочного требования, делая его НЕКОНКРЕТНЫМ. А это прямо противоречит подходу ISO к оформлению несоответствий.

Завершая описание предложенных подходов к регистрации несоответствий дублирующим требованиям (как первого, так и второго вида), автор хотел бы обратить внимание на их универсальность: они изначально инвариантны по отношению к стандартам и применимы при проведении аудита любой системы менеджмента.

ЗАКЛЮЧЕНИЕ

В текстах действующих стандартов на системы менеджмента имеют место случаи, когда одно из требований, входящих в состав какого-то тематического блока, частично или полностью повторяет содержание требования, включенного в состав иного тематического блока.

Данное обстоятельство при выявлении несоответствия одному из таких дублирующих друг друга требований может вызвать у аудиторов затруднение при получении ответа на вопрос о том, к какому именно тематическому блоку и пункту стандарта следует отнести такое несоответствие.

Логика требований стандартов ISO к документированию несоответствий подсказывает следующие правила действий в такой ситуации.

Во-первых, во всех случаях установленного невыполнения дублирующих требований несоответствие должно быть зарегистрировано только ОДНО.

Во-вторых:

а) если дублирующие требования ТОЖДЕСТВЕННЫ, аудиторы вправе отнести выявленное несоответствие к ЛЮБОМУ из них или даже ко всем СРАЗУ;

б) если дублирующие требования связаны между собой отношением «требование-принцип» — «требование-частность» и в ходе аудита выявляется невыполнение ВТОРОГО требования из этой пары (а именно «требования-частности»), то это несоответствие аудиторы также могут отнести к ЛЮБОМУ из них. Но РАЦИОНАЛЬНЕЕ «привязать» несоответствие к невыполненному «требованию-частности»;

в) если аудиторы получили свидетельства невыполнения «требования-принципа» в той области, которая никак не связана с областью действия «требования-частности», эта пара НЕ МОЖЕТ рассматриваться в качестве ДУБЛИРУЮЩИХ требований. И тогда здесь нет никаких альтернатив: такое несоответствие должно быть зарегистрировано аудиторами со ссылкой ТОЛЬКО на невыполненное «требование-принцип».

Лицам, участвующим в сертификации и проведении внутренних аудитов систем менеджмента, автор рекомендует заранее проанализировать содержание требований соответствующих стандартов (в дополнение к уже сделанному автором анализу применительно к ISO 9001:2015 и представленному в Приложении 3), чтобы при возникновении необходимости документировать несоответствия дублирующим требованиям в соответствии с правилами и рекомендациями ISO.

СНОСКИ

^1. Цитаты из стандартов выделены полужирным курсивным шрифтом и приводятся в авторском переводе. Выделение в цитатах отдельных слов прописными буквами сделано автором. Ссылки на ISO 9001:2015 и другие общеизвестные международные стандарты на системы менеджмента в перечень литературы автор не включил.

^2. Указанные приложения приводятся в полной версии статьи, которая размещена на сайте редакции www.stq.ru. — Прим. ред.

СПИСОК ЛИТЕРАТУРЫ

1. ISO/IEC 17021-1:2015. Conformity assessment. Requirements for bodies providing audit and certification of management systems. Part 1: Requirements. Оценка соответствия. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента. Часть 1. Требования.

2. www.iso.org/tc176/ISO9001AuditingPracticesGroup.

3. ISO 19011:2018. Guidelines for auditing management systems. Руководящие указания по проведению аудитов систем менеджмента.