Форум по менеджменту качества

[Роман Озеранский]

А что нужно в процессном документе описать обязанности? Вроде там указано документированное описание.

Валерий, если у Вас аудитор с перепуга спросит - где работа делается, в отделе или в процессе, у Вас есть что ему ответить ?

[Михаил Шустер]

Валерий
Вам нужно аварийно пересмотреть РК, сделать так, чтоб в нем появились ответы на указанные вопросы. Работу эту можно сделать по разному, тупо или остроумно, в зависимости от того, кто будет читать. Возможно, внести изменения еще в какие-то документы и показать их.

[Грязнов Валерий]

А что нужно в процессном документе описать обязанности? Вроде там указано документированное описание.

Валерий, если у Вас аудитор с перепуга спросит - где работа делается, в отделе или в процессе, у Вас есть что ему ответить ?

Я бы ответил что и в отделе и в процессе.

[Роман Озеранский]

Я бы ответил что и в отделе и в процессе.

Одновременно ? А в ДИ то у Вас что написано? А в ДИ написано, что это ДИ на конкретную должность в конкретном структурном подразделении. И про процесс там ничего не написано.

[Грязнов Валерий]

Валерий
Вам нужно аварийно пересмотреть РК, сделать так, чтоб в нем появились ответы на указанные вопросы. Работу эту можно сделать по разному, тупо или остроумно, в зависимости от того, кто будет читать. Возможно, внести изменения еще в какие-то документы и показать их.

Михаил, для этих целей я и обращаюсь на этот форум - ответить на вопросы аудитора, вернее предоставить ему что требует.

[Грязнов Валерий]

Я бы ответил что и в отделе и в процессе.

Одновременно ? А в ДИ то у Вас что написано? А в ДИ написано, что это ДИ на конкретную должность в конкретном структурном подразделении. И про процесс там ничего не написано.

В ДИ о процессе СМК ничего не написано. Этот процесс можно добавить в РК выходит? С чего начать сие описание? Рассматриваем п. 2.5 из вопросника моего аудитора "Обязанности, ответственность и полномочия персонала задействованного в реализации процессов"

[Роман Озеранский]

В ДИ о процессе СМК ничего не написано.

Я этот процесс и не имел в сиду, да и зачем он нужен, этот "процесс СМК"? За этот процесс клиент деньги не платит, а значит и эффективности он не принесет (доходной части нет), а процессы нужны для получения эффективности .

Этот процесс можно добавить в РК выходит?

Добавить в РК можно любые процессы, какие Вы посчитаете нужным. Вопрос, нужно ли это делать .

[Радэ Бошкович]

Михаил, для этих целей я и обращаюсь на этот форум - ответить на вопросы аудитора, вернее предоставить ему что требует.

Валерий, ответы на ваши вопросы в прикрепленном файле. Обратите внимание, что аудитор поступает в принципе неверно, советую с ним тут пободаться. Дело в том, что не вы должны владеть терминологией ИСО 9001, а он, и не вы должны предоставлять ему ответы на блюдечке, а он должен проанализировать вашу систему и задать вам понятные вопросы, на основании которых он сможет оценить степень выполнения требований. Я очень сильно возмущен таким подходом и всегда советую не сдавать свои позиции. Обратите внимание, что пункты 2.1, 2.2 и 2.6, которые вы привели, невыполнимы, если вы хотите построить систему, которая вам приносит пользу, они выполнимы только в рамках сугубо формального подхода к сертификации, который здесь на форуме критиковали бесконечное количество раз.

Ответ аудитору.pdf

[Евгений Жуков]

STEP анализ знаю
DEPSTEP не нашёл

Увы мне!

[Андрей Горбунов]

Радэ,
прочитал "Ответ аудитору" и не могу согласиться с трактовкой оценки рисков по процессам. В стандарте использована формулировка "to address the risks", которая подразумевает именно обработку, а не учет рисков (а, кстати, что такое учет без обработки?). Например, стандарт ISO/IEC 27001, предполагающий именно обработку рисков (связанных с информационной безопасностью), а не учет их, использует ту же формулировку.
Честно сказать, не вижу большой проблемы с оценкой и обработкой рисков именно по каждому процессу, если только не выделять их по 18-20 тысяч .
Реально в рамках СМК организации необходимо управлять 5-7 процессами, не более. И продумать риски для такого количества процессов не так уж и сложно. И, признаюсь честно, я не понимаю, как можно управлять процессом, не представляя себе риски, связанные с ним.
ISO 9001:2015 достаточно четко говорит о том, что риски (и возможности) должны оцениваться и обрабатываться как для системы в целом (6.1 с учетом 4.1 и 4.2), так и для каждого процесса (4.4.1 f). При этом источники рисков для системы и процессов разные, хотя методика оценки одна.
Да, если бы на аудите мне организация сказала, что она применяет риск-ориентированное мышление, то я попросил бы доказательств этого .

[Михаил Шустер]

(Не Валерию)
Все начинается со структурирования, взвешивания и составления короткого списка. Потом, понятно, PDC и снова А
Исо стандарт - верхний уровень структуры одного из представлений организации
Давеча узнал про матрицу Кралича - другое представление. Рекомендую, интересно

[Радэ Бошкович]

DEPSTEP не нашёл

Дело вероятно в том, что я ошибся в акрониме, появилось лишнее Р, надо было написать DESTEP (sorry).

[Радэ Бошкович]

прочитал "Ответ аудитору" и не могу согласиться с трактовкой оценки рисков по процессам. В стандарте использована формулировка "to address the risks", которая подразумевает именно обработку, а не учет рисков

Несогласие - свидетельство того, что ты обдумывал проблему, похвально . Мы не согласны вот в чем:

ISO 9001:2015 достаточно четко говорит о том, что риски (и возможности) должны оцениваться и обрабатываться как для системы в целом (6.1 с учетом 4.1 и 4.2), так и для каждого процесса (4.4.1 f).

Обоснование моих тезисов:
- английское "to address" имеет несколько значений. Когда сомневаюсь в официальном переводе или в своем толковании английского, обязательно смотрю, как английский текст перевели в других странах. И вот французский перевод: "4.4.1 f) prendre en compte les risques et opportunités tels que déterminés conformément aux exigences de 6.1" . Видно, что и французы перевели "to address" не как "обрабатывать", а как "учитывать", "считаться с", что соответствует риск-ориентированному мышлению. Или испанский вариант: "4.4.1 f) abordar los riesgos y oportunidades determinados de acuerdo con los requisitos del apartado 6.1" , что ближе к твоему толкованию, но и не далеко от моего: abordar - "подойти", "обращаться с". Имея в виду, что 4.4.1 касается применения процессного подхода, то, думаю, обработка рисков (to handle, to treat) не входит в 4.4.1.f), здесь речь идет только о риск-ориентированному мышлению, т.е. при построении СМК я должен учитывать (обратить внимание на, не забыть и, take account, одним словом).

- я согласен с тем, что нет "большой проблемы с оценкой и обработкой рисков именно по каждому процессу,", вопрос только в том, зачем это делать. 6.1.1 а) и 6.1.2 а) касаются рисков на уровне системы, не рисков на уровне процессов. И если на уровне системы "задержка обработки жалоб клиента" влечет за собой репутационные, юридические и экономические риски, то риск "потерять руку, если зайти в рабочее пространство ленточной пилы" на СМК влияет слабо, если вообще влияет. А если не влияет, тогда зачем учитывать, или обрабатывать. И надо ли учитывать репутационные риски на уровне процесса?

Чтобы кто-то не подумал, что мне безразлично, потеряет ли рабочий руку или нет, скажу, что этот факт может не иметь значения для СМК, исходя из объяснения, что такое СМК. Для организации этот факт, имеет значение. Но не в рамках СМК.

Определенное затруднение может вызвать пункт 6.1.2.b) 1. Тут якобы требуется обработка риска на уровне процесса. На самом деле нет, речь идет о том, как выстроить процессы, чтобы не появились риски на уровне системы. Например, та же самая задержка в процессе обработки жалоб клиента. Это системный риск, и чтобы его избежать я разрабатываю процедуру обработки жалоб таким образом, чтобы не выйти за временные рамки. Другой риск, который сугубо процессный и принадлежит именно этому процессу, например, получение ожога при пользованию копировальным аппаратом во время копирования документов клиента, меня не интересует.

Поэтому, я не вижу смысла в том, чтобы анализировать риски на уровне процесса, поскольку стандарт этого не требует (по крайней мере, я так думаю) и еще потому, что для оценки риска на уровне процесса нет никакой методики: репутационные риски можешь учитывать, а можешь и не обращать внимания на них, если твой доход не зависит от твоей репутации. Присваивать критерии оценки риска, это вообще нечто. Например, "нанесение вреда здоровью двум или больше сотрудникам" оценивается степенью тяжести 10, а "смерть двух или более сотрудников" степенью 100. А почему не 10(pow)10? Кто вообще сказал, что вероятность наступления неблагоприятного события и тяжесть последствий надо оценивать по линейной шкале? Почему не по логарифмической?

В итоге, если я еще могу оценивать риски на уровне всей системы (влияет ли данная опасность на мою способность поставлять продукт), то на уровне процесса для меня это затруднительно. Хотелось бы увидеть грамотно выстроену методику оценки риска на уровне процессов. Пока я ее вижу, хотя допускаю, что я просто не информирован.

[Евгений Жуков]

Кто вообще сказал, что вероятность наступления неблагоприятного события и тяжесть последствий надо оценивать по линейной шкале? Почему не по логарифмической?

Ага
Это личное дело оценщика, имхо

[Евгений Жуков]

В итоге, если я еще могу оценивать риски на уровне всей системы (влияет ли данная опасность на мою способность поставлять продукт), то на уровне процесса для меня это затруднительно

Это работа на зарплату "Начальника" процесса. Топы этого вполне могут и не знать

Например, я [Лектор по дисциплине] оцениваю всяческие каверзы, с которыми возможно встретятся преподаватели, которые ведут практические занятия. Начиная от хронометража в целом на аудиторное занятие и до справедливости формул для расчёта по заданию на практическую

Заодно прикидываю и временные ресурсы студентов, которые будут выполнять задание внеаудиторно. Вот беру свой хронометраж по заданию и смело умножаю на 3 - столько расчётного времени хороший студент потратит на выполнение задания, которое лично я ему придумал
А плохой студент у хорошего спишет. И этот риск учитывается. Но - неофициально

[Андрей Горбунов]

Так получилось, что в последнее время пришлось довольно много заниматься вопросами, связанными с управлением рисками.
Первым материалом была методика, разработанная для консультируемых предприятий и выложенная на сайте в открытом доступе (Публикации/Методики).
Потом были семинары по управлению рисками для испытательных лабораторий. Потом статья в "Менеджменте качества" (номер еще не вышел). И, наконец, курс для ТЮФ Академии по управлению рисками.
Все это заставило достаточно глубоко погрузиться в методику оценки и требования стандарта.
Изложу кратко результаты изысканий.
1. ISO 9001 более-менее четко указывает на то, что необходимо оценить риски как для системы в целом, так и для каждого процесса.
2. Источники рисков для системы должны быть связаны с результатами оценки контекста и требований заинтересованных сторон. Материалы ИСО прямо на это указывают: выделенные при анализе контекста факторы должны служить основой для оценки рисков системы. Замечу, что у предприятий зачастую такой связи не просматривается: оценка контекста сама по себе, риски сами по себе.
3. Источники рисков для выделенных процессов лежат в самих процессах и здесь никакой SWOT-анализ уже не поможет, здесь нужен другой инструмент. В выложенной мной методике есть ментальная диаграмма, показывающая источники рисков процессов.
4. Сама по себе двухфакторная методика оценки рисков хорошо работает как для системы, так и для процессов.
5. Как выяснилось, предприятия плохо понимают, что такое риск и в качестве такового указывают порой бог весть что. Например, "распространение негативных слухов о компании". Нет понимания риска, как события, имеющего вероятностную природу и ведущего к негативным последствиям для достижения определенной цели.
6. Также мало у кого есть понимание, что предлагаемые меры (controls) должны изменять либо вероятность события, либо степень его влияния. Мало кто проверяет меры с этой точки зрения. Да что там, мало кто может вразумительно объяснить связь предлагаемой меры с вероятностью риска и последствиями его реализации.
Радэ,
я не понимаю, что такое учитывать риски без их обработки. Для меня это означает применение ко всем рискам стратегии принятия риска, потому как применение трех остальных стратегий будет заключаться в действиях по изменению риска, а не его учету.

[Радэ Бошкович]

я не понимаю, что такое учитывать риски без их обработки

Это просто выбор действия с учетом присущих рисков. Сидя за рулем автомобиля, ты непрерывно оцениваешь риски, которых бесчисленное количество, и в соответствие с уровнем тренинга ты крутишь руль направо или налево. Но ты не думаешь о рисках, никакие риски ты не обрабатываешь, автоматика в голове делает свое.

Может быть, дело в семантике. Ты повернул руль налево, тем самым прекратил движение в сторону опасности. Согласно таблице выбора стратегий, это одна из стратегий управления рисками - не продолжать рискованные действия.Ты можешь назвать такое подсознательное действие обработкой, но для меня это не обработка, поскольку в моем понимании обработка, это осознанный выбор.

Я считаю, что использовать риск-ориентированное мышление равносильно прохождению через заминированное поле. Ты оцениваешь контекст, ты видишь опасность и выбираешь такую линию движения, которая обеспечивает выживание. Снова, я могу сказать, что я обработал риск и выбрал соответствующую линию поведения, но так ли оно было на самом деле.

Получается, что значение терминов для стороннего зрителя, который описывает ситуацию, и для участника события совершено другое.

[Михаил Шустер]

мало кто может вразумительно объяснить связь предлагаемой меры с вероятностью риска

Так ведь апория [назову это так] прорисовывается - менеджмент vs перфекционизм

[Евгений Жуков]

двухфакторная методика оценки рисков хорошо работает

Это, видимо вероятность реализации и последствия от реализации

Ещё есть третий фактор - вероятность обнаружения. Очень полезно в контексте срока давности

Форэкзампл
Притча о дипломе, в котором студент написал:
1) Поскольку мой диплом читать никто не будет
и
2) У меня расчёты не сходяться
то
3) Принимаю число "Пи" равным 1,54

По сути - это серьезнейшая проблема нынче. Мне, как руководителю, какой текст диплома читать - файлом который или на твёрдой копии [с датой и подписью студента на каждой странице]? И как мне доказать потом, если вдруг шо не дай Бог конечно, что я (а) читал и (б) указал на несуразности...
Здесь ещё пара-тройка моментов есть. Но об этом в другой раз

PS При чём здесь срок давности? Когда протокол защиты подписан Председателем, то всё освящено и все грехи студента Председатель отпустил
А вот кадровые решения по руководителям дипломов и завкафедрой могут быть. В любой момент - пока диплом не списан с архивного хранения

[Грязнов Валерий]

Михаил, для этих целей я и обращаюсь на этот форум - ответить на вопросы аудитора, вернее предоставить ему что требует.

Валерий, ответы на ваши вопросы в прикрепленном файле. Обратите внимание, что аудитор поступает в принципе неверно, советую с ним тут пободаться. Дело в том, что не вы должны владеть терминологией ИСО 9001, а он, и не вы должны предоставлять ему ответы на блюдечке, а он должен проанализировать вашу систему и задать вам понятные вопросы, на основании которых он сможет оценить степень выполнения требований. Я очень сильно возмущен таким подходом и всегда советую не сдавать свои позиции. Обратите внимание, что пункты 2.1, 2.2 и 2.6, которые вы привели, невыполнимы, если вы хотите построить систему, которая вам приносит пользу, они выполнимы только в рамках сугубо формального подхода к сертификации, который здесь на форуме критиковали бесконечное количество раз.

Ответ аудитору.pdf

Спасибо. Данная шпаргалка мне точно поможет. Привет братскому народу Сербии!!!!