Форум по менеджменту качества

[Александр Воробьёв]

Аудиторы выявляют наиболее критичные элементы системы (тем самым - оценив ситуацию), указывают на них

как все запущено....
ИМХО выявление наиболее критичных элементы системы происходи на другом уровне, на уровне руководителя/архитектора системы...

Программа аудитов (проверок) должна планироваться с учетом статуса и важности процессов и участков, подлежащих аудиту

Аудиторы выявляют наиболее критичные элементы системы (тем самым - оценив ситуацию), указывают на них, и, если необходимо - участвуют в разработке КД. Хотя это - не обязательно, но я сторонник именно такого подхода.

Аудитор, способный увидеть корневые причины несоотвествия/потенциального несоотвествия на уровне системы должен иметь опыт топ-менеджмента...
ИМХО это ближе к ПРК...

Тгда аудиторы СОПРИЧАСТНЫ к событиям, а не умывают руки сразу после аудита.

типа как Ленин сопричастен к переноске бревна на субботнике?

оценка рисков при аудите очень слабое подобие оценки рисков при управлении ими

А никто и не говорит об управлении - речь об оценке.

Оценка рисков не для целей управления ими в том или ином виде бессмысленна

Риски аудита одни, риски организации гораздо шире, причем на каждом уровне свои

В каком смысле?

Риски на уровне
организации - недостижение целей организации
процесса - недостижение целей/результатов процесса
подразделения - недостижения целей/результатов подразделения
программы аудита -- недостижения соответствия выбоки генеральной совокупности
аудита - недостижения целей аудита, недостижения соответствия выбоки генеральной совокупности
сотрудника - недостижения целей, поставленных перед сотрудником
операции- недостижения целей/результатов операции и т.д.

P.S.

risks to the organization being audited;
evaluate the risks for the audit programme;

[Александр Воробьёв]

Вопрос другой - собака крутит хвостом или хвост крутит собакой?
То есть аудит это одно из средств мониторинга системы или аудит это механизм управления системой. Я категорически против второго мнения.

Я тоже...
ИМХО несколько упрощенно аудит это мониторинг за мониторнгом системы....

Мониторинг (аудит, инспекция и прочий контроль) это не регулятор, а исключительно обратная связь, необходимая для работы этого регулятора, но не заменяющая его.

Боле того...
аудит дублирующая обратная связь, в т.ч. проверяющая действенность основной обратной связи -- мониторнга...

[Кольцов Олег]

ИМХО несколько упрощенно аудит это мониторинг за мониторнгом системы....

Александр, не соглашусь, это частный случай контроля внутреннего оперативного мониторинга, в общем случае мониторинг более широкое понятие, включающее в себя кроме внутреннего оперативного мониторинга и внутреннего аудита также информацию от второй и третьей сторон, то есть внешнюю информацию, которая принципиально не охватывается внутренним аудитом.

[Александр Воробьёв]

ИМХО несколько упрощенно аудит это мониторинг за мониторнгом системы....

Александр, не соглашусь, это частный случай контроля внутреннего оперативного мониторинга, в общем случае мониторинг более широкое понятие, включающее в себя кроме внутреннего оперативного мониторинга и внутреннего аудита также информацию от второй и третьей сторон, то есть внешнюю информацию, которая принципиально не охватывается внутренним аудитом.

именно поэтому и сделан акцент, акцент на его суть... - "несколько упрощенно"...

[Вячеслав Лебединец]

По-моему, и Вы и Олег под аудитом на самом деле понимают инспектирование (по простому - сверку того что есть с тем, что должно быть) - оттого и непонимание искреннее. Я думаю по-другому и вкладываю в понятие "Внутренний аудит" несколько иное значение, о чем и говорил выше. Но - дело хозяйское, я свое мнение никому не навязываю. Каждый организовывает аудиты с теми целями и так, как ему кажется правильным.

Риски на уровне
организации - недостижение целей организации
процесса - недостижение целей/результатов процесса
подразделения - недостижения целей/результатов подразделения
программы аудита -- недостижения соответствия выбоки генеральной совокупности
аудита - недостижения целей аудита, недостижения соответствия выбоки генеральной совокупности
сотрудника - недостижения целей, поставленных перед сотрудником
операции- недостижения целей/результатов операции и т.д.

Все эти риски могут оцениваться в ходе аудитов - в зависимости от поставленных целей. А могут и не оцениваться - если под аудитом понимать инспекцию или ревизию. Тогда - просто сличение...

[Вячеслав Лебединец]

Ни и раз заговорили о связи аудитов и риск-менеджмента, показываю черновик того, над чем сейчас работаю, может кто что умное подскажет.
http://quality.ifolder.ru/27292659

Олег, здесь у вас дано пределение риска: "Риск - влияние неопределенности на цели". Возможно, так понимая этот термин, Вы и относитесь к оценке рисков при аудите не так, как я.
Например, я категорически не согласен с этой формулировкой: риск - это, по сути, вероятность реализации нежелательного события. Чем выше эта вероятность и чем хуже последствия нежелательного события - тем выше риски. Но риски не могут быть влиянием! Они вообще могут не реализоваться, т.к. вероятность наступления события никогда не бывает равной 1,0. Так о каком влиянии мы говорим? Дальше - больше: как можно влиять на цели? Можно влиять на процессы достижения целей, на условия, ресурсы, управление по достижению целей, но никак не на сами цели! Если цель - это план, то как можно влиять на план? Менять его? И даже если цель - это нечто достижимое, численно измеряемое, то, к чему стремятся, то и тогда - как можно на это что-то влиять? его еще нет!
P.S. Похоже, в наших с вами ведомствах по-разному понимают определения... Вот наше:
Риск (risk)
Комбинация вероятности нанесения ущерба и тяжести этого ущерба
(ISO/IEC Guide 51 и ДСТУ ISO/IEC Guide 51-2002N). - это определение дано в нашем действующем Руководстве по GMP - СТ-Н МОЗУ 42-4.2:2011 "Лекарственные средства. Управление риском для качества", которое обязательно для фармацевтических производственных предприятий.

[Александр Воробьёв]

По-моему, и Вы и Олег под аудитом на самом деле понимают инспектирование (по простому - сверку того что есть с тем, что должно быть) - оттого и непонимание искреннее. Я думаю по-другому и вкладываю в понятие "Внутренний аудит" несколько иное значение, о чем и говорил выше. Но - дело хозяйское, я свое мнение никому не навязываю. Каждый организовывает аудиты с теми целями и так, как ему кажется правильным.

Цели внутреннего аудита одно, трактовка термина несколько другое…

Риски на уровне
организации - недостижение целей организации
процесса - недостижение целей/результатов процесса
подразделения - недостижения целей/результатов подразделения
программы аудита -- недостижения соответствия выбоки генеральной совокупности
аудита - недостижения целей аудита, недостижения соответствия выборки генеральной совокупности
сотрудника - недостижения целей, поставленных перед сотрудником
операции- недостижения целей/результатов операции и т.д.

Все эти риски могут оцениваться в ходе аудитов - в зависимости от поставленных целей. А могут и не оцениваться - если под аудитом понимать инспекцию или ревизию. Тогда - просто сличение...

Не получится не оценивать… в части оценки потенциальных несоответствий, достоверности выборки аудита и т.д.

[Кольцов Олег]

здесь у вас дано пределение риска: "Риск - влияние неопределенности на цели".
P.S. Похоже, в наших с вами ведомствах по-разному понимают определения... Вот наше:
Риск (risk)
Комбинация вероятности нанесения ущерба и тяжести этого ущерба
(ISO/IEC Guide 51 и ДСТУ ISO/IEC Guide 51-2002N). - это определение дано в нашем действующем Руководстве по GMP - СТ-Н МОЗУ 42-4.2:2011 "Лекарственные средства. Управление риском для качества", которое обязательно для фармацевтических производственных предприятий.

Вячеслав, Ваше определение уже устарело в связи с выходом новой редакции ИСО 73-2009. Это определение я взял из него.
Старое (то что Вы привели) стало одним из примечаний к определению.
viewtopic.php?f=36&t=8543

[Вячеслав Лебединец]

здесь у вас дано пределение риска: "Риск - влияние неопределенности на цели".
P.S. Похоже, в наших с вами ведомствах по-разному понимают определения... Вот наше:
Риск (risk)
Комбинация вероятности нанесения ущерба и тяжести этого ущерба
(ISO/IEC Guide 51 и ДСТУ ISO/IEC Guide 51-2002N). - это определение дано в нашем действующем Руководстве по GMP - СТ-Н МОЗУ 42-4.2:2011 "Лекарственные средства. Управление риском для качества", которое обязательно для фармацевтических производственных предприятий.

Вячеслав, Ваше определение уже устарело в связи с выходом новой редакции ИСО 73-2009. Это определение я взял из него.
Старое (то что Вы привели) стало одним из примечаний к определению.
viewtopic.php?f=36&t=8543

Олег, логика не может устаревать Если вы можете пояснить то, что считаете современным определением - то тогда вам и карты в руки. Я не могу. нелогичным оно мне кажется, и даже несуразным...
Ну и насчет актуальности ссылочных документов: я дал ссылку на самый свежий отраслевой документ, который в Украине действует с ноября 2011, а в ЕС - чуть раньше. Все страны, использующие европейские отраслевые документы, пользуются и им. Так что кто здесь прав, а кто нет - определяется тем, чья логика логичнее Вот вы "свое" понимание определения никак не пояснили...

[Кольцов Олег]

Ну и насчет актуальности ссылочных документов: я дал ссылку на самый свежий отраслевой документ, который в Украине действует с ноября 2011, а в ЕС - чуть раньше. Все страны, использующие европейские отраслевые документы, пользуются и им. Так что кто здесь прав, а кто нет - определяется тем, чья логика логичнее Вот вы "свое" понимание определения никак не пояснили...

Вячеслав, посмотрите внимательно, нет ли в том документе, на который Вы ссылаетесь, ссылки на первоисточник термина - предыдущее издание ИСО 73, которое уже отменено. Вот и все мое понимание и логика. Во многих отраслевых доках (и многих МС ИСО) ссылка именно на отмененную версию ИСО 73.

[Вячеслав Лебединец]

Вячеслав, посмотрите внимательно, нет ли в том документе, на который Вы ссылаетесь, ссылки на первоисточник термина - предыдущее издание ИСО 73, которое уже отменено. Вот и все мое понимание и логика. Во многих отраслевых доках (и многих МС ИСО) ссылка именно на отмененную версию ИСО 73.

Олег, ссылка есть на ISO Guide 73:2009 Risk management – Vocabulary. Но зачем делать упор на ссылки? Это что - критерий истинности? А где здравый смысл? Если в 9000:2005 термин "качество" трактуется не так, как его понимали раньше - то что, качество качеством быть перестало? Еще раз повторю - я в нынешнем ("нашем") трактовании рисков для качества вижу смысл и могу его пояснить. А как Вы поясните смысл "вашего" определения?

[Кольцов Олег]

ссылка есть на ISO Guide 73:2009 Risk management – Vocabulary. Но зачем делать упор на ссылки? Это что - критерий истинности?

Привычка в официальных обсуждениях пользоваться официальными доками.

А где здравый смысл?

Он у каждого свой, что является препятствием к взаимопониманию, это и определило необходимость в терминологических стандартах.

Если в 9000:2005 термин "качество" трактуется не так, как его понимали раньше - то что, качество качеством быть перестало? ?

В бытовых разговорах я не использую термин ИСО 9000, при разговоре про СМК по требованиям ИСО 9001 пользуюсь именно им, хотя мне больше нравилось старое определение из ИСО 8402.

Еще раз повторю - я в нынешнем ("нашем") трактовании рисков для качества вижу смысл и могу его пояснить. А как Вы поясните смысл "вашего" определения?

Извините, но это Ваша проблема! Абсолютно убежден что после выхода специализированной серии ИСО 31000 при разговоре про риск-менеджмент надо переходить на эту платформу, иначе можно попасть в положение заведомо отставшего.
Новое определение основано на сути управления - целеуказании. Именно целеуказание определяет действие и его развитие, без него никакой аудит принципиально не может улучшить систему. Проверить целеуказание более высокого уровня чем сам, аудит принципиально не способен, как и оценить истинность своей цели. Барон Мюнхаузен не может вытащить себя из болота за свои волосы, третий закон Ньютона мешает!
Риск появляется исключительно после выбора цели как возможная помеха ее достижению. Если Вы не поставили своей целью погулять по улице у Вас нет риска вымокнуть под дождем. Так что новое определение ИСО 73 более операционно и значно. А старое определение входит в него для возможности проведения оценки этого риска.

[Александр Воробьёв]

Говоря об "элементах" и "критических звеньях" я имел в виду процессы/процедуры/деятельность, влияющие критическим образом на соответствие продукции требованиям либо на выполнение нормативных требований. Именно такой смысл я вкладывал.

В этом случае
невозможно

повышение результативности СМК через нахождение и минимизацию "слабых звеньев" самой системы

соответствие продукции требованиям либо на выполнение нормативных требований -- это стартовый уровень непрерывного развития СМК... регулярная проверка наличия стартового минимума ни как не скажется повышение результативности СМК... Это индикатор наличия результативности, но о ее величине и динамике подобным образом данных не получить...

[Вячеслав Лебединец]

Привычка в официальных обсуждениях пользоваться официальными доками.

Олег, я делал ссылку на самый что ни на есть официальный документ. Он для меня (в моей сфере) - действующий и обязательный, в отличие от 73 гайда. По крайней мере - пока...

Он у каждого свой, что является препятствием к взаимопониманию, это и определило необходимость в терминологических стандартах.

Такие стандарты сами нуждаются в трактовании, т.к. на правильность понимания влияет очень много разных факторов. Например - языковой...

Извините, но это Ваша проблема! Абсолютно убежден что после выхода специализированной серии ИСО 31000 при разговоре про риск-менеджмент надо переходить на эту платформу, иначе можно попасть в положение заведомо отставшего.

Не вижу здесь моей проблемы - каждый пользуется тем пониманием, что имеет, и если это не приводит к проблемам в работе - значит понимание верное.

Новое определение основано на сути управления - целеуказании. Именно целеуказание определяет действие и его развитие,

Само по себе целеуказание тоже имеет риски - неправильности целеуказания. Как существуют и риски неправильного достижения целей. И вообще - риски при выполнении какой-то деятельности сводятся к неправильному ее выполнению (неполному, несвоевременному, не с тем результатом, что требовалось...). Так вот как раз "мое" определение рисков дает понимание возможности проблем при выполнении деятельности. В том числе - неправильному достижению целей, НО! - через неправильное выполнение действий по достижению целей. А как иначе? В новом определении просто перепрыгнули через "действия" и свели все к целям. От этого определение стало менее понятным и вообще абстрактным на первый взгляд. Но это - ИМХО.

без него никакой аудит принципиально не может улучшить систему. Проверить целеуказание более высокого уровня чем сам, аудит принципиально не способен, как и оценить истинность своей цели. Барон Мюнхаузен не может вытащить себя из болота за свои волосы, третий закон Ньютона мешает!

Олег, это Вы просто так написали или в ответ на какую-то мою фразу? Уточните, а то я как бы не понял - к чему комментарий?

Риск появляется исключительно после выбора цели как возможная помеха ее достижению. Если Вы не поставили своей целью погулять по улице у Вас нет риска вымокнуть под дождем.

Совершенно верно! Но акцент бы надо ставить не на постановке целей, а на ДЕЙСТВИЯХ по их достижению, т.к. именно при их реализации возникают риски неправильной реализации и, следовательно, - недостижения целей. Иначе, оговаривая только риски недостижения целей, мы слишком все обобщаем и не видим в чем именно эти риски!

[Кольцов Олег]

Он для меня (в моей сфере) - действующий и обязательный, в отличие от 73 гайда. По крайней мере - пока...

Вячеслав, Вы ставите себя в позицию догоняющего, точнее отстающего. Новое определение включило в себя старое.

Само по себе целеуказание тоже имеет риски - неправильности целеуказания.

Именно на это и направлено новое определение!

Как существуют и риски неправильного достижения целей. И вообще - риски при выполнении какой-то деятельности сводятся к неправильному ее выполнению (неполному, несвоевременному, не с тем результатом, что требовалось...). Так вот как раз "мое" определение рисков дает понимание возможности проблем при выполнении деятельности. В том числе - неправильному достижению целей, НО! - через неправильное выполнение действий по достижению целей. А как иначе? В новом определении просто перепрыгнули через "действия" и свели все к целям. От этого определение стало менее понятным и вообще абстрактным на первый взгляд.

Извините, но я абсолютно убежден что риски начинаются при планировании, то есть в первом такте цикла Деминга и они значительно шире неправильного выполнения второго такта этого цикла, собственно говоря вы и сами сказали об этом говоря о неправильном выборе цели.

Но акцент бы надо ставить не на постановке целей, а на ДЕЙСТВИЯХ по их достижению, т.к. именно при их реализации возникают риски неправильной реализации и, следовательно, - недостижения целей. Иначе, оговаривая только риски недостижения целей, мы слишком все обобщаем и не видим в чем именно эти риски!

Повторяю, Вы противоречите сами себе, риск возникает при планировании целей, при реализации действий по достижению целей возникают не риски, а проявляется их действие (в том числе и не учтенных рисков). Риски закладываются при планировании целей и методов их достижения!!! Поздно пить Боржоми когда нет желудка.

[Вячеслав Лебединец]

Олег, а Вы не считаете, что планирование - это тоже деятельность? И что само планирование тоже планируется? И что это - тоже деятельность? И так - до бесконечнсти. В любом случае - риски будут всегда касаться только деятельности, процесса, преобразования, т.е. того, что происходит.
Я понимаю о чем Вы - главные риски в Plan. Согласен, Но, во-первых, их, как правило, можно оценить и (особенно) проанализировать только после реализации действий по достижению целей. Во-вторых, в отношении циклично функционирующих процессов важнее все-таки знать риски неправильного выполнения деятельности (уже спланированной и спроектированной), а не риски, реализованные при планировании - с ними уже сделать ничего нельзя.
Ну а то, что риски в планировании следует учитывать - какие сомнения? Да, следует. Закладываемые при планировании НС - наиболее "жестокие", т.к. потом КД может быть и невозможно реализовать. Но, ИМХО, это отдельная песня - риски в планировании... Там и подходы другие, и методы...

[Вячеслав Лебединец]

Олег, а Вы не считаете, что планирование - это тоже деятельность? И что само планирование тоже планируется? И что это - тоже деятельность? В любом случае - риски будут всегда касаться только деятельности, процесса, того, что происходит.

[Кольцов Олег]

Олег, а Вы не считаете, что планирование - это тоже деятельность? И что само планирование тоже планируется? И что это - тоже деятельность? В любом случае - риски будут всегда касаться только деятельности, процесса, того, что происходит.

Вячеслав, мы опять попали в терминологический тупик, с одной стороны весь такт является деятельностью, с другой стороны деятельность выделена в нем как второй такт.
Мое предложение в обсуждении деятельностью называть второй такт цикла Деминга, а планирование отнести к отдельному виду.
А риски всегда касаются того, что может произойти, а не только того что происходит. Именно в это смысл риска как возможности такого влияния на достижение поставленных целей.
Кстати, на официальном сайте Минтранса России и Ространснадзора постоянно показывают результаты применения когда-то разработанной мною методички. Только за прошлую неделю оперативная инспекция выявила 47 несоответствий. Подумайте, эти проверки для наказания персонала, в целях общего наведения порядка или проведения мониторинга реального состояния дел? http://mintrans.ru/news/detail.php?ELEMENT_ID=17270

[Вячеслав Лебединец]

Вячеслав, мы опять попали в терминологический тупик, с одной стороны весь такт является деятельностью, с другой стороны деятельность выделена в нем как второй такт.
Мое предложение в обсуждении деятельностью называть второй такт цикла Деминга, а планирование отнести к отдельному виду.

Если отделять, то получается, что Вы будете оценивать риски только на этапе планирования? Я правильно понимаю? Но это же нелогично! Риски будут и при реализации планов, и как раз эти риски должны оценивать аудиторы системы - тогда я вижу логику. А насчет рисков в планировании - я написал выше...

А риски всегда касаются того, что может произойти, а не только того что происходит. Именно в это смысл риска как возможности такого влияния на достижение поставленных целей.

Более того - исключительно и только того, что МОЖЕТ произойти, т.к. риск - это вероятность наступления... То, что произошло - уже есть реализацией (разной степени) риска...

Кстати, на официальном сайте Минтранса России и Ространснадзора постоянно показывают результаты применения когда-то разработанной мною методички. Только за прошлую неделю оперативная инспекция выявила 47 несоответствий. Подумайте, эти проверки для наказания персонала, в целях общего наведения порядка или проведения мониторинга реального состояния дел? http://mintrans.ru/news/detail.php?ELEMENT_ID=17270

Олег, я искренне рад за Вас Это большие успехи!
Но как-то так сложилось в моей практике, что когда мне показывают количество найденных несоответствий - меня это сильно напрягает и ассоциируется с непрофессионализмом. Это вообще ни о чем не говорит! Каких НС? Где? НС чему? НС по каким причинам? Эти вопросы - главные, а количество НС - мусор статистический, особенно если цифры приводятся без подтверждения того, что выявлялись НС в одних условиях одними и теми же "выявителями". Иначе - это сплошной субъективизм, не имеющий ценности. Да и как это с рисками связано? Вы говорите о фактах нахождения реализации рисков нежелательных ситуаций - и не более... А сколько еще невыявлено? А где гарантии того, что риски уменьшаться после проверки? Где здесь вообще ОЦЕНКА РИСКОВ?

[Кольцов Олег]

Если отделять, то получается, что Вы будете оценивать риски только на этапе планирования? Я правильно понимаю? Но это же нелогично! Риски будут и при реализации планов, и как раз эти риски должны оценивать аудиторы системы - тогда я вижу логику. А насчет рисков в планировании - я написал выше...

Вячеслав, повторяю, оценка рисков возможна только на первом и четвертом тактах цикла Деминга, так как она входит исключительно в компетенцию процесса анализа системы руководством. Оценка рисков аудиторами, говоря словами одной пословицы, больше чем преступление, это ошибка!
Кстати, Вы заметили что инспекторам по показанной мною методичке полностью запрещена аналитическая деятельность? Все несоответствия стандартизированы, их объединение в одно интегральное несоответствие категорически запрещено, все действия по устранению выявленных несоответствий так же определены. И так во всем мире!

Где здесь вообще ОЦЕНКА РИСКОВ?

А риски оцениваются не инспекторами на месте проверки, а начальниками в теплых кабинетах исходя из анализа всех полученных данных.