| Требование ГОСТ ISO 9001 |
|
Входные данные для анализа со стороны руководства должны включать следующую информацию: а) результаты аудитов (проверок); |
Организация должна иметь во входных данных (например: в отчете о функционировании СМК, в справках о результатах аудитов и т.п.) информацию о результатах аудитов (внутренних и внешних), проведенных в организации с момента проведения предыдущего анализа.
| Требование ГОСТ ISO 9001 |
|
б) обратную связь от потребителей; |
Организация должна иметь во входных данных (например: в отчете о функционировании СМК и т.п.) следующее:
— информацию от потребителей, включая официальные претензии и жалобы, включая претензии в период гарантийного срока;
— результаты мониторинга информации, касающейся восприятия потребителем выполнения организацией его требований (результаты анкетирования, данные от потребителей о качестве поставленной продукции, исследования мнений потребителей, результаты анализа уменьшения количества заказчиков, благодарности, отчеты распространителей и др.).
| Требование ГОСТ ISO 9001 |
|
в) функционирование процессов и соответствие продукции; |
Организация должна иметь во входных данных (например: в отчете о функционировании СМК):
— результаты анализа функционирования процессов СМК, например, информация о результативности процессов СМК организации, информация о выявленных тенденциях в изменениях показателей процессов во времени, основные причины не результативности процессов и т.д.);
— результаты проверки соответствия продукции, например, информация о количестве бракованной продукции за истекший период или её классификация по видам брака.
| Требование ГОСТ ISO 9001 |
|
г) статус предупреждающих и корректирующих действий; |
Организация должна иметь во входных данных (например: в отчете о функционировании СМК и т.п.):
— результаты выполнения и анализа предпринятых корректирующих мероприятий (сколько разработано, сколько из них реализовано, сколько результативно);
— результаты выполнения и анализа предпринятых предупреждающих мероприятий (сколько разработано, сколько из них реализовано, сколько результативно).
| Требование ГОСТ ISO 9001 |
|
д) последующие действия, вытекающие из предыдущих анализов со стороны руководства; |
Организация должна иметь во входных данных (например: в отчете о функционировании СМК и т.п.) результаты осуществления мероприятий, разработанных по результатам предыдущих анализов СМК (например, отчет о выполнении плана мероприятий).
| Требование ГОСТ ISO 9001 |
|
е) изменения, которые могли бы повлиять на систему менеджмента качества; |
Организация должна иметь во входных данных (например: в отчете о функционировании СМК и т.п.) информацию об изменениях, которые могли бы повлиять на СМК организации (например, изменение организационной структуры организации (реструктуризация), разработка новых процессов СМК, изменения в документации СМК, освоение новых направлений производственной деятельности организации и др.).
| Требование ГОСТ ISO 9001 |
|
ж) рекомендации по улучшению. |
Организация должна иметь во входных данных (например: в отчете о функционировании СМК и т.п.) рекомендации по улучшению (например, со стороны представителя руководства, со стороны подразделений организации (протоколы «Дней качества», протоколы собраний в подразделениях), предложения отдельных работников и др.).
Реализация данного пункта стандарта входит в состав услуг: «Разработка системы качества (СМК)», «Внедрение системы менеджмента качества», оказываемых Специализированным консалтинговым центром «Систус Консалт».
9. ОТВЕТСТВЕННОСТЬ РУКОВОДСТВА
9.4. Ответственность, полномочия и взаимосвязи
Это может быть генеральный директор или его заместитель. Подводный камень: назначают ответственного человека, не имеющего определенных полномочий.
Для эффективного функционирования системы менеджмента качества важны хорошие информационные связи (рис. 9.1). Руководство обеспечивает процесс обмена информацией, активно поощряет обратную связь с сотрудниками с целью улучшения деятельности организации, вовлекает их в достижение целей качества.
Рис. 9.1. Информационные связи системы менеджмента качества
Обмен информацией, как правило, включает: информирование, проводимое руководством на рабочих местах; совещания; использование доски объявлений;
обмен информацией по электронной почте и специально выделенным общим ресурсам сети;
web-сайт организации и другие средства информирования.
9.5. Анализсостороныруководства
Высшее руководство определяет методы измерения деятельности организации, чтобы установить, достигнуты ли запланированные цели и другие показатели успеха. Эти методы представляются в стандарте предприятия. Информация, полученная в результате таких измерений и оценок, рассматривается как входные данные для анализа со стороны руководства.
Анализ со стороны руководства – это процесс оценивания результативности и эффективности системы менеджмента качества высшим руководством с целью принятия решений, обеспечивающих ее пригодность и адекватность. Результаты анализа представляются в виде исходных данных при планировании улучшения деятельности организации.
|
Управление качеством. Электрон. учеб. пособие |
-153- |
9.ОТВЕТСТВЕННОСТЬ РУКОВОДСТВА
9.5.Анализ со стороны руководства
5.6.Анализ со стороны руководства
5.6.1. Общие положения
Высшее руководство должно через запланированные промежутки времени проводить анализ системы менеджмента качества для обеспечения уверенности в сохранении ее пригодности, адекватности и результативности. Этот анализ должен включать оценку возможностей для улучшений и необходимости изменений системы менеджмента качества, включая политику и цели в области качества.
Должны вестись и сохраняться записи об анализе со стороны руководства
(см. п. 4.2.4).
5.6.2. Входные данные для анализа
Входные данные для анализа со стороны руководства должны включать информацию:
a) о результатах аудитов;
б) обратной связи с потребителем; в) результатах функционирования процессов и степени соответствия продукции;
г) состоянии предупреждающих и корректирующих действий; д) результатах деятельности, являющихся следствием предыдущих анализов со
стороны руководства; е) изменениях, которые могут повлиять на систему менеджмента качества;
ж) рекомендациях по улучшению.
5.6.3. Выходные данные (результаты) анализа
Результаты анализа со стороны руководства должны включать все решения и действия, относящиеся:
a) к повышению результативности системы менеджмента качества и ее процес-
сов;
б) улучшению продукции с точки зрения требований потребителя; в) потребностям в ресурсах.
Проводить анализ системы менеджмента качества достаточно один раз в год. Если планируются или внедряются изменения в систему, то такой анализ надо проводить чаще.
Для того чтобы гарантировать полноту анализа всей системы менеджмента качества, необходимо учесть, что анализ должен охватывать следующие аспекты:
соответствие политики и целей в области качества современным нуждам организации;
функционирование системы менеджмента качества и достижение поставленных целей в области качества;
любые проблемы в области качества и действия по их разрешению; любые претензии потребителей; отчеты об аудите качества (как внутреннего, так и внешнего);
необходимые области изменений или усовершенствований; информацию обо всех мероприятиях, выполненных по результатам
предыдущих анализов.
Выявляя проблемы, относящиеся к перечисленным выше областям, и основываясь на результатах анализа, можно в дальнейшем разрабатывать и пересматривать стратегические бизнес-планы организации и планы дальнейших действий в области качества. Например, если внедрены усовершенство-
|
Управление качеством. Электрон. учеб. пособие |
-154- |
9.ОТВЕТСТВЕННОСТЬ РУКОВОДСТВА
9.5.Анализ со стороны руководства
вания и разрешены проблемы, то можно пересмотреть способы и глубину инспекционных проверок. Следует ответить на вопрос, сохраняют ли они свое значение или благодаря их модификации и внедрению других методов контроля можно сэкономить средства, поскольку устранены причины возникавших ранее проблем.
«Анализ со стороны руководства» и «аудит» – разные понятия. Это с очевидностью следует из того, что результаты аудита являются одним из объектов рассмотрения при анализе.
Методы анализа со стороны руководства должны соответствовать особенностям бизнеса и могут включать:
официальные совещания с повесткой дня, расписанием и документально оформленными планами мероприятий;
совещания в форме видеоконференций или с использованием внутренней компьютерной сети;
частные анализы, проводимые на различных уровнях внутри организации с последующими докладами высшему руководству, которое изучает соответствующие отчеты. В малом бизнесе этот анализ может быть частью ежегодного общего собрания, проведения которого требует закон;
отчеты о результатах анализа, сводящие все рассмотренные вопросы и запланированные мероприятия с датами выполнения. Эти отчеты могут составляться в форме, наиболее подходящей для данной организации, например в виде записей в дневнике, официально оформленных повестки дня и протокола. Отчеты составляют, распространяют и хранят на бумаге или на электронных носителях.
По результатам анализа могут вырабатываться и внедряться некоторые решения. Это не означает, что каждое такое решение должно относиться к одной из трех категорий, упомянутых в стандарте. Важно лишь определить, на сколько то или иное решение обосновано, имеются ли необходимые ресурсы для его проведения в жизнь и как оно должно быть реализовано.
Контрольныевопросы
1.Дайте определение понятию «высшее руководство».
2.Какие обязательства берет на себя высшее руководство в области ка-
чества?
3.Кто является заинтересованными сторонами организации?
4.Что такое политика в области качества?
5.На что направлена политика в области качества?
6.Дайте определение понятию «миссия организации».
7.Для чего используется политика в области качества?
8.Каким образом политика в области качества доводится до сведения персонала?
9.Для чего устанавливаются цели в области качества организации?
10.Что включается в цели в области качества?
|
Управление качеством. Электрон. учеб. пособие |
-155- |
9. ОТВЕТСТВЕННОСТЬ РУКОВОДСТВА
Контрольные вопросы
11.С какой целью в организации проводится планирование?
12.Какие информационные связи системы менеджмента качества устанавливаются?
13.Что такое анализ со стороны руководства?
14.Что является входными и выходными данными для анализа со стороны руководства?
15.Какие аспекты охватывает анализ со стороны руководства?
|
Управление качеством. Электрон. учеб. пособие |
-156- |
ГОСТ Р № 57580.3-2022 от 01.02.2023 «Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.»:
ОПР.19.5
ОПР.19.5 Обеспечение как минимум ежегодного контроля за деятельностью в части планирования, реализации, контроля и совершенствования системы управления риском реализации информационных угроз, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ Комплекса стандартов;
ОПР.8.5
ОПР.8.5 Участие совета директоров (наблюдательного совета) и коллегиального исполнительного органа финансовой организации в решении вопросов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации.
ОПР.8.4
ОПР.8.4 Систематический и проактивный подход в части противодействия возможным информационным угрозам;
ГОСТ Р № 22301 от 01.01.2022 «Надежность в технике. Системы менеджмента непрерывности деятельности. Требования»:
Р. 9 п. 3 пп. 3 ппп.1
9.3.3.1 Результаты анализа со стороны руководства должны включать решения, касающиеся возможностей постоянного улучшения и необходимости внесения изменений в СМНД для повышения ее результативности и эффективности, включая следующее:
- а) изменения в области применения СМНД;
- b) обновление анализа воздействий на деятельность, оценки риска, стратегий и решений и планов в области обеспечения непрерывности;
- с) изменение процедур и средств управления для реагирования на внутренние или внешние проблемы, воздействующие на СМНД;
- d) методы измерения результативности управления.
Р. 9 п. 3 пп. 1
9.3.1 Общие положения
Высшее руководство должно проверять СМНД организации через запланированные промежутки времени для обеспечения ее постоянной пригодности, адекватности и эффективности.
Р. 9 п. 3 пп. 3 ппп.2
9.3.3.2 Организация должна хранить документированную информацию в качестве объективных свидетельств результатов анализа со стороны руководства, включая:
- а) обмен информацией о результатах анализа со стороны руководства с заинтересованными сторонами;
- b) выполнение соответствующих действий в отношении полученных результатов.
Р. 9 п. 3 пп. 2
9.3.2 Входные данные для анализа со стороны руководства
Анализ со стороны руководства должен включать рассмотрение:
- а) статуса действий по результатам предыдущего анализа со стороны руководства;
- b) изменения во внешних и внутренних проблемах, которые имеют отношение к СМНД;
- с) информации о показателях работы СМНД, включая тенденции:
- 1) несоответствий и корректирующих действий;
- 2) результатов мониторинга и оценки измерений;
- 3) результатов аудита;
- d) отзывов заинтересованных сторон;
- е) необходимости изменений СМНД. включая политику и цели;
- f) процедур и ресурсов, которые можно использовать в организации для улучшения показателей результативности СМНД;
- g) информации, полученной на основе воздействий анализа на деятельность и оценки риска;
- h) результатов оценки документации и возможностей по обеспечению непрерывности деятельности (см. 8.6);
- i) риска или проблем, которые не были адекватно рассмотрены при предыдущей оценке риска;
- j) извлеченных уроков и действий, возникших в результате промахов и нарушения деятельности организации;
- к) возможностей постоянного улучшения.
NIST Cybersecurity Framework (RU):
PR.IP-7
PR.IP-7: Процессы защиты постоянно улучшаются
ID.RM-1
ID.RM-1: Процессы управления рисками установлены, управляются и согласованы заинтересованными сторонами организации
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 «Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта»:
9.3.1 Общие положения
9.3.1 Общие положения
Высшее руководство должно анализировать систему менеджмента информационной безопасности организации в запланированные интервалы времени с целью обеспечения ее (системы менеджмента информационной безопасности) непрерывной пригодности, адекватности и эффективности.
9.3.2 Входная информация анализа со стороны руководства
9.3.2 Входная информация анализа со стороны руководства
Анализ со стороны руководства должен включать в себя рассмотрение следующего:
- a) статус действий после предыдущего анализа со стороны руководства;
- b) изменения внешних и внутренних параметров, которые относятся к системе менеджмента информационной безопасности;
- с) изменения потребностей и ожиданий заинтересованных сторон, имеющих отношение к системе менеджмента информационной безопасности;
- f) обратную связь в отношении исполнения информационной безопасности, включая тенденции в:
- 1) несоответствиях и корректирующих действиях;
- 2) результатах мониторинга и оценки защищенности;
- 3) результатах аудита;
- 4) достижении целей информационной безопасности;
- d) обратную связи от заинтересованных сторон;
- e) результаты оценки рисков и статус плана обработки рисков;
- f) возможности для непрерывного улучшения
9.3.3 Результаты анализа со стороны руководства
9.3.3 Результаты анализа со стороны руководства
В результаты анализа со стороны руководства должны входить решения в отношении возможностей для непрерывного улучшения и любые потребности в изменениях системы менеджмента информационной безопасности.
Документированная информация должна быть доступна в качестве свидетельств достижения результатов анализа со стороны руководства.
Guideline for a healthy information system v.2.0 (EN):
38 STANDARD
/STANDARD
Carrying out regular audits (at least once per year) of the information system is essential as this makes it possible to correctly assess the effectiveness of measures implemented and their maintenance over time. These controls and audits are also able to measure the gaps that may remain between the theory and the practice.
They can be carried out by possible internal audit teams or by specialised external companies. Depending on the scope to test, technical and/or organisational audits will be carried out by the professionals called upon. These audits are especially necessary as the organization must comply with the regulations and legal obligations directly linked to its activities.
Following these audits, corrective actions must be identified, their application planned and monitoring points organised at regular intervals. For higher efficiency, indicators on the state of progress of the action plan may be integrated into the overview for the management.
Although security audits participate in the security of the information system by being able to show possible vulnerabilities, they are never proof of their absence and therefore do not negate the need for other control measures.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 «Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body»:
9.3.1 General
9.3.1 General
Top management shall review the organization’s information security management system at planned intervals to ensure its continuing suitability, adequacy and effectiveness.
9.3.2 Management review inputs
9.3.2 Management review inputs
The management review shall include consideration of:
- a) the status of actions from previous management reviews;
- b) changes in external and internal issues that are relevant to the information security management system;
- c) changes in needs and expectations of interested parties that are relevant to the information security management system;
- d) feedback on the information security performance, including trends in:
- 1) nonconformities and corrective actions;
- 2) monitoring and measurement results;
- 3) audit results;
- 4) fulfilment of information security objectives;
- e) feedback from interested parties;
- f) results of risk assessment and status of risk treatment plan;.
- g) opportunities for continual improvement
9.3.3 Management review results
9.3.3 Management review results
The results of the management review shall include decisions related to continual improvement opportunities and any needs for changes to the information security management system.
Documented information shall be available as evidence of the results of management reviews.
NIST Cybersecurity Framework (EN):
PR.IP-7
PR.IP-7: Protection processes are improved
ID.RM-1
ID.RM-1: Risk management processes are established, managed, and agreed to by organizational stakeholders
Входные данные анализа со стороны руководства прямо относятся к другим разделам ИСО 9001, включая анализ и оценку данных (см. 9.1.3). Входные данные должны использоваться для определения тенденций с целью принятия решений и выполнения действий, относящихся к системе менеджмента качества. Входные данные анализа со стороны руководства могут включать:
a) статус действий из предшествующих анализов со стороны руководства;
b) изменения во внешних и внутренних факторах (см. 4.1);
c) удовлетворенность потребителей и отзывы соответствующих заинтересованных сторон (см. 9.1.2);
d) цели в области качества (см. 6.2);
e) результаты деятельности процессов и соответствие продукции и услуг (см. 4.4 и 8.6);
f) несоответствия и корректирующие действия (см. 10.2);
g) результаты мониторинга и измерения (см. 9.1.1);
h) результаты аудитов (см. 9.2);
i) результаты деятельности внешних поставщиков (см. 8.4)
j) достаточность ресурсов (см. 7.1);
k) результативность предпринятых действий в отношении рисков и возможностей (см. 6.1);
l) возможности для улучшения (см. 10.1).
Организации могут включать дополнительные аспекты в анализ со стороны руководства (такие, как введение новой продукции, финансовые результаты или новые бизнес-возможности) для того, чтобы определить, достигает ли организация ее намеченных результатов. Это включает требования других разделов ИСО 9001 (таких, как 4.2), где существует требование по мониторингу и анализу информации.
ВХОДНЫЕ И ВЫХОДНЫЕ ДАННЫЕ АНАЛИЗА СО СТОРОНЫ РУКОВОДСТВА
Автор статьи: Международный аудитор, к.т.н. Биктимерова О.
Анализ системы менеджмента качества со стороны руководства – это деятельность высшего руководства, предпринимаемая для установления пригодности, адекватности и результативности СМБ и СМК, а также ее соответствия политике и стратегическим целям в области качества и безопасности (п 9.3 ISO 22000).
Периодичность проведения Анализа со стороны руководства устанавливается каждой компанией самостоятельно в зависимости от потребностей организации. Минимальная частота мониторинга в соответствии со стандартами ISO – ежегодно, BRC, IFS – ежеквартально (подробнее).
При анализе со стороны руководства обязательно должна учитываться и использоваться входящая информация п 9.3.2 ISO 22000):
- статуса действий по результатам предыдущих анализов;
- изменений во внешних и внутренних факторах, касающихся СМБПП, включая изменения в организации и ее среде (см 4.1 ISO 22000);
- информации о результатах деятельности и результативности СМБПП, включая тенденции, относящиеся к:
- результату(ам) деятельности по актуализации системы (см 4.4 и 10.3 ISO 22000);
- результатам мониторинга и измерения;
- анализу результатов верификационной деятельности в отношении ПОПМ и плана управления опасностями (см 8.8.2 ISO 22000);
- несоответствиям и корректирующим действиям;
- результатам аудитов (внутренних и внешних);
- инспекциям (например, со стороны контролирующих органов, покупателей);
- деятельности внешних поставщиков продукции и услуг;
- анализу рисков и возможностей, а также результативности предпринятых в их отношении действий (см.6.1 ISO 22000);
- степени достижения целей СМБПП;
- достаточности ресурсов;
- имевшим место чрезвычайным ситуациям, авариям (см 8.4.2 ISO 22000) или изъятиям/отзывам продукции (см.8.9.5 ISO 22000);
- релевантной информации, получаемой по каналам внешнего (см 7.4.2 ISO 22000) и внутреннего см 7.4.3 ISO 22000) обмена информацией, включая запросы и претензии от заинтересованных сторон;
- возможностям для постоянного улучшения.
Данные должны быть представлены в виде, который позволяет высшему руководству соотносить эту информацию с заявленными целями СМБПП.
Хотя, ответственность за анализ СМК и СМБ возлагается на высшее руководство, это совсем не означает, что в анализе принимают участие только высшие руководители. Любая организация имеет различные уровни управления – стратегический, тактический и оперативный. Если руководство организации хочет, чтобы система менеджмента была рабочей системой, а не инородным механизмом, то анализ системы менеджмента должен проводиться на всех уровнях управления. Соответственно, руководитель каждого уровня отвечает за проведение анализа, но только по своей зоне ответственности.
Анализ со стороны руководства — это регулярный и систематический мониторинг жизнедеятельности системы менеджмента, осуществляющийся руководством организации с целью проверки эффективности и результативности системы менеджмента за определённый период времени.
По результатам анализа со стороны руководства принимаются стратегические решения на следующий период (выходные данные анализа п 9.3.3. ISO 22000).
- решения и действия, относящиеся к возможностям для постоянного улучшения;
- необходимость в актуализациях и изменениях СМБПП, включая потребности в ресурсах и в пересмотре политики и целей СМБПП.
Для каждого уровня управления эти решения могут быть выражены по-разному, в различных действиях. Форма представления решений также может быть разной. В частности, для стратегического уровня, решения могут оформляться в виде протокола, а для оперативного уровня может оказаться достаточным ведения записей в личном дневнике руководителя.
Организация должна СОХРАНЯТЬ документированную информацию в качестве свидетельств результатов анализов со стороны руководства.
Подписывайтесь на наш Телеграмм канал и получайте скидки на обучения, узнавайте первыми о новостях и анонсах компании и читайте актуальные и интересные новости в мире пищевого производства.
Задайте вопрос нашему эксперту бесплатно. Специалист ответит на него в рубрике Вопрос-Ответ в социальной сети Вконтакте и на сайте.