ISO 9001 és ISO 14001: a 2015-ös verziók változásainak kritikus pontjai, az eddigi auditok gyakorlati tapasztalatai

ISO 9001 és ISO 14001: a 2015-ös verziók változásainak kritikus pontjai, az eddigi auditok gyakorlati tapasztalatai FRAMEWORK KONFERENCIA 2017 Bácskai Zsolt Tanúsítási vezető Bureau Veritas Magyarország Kft.

© - Copyright Bureau Veritas

A Bureau Veritas alaptevékenysége •Alapítva: 1828

• Tanúsítás, megfelelőség-ellenőrzés, laboratóriumi vizsgálatok

• Ügyfeleink segítése minőségi, környezetvédelmi, munkavédelmi és társadalmi felelősségvállalással kapcsolatos kihívások megoldásában © - Copyright Bureau Veritas

FRAMEWORK KONFERENCIA 2017

2

Bureau Veritas Certification Több mint

100 000 tanúsított ügyfél világszerte irodák

100

Globális és helyi ügyfelek

országban

Több mint

40 akkreditáció, helyi és

Több mint 140 000 kiadott tanúsítvány

nemzetközi

Szolgáltatások

5 700 auditor

széles skálája a tanúsítás és auditok területén © - Copyright Bureau Veritas


3

Tanúsítási szolgáltatások Minden iparágra

Iparágak (példák)

•

ISO 9001

•

Beszállítói audit

•

• AA 1000 • Fenntarthatósági jelentés hitelesítése

ISO 14001

•

ISO 27001

•

ISO 50001

•

ISO 20000

CO2 kibocsátásszolgáltatások: ISCC, EU ETS


•

Beszállítói audit

•Járműipar •Logisztika • •

•Tanfolyamok

•Munkavédelem -és biztonság OHSAS 18001/ MSZ EN 28001

ISO 22000, IFS, BRC, HACCP, GMP+

• IT

•

•

•

SA 8000

•Környezet

•

•Élelmiszer

•Társadalmi felelősség•vállalás

•Minőség

•

Nyílt vagy •kihelyezett tanfolyam

•

ISO/TS 16949 TAPA tanúsítás rakománybiztonság

•Erdőgazdálkodás •

FSC CoC •

EUTR

IRCA regisztrált kurzusok


4

ISO 9001 és ISO 14001 változásai - bevezetés ► Továbbra is rendszer kritériumok  általános követelmények 

nem lehet ellenőrzési lista alapján szakszerűen auditálni, nem lehet mindenre kiterjedő értelmezési útmutatót kiadni  az auditor kiértékeli a bizonyítékokat  eseti alapú döntés  óhatatlanul szubjektív elem. ► Tovább növelt szabadsági fok + nem teljesen egyértelműen megfogalmazott követelmények  ügyfelek és tanúsítók is kicsit bizonytalanok  mindenki kivár, mi lesz az értelmezés, az elvárás. ► Bevezetési útmutatót ígértek, >1 évet késett  2016 november: ISO/TS 9002, „Irányelvek az ISO 9001:2015 alkalmazásához” (magyar adaptációja folyamatban van, sok hasznos példa segíti az értelmezést/bevezetést)



5

Bevezetés ►A 14001 szabvány jelentősebb változáson ment át, mint a

9001, és a közösnek tűnő elemekben sem feltétlenül azonosak a követelmények, illetve az azonos követelmények a (korábban kevésbé szabályozott) KIR esetében sokszor jelentős változást jelentenek – figyelni kell a részletekre! ►Nagyon kevés ügyfél vállalta fel az első fecske (vagy inkább „kísérleti nyúl” ) szerepét – így a tapasztalatok még mindig korlátozottak



6

Eddig tapasztalt ügyfél megoldási módok – hogyan? előnyök-hátrányok ►A „Bátor Ügyfelek”: önálló feldolgozás, a szabvány

szavankénti átolvasása, értelmezése (+internetes tájékozódás, konferencia)  jelenlegi gyakorlattal való egybevetése, hiányok, lyukak pótlása, (benne a szabványban elvárt feljegyzések elkészítése):  Könnyen kimutatható (számlázott) költsége minimális (de nagy saját erőforrás-igény!); .  Ha hozzáértő emberek végzik, jól testre szabott, életszerű megoldások (de lehetőség a félreértelmezésre – sokszor nincs egyértelmű válasz a kérdésekre – a meglepetések elkerülése érdekében hasznos a “saját” tanúsító tájékoztatójára (is) elmenni)



7

Eddig tapasztalt ügyfél megoldási módok – hogyan? előnyök-hátrányok ► „Óvatos Ügyfelek”: tanácsadó bevonása

Kisebb a saját erőforrás igény (de ha mi nem veszünk részt, nem a mi rendszerünk lesz!)  Szakértelem, tapasztalat (ha sikeres volt a kiválasztás, és hozzáértő a tanácsadó…)  A látható költség nagyobb (ha spórolni akarunk a tanácsadó költségén, az valószínűleg az eredményt is rontja) 

► Akármelyik utat is választják, megkerülhetetlen lépések:

szabvány beszerzése, alapos áttanulmányozása, megértése;  A felső vezetőség bevonása, a szabványkövetelmények megismertetése velük is;  Kulcs emberek (rendszergazda, belső auditorok, kulcsfolyamatok gazdái) alapos, szakszerű kiképzése („önképző-kör” ritkán eredményes!);  Alapos belső audit folyamot előkészítése kivitelezése, - és dokumentálása 



8

Eddig tapasztalt ügyfél megoldási módok – fontosabb jellemzők ►A rendszer dokumentációt nem bolygatták meg nagyon, nem

dobtak ki működő eljárásokat (komoly munka, teljes rendszerátvizsgálást, frissítéseket igényel: hivatkozások, tartalomjegyzék, elosztások, stb.); ►végrehajtották a plusz feladatokat (de ezekre nem feltétlenül írtak eljárást), amiket megfelelő bizonyítékokkal be tudtak mutatni. ►Készítettek ugyan egy hiányos keresztreferencia táblázatot, amibe csak a régi/új szabványfejezet száma volt beírva, de ezen ők is nehezen igazodtak ki. ►Eredmény: az audit eredményes, de nehézkes volt, nem minden kérdésre tudtak egyből válaszolni  sok értékes idő elment – kevesebb érdemi megállapítás, „hozzáadott érték”. ►Tanulság: nem kell átírni, de egy használható, az ügyfél által alaposan ismert kereszt-hivatkozási táblát célszerű a rendszerbe tenni. © - Copyright Bureau Veritas


9

Eddig tapasztalt ügyfél megoldási módok – fontosabb jellemzők ►Mások: egy teljes felújításra  új integrált kézikönyv az új szabványok struktúrájában, rövid folyamat-leírás a bizonyítékok hivatkozása, web alapon  áttekinthető, logikus, jól használható (és jól auditálható is ), felhasználó-barát. ►Volt előaudit  néhány félreértést sikerült tisztázni

(kockázatelemzéssel, érdekelt felekkel kapcsolatban) – még időben, mielőtt félresiklott volna a dolog

►Tanulság: ha nem vesznek igénybe tanácsadót,

hasznos lehet egy előauditot kérni, tét nélkül…



10

A dokumentált információ kérdései A szabvány alkotói „elengedték a gyeplőt” – de nagy kérdés, mit, és hogyan dokumentáljunk? ►4.4.2.A szervezetnek a szükséges mértékig: a) dokumentált információt kell fenntartania folyamatai működésének támogatásához („eljárás”); b) dokumentált információt kell megőriznie, hogy megbizonyosodjon a folyamatok terv szerinti végrehajtásáról („feljegyzés”). ►8.1 A szervezetnek meg kell terveznie, be kell vezetnie és felügyelet alatt kell tartania … a folyamatokat … azáltal, hogy … meghatározza a kritériumokat a folyamatokra; megvalósítja a folyamatok felügyeletét összhangban a kritériumokkal; … megőrzi a szükséges mértékű dokumentált információt.., hogy biztos lehessen abban, hogy a folyamatokat terv szerint hajtották végre A jelölt részek elég egyértelműen továbbra is abba az irányba terelik a felhasználók többségét, hogy dokumentálja azt, hogy a folyamatait hogyan szeretné működtetni („terv”, „kritériumok”) © - Copyright Bureau Veritas


11

Dokumentált információ – a szükséges mérték ►A “szükséges mérték” megállapítása a szervezetre van

bízva – de az audit során bizonyítani kell a következetes, eredményes működést. A „ terv szerinti” végrehajtás bizonyításához nem árt, ha van egy „terv” is, amit mindenki egyformán ismer, vagyis pl. egyértelműen definiáltak és ismertek a folyamat céljai, a működési kritériumok, ki és hogyan ellenőrzi az azoknak való megfelelést, melyek a teljesítménymutatók, stb.



12

Dokumentált információ – megoldások ►Formalizált, kötött struktúrájú, sok fölös fejezetet tartal-

mazó, szakzsargonban fogalmazott eljárások helyett pl.:  folyamatábrák, be-és kimenetekkel (kapcsolva másik folyamathoz, szoftveres alapon), szabályozásokkal, kritériumokkal stb.;  “beszédes” formalap, ami végigvisz a folyamaton, és “kitöltve” egyúttal bizonyítja a folyamat megfelelő végrehajtását (pl munkalap/gyártási lap jelleggel)  a folyamatleírás lehet maga egy oktatási anyag is (ppt), amit használnak az új belépők oktatására – akár kötetlen struktúrában, de persze egyértelműen, és ellenőrzött „dokumentált információ”-ként.  Vagy bármi más, ami ésszerű, életszerű, összhangban van a vállalati gyakorlattal, a szektor jellegével – különben nem fog működni. © - Copyright Bureau Veritas


13

Dokumentált információ – megoldások ►Meglevő, működő dokumentumokat nem szabad „kidobni”:

A kézikönyv – bár a szabványok már nem teszik kötelezővé – továbbra is kiváló eszköz lehet egy vevő meggyőzéséhez, egy új belépő vagy az auditor tájékoztatásához: rövid bemutatkozás, az elkötelezettség demonstrálása (politika), a rendszer határainak kijelölésével (alkalmazási terület), a folyamatok vázolásával, hivatkozva az egyéb helyen fellelhető információra – eljárások, utasítások.  Viszont át kell gondolni őket, hogy a dokumentumok megfelelnek-e a plusz követelményeknek (pl. az adott folyamat kockázatait megfelelően kezelik? Az azonosított vevői/jogi/egyéb (érdekelt felek!) követelményeknek megfelel?) 



14

Alkalmazási terület (scope) ISO ###01:2015, 4.3 ►Ennek pontos megfogalmazása jellemzően gondot okoz. A pontos

megfogalmazás része kell, hogy legyen  a tevékenységek, termékek és szolgáltatások mellett  a területi hatály (azaz melyik telephelyre, és azokon milyen tevékenységi területre terjed ki, esetleg a vevő telephelyére, amennyiben a szolgáltatást ott nyújtják), és  hogy melyek a nem alkalmazható követelmények (korábban 1.2-ben “kizárás” most 4.3-ban ), megfelelő indoklással! ►Pl. a 7.1.5. (Megfigyeléshez és méréshez szükséges erőforrások) teljességében szinte sosem zárható ki, hiszen megfigyelést vagy mérést mindenki végez annak igazolására, hogy a Te&Szo.-k megfelelnek a követelményeknek. Ha nincs hiteles mérésre szükség, a 7.1.5.2 „kizárható” ►Az ISO 9002 arra is felhívja a figyelmet, hogy a nem alkalmazható követelmények jellemzően nem egy teljes fejezetet jelentenek, ilyenkor a fejezet minden egyes követelményét külön kell megfontolni, és kizárás esetén indokolni. © - Copyright Bureau Veritas


15

Alkalmazási terület (scope) ISO ###01:2015, 4.3 ► Az irányítási rendszer dokumentációban megfogalmazott scope

nem feltétlenül azonos azzal, ami a tanúsítványra kerül (jellemzően annál bővebb), és fontos elem, hogy a MIR alkalmazási területét dokumentált információként kell rendelkezésre bocsátani és fenntartani. A KIR szabvány még konkrétabb: “Az alkalmazási területet dokumentált információként kell fenntartani és az érdekelt felek rendelkezésére kell bocsátani.” Vagyis ennek megtagadása eltérést jelent – és nincs is korlátozva a lényeges érdekelt felekre!



16

Kockázatalapú gondolkodásmód ► A szervezetnek

meg kell határoznia a kockázatokat és lehetőségeket (K&L)  meg kell terveznie a K&L-el foglalkozó tevékenységeket;  Ki kell értékelnie a K&L-el kapcsolatban megtettek eredményességét ► Értelmezéshez fontos az A4 fejezet, pl: • „nincs követelmény szabályos kockázatkezelési módszerekre vagy egy dokumentált kockázatkezelési folyamatra;” • „a szervezet felelős azért, hogy alkalmazza a kockázatalapú gondolkodásmódot, és … hogy dokumentált információt őriznek-e meg bizonyítékként a kockázatok meghatározásáról.” ► Viszont a követelménynek való megfelelést bizonyítani kell az audit során, nehéz (lehetetlen?) ezt megtenni dokumentálás nélkül… ► Konklúzió: mivel a követelmények nem explicit módon vannak megfogalmazva, itt is az auditornak kell döntenie, hogy amit talált, az megfelel-e a szabványnak… 



17

Kockázatalapú gondolkodásmód ►ISO 31000 használata még ajánlás szintjén sem szerepel a

szabványban (tervezet szinten még benne volt), de az irodalomjegyzékben szerepel – az ügyfél visszajelzések szerint nem segített sokat. (ezt maga az ISO is elismerte, és az átdolgozás utan remélhetőleg több konkrétum lesz, ami a felhasználóknak több támpontot nyújt: http://bit.ly/2kjRM5A . Jelenleg DIS verziónál tart a 2015-ben kezdődött felülvizsgálat) ►A 9002 maga is javasol módszereket, és ajánlja az IEC/ISO 31010:2009 (MSZ EN 31010:2010) használatát a módszer kiválasztásához ►Ha van egy üzletmenet-folytonossági terv, arra a rendszer (különösen a 9001) nagymértékben tud támaszkodni.



18

Kockázatalapú gondolkodásmód auditálása ►Az auditor előzetesen tájékozódik az iparág/cég aktuális

kockázatairól, a nyitó értekezleten megbeszélik a változásokat (új termék, vevők, jogszabályok, technológia, tulajdonos, menedzsment, gazdasági környezet stb) és ezeken a „nyomokon” elindulva értékeli az audit során, hogy

a változásokból fakadó kockázatokat mennyire reálisan határozták meg,  az ezekkel kapcsolatos teendőket hogyan tervezték meg, és  ezek eredményeit hogyan értékelték ki (vezetőségi átvizsgálás). ►Időigényes „nyomozási” művelet, különösen, ha nincs erről összeszedett információ, és ha az ügyfél nem is érti, hogy mit is keresünk… 



19

Kockázatalapú gondolkodásmód auditálása ► A gyakorlatban sok bizonyítékát látjuk a kockázatkezelési folyama-

toknak („megelőző tevékenység”), de ez nem mindig tudatos, pl.:  preventív karbantartás – a kritikus, “szűk keresztmetszetet” képező gépek, berendezésekre koncentrálva;  tartalék alkatrészek készleten tartása ezekhez a berendezésekhez;  megrendelés alternatív beszállítóktól, a kiszolgáltatottság csökkentésére;  Alternatív energiaforrások – több oldalú betáp, UPS, aggregátor, gáz mellett olaj, stb.  potenciális partnerek pénzügyi átvilágítása szerződéskötés előtt  szolgáltatói szerződésekben (pl. kompresszor-, termelőeszközszerviz, internet, ) megjelenési/rendelkezésre állási idő kikötése  időjárás-előrejelzés/hírek figyelése: várható “hóhelyzet”, vihar, sztrájk, határzár stb. esetén válságstáb összeülése ► Érdemes tudatosítani, és a meglevő gyakorlatra támaszkodva bővíteni, teljesebbé tenni ezeket a folyamatokat – és a bizonyítékokat megőrizni, ezzel segíteni a „bizonyítási eljárást” (=auditot) © - Copyright Bureau Veritas


20

Kockázatkezelés - típushibák ►kockázatelemzéskor hajlamosak vagyunk nem az

„eredendő”, hanem a normálisnak gondolt állapotból kiindulni, ami már egy kezelt helyzet (pl. a dolgozó fején ott a fejvédő, van tartalék áramforrásunk, stb.). Ez már a „maradék kockázat” (MSZ 13073:2014, 4.8.1.6.) Ezzel könnyen elsiklunk afelett a tény felett, pl. sisak nélkül a dolgozó életveszélyben lenne / a tartalék áramellátás nélkül fontos adatokat veszítenénk el -> így a sisak hordása / a szünetmentes táp, aggregátor felügyelete kritikus pontja a szabályozásnak.



21

Kockázatkezelés - típushibák ► ISO 14001-nél hajlamosak lehetünk úgy értelmezni, hogy a K&L

automatikusan „ki van pipálva” a környezeti tényezők azonosításával és értékelésével de ez nem ilyen egyszerű:  A szervezetnek meg kell határoznia a K&L-t a környezeti tényezőkkel, a megfelelési kötelezettségekkel és a 4.1. és a 4.2. szakaszban meghatározott egyéb tényezőkkel és követelményekkel kapcsolatban (ezek a „szervezet és környezete” és az érdekelt felek)  A kockázatelemzésbe így pl. beletartozhat a gázstop miatt kényszerűségből végzett olaj- vagy szénalapú hőenergia-előállítás, egy, a területünkön dolgozó kivitelező, aki a telephelyünkön keletkezett (beazonosítható) hulladékot illegálisan rak(at)ja le, stb.  Vigyázat!! A 9001-gyel ellentétben itt „ a szervezetnek dokumentált információt kell fenntartania azokról a K&L-ről, amelyekkel foglalkozni kell; és a valamennyi 6.1. (A K&L-el kapcsolatos tevékenységek) fejezetben megkövetelt folyamatról a szükséges mértékig, hogy meglegyen a bizalom a folyamatok tervezett végrehajtása iránt” © - Copyright Bureau Veritas


22

Összefoglalás ► Aki áttekinthető rendszert és gördülékeny, sikeres auditot szeretne,

érdemes az alábbi lehetőségekkel élni:  az új szabványkövetelmények és a rendszerünk (pl. kézikönyv fejezet szám, nevesített folyamatábra, feljegyzés, számítógépes fájl, stb) közötti kapcsolat szemléltetése (pl. kereszthivatkozás táblázatban), különös tekintettel azokra a területekre, ahol az új szabványok egyértelűen dokumentált információt várnak el;  annak átgondolása és összegyűjtése, rendszerezése, hogy a szabványban a kötelelezően megkövetelt dokumentált információ milyen formában, hol található ► a rendszer kialakítása/átalakítása szempontjából kritikus pont és alapos előkészületet igényel az érdekelt felek és elvárásai azonosítása, a kockázatok és lehetőségek azonosítása, kiértékelése. Ha itt melléfognak, vagy ezek hiányosak, az komoly problémát okozhat. Javasolt első körben a lehető legalaposabban elvégezni az érdekelt felek, elvárásaik, és a kockázatok felmérését (és ennek bizonyítékait megőrizni), hogy utána a kockázatokat megismerve szűkíteni lehessen azt a kört, akivel tényleg foglalkozni akarunk © - Copyright Bureau Veritas


23

Összefoglalás ► Ha valaki túlságosan kihasználja a “nem-dokumentálás”

lehetőségét, annak komoly hátrányai lehetnek:  az audit bizonyítékokat több interjúval kell kiegészíteni – több a hibázási lehetőség, könnyebb ellentmondásba keveredni;  nagyobb a tere a szubjektív auditori megítélésnek;  a “bizonyíték vadászat” elhúzódása miatt a lényeges részekre kevesebb idő marad, kevesebb hozzáadott érték az audit során. ► Közös tanulási folyamat – mind a tanúsítónak, mind a tanúsítottnak újra kell tanulnia, értelmeznie a követelményeket – a közös cél az, hogy az audit során konszenzusra jussunk, és egy eredményes, a vevők és a környezet szempontjait a szabvány követelményeinek megfelelő módon figyelembe vevő, fejlődőképes rendszer működjön ► Az auditorok között a tapasztalatokat rendszeresen megosztjuk, és az eddig kiadott segédletet fejlesztjük – lehet, hogy az audit előkészületekbe bevonjuk az ügyfeleket is (előzetes önértékelés jelleggel, hogy segítse az auditot) © - Copyright Bureau Veritas


24

Összefoglalás ►Ha nem tudunk „egy nyelven beszélni” a cég meghatározó

munkatársaival, ha nem átlátható a rendszer, ha nem ismerik ki magukat a szabvány követelmények között, ha nem tudják, hogy milyen dokumentált információk kellenek és ezt hol találják meg, akkor az auditokra szánt idő nem értékes munkával telik az auditor részéről, „soványabb” lesz az auditjelentés információ tartalma, sekélyebb lesz a mintavétel, ezáltal kevesebb lesz az auditor által hozzáadott érték – nem viszi előre a céget az audit.



25

Ajánlott segítségek – (szubjektív) fontossági sorrendben

MSZ EN ISO 9000:2015 Minőségirányítási rendszerek. Alapok és szótár (ISO 9000:2015) ISO/TS 9002:2016 - Quality management systems -- Guidelines for the application of ISO 9001:2015 (az MSZT már napirendre vette az adaptációt, MSZ ISO/TS 9002 Minőségirányítási rendszerek. Irányelvek az ISO 9001:2015 alkalmazásához címen, céldátumról nincs információ, javasolt figyelni az MSZT honlapját) MSZ 13073:2014 (ISO Guide 73) Kockázatfelmérés és -kezelés. Szakszótár (a kockázatkezelési alapfogalmak tisztázására, erről a 9000ben szinte semmi nincs) MSZ ISO 31000:2015 Kockázatfelmérés és -kezelés. Alap- és irányelvek Az ISO szabvány felülvizsgálat alatt, DIS verziónál tart! MSZ EN 31010:2010 Kockázatkezelés. Kockázatfelmérési eljárások Az ISO szabvány felülvizsgálat alatt, CD verziónál tart! MSZ EN ISO 9004:2010 A szervezet tartós sikerének irányítása. Minőségirányítási megközelítés (ISO 9004:2009) Az ISO szabvány felülvizsgálat alatt, CD verziónál tart! © - Copyright Bureau Veritas


26

Köszönöm a figyelmet!


ISO 9001 és ISO 14001: a 2015-ös verziók változásainak kritikus pontjai, az eddigi auditok gyakorlati tapasztalatai

Recommend Documents