Сегодня мы поговорим о такой важной вещи, как аудит поставщиков, он же - аудит второй стороны.
Многие в этих "сторонах" аудита путаются, давайте внесем ясность.
Аудит первой стороны - это аудит, которая Организация-поставщик делает сама внутри себя чтобы убедиться, что она соблюдает принятые на себя обязательства, требования и т.д.
То есть, аудит первой стороны - это внутренний аудит, о котором мы уже говорили вот в этой статье:
Вероятно, нужно будет более расширенно про него поговорить в этом блоге - так что задавайте вопросы, постараюсь ответить на них.
Аудит второй стороны - это аудит, который проводит Организация, заинтересованная в получении поставок товаров, работ, услуг в Организации-поставщике.
То есть, это как раз наш случай сегодня.
Ну до кучи.
Аудит третьей стороны - это независимая ни от поставщика, ни от потребителя, оценка способности поставщика выполнять взятые на себя обязательства. То есть, аудит третьей стороны - это когда вы нанимаете эксперта со стороны и просите его оценить вас. Сертификация СМК - это вот прям оно самое.
Итак, приступим. Тема не слишком долгая, постараюсь кратко.
Почему нам нужно знать об аудите второй стороны?
Во-первых, это очень мощный инструмент оценки ваших поставщиков. Ведь дурить голову вам удобнее на расстоянии, а не когда Вы у них на территории, не так ли?
Оценка деятельности поставщиков зачастую является частью процедуры квалификации поставщика для допуска его к участию в Ваших закупках.
Кроме того, если Вы работаете в сфере ГОЗ, то не забываем про то, что есть требование ГОСТ РВ 0015-002-2020:
8.4.1.4 Организация должна устанавливать требования к внешним поставщикам продукции (работ, услуг) на всех уровнях кооперации, в том числе:
...
б) по возможности проведения организацией аудита СМК внешних поставщиков, которым переданы процессы, в том числе назначенных заказчиком...
В общем, если Вы являетесь потребителем продукции или услуг, которые могут оказать существенное влияние на результаты Вашей деятельности, то обратите внимание на такой инструмент снижения собственных рисков, как аудит поставщика.
Как это влияет на риски?
А самым прямым образом. Допустим, Вам чтобы выпускать булки нужна мука.
Первый вариант развития сюжета - Вы работаете там, где есть миллион поставщиков муки. Зачем нам организовывать проверку каждого поставщика, если у нас есть возможность чуть что его сменить? Не надо. Хотя и можно, просто затратно это.
Второй вариант развития сюжета - Вы работаете там, где муку в логистически приемлемых условиях делают две мельницы. Вот тут Вам бы и определиться, с какой из них сотрудничать на долговременной основе. Аудит Вам в помощь.
Узнавая как работает Ваш поставщик, Вы снижаете риски получения некачественного сырья на входе своего производства, тем самым снижаете риски получения никому не нужного брака у себя на выходе.
Надеюсь, это просто и легко для понимания.
Цель аудита поставщика - это убедиться в том, что система управления организации-контрагента устроена так, что позволяет и (в идеале) гарантирует поставку продукции (товаров, работ, услуг) должного качества и в установленные контрактом сроки. Особенно, когда данные поставки являются для Вашей Организации критичными и их нелегко заменить чем-то другим.
Ну, а если вы в сфере ГОЗ - то аудит поставщика это уже требование, которое нужно выполнять.
Как организовать аудит второй стороны.
А теперь перейдем к практике.
Лирические отступление. В моем отделе инженер по качеству сам оплатил себе курс по внутреннему аудиту в уважаемой московской конторе. Неделю удаленно слушал бубнеж лектора, который ни слова почти из практики не привел, так потом и на заключительный экзамен дал выжимки из ГОСТ Р ИСО 19011.. Просто и тупо.
Вот поэтому я свой блог и веду, чтобы объяснить, не ЧТО надо делать - это в стандартах написано, а КАК это все реализовать.
Ну да бог с ним, продолжим. Итак, что нам говорит ГОСТ РВ 0015-002-2020?
8.4.1.4 Организация должна устанавливать требования к внешним поставщикам продукции (работ, услуг) на всех уровнях кооперации...
Что значит устанавливать требования? Да очень просто. Запускаете закупку? В техзадание, в раздел "критерии соответствия поставщика" загоняете эти требования. Просто пишете, что "поставщик должен..." и рассказываете что Вам от него нужно кроме поставки продукции (работ, услуг).
Вот про "на всех уровнях кооперации" - тут да, сложно. Я не думаю, что военные сами себе отчет давали, когда такое писали. Простой пример:
Вам надо купить кусок алюминия. Алюминий надо произвести, а для этого надо иметь бокситы и электричество с графитовыми анодами. Бокситы надо добывать, как и графит, потом перерабатывать минералы в обогащенный материал, который к Вам поступит. Руду копает экскаватор HITACHI... и т.д.
Если читать букву стандарта, то и Хитачи и ГЭС и вся цепочка должна быть сертифицирована по РВ 0015-002.. Ну бредом пахнет. Но вот так написано, и что такое "уровни кооперации" - можно лишь догадываться. Как ни кооперируйся, а все равно до руды и экскаватора дойдешь.... Они же не пишут про кооперацию головного исполнителя...
Ну да бог с ним, нас сейчас интересует продолжение ГОСТ РВ 0015-002-2020:
б) по возможности проведения организацией аудита СМК внешних поставщиков, которым переданы процессы, в том числе назначенных заказчиком;
То есть, мы должны как минимум, к прямому поставщику установить требование по возможности проведения аудита второй стороны.
А тут как раз все просто.
Во-первых, мы закладываем такую возможность в закупочную документацию и проект договора с поставщиком. Прямо так в лоб и пишем: "Заказчик (мы) имеет право провести аудит СМК Поставщика (вас) в любой момент действия договора (либо до заключения договора, если речь идет о совсем критических вещах, например)".
Во-вторых, следим, чтобы эта формулировка не исчезла из финальной версии договора, который идет сторонам на подпись. Либо чтобы договор не заключался до момента оформления результатов аудита поставщика.
Осталось только продумать механизм реализации этого права.
Проведение аудита второй стороны
Я опробовал и рекомендую следующий порядок действий.
Primo. Мы планируем провести аудит поставщика. Пишем ему письмо со ссылкой на пункт договора. Мол, в соответствии с пунктом таким-то договора (технического задания на закупку) мы планируем направить к Вам нашу стаю товарищей для проведения аудита Ваших процессов, влияющих на возможность выполнения Ваших обязательств перед нами.
Secundo. Получаем ответное письмо о готовности принять наших людей, согласовываем сроки, порядок допуска людей на территорию поставщика, объем проверки и т.д. ВАЖНО - про объем проверки будет ниже.
Ad tertium. Направляем людей, те там работают, делают отчет.
Quartum. Отчет направляется руководству нашей Организации, в копии - поставщику.
Denique. Либо все хорошо, поставщик нам подходит, либо... А тут снова ветвление.
Первый вариант - мы отказываемся от сотрудничества с поставщиком, если он не может обеспечить нашу уверенность в стабильности требуемого качества поставок.
Второй вариант - поставщик клянется что исправится, дайте время. Ок, приедем с повторным аудитом когда будете готовы. Если нам Вы еще будете интересны в принципе.
Третий вариант - выкупаем Организацию поставщика (ну или иным способом завладеваем ей), наводим там свои порядки, включаем в свой холдинг....
Впрочем, это все нам уже не интересно, там решения принимает руководство на основе наших данных.
А интересно вот что.
А что мы можем проверять в рамках аудита СМК второй стороны?
Это та самая тонкость, про которую нигде не говорят.
Вы же подумали, что, придя на аудит поставщика, Вы пойдете смотреть как у него конвейер работает, да при какой температуре, например, резина в формы льется? А вот нет. Вы что, технолог резинового литья? Вы аудиторы СМК, а не исполнители технического аудита, поэтому Ваш круг интересов весьма узок.
Вы имеете право проверить только бизнес-процессы, да и то только те, которые непосредственно влияют на тот выход Организации-поставщика, который идет на вход Вашей Организации.
Пример.
Вы заказываете резиновые манжеты для валопроводов судов. Значит вы проверяете у поставщика процедуры:
- входного контроля сырья;
- разработки, утверждения конструкторской документации на пресс-формы для манжет Вашей номенклатуры;
- приемки продукции по качеству;
- рекламационной работы.
Конечно же, проверяете наличие разрешительной документации на производство продукции, которую собираетесь закупать.
Вот практически и все. И заметьте:
не технологические документы и ход техпроцесса, а процедуры и их выполнение.
Для проведения технического аудита есть другие люди.
Вы же проверяете организацию работы поставщика, чтобы быть уверенными, что если придется направить ему рекламацию, то у Вас будет понимание как она будет у него проходить, и кто за что отвечает.
Производственников вообще бесит когда внешний аудит СМК лезет в технологию производства. СМК - это организация работы, а не градусы Цельсия или метры в минуту снимаемой с заготовки стружки.
Хотя никто не мешает Вам включить в состав группы аудита технических экспертов от своей Организации, которым нужно поставить соответствующие задачи в программе аудита.
А общие принципы проведения самого аудита ничем не отличаются от внутреннего аудита, если Вы его делаете честно.
UPD. Благодарю коллег из чата за дополнения к статье. Ссылка на чат - ниже.
