Переход на ISO 9001:2015

Сертифицируем и сертифицируемся

Модератор: Александр Воробьёв

Re: Переход на ISO 9001:2015

Сообщение Роман Озеранский » 12 окт 2018, 17:44

Грязнов Валерий писал(а):А что нужно в процессном документе описать обязанности? Вроде там указано документированное описание.

Валерий, если у Вас аудитор с перепуга спросит - где работа делается, в отделе или в процессе, у Вас есть что ему ответить :D ?
Первая Теорема Деминга: Никто не беспокоится о долговременной прибыли.
Вторая Теорема Деминга: Нас губят наилучшие усилия.
Аватара пользователя
Роман Озеранский
Администратор форума
Администратор форума
 
Сообщения: 32464
Зарегистрирован: 15 авг 2004, 17:57
Откуда: Москва
Благодарил (а): 0 раз.
Поблагодарили: 237 раз.

Re: Переход на ISO 9001:2015

Сообщение Михаил Шустер » 12 окт 2018, 18:03

Валерий
Вам нужно аварийно пересмотреть РК, сделать так, чтоб в нем появились ответы на указанные вопросы. Работу эту можно сделать по разному, тупо или остроумно, в зависимости от того, кто будет читать. Возможно, внести изменения еще в какие-то документы и показать их.
Аватара пользователя
Михаил Шустер
Модератор
Модератор
 
Сообщения: 6234
Зарегистрирован: 19 янв 2012, 10:30
Откуда: южноукраинск
Благодарил (а): 334 раз.
Поблагодарили: 709 раз.

Re: Переход на ISO 9001:2015

Сообщение Грязнов Валерий » 12 окт 2018, 18:07

Роман Озеранский писал(а):
Грязнов Валерий писал(а):А что нужно в процессном документе описать обязанности? Вроде там указано документированное описание.

Валерий, если у Вас аудитор с перепуга спросит - где работа делается, в отделе или в процессе, у Вас есть что ему ответить :D ?

Я бы ответил что и в отделе и в процессе.
Критикуя предлагай.
Грязнов Валерий
 
Сообщения: 166
Зарегистрирован: 18 апр 2016, 14:59
Благодарил (а): 3 раз.
Поблагодарили: 0 раз.

Re: Переход на ISO 9001:2015

Сообщение Роман Озеранский » 12 окт 2018, 18:11

Грязнов Валерий писал(а):Я бы ответил что и в отделе и в процессе.

Одновременно :D ? А в ДИ то у Вас что написано? А в ДИ написано, что это ДИ на конкретную должность в конкретном структурном подразделении. И про процесс там ничего не написано.
Первая Теорема Деминга: Никто не беспокоится о долговременной прибыли.
Вторая Теорема Деминга: Нас губят наилучшие усилия.
Аватара пользователя
Роман Озеранский
Администратор форума
Администратор форума
 
Сообщения: 32464
Зарегистрирован: 15 авг 2004, 17:57
Откуда: Москва
Благодарил (а): 0 раз.
Поблагодарили: 237 раз.

Re: Переход на ISO 9001:2015

Сообщение Грязнов Валерий » 12 окт 2018, 18:41

Михаил Шустер писал(а):Валерий
Вам нужно аварийно пересмотреть РК, сделать так, чтоб в нем появились ответы на указанные вопросы. Работу эту можно сделать по разному, тупо или остроумно, в зависимости от того, кто будет читать. Возможно, внести изменения еще в какие-то документы и показать их.

Михаил, для этих целей я и обращаюсь на этот форум - ответить на вопросы аудитора, вернее предоставить ему что требует.
Критикуя предлагай.
Грязнов Валерий
 
Сообщения: 166
Зарегистрирован: 18 апр 2016, 14:59
Благодарил (а): 3 раз.
Поблагодарили: 0 раз.

Re: Переход на ISO 9001:2015

Сообщение Грязнов Валерий » 12 окт 2018, 18:46

Роман Озеранский писал(а):
Грязнов Валерий писал(а):Я бы ответил что и в отделе и в процессе.

Одновременно :D ? А в ДИ то у Вас что написано? А в ДИ написано, что это ДИ на конкретную должность в конкретном структурном подразделении. И про процесс там ничего не написано.

В ДИ о процессе СМК ничего не написано. Этот процесс можно добавить в РК выходит? С чего начать сие описание? Рассматриваем п. 2.5 из вопросника моего аудитора "Обязанности, ответственность и полномочия персонала задействованного в реализации процессов" :D
Критикуя предлагай.
Грязнов Валерий
 
Сообщения: 166
Зарегистрирован: 18 апр 2016, 14:59
Благодарил (а): 3 раз.
Поблагодарили: 0 раз.

Re: Переход на ISO 9001:2015

Сообщение Роман Озеранский » 12 окт 2018, 21:53

Грязнов Валерий писал(а):В ДИ о процессе СМК ничего не написано.

Я этот процесс и не имел в сиду, да и зачем он нужен, этот "процесс СМК"? За этот процесс клиент деньги не платит, а значит и эффективности он не принесет (доходной части нет), а процессы нужны для получения эффективности :) .
Грязнов Валерий писал(а):Этот процесс можно добавить в РК выходит?

Добавить в РК можно любые процессы, какие Вы посчитаете нужным. Вопрос, нужно ли это делать :D .
Первая Теорема Деминга: Никто не беспокоится о долговременной прибыли.
Вторая Теорема Деминга: Нас губят наилучшие усилия.
Аватара пользователя
Роман Озеранский
Администратор форума
Администратор форума
 
Сообщения: 32464
Зарегистрирован: 15 авг 2004, 17:57
Откуда: Москва
Благодарил (а): 0 раз.
Поблагодарили: 237 раз.

Re: Переход на ISO 9001:2015

Сообщение Радэ Бошкович » 13 окт 2018, 12:53

Грязнов Валерий писал(а):Михаил, для этих целей я и обращаюсь на этот форум - ответить на вопросы аудитора, вернее предоставить ему что требует.

Валерий, ответы на ваши вопросы в прикрепленном файле. Обратите внимание, что аудитор поступает в принципе неверно, советую с ним тут пободаться. Дело в том, что не вы должны владеть терминологией ИСО 9001, а он, и не вы должны предоставлять ему ответы на блюдечке, а он должен проанализировать вашу систему и задать вам понятные вопросы, на основании которых он сможет оценить степень выполнения требований. Я очень сильно возмущен таким подходом и всегда советую не сдавать свои позиции. Обратите внимание, что пункты 2.1, 2.2 и 2.6, которые вы привели, невыполнимы, если вы хотите построить систему, которая вам приносит пользу, они выполнимы только в рамках сугубо формального подхода к сертификации, который здесь на форуме критиковали бесконечное количество раз.
Ответ аудитору.pdf
У вас нет необходимых прав для просмотра вложений в этом сообщении.

За это сообщение автора Радэ Бошкович поблагодарили: 2
Грязнов Валерий (15 окт 2018, 11:41), Михаил Шустер (13 окт 2018, 15:17)
Рейтинг: 20%
 
Аватара пользователя
Радэ Бошкович
Модератор
Модератор
 
Сообщения: 2493
Зарегистрирован: 23 мар 2006, 19:13
Откуда: Белград, Сербия - Москва, РФ
Благодарил (а): 25 раз.
Поблагодарили: 214 раз.

Re: Переход на ISO 9001:2015

Сообщение Евгений Жуков » 13 окт 2018, 14:21

STEP анализ знаю
DEPSTEP не нашёл

Увы мне!
DOCENDO DISCIMUS
Аватара пользователя
Евгений Жуков
 
Сообщения: 3889
Зарегистрирован: 07 май 2005, 22:23
Благодарил (а): 140 раз.
Поблагодарили: 139 раз.

Re: Переход на ISO 9001:2015

Сообщение Андрей Горбунов » 13 окт 2018, 14:26

Радэ,
прочитал "Ответ аудитору" и не могу согласиться с трактовкой оценки рисков по процессам. В стандарте использована формулировка "to address the risks", которая подразумевает именно обработку, а не учет рисков (а, кстати, что такое учет без обработки?). Например, стандарт ISO/IEC 27001, предполагающий именно обработку рисков (связанных с информационной безопасностью), а не учет их, использует ту же формулировку.
Честно сказать, не вижу большой проблемы с оценкой и обработкой рисков именно по каждому процессу, если только не выделять их по 18-20 тысяч :-).
Реально в рамках СМК организации необходимо управлять 5-7 процессами, не более. И продумать риски для такого количества процессов не так уж и сложно. И, признаюсь честно, я не понимаю, как можно управлять процессом, не представляя себе риски, связанные с ним.
ISO 9001:2015 достаточно четко говорит о том, что риски (и возможности) должны оцениваться и обрабатываться как для системы в целом (6.1 с учетом 4.1 и 4.2), так и для каждого процесса (4.4.1 f). При этом источники рисков для системы и процессов разные, хотя методика оценки одна.
Да, если бы на аудите мне организация сказала, что она применяет риск-ориентированное мышление, то я попросил бы доказательств этого :-).
Право сомневаться не отменяет обязанности думать
Аватара пользователя
Андрей Горбунов
Администратор форума
Администратор форума
 
Сообщения: 3905
Зарегистрирован: 25 янв 2005, 18:06
Откуда: Москва
Благодарил (а): 10 раз.
Поблагодарили: 258 раз.

Re: Переход на ISO 9001:2015

Сообщение Михаил Шустер » 13 окт 2018, 15:27

(Не Валерию)
Все начинается со структурирования, взвешивания и составления короткого списка. Потом, понятно, PDC и снова А
Исо стандарт - верхний уровень структуры одного из представлений организации
Давеча узнал про матрицу Кралича - другое представление. Рекомендую, интересно
Аватара пользователя
Михаил Шустер
Модератор
Модератор
 
Сообщения: 6234
Зарегистрирован: 19 янв 2012, 10:30
Откуда: южноукраинск
Благодарил (а): 334 раз.
Поблагодарили: 709 раз.

Re: Переход на ISO 9001:2015

Сообщение Радэ Бошкович » 13 окт 2018, 21:06

Евгений Жуков писал(а):DEPSTEP не нашёл


Дело вероятно в том, что я ошибся в акрониме, появилось лишнее Р, надо было написать DESTEP (sorry).
Аватара пользователя
Радэ Бошкович
Модератор
Модератор
 
Сообщения: 2493
Зарегистрирован: 23 мар 2006, 19:13
Откуда: Белград, Сербия - Москва, РФ
Благодарил (а): 25 раз.
Поблагодарили: 214 раз.

Re: Переход на ISO 9001:2015

Сообщение Радэ Бошкович » 13 окт 2018, 22:43

Андрей Горбунов писал(а): прочитал "Ответ аудитору" и не могу согласиться с трактовкой оценки рисков по процессам. В стандарте использована формулировка "to address the risks", которая подразумевает именно обработку, а не учет рисков

Несогласие - свидетельство того, что ты обдумывал проблему, похвально :-D . Мы не согласны вот в чем:
Андрей Горбунов писал(а):ISO 9001:2015 достаточно четко говорит о том, что риски (и возможности) должны оцениваться и обрабатываться как для системы в целом (6.1 с учетом 4.1 и 4.2), так и для каждого процесса (4.4.1 f).

Обоснование моих тезисов:
- английское "to address" имеет несколько значений. Когда сомневаюсь в официальном переводе или в своем толковании английского, обязательно смотрю, как английский текст перевели в других странах. И вот французский перевод: "4.4.1 f) prendre en compte les risques et opportunités tels que déterminés conformément aux exigences de 6.1" . Видно, что и французы перевели "to address" не как "обрабатывать", а как "учитывать", "считаться с", что соответствует риск-ориентированному мышлению. Или испанский вариант: "4.4.1 f) abordar los riesgos y oportunidades determinados de acuerdo con los requisitos del apartado 6.1" , что ближе к твоему толкованию, но и не далеко от моего: abordar - "подойти", "обращаться с". Имея в виду, что 4.4.1 касается применения процессного подхода, то, думаю, обработка рисков (to handle, to treat) не входит в 4.4.1.f), здесь речь идет только о риск-ориентированному мышлению, т.е. при построении СМК я должен учитывать (обратить внимание на, не забыть и, take account, одним словом).

- я согласен с тем, что нет "большой проблемы с оценкой и обработкой рисков именно по каждому процессу,", вопрос только в том, зачем это делать. 6.1.1 а) и 6.1.2 а) касаются рисков на уровне системы, не рисков на уровне процессов. И если на уровне системы "задержка обработки жалоб клиента" влечет за собой репутационные, юридические и экономические риски, то риск "потерять руку, если зайти в рабочее пространство ленточной пилы" на СМК влияет слабо, если вообще влияет. А если не влияет, тогда зачем учитывать, или обрабатывать. И надо ли учитывать репутационные риски на уровне процесса?

Чтобы кто-то не подумал, что мне безразлично, потеряет ли рабочий руку или нет, скажу, что этот факт может не иметь значения для СМК, исходя из объяснения, что такое СМК. Для организации этот факт, имеет значение. Но не в рамках СМК.

Определенное затруднение может вызвать пункт 6.1.2.b) 1. Тут якобы требуется обработка риска на уровне процесса. На самом деле нет, речь идет о том, как выстроить процессы, чтобы не появились риски на уровне системы. Например, та же самая задержка в процессе обработки жалоб клиента. Это системный риск, и чтобы его избежать я разрабатываю процедуру обработки жалоб таким образом, чтобы не выйти за временные рамки. Другой риск, который сугубо процессный и принадлежит именно этому процессу, например, получение ожога при пользованию копировальным аппаратом во время копирования документов клиента, меня не интересует.

Поэтому, я не вижу смысла в том, чтобы анализировать риски на уровне процесса, поскольку стандарт этого не требует (по крайней мере, я так думаю) и еще потому, что для оценки риска на уровне процесса нет никакой методики: репутационные риски можешь учитывать, а можешь и не обращать внимания на них, если твой доход не зависит от твоей репутации. Присваивать критерии оценки риска, это вообще нечто. Например, "нанесение вреда здоровью двум или больше сотрудникам" оценивается степенью тяжести 10, а "смерть двух или более сотрудников" степенью 100. А почему не 10(pow)10? Кто вообще сказал, что вероятность наступления неблагоприятного события и тяжесть последствий надо оценивать по линейной шкале? Почему не по логарифмической?

В итоге, если я еще могу оценивать риски на уровне всей системы (влияет ли данная опасность на мою способность поставлять продукт), то на уровне процесса для меня это затруднительно. Хотелось бы увидеть грамотно выстроену методику оценки риска на уровне процессов. Пока я ее вижу, хотя допускаю, что я просто не информирован.
Аватара пользователя
Радэ Бошкович
Модератор
Модератор
 
Сообщения: 2493
Зарегистрирован: 23 мар 2006, 19:13
Откуда: Белград, Сербия - Москва, РФ
Благодарил (а): 25 раз.
Поблагодарили: 214 раз.

Re: Переход на ISO 9001:2015

Сообщение Евгений Жуков » 13 окт 2018, 23:48

Радэ Бошкович писал(а): Кто вообще сказал, что вероятность наступления неблагоприятного события и тяжесть последствий надо оценивать по линейной шкале? Почему не по логарифмической?

Ага
Это личное дело оценщика, имхо
DOCENDO DISCIMUS
Аватара пользователя
Евгений Жуков
 
Сообщения: 3889
Зарегистрирован: 07 май 2005, 22:23
Благодарил (а): 140 раз.
Поблагодарили: 139 раз.

Re: Переход на ISO 9001:2015

Сообщение Евгений Жуков » 14 окт 2018, 00:00

Радэ Бошкович писал(а):В итоге, если я еще могу оценивать риски на уровне всей системы (влияет ли данная опасность на мою способность поставлять продукт), то на уровне процесса для меня это затруднительно

Это работа на зарплату "Начальника" процесса. Топы этого вполне могут и не знать

Например, я [Лектор по дисциплине] оцениваю всяческие каверзы, с которыми возможно встретятся преподаватели, которые ведут практические занятия. Начиная от хронометража в целом на аудиторное занятие и до справедливости формул для расчёта по заданию на практическую

Заодно прикидываю и временные ресурсы студентов, которые будут выполнять задание внеаудиторно. Вот беру свой хронометраж по заданию и смело умножаю на 3 - столько расчётного времени хороший студент потратит на выполнение задания, которое лично я ему придумал
А плохой студент у хорошего спишет. И этот риск учитывается. Но - неофициально :)
DOCENDO DISCIMUS
Аватара пользователя
Евгений Жуков
 
Сообщения: 3889
Зарегистрирован: 07 май 2005, 22:23
Благодарил (а): 140 раз.
Поблагодарили: 139 раз.

Re: Переход на ISO 9001:2015

Сообщение Андрей Горбунов » 14 окт 2018, 15:07

Так получилось, что в последнее время пришлось довольно много заниматься вопросами, связанными с управлением рисками.
Первым материалом была методика, разработанная для консультируемых предприятий и выложенная на сайте в открытом доступе (Публикации/Методики).
Потом были семинары по управлению рисками для испытательных лабораторий. Потом статья в "Менеджменте качества" (номер еще не вышел). И, наконец, курс для ТЮФ Академии по управлению рисками.
Все это заставило достаточно глубоко погрузиться в методику оценки и требования стандарта.
Изложу кратко результаты изысканий.
1. ISO 9001 более-менее четко указывает на то, что необходимо оценить риски как для системы в целом, так и для каждого процесса.
2. Источники рисков для системы должны быть связаны с результатами оценки контекста и требований заинтересованных сторон. Материалы ИСО прямо на это указывают: выделенные при анализе контекста факторы должны служить основой для оценки рисков системы. Замечу, что у предприятий зачастую такой связи не просматривается: оценка контекста сама по себе, риски сами по себе.
3. Источники рисков для выделенных процессов лежат в самих процессах и здесь никакой SWOT-анализ уже не поможет, здесь нужен другой инструмент. В выложенной мной методике есть ментальная диаграмма, показывающая источники рисков процессов.
4. Сама по себе двухфакторная методика оценки рисков хорошо работает как для системы, так и для процессов.
5. Как выяснилось, предприятия плохо понимают, что такое риск и в качестве такового указывают порой бог весть что. Например, "распространение негативных слухов о компании". Нет понимания риска, как события, имеющего вероятностную природу и ведущего к негативным последствиям для достижения определенной цели.
6. Также мало у кого есть понимание, что предлагаемые меры (controls) должны изменять либо вероятность события, либо степень его влияния. Мало кто проверяет меры с этой точки зрения. Да что там, мало кто может вразумительно объяснить связь предлагаемой меры с вероятностью риска и последствиями его реализации.
Радэ,
я не понимаю, что такое учитывать риски без их обработки. Для меня это означает применение ко всем рискам стратегии принятия риска, потому как применение трех остальных стратегий будет заключаться в действиях по изменению риска, а не его учету.
Право сомневаться не отменяет обязанности думать
Аватара пользователя
Андрей Горбунов
Администратор форума
Администратор форума
 
Сообщения: 3905
Зарегистрирован: 25 янв 2005, 18:06
Откуда: Москва
Благодарил (а): 10 раз.
Поблагодарили: 258 раз.

Re: Переход на ISO 9001:2015

Сообщение Радэ Бошкович » 14 окт 2018, 16:47

Андрей Горбунов писал(а):я не понимаю, что такое учитывать риски без их обработки

Это просто выбор действия с учетом присущих рисков. Сидя за рулем автомобиля, ты непрерывно оцениваешь риски, которых бесчисленное количество, и в соответствие с уровнем тренинга ты крутишь руль направо или налево. Но ты не думаешь о рисках, никакие риски ты не обрабатываешь, автоматика в голове делает свое.

Может быть, дело в семантике. Ты повернул руль налево, тем самым прекратил движение в сторону опасности. Согласно таблице выбора стратегий, это одна из стратегий управления рисками - не продолжать рискованные действия.Ты можешь назвать такое подсознательное действие обработкой, но для меня это не обработка, поскольку в моем понимании обработка, это осознанный выбор.

Я считаю, что использовать риск-ориентированное мышление равносильно прохождению через заминированное поле. Ты оцениваешь контекст, ты видишь опасность и выбираешь такую линию движения, которая обеспечивает выживание. Снова, я могу сказать, что я обработал риск и выбрал соответствующую линию поведения, но так ли оно было на самом деле.

Получается, что значение терминов для стороннего зрителя, который описывает ситуацию, и для участника события совершено другое.
Аватара пользователя
Радэ Бошкович
Модератор
Модератор
 
Сообщения: 2493
Зарегистрирован: 23 мар 2006, 19:13
Откуда: Белград, Сербия - Москва, РФ
Благодарил (а): 25 раз.
Поблагодарили: 214 раз.

Re: Переход на ISO 9001:2015

Сообщение Евгений Жуков » 14 окт 2018, 20:08

Андрей Горбунов писал(а): мало кто может вразумительно объяснить связь предлагаемой меры с вероятностью риска

Так ведь апория [назову это так] прорисовывается - менеджмент vs перфекционизм
DOCENDO DISCIMUS

За это сообщение автора Евгений Жуков поблагодарил:
Михаил Шустер (15 окт 2018, 19:58)
Рейтинг: 10%
 
Аватара пользователя
Евгений Жуков
 
Сообщения: 3889
Зарегистрирован: 07 май 2005, 22:23
Благодарил (а): 140 раз.
Поблагодарили: 139 раз.

Re: Переход на ISO 9001:2015

Сообщение Евгений Жуков » 14 окт 2018, 20:20

Андрей Горбунов писал(а):двухфакторная методика оценки рисков хорошо работает

Это, видимо вероятность реализации и последствия от реализации

Ещё есть третий фактор - вероятность обнаружения. Очень полезно в контексте срока давности

Форэкзампл
Притча о дипломе, в котором студент написал:
1) Поскольку мой диплом читать никто не будет
и
2) У меня расчёты не сходяться
то
3) Принимаю число "Пи" равным 1,54

По сути - это серьезнейшая проблема нынче. Мне, как руководителю, какой текст диплома читать - файлом который или на твёрдой копии [с датой и подписью студента на каждой странице]? И как мне доказать потом, если вдруг шо не дай Бог конечно, что я (а) читал и (б) указал на несуразности...
Здесь ещё пара-тройка моментов есть. Но об этом в другой раз

PS При чём здесь срок давности? Когда протокол защиты подписан Председателем, то всё освящено и все грехи студента Председатель отпустил
А вот кадровые решения по руководителям дипломов и завкафедрой могут быть. В любой момент - пока диплом не списан с архивного хранения
DOCENDO DISCIMUS
Аватара пользователя
Евгений Жуков
 
Сообщения: 3889
Зарегистрирован: 07 май 2005, 22:23
Благодарил (а): 140 раз.
Поблагодарили: 139 раз.

Re: Переход на ISO 9001:2015

Сообщение Грязнов Валерий » 15 окт 2018, 11:43

Радэ Бошкович писал(а):
Грязнов Валерий писал(а):Михаил, для этих целей я и обращаюсь на этот форум - ответить на вопросы аудитора, вернее предоставить ему что требует.

Валерий, ответы на ваши вопросы в прикрепленном файле. Обратите внимание, что аудитор поступает в принципе неверно, советую с ним тут пободаться. Дело в том, что не вы должны владеть терминологией ИСО 9001, а он, и не вы должны предоставлять ему ответы на блюдечке, а он должен проанализировать вашу систему и задать вам понятные вопросы, на основании которых он сможет оценить степень выполнения требований. Я очень сильно возмущен таким подходом и всегда советую не сдавать свои позиции. Обратите внимание, что пункты 2.1, 2.2 и 2.6, которые вы привели, невыполнимы, если вы хотите построить систему, которая вам приносит пользу, они выполнимы только в рамках сугубо формального подхода к сертификации, который здесь на форуме критиковали бесконечное количество раз.
Ответ аудитору.pdf

Спасибо. Данная шпаргалка мне точно поможет. Привет братскому народу Сербии!!!!
Критикуя предлагай.
Грязнов Валерий
 
Сообщения: 166
Зарегистрирован: 18 апр 2016, 14:59
Благодарил (а): 3 раз.
Поблагодарили: 0 раз.

Пред.След.

Вернуться в Сертификация систем менеджмента

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1