СПРАВКА
Источник публикации
М.: ФГБУ "Институт стандартизации", 2025
Примечание к документу
Документ вводится в действие с 01.09.2025.
Взамен ГОСТ Р ИСО/МЭК 17021-1-2017.
Название документа
"ГОСТ Р ИСО/МЭК 17021-1-2025. Национальный стандарт Российской Федерации. Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 1. Требования"
(утв. и введен в действие Приказом Росстандарта от 01.04.2025 N 233-ст)
"ГОСТ Р ИСО/МЭК 17021-1-2025. Национальный стандарт Российской Федерации. Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 1. Требования"
(утв. и введен в действие Приказом Росстандарта от 01.04.2025 N 233-ст)
Содержание
Приказом Федерального
агентства по техническому
регулированию и метрологии
от 1 апреля 2025 г. N 233-ст
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ОЦЕНКА СООТВЕТСТВИЯ
ТРЕБОВАНИЯ К ОРГАНАМ, ПРОВОДЯЩИМ АУДИТ
И СЕРТИФИКАЦИЮ СИСТЕМ МЕНЕДЖМЕНТА
ЧАСТЬ 1
ТРЕБОВАНИЯ
Conformity assessment. Requirements for bodies providing
audit and certification of management systems.
Part 1. Requirements
(ISO/IEC 17021-1:2015, IDT)
ГОСТ Р ИСО/МЭК 17021-1-2025
ОКС 03.120.20
Дата введения
1 сентября 2025 года
1 ПОДГОТОВЛЕН Ассоциацией по техническому регулированию "АССТР" (АССТР) на основе официального перевода на русский язык англоязычной версии указанного в пункте 4 стандарта
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 079 "Оценка соответствия"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 1 апреля 2025 г. N 233-ст
4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 17021-1:2015 "Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 1. Требования" (ISO/IEC 17021-1:2015 Conformity assessment - Requirements for bodies providing audit and certification of management systems - Part 1: Requirement", IDT).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные и межгосударственные стандарты, сведения о которых приведены в дополнительном приложении ДА
5 ВЗАМЕН ГОСТ Р ИСО/МЭК 17021-1-2017
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)
Сертификация системы менеджмента, такой как система экологического менеджмента, система менеджмента качества или система менеджмента информационной безопасности организации, является одним из средств обеспечения уверенности в том, что организация внедрила систему менеджмента соответствующей деятельности, продукции и услуг в соответствии с политикой организации и требованиями соответствующего стандарта на систему менеджмента.
Данная часть ИСО/МЭК 17021 устанавливает требования к органам, проводящим аудит и сертификацию систем менеджмента. В ней приведены общие требования к органам, осуществляющим аудит и сертификацию в области качества, окружающей среды и других видов систем менеджмента. Такие органы называются в данном стандарте органами по сертификации. Соблюдение этих требований призвано обеспечить, чтобы органы по сертификации проводили сертификацию систем менеджмента компетентным, последовательным и беспристрастным образом, тем самым способствуя признанию таких органов и принятию выданных ими сертификатов на национальном и международном уровнях. Данная часть ИСО/МЭК 17021 является основой для содействия в признании результатов сертификации систем менеджмента в интересах международной торговли.
Сертификация систем менеджмента обеспечивает независимое свидетельство того, что система менеджмента организации:
a) соответствует установленным требованиям;
b) позволяет последовательно реализовывать принятую политику и достигать поставленных целей;
c) внедрена результативно.
Оценка соответствия, такая как сертификация системы менеджмента, тем самым обеспечивает получение выгоды для организации, ее заказчиков и заинтересованных сторон.
В разделе 4 описаны принципы, на которых основывается заслуживающая доверия сертификация. Эти принципы помогают пользователю понять суть сертификации и являются необходимыми предпосылками к разделам 5 - 10. Эти принципы поддерживают требования данной части ИСО/МЭК 17021, но по своему характеру не являются требованиями, используемыми при сертификации. Раздел 10 описывает два альтернативных способа поддержки и демонстрации последовательного выполнения требований данной части ИСО/МЭК 17021 путем создания системы менеджмента органом по сертификации.
Деятельность по сертификации является совокупностью отдельных видов деятельности, составляющих весь процесс сертификации, от рассмотрения заявки до прекращения сертификации. В приложении E содержатся иллюстрации того, как многие из этих видов деятельности могут взаимодействовать между собой.
Деятельность по сертификации включает в себя проведение аудита системы менеджмента организации. Формой подтверждения соответствия системы менеджмента организации конкретному стандарту на систему менеджмента или другим нормативным требованиям обычно является документ о сертификации или сертификат.
Данная часть ИСО/МЭК 17021 применима для проведения аудитов и сертификации всех типов систем менеджмента. При этом, следует учитывать, что некоторые из требований, в частности те, которые касаются компетентности аудитора, могут дополняться критериями для того, чтобы удовлетворить ожидания заинтересованных сторон.
В данной части ИСО/МЭК 17021 используются следующие формы глаголов:
- "должен", означает требование;
- "следует", означает рекомендацию;
- "мог бы", означает разрешение;
- "может", означает возможность или способность.
Более подробную информацию см. в Директивах ИСО/МЭК, часть 2.
Настоящий стандарт содержит принципы и требования, относящиеся к компетентности, последовательности действий и беспристрастности органов, проводящих аудит и сертификацию всех типов систем менеджмента.
Органы по сертификации, действующие в соответствии с этим стандартом, не обязаны проводить сертификацию всех видов систем менеджмента.
Сертификация систем менеджмента является деятельностью по оценке соответствия, проводимой третьей стороной (см. ИСО/МЭК 17000:2004 <1>, пункт 5.5), и поэтому органы, осуществляющие эту деятельность, являются органами по оценке соответствия третьей стороной.
Примечания
1 Примерами систем менеджмента являются системы экологического менеджмента, системы менеджмента качества, системы менеджмента информационной безопасности.
2 В настоящем стандарте сертификация систем менеджмента называется сертификация, а органы по оценке соответствия третьей стороной - органы по сертификации.
3 Органы по сертификации могут быть негосударственными или государственными (как с полномочиями регулирующих органов, так и без них).
4 Настоящий стандарт может быть использован в качестве документа, содержащего критерии для аккредитации, экспертной оценки или для других процессов аудита.
--------------------------------
В настоящем стандарте использованы нормативные ссылки на следующие стандарты [для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения)]:
ISO 9000, Quality management systems - Fundamentals and vocabulary (Системы менеджмента качества. Основные положения и словарь)
ISO/IEC 17000, Conformity assessment - Vocabulary and general principles (Оценка соответствия. Словарь и общие принципы)
В настоящем стандарте применены термины по ИСО 9000, ИСО/МЭК 17000, а также следующие термины с соответствующими определениями:
3.1 сертифицированный заказчик (certified client): Организация, чья система менеджмента была сертифицирована.
3.2 беспристрастность (impartiality): Наличие объективности.
Примечания
1 Объективность означает, что конфликты интересов отсутствуют или разрешены таким образом, чтобы не оказывать негативного влияния на последующую деятельность органа по сертификации.
2 Другими терминами, передающими суть элемента беспристрастности, являются "независимость", "отсутствие конфликта интересов", "отсутствие предвзятости", "отсутствие предубеждений", "нейтралитет", "справедливость", "открытость", "равные отношения", "отстраненность", "уравновешенность".
3.3 консультирование по вопросам систем менеджмента (management system consultancy): Участие в разработке, внедрении или поддержании системы менеджмента.
Примеры
1 Подготовка или разработка руководств или процедур.
2 Предоставление конкретных советов, инструкций или решений по разработке и внедрению системы менеджмента.
Примечания
1 Организация обучения и участие в нем в качестве преподавателя не считается консультированием, при условии, если курс относится к системам менеджмента или к аудиту, то он ограничивается представлением общей информации, т.е. преподаватель не должен предлагать решения, ориентированные на конкретного заказчика.
2 Предоставление общей информации, но не решений по улучшению процессов или систем для конкретного заказчика, не считается консультированием. Такая информация может включать:
- объяснение значения и целей критериев, используемых для сертификации;
- выявление возможностей для улучшения;
- объяснение соответствующих теорий, методологий, технических приемов или методов;
- обмен неконфиденциальной информацией о наилучших практиках;
- другие аспекты менеджмента, которые не затрагивают систему менеджмента, подлежащую аудиту.
3.4 сертификационный аудит (certification audit): Аудит, проводимый организацией, независимой от заказчика и сторон, которые полагаются на сертификацию, в целях сертификации системы менеджмента заказчика.
Примечания
1 В последующих определениях термин "аудит" использован для обозначения сертификационного аудита, проводимого третьей стороной.
2 Сертификационные аудиты включают в себя первоначальный, инспекционные, ресертификационный (повторный) аудиты, а также могут включать специальные аудиты.
3 Сертификационные аудиты, как правило, проводятся аудиторскими группами тех органов, которые проводят сертификацию соответствия требованиям стандартов на системы менеджмента.
4 Совместным аудитом является аудит, при котором две или более организаций объединяются для проведения аудита одного и того же заказчика.
5 Комбинированным аудитом является аудит, в ходе которого у заказчика проводится аудит на соответствие требованиям двух или более стандартов на системы менеджмента одновременно.
6 Комплексным аудитом является аудит, когда заказчик интегрировал применение требований двух или более стандартов на системы менеджмента в единую систему менеджмента и эта система подвергается аудиту на соответствие требованиям более, чем одного стандарта.
3.5 заказчик (client): Организация, чья система менеджмента подвергается аудиту в целях ее сертификации.
3.6 аудитор (auditor): Лицо, проводящее аудит.
3.7 компетентность (competence): Способность применить знания и навыки для достижения намеченных результатов.
3.8 сопровождающий (guide): Лицо, назначенное заказчиком оказывать помощь аудиторской группе.
3.9 наблюдатель (observer): Лицо, сопровождающее аудиторскую группу, но не проводящее аудит.
3.10 техническая область (technical area): Область, характеризуемая общностью процессов, относящихся к конкретному типу системы менеджмента и намеченным ею результатам.
Примечание - См. примечание к 7.1.2.
3.12 значительное несоответствие (major nonconformity): Несоответствие (3.11), которое влияет на способность системы менеджмента достигать намеченных результатов.
Примечание - Несоответствия могут быть классифицированы как значительные в следующих случаях:
- если есть сомнения в том, что существует результативное управление процессом, или что продукция или услуги будут соответствовать установленным требованиям;
- ряд незначительных несоответствий, связанных с одним и тем же требованием или вопросом, может свидетельствовать о системном сбое и таким образом представлять собой значительное несоответствие.
3.13 незначительное несоответствие (minor nonconformity): Несоответствие (3.11), которое не влияет на способность системы менеджмента достигать намеченных результатов.
3.14 технический эксперт (technical expert): Лицо, предоставляющее аудиторской группе специальные знания или опыт.
Примечание - Специальными знаниями или опытом являются те, которые относятся к организации, процессу или деятельности, подлежащим аудиту.
3.15 схема сертификации (certification scheme): Система оценки соответствия, относящаяся к системам менеджмента, к которым применяются одни и те же требования, специальные правила и процедуры.
3.16 продолжительность аудита (audit time): Время, необходимое для планирования и проведения полного и результативного аудита системы менеджмента заказчика.
3.17 продолжительность сертификационных аудитов систем менеджмента (duration of management system certification audits): Часть времени аудита (3.16), затраченного на проведение аудита, начиная со вступительного совещания и заканчивая заключительным совещанием включительно.
Примечание - Деятельность по аудиту обычно включает:
- проведение вступительного совещания;
- проведение анализа документов в ходе аудита;
- обмен информацией в ходе аудита;
- распределение ролей и обязанностей сопровождающих лиц и наблюдателей;
- сбор и верификацию информации;
- формирование выводов аудита;
- подготовку заключений аудита;
- проведение заключительного совещания.
4.1.1 Принципы, описанные в данном разделе, создают основу для последующей конкретной деятельности и представления о требованиях настоящего стандарта. Настоящий стандарт не содержит конкретных требований для всех ситуаций, которые могут возникнуть. Эти принципы следует применять в качестве руководства для принятия решений, которые возможно потребуется принять в непредвиденных ситуациях. Принципы не являются требованиями.
4.1.2 Общая цель сертификации - создать у всех сторон уверенность в том, что система менеджмента соответствует установленным требованиям. Ценность сертификации - степень общественного доверия, которое устанавливают путем беспристрастной и компетентной оценки, проведенной третьей стороной. Стороны, заинтересованные в сертификации, включают, но не ограничиваются ими:
a) заказчиков органов по сертификации;
b) потребителей организаций, чьи системы менеджмента сертифицированы;
c) государственные органы власти;
d) неправительственные организации;
e) потребителей и других представителей общественности.
4.1.3 К принципам, обеспечивающим доверие, относятся:
- беспристрастность;
- компетентность;
- ответственность;
- открытость;
- конфиденциальность;
- реагирование на жалобы;
- подход, основанный на оценке рисков.
Примечание - Настоящий стандарт устанавливает принципы сертификации в разделе 4; соответствующие принципы, относящиеся к аудиту, можно найти в разделе 4 ИСО 19011:2011.
4.2.1 Органу по сертификации необходимо быть беспристрастным и восприниматься таковым для проведения сертификации, обеспечивающей доверие. Важно, чтобы весь персонал - как внутренний, так и внешний - осознавал необходимость обеспечения беспристрастности.
4.2.2 Признается, что источником дохода для органа по сертификации является его заказчик, оплачивающий сертификацию, что является потенциальной угрозой беспристрастности.
4.2.3 Для приобретения и сохранения доверия существенно важно, чтобы решения органа по сертификации были основаны на объективных свидетельствах соответствия (или несоответствия), полученных органом по сертификации, и чтобы на эти решения не влияли другие интересы или другие стороны.
4.2.4 Угрозами беспристрастности могут быть (но не ограничиваются только этим):
a) собственный интерес: угрозы, возникающие в случае, когда лицо или орган действуют в своих собственных интересах. В отношении сертификации угрозами для беспристрастности являются собственные финансовые интересы;
b) самооценка: угрозы, возникающие в случае, когда лицо или орган проверяет свою собственную работу. Проведение аудита системы менеджмента заказчика, которому орган по сертификации предоставлял консультации по системам менеджмента, является угрозой беспристрастности, вызванной проведением самооценки;
c) приятельские, дружеские отношения (или доверие): угрозы, возникающие в случае, когда лицо или орган находятся в тесных приятельских, дружеских отношениях с другим лицом или доверяют ему вместо того, чтобы опираться на свидетельства аудита;
d) запугивание: угрозы, возникающие в связи с тем, что у лица или органа возникает ощущение открытого или скрытого давления, например посредством угрозы отстранения от работы или жалобы руководству.
4.3.1 Компетентность персонала органа по сертификации при осуществлении всех функций, связанных с деятельностью по сертификации, необходима для проведения сертификации, обеспечивающей доверие.
4.3.2 Компетентность необходимо поддерживать системой менеджмента органа по сертификации.
4.3.3 Ключевой задачей для руководства органа по сертификации является наличие внедренного процесса для установления критериев компетентности персонала, участвующего в аудите и других видах деятельности по сертификации, а также проведение оценки по этим критериям.
4.4.1 Ответственность за постоянное достижение намеченных результатов от применения стандарта на систему менеджмента и за соблюдение требований сертификации несет сертифицированный заказчик, а не орган по сертификации.
4.4.2 Орган по сертификации несет ответственность за оценку достаточности объективных свидетельств, на основе которых принимается решение о сертификации. На основании выводов аудита он принимает решение о выдаче сертификата, если имеются достаточные свидетельства соответствия, или об отказе в выдаче сертификата, если нет достаточных свидетельств соответствия.
Примечание - Любой аудит основан на выборочном анализе системы менеджмента организации, поэтому не является гарантией 100%-ного соответствия требованиям.
4.5.1 Органу по сертификации необходимо обеспечить доступ или своевременно раскрыть соответствующую информацию о процессе аудита и процессе сертификации, а также о статусе сертификации (т.е. о выдаче, подтверждении сертификации, расширении или сокращении области сертификации, обновлении, приостановлении, возобновлении или прекращении сертификации) любой организации, для того чтобы обеспечить доверие к полноте и надежности сертификации. Открытость - это принцип доступа к соответствующей информации или ее раскрытия.
4.5.2 Чтобы завоевать и сохранить доверие к сертификации, органу по сертификации следует обеспечить надлежащий доступ к неконфиденциальной информации о результатах конкретных аудитов (например, аудитов, проводимых в ответ на жалобы) или раскрытие такой информации конкретным заинтересованным сторонам.
Чтобы получить доступ к конфиденциальной информации, необходимой органу по сертификации для проведения оценки соответствия сертификационным требованиям, важно, чтобы орган по сертификации не разглашал какую-либо конфиденциальную информацию.
Стороны, которые полагаются на сертификацию, ожидают, что их жалобы будут рассмотрены и, в случае признания их обоснованными, должны быть уверены, что орган по сертификации предпримет все разумные меры для их разрешения. Результативное реагирование на жалобы является важным средством защиты органа по сертификации, его заказчиков и других пользователей результатами сертификации от ошибок, упущений или неразумного поведения. Доверие к деятельности по сертификации повышается при надлежащем рассмотрении жалоб.
Примечание - Соответствующий баланс между принципами открытости и конфиденциальности, включая реагирование на жалобы, необходим для демонстрации всем пользователям сертификации ее объективности и достоверности.
Органам по сертификации необходимо учитывать риски, связанные с проведением сертификации компетентным, последовательным и беспристрастным образом. Риски могут быть связаны (но не ограничиваться только этим) с:
- целями аудита;
- выборкой, используемой в процессе аудита;
- фактической или воспринимаемой беспристрастностью;
- правовыми, нормативными вопросами и вопросами ответственности;
- организацией-заказчиком и условиями ее деятельности;
- влиянием аудита на заказчика и его деятельность;
- здоровьем и безопасностью аудиторских групп;
- восприятиями заинтересованных сторон;
- вводящими в заблуждение заявлениями сертифицируемого заказчика;
- использованием знаков.
Орган по сертификации должен быть юридическим лицом или определенной частью юридического лица, чтобы он мог нести юридическую ответственность за всю свою деятельность по сертификации. Государственный орган по сертификации рассматривается в качестве юридического лица на основе его государственного статуса.
Орган по сертификации должен заключить с каждым заказчиком имеющее юридическую силу соглашение на проведение работ по сертификации в соответствии с требованиями настоящего стандарта. Кроме того, при наличии нескольких отделений у органа по сертификации или нескольких площадок заказчика, орган по сертификации должен обеспечить наличие имеющего юридическую силу соглашения между органом по сертификации, проводящим сертификацию, и заказчиком, действие которого распространяется на все площадки, подлежащие сертификации.
Примечание - Соглашение может быть достигнуто на основании нескольких соглашений, которые ссылаются друг на друга или иным образом связаны между собой.
Орган по сертификации несет ответственность за все решения о сертификации, включая решения о выдаче, отказе в выдаче, подтверждении сертификации, расширении или сокращении области сертификации, обновлении, приостановлении, возобновлении или прекращении сертификации, и сохраняет за собой право принимать такие решения.
5.2.1 Деятельность по оценке соответствия должна осуществляться беспристрастно. Орган по сертификации должен нести ответственность за беспристрастность своей деятельности по оценке соответствия и не должен допускать, чтобы коммерческое, финансовое или иное давление ставило под угрозу его беспристрастность.
5.2.2 Орган по сертификации должен иметь обязательство высшего руководства о беспристрастности при проведении работ по сертификации систем менеджмента. Орган по сертификации должен иметь политику, в которой он заявляет о том, что понимает важность беспристрастности при проведении работ по сертификации систем менеджмента, управляет ситуациями, связанными с конфликтом интересов, и гарантирует объективность своих действий по сертификации систем менеджмента.
5.2.3 Орган по сертификации должен на постоянной основе реализовывать процесс выявления, анализа, оценки, обработки, мониторинга и документирования рисков, связанных с конфликтом интересов, возникающих при проведении сертификации, включая любые конфликты, возникающие в результате его деятельности. В случае возникновения каких-либо угроз беспристрастности орган по сертификации должен документировать и демонстрировать, как он устраняет или минимизирует такие угрозы, а также документирует любой остаточный риск. Такая демонстрация должна охватывать все выявленные потенциальные угрозы, независимо от того, возникают ли они внутри органа по сертификации или в результате деятельности других лиц, органов или организаций. Если отношения представляют неприемлемую угрозу беспристрастности (например, когда дочерняя организация, принадлежащая органу по сертификации, запрашивает у него проведение сертификации), сертификация не должна проводиться.
Высшее руководство должно проанализировать любой остаточный риск, чтобы определить, находится ли он в пределах допустимого уровня.
Процесс оценки рисков должен включать определение соответствующих заинтересованных сторон и проведение с ними консультаций по вопросам, влияющим на беспристрастность, включая открытость и восприятие общественности. Консультации с соответствующими заинтересованными сторонами должны быть сбалансированными, без преобладания какого-либо одного интереса.
Примечания
1 Источники угроз беспристрастности органа по сертификации могут быть основаны на праве собственности, руководстве, управлении, персонале, общих ресурсах, финансах, договорах, обучении, маркетинге, выплате комиссионных или на других поощрениях за привлечение новых заказчиков и т.д.
2 Заинтересованные стороны могут включать персонал и заказчиков органа по сертификации, заказчиков организаций, чьи системы менеджмента сертифицируются, представителей отраслевых торговых ассоциаций, представителей органов государственного контроля (надзора) или других государственных структур, представителей неправительственных организаций, включая организации потребителей.
3 Одним из способов выполнения требований о проведении консультаций в соответствии с этим пунктом является создание комитета, состоящего из представителей этих заинтересованных сторон.
5.2.4 Орган по сертификации не должен сертифицировать систему менеджмента качества другого органа по сертификации.
5.2.5 Орган по сертификации и любая часть этого же юридического лица, а также любая организация, организационно находящаяся под управлением органа по сертификации [см. 9.5.1.2, подпункт b)], не должны предлагать или предоставлять консультации по системам менеджмента. Это правило применимо также к той части государственного органа, которая определена как орган по сертификации.
Примечание - Это не исключает возможности обмена информацией между органом по сертификации и его заказчиками (например, разъяснение результатов аудита или уточнение требований).
5.2.6 Проведение внутренних аудитов органом по сертификации и любой частью этого же юридического лица у своих сертифицированных заказчиков представляет существенную угрозу беспристрастности. Поэтому орган по сертификации и любая часть этого же юридического лица, а также любая организация, организационно находящаяся под управлением органа по сертификации [см. 9.5.1.2, подпункт b)], не должны предлагать или проводить внутренние аудиты у своих сертифицированных заказчиков. Признанным способом снижения этой угрозы является то, что орган по сертификации не должен сертифицировать систему менеджмента, в отношении которой он проводил внутренние аудиты, как минимум, в течение двух лет после завершения внутренних аудитов.
Примечание - См. примечание 1 к 5.2.3.
5.2.7 Если заказчик получил консультацию по системам менеджмента от организации, имеющей отношения с органом по сертификации, это представляет существенную угрозу беспристрастности. Признанным способом снижения этой угрозы является то, что орган по сертификации не должен сертифицировать систему менеджмента, как минимум, в течение двух лет после завершения консультирования.
Примечание - См. примечание 1 к 5.2.3.
5.2.8 Орган по сертификации не должен передавать проведение аудитов организации, оказывающей консультации по системам менеджмента, так как это представляет неприемлемую угрозу беспристрастности органа по сертификации (см. 7.5). Это не относится к лицам, привлекаемым в качестве аудиторов в соответствии с 7.3.
5.2.9 Деятельность органа по сертификации не должна рекламироваться или предлагаться как связанная с деятельностью организации, предоставляющей консультации по системам менеджмента. Орган по сертификации должен предпринять меры для устранения несоответствующих действительности упоминаний или заявлений любой консультирующей организации, заявляющей или подразумевающей, что сертификация была бы проще, легче, быстрее или менее дорогостоящей, если бы ее проводил этот орган по сертификации. Орган по сертификации не должен заявлять или подразумевать, что сертификация была бы проще, легче, быстрее или дешевле, если бы была привлечена определенная консультационная организация.
5.2.10 Чтобы обеспечить отсутствие конфликта интересов, персонал, предоставлявший консультации по системе менеджмента, включая лиц, которые действуют в качестве руководства, не должен привлекаться органом по сертификации к участию в аудитах или другой деятельности по сертификации заказчика, если он участвовал в консультировании по системе менеджмента данного заказчика. Признанным способом снижения данной угрозы является то, что такой персонал не должен привлекаться, как минимум, в течение двух лет после завершения консультирования.
5.2.11 Орган по сертификации должен принимать меры в ответ на любые угрозы его беспристрастности, возникающие в результате действий других лиц, органов или организаций.
5.2.12 Весь персонал органа по сертификации (как внутренний, так и внешний) или комитеты, которые могут повлиять на деятельность по сертификации, должны действовать беспристрастно и не должны допускать коммерческого, финансового или иного давления, которое может поставить под угрозу его беспристрастность.
5.2.13 Орган по сертификации должен требовать от персонала (внутреннего и внешнего) раскрывать любую известную им ситуацию, которая может привести к конфликту интересов у них или у органа по сертификации. Орган по сертификации должен зафиксировать и использовать эту информацию для выявления угроз беспристрастности, связанных с деятельностью такого персонала или организаций, в которых он работает, и не должен привлекать такой персонал (внутренний или внешний) к деятельности до тех пор, пока они не смогут продемонстрировать отсутствие конфликта интересов.
5.3.1 Орган по сертификации должен быть способен продемонстрировать, что он оценил риски, возникающие в связи с его деятельностью по сертификации, и что он располагает достаточными средствами (например, страхованием или резервами) для покрытия обязательств, возникающих в результате его деятельности по сертификации в каждой из областей его деятельности и в географических регионах, в которых он осуществляет свою деятельность.
5.3.2 Орган по сертификации должен оценить свои финансовые возможности и источники дохода и продемонстрировать, что на начальном этапе и на постоянной основе коммерческое, финансовое или иное давление не ставит под угрозу его беспристрастность.
6.1.1 Орган по сертификации должен документировать свою организационную структуру, обязанности, ответственность и полномочия руководства и другого персонала, участвующего в деятельности по сертификации, а также любых комитетов. Если орган по сертификации является частью юридического лица, структура должна включать в себя подчиненность и взаимосвязь с другими подразделениями того же юридического лица.
6.1.2 Деятельность по сертификации должна быть структурирована и управляться таким образом, чтобы гарантировать беспристрастность.
6.1.3 Орган по сертификации должен определить высшее руководство (совет/комитет, группу лиц или отдельное лицо), обладающее полномочиями и ответственностью за каждое из следующих действий:
a) разработку политик и установление процессов и процедур, относящихся к деятельности органа по сертификации;
b) контроль за реализацией политик, процессов и процедур;
c) обеспечение беспристрастности;
d) контроль за финансами;
e) разработку услуг по сертификации систем менеджмента и схем сертификации;
f) проведение аудитов и сертификации, а также реагирование на жалобы;
g) принятие решений о сертификации;
h) делегирование, по мере необходимости, полномочий комитетам или отдельным лицам для выполнения определенной деятельности от его имени;
i) заключение договоров;
j) предоставление ресурсов, необходимых для осуществления деятельности по сертификации.
6.1.4 Орган по сертификации должен иметь официальные правила назначения, определения области компетенции и обеспечения функционирования всех комитетов, вовлеченных в работу по сертификации.
6.2.1 Орган по сертификации должен осуществлять результативное управление деятельностью по сертификации, осуществляемой филиалами, партнерами, агентами, держателями франшизы и так далее, независимо от их юридического статуса, отношений или географического положения. Орган по сертификации должен учитывать риск, который эта деятельность создает для компетентности, последовательности и беспристрастности органа по сертификации.
6.2.2 Орган по сертификации должен рассматривать и обеспечивать соответствующий уровень и методы управления осуществляемой деятельностью, включая свои процессы, технические области деятельности органа по сертификации, компетентность персонала, способы управления со стороны руководства, отчетность и возможность удаленного доступа к деятельности, включая доступ к записям.
Орган по сертификации должен иметь процессы, обеспечивающие наличие у персонала соответствующих знаний и навыков, относящихся к различным типам систем менеджмента (например, системы экологического менеджмента, системы менеджмента качества, системы менеджмента информационной безопасности) и географическим регионам, в которых осуществляет деятельность орган по сертификации.
Орган по сертификации должен иметь процесс определения критериев компетентности для персонала, участвующего в организации и проведении аудитов и других видов деятельности по сертификации. Критерии компетентности должны быть установлены с учетом требований каждого типа стандарта или спецификации на системы менеджмента для каждой технической области и для каждой функциональной обязанности в процессе сертификации. Результатом процесса должны стать документально оформленные критерии требуемых знаний и навыков, необходимых для результативного выполнения задач по аудиту и сертификации, которые должны быть выполнены для достижения намеченных результатов. В приложении A указаны знания и навыки, которые орган по сертификации должен определить для конкретных функциональных обязанностей. Если для конкретного стандарта или схемы сертификации дополнительно были установлены специальные критерии компетентности (например, в ИСО/МЭК 17021-2, ИСО/МЭК 17021-3 или ИСО/ТС 22003 <1>), то они должны применяться.
Примечание - Термин "техническая область" применяется по-разному в зависимости от рассматриваемого стандарта на систему менеджмента. Для любой системы менеджмента этот термин относится к продукции, процессам и услугам в контексте области применения стандарта на систему менеджмента. Техническая область может быть определена конкретной схемой сертификации (например, в ИСО/ТС 22003) или может быть определена органом по сертификации. Этот термин используется для обозначения ряда других терминов, таких как "области применения", "категории", "сектора" и так далее, которые традиционно используются для различных типов систем менеджмента.
--------------------------------
Орган по сертификации должен иметь документированные процессы первоначальной оценки компетентности и постоянного мониторинга компетентности и деятельности всего персонала, участвующего в управлении и проведении аудитов и другой деятельности по сертификации, с применением установленных критериев компетентности. Орган по сертификации должен демонстрировать, что его методы оценки являются результативными. Результатом этих процессов должно быть выявление персонала, который продемонстрировал уровень компетентности, необходимый для выполнения различных функций в процессе аудита и сертификации. Компетентность должна быть продемонстрирована до того, как соответствующее лицо примет на себя ответственность за выполнение своей деятельности в органе по сертификации.
Примечания
1 Ряд методов оценки, которые могут использоваться для оценивания компетентности, представлены в приложении B.
2 В приложении C показан пример блок-схемы процесса определения и поддержания компетентности.
Орган по сертификации должен иметь доступ к лицам, обладающим необходимыми техническими знаниями для получения советов по вопросам, непосредственно касающимся деятельности по сертификации во всех технических областях, типах систем менеджмента и географических регионах, в которых орган по сертификации осуществляет свою деятельность. Такие советы могут быть получены как извне, так и от персонала органа по сертификации.
7.2.1 Орган по сертификации должен располагать персоналом, обладающим достаточной компетентностью для управления и поддержания типа и ряда программ аудита и выполнения других работ по сертификации.
7.2.2 Орган по сертификации должен нанимать или иметь возможность привлечь достаточное количество аудиторов, включая руководителей аудиторских групп и технических экспертов, чтобы охватить всю свою деятельность и выполнить весь объем проводимых аудиторских работ.
7.2.3 Орган по сертификации должен разъяснить каждому работнику его обязанности, ответственность и полномочия.
7.2.4 Орган по сертификации должен установить процессы отбора, обучения, официального наделения полномочиями аудиторов, а также отбора и ознакомления технических экспертов, привлекаемых к деятельности по сертификации. Первоначальная оценка компетентности аудитора должна включать подтверждение способности применять требуемые знания и навыки во время проведения аудитов компетентным оценщиком, наблюдающим за тем, как аудитор проводит аудит.
Примечание - Во время проведения описанного выше процесса отбора и обучения могут быть приняты во внимание личностные характеристики. К ним относятся те характеристики, которые влияют на способность человека выполнять определенные функции. Полученная информация о поведении человека предоставляет тем самым возможность органу по сертификации использовать в своих интересах его сильные стороны и минимизировать влияние его слабых сторон. Желаемое поведение личности, которое важно для персонала, участвующего в деятельности по сертификации, представлено в приложении D.
7.2.5 Орган по сертификации должен обеспечить наличие процесса достижения и демонстрации результативного проведения аудита, включая привлечение аудиторов и руководителей аудиторских групп, обладающих как общими навыками и знаниями в области проведения аудита, так и соответствующими знаниями и навыками для проведения аудита в конкретных технических областях.
7.2.6 Орган по сертификации должен обеспечить, чтобы аудиторы (и, при необходимости, технические эксперты) были осведомлены об установленных процессах аудита, требованиях к проведению сертификации и других соответствующих требованиях. Орган по сертификации должен предоставить аудиторам и техническим экспертам доступ к набору актуальных документированных процедур, содержащих инструкции по проведению аудита и всю необходимую информацию о деятельности по сертификации.
7.2.7 Орган по сертификации должен определять потребности в обучении персонала и предлагать или обеспечить доступ к специальному обучению, чтобы гарантировать что его аудиторы, технические эксперты и другой персонал, участвующий в деятельности по сертификации, являются компетентными для выполнения своих функций.
7.2.8 Группа или лицо, принимающее решение о сертификации, отказе в сертификации, подтверждении, обновлении, приостановлении действия или отмене сертификата, расширении или сокращении области сертификации, должны знать положения применяемого стандарта и требования к сертификации, а также обладать достаточной компетентностью для оценки результатов процесса аудита, включая соответствующие рекомендации аудиторской группы.
7.2.9 Орган по сертификации должен обеспечить надлежащую работу всего персонала, участвующего в аудитах и другой деятельности по сертификации. Должен быть установлен документированный процесс мониторинга компетентности и результатов деятельности всего привлекаемого персонала, основанный на частоте их привлечения и уровне риска, связанного с их деятельностью. В частности, орган по сертификации должен анализировать и фиксировать компетентность своего персонала с точки зрения того, как он выполняет свою работу, для определения потребности в обучении.
7.2.10 Орган по сертификации должен проводить мониторинг каждого аудитора с учетом каждого типа системы менеджмента, в которой аудитор считается компетентным. Документированный процесс мониторинга аудиторов должен включать комбинацию оценивания его деятельности на месте проведения аудита, результатов анализа отчетов об аудитах и обратной связи от заказчиков или от рынка. Этот мониторинг должен быть разработан таким образом, чтобы минимизировать нарушение процессов сертификации, особенно с точки зрения заказчика.
7.2.11 Орган по сертификации должен периодически оценивать работу каждого аудитора на месте проведения аудита. Частота таких оценок должна определяться на основе всей имеющейся информации по мониторингу.
Орган по сертификации должен потребовать от внешних аудиторов и внешних технических экспертов подписать соглашение, в котором они обязуются соблюдать применимые политики и выполнять процессы, определенные органом по сертификации. Соглашение должно затрагивать аспекты, связанные с конфиденциальностью и беспристрастностью, и должно требовать от внешних аудиторов и внешних технических экспертов уведомлять орган по сертификации о любых существующих или предыдущих отношениях с любой организацией, для аудита которой они могут быть назначены.
Примечание - Использование физического лица или сотрудника другой организации по отдельному договору в качестве внешнего аудитора или технического эксперта не является аутсорсингом.
Орган по сертификации должен поддерживать в актуальном состоянии записи о персонале, включая записи о соответствующей квалификации, подготовке, опыте работы, принадлежности к другим организациям, профессиональном статусе и компетентности. Это относится не только к персоналу, участвующему в деятельности по сертификации, но также и к руководящему и административному персоналу.
7.5.1 Орган по сертификации должен установить процесс, описывающий условия, при которых может иметь место аутсорсинг (субподряд с другой организацией на проведение части работ по сертификации от имени органа по сертификации). Орган по сертификации должен иметь юридически действительное соглашение с каждым органом, предоставляющим услуги по аутсорсингу, определяющее условия взаимодействия, включая соблюдение конфиденциальности и отсутствие конфликта интересов.
7.5.2 Решения о выдаче сертификата, отказе в сертификации, подтверждении, расширении или сокращении области сертификации, обновлении, приостановке, возобновлении или отмене сертификата, не должны передаваться на аутсорсинг.
7.5.3 Орган по сертификации должен:
a) нести ответственность за работу, переданную на условиях аутсорсинга другим организациям;
b) убедиться в том, что организация, предоставляющая услуги на условиях аутсорсинга, и привлеченные ею лица соответствуют требованиям органа по сертификации и выполняют положения настоящего стандарта, в том числе в отношении компетентности, беспристрастности и конфиденциальности;
c) убедиться в том, что организация, предоставляющая услуги на условиях аутсорсинга, и привлеченные ею лица не связаны напрямую или через другого работодателя с проверяемой организацией таким образом, чтобы это могло повлиять на их беспристрастность.
7.5.4 Орган по сертификации должен установить процесс признания и мониторинга всех органов, предоставляющих услуги по аутсорсингу, привлекаемых к деятельности по сертификации, и должен обеспечить ведение и сохранение записей о компетентности всего персонала, участвующего в деятельности по сертификации.
Примечания
1 Для 7.5.1 - 7.5.4, если орган по сертификации привлекает отдельных лиц или сотрудников других организаций для предоставления дополнительных ресурсов или экспертных знаний, такие лица не являются аутсорсерами при условии, что они привлекаются к действиям на основании отдельных договоров в рамках системы менеджмента органа по сертификации (см. 7.3).
8.1.1 Орган по сертификации должен поддерживать (посредством публикаций, электронных средств массовой информации или других средств) и обеспечить доступность без запроса во всех географических регионах, где он осуществляет свою деятельность, информацию относительно:
a) процессов проведения аудита;
b) процессов выдачи, отказа в выдаче, подтверждения, обновления, приостановки, возобновления или отмены сертификата, а также расширения или сокращения области сертификации;
c) типов систем менеджмента и схем сертификации, в которых он работает;
d) использования наименования органа по сертификации и сертификационного знака или логотипа;
e) процессов обработки запросов на предоставление информации, обращения с жалобами и апелляциями;
f) политики беспристрастности.
a) географических регионов, в которых он осуществляет деятельность;
b) текущего статуса сертификации;
c) наименования, соответствующего нормативного документа, области сертификации и географического расположения (город и страна) конкретного сертифицированного заказчика.
Примечания
1 В исключительных случаях доступ к определенной информации может быть ограничен по требованию заказчика (например, по соображениям безопасности).
2 Орган по сертификации может также сделать информацию, указанную в 8.1.2, доступной, без запроса, любым выбранным им способом, например, разместив ее на своем интернет-сайте.
8.1.3 Информация, предоставляемая органом по сертификации любому заказчику или рынку в целом, включая рекламные материалы, должна быть точной и не вводящей в заблуждение.
8.2.1 Орган по сертификации должен предоставить сертифицированному заказчику документы о сертификации любым выбранным органом способом.
8.2.2 Документ(ы) о сертификации должен содержать следующее:
a) наименование и географическое местоположение каждого сертифицированного заказчика (или географическое местоположение головного офиса и всех мест осуществления деятельности, попавших в область сертификации организации с несколькими местами осуществления деятельности);
b) дату выдачи сертификата, расширения или сокращения области сертификации или обновления сертификата, которая не может быть ранее даты принятия решения о сертификации;
Примечание - Орган по сертификации может сохранить дату первоначальной сертификации на сертификате, когда сертификат на некоторое время перестает быть действующим, при условии, что:
- указаны дата начала и дата окончания текущего цикла сертификации;
- дата окончания последнего цикла сертификации указана вместе с датой ресертификационного аудита.
c) дату окончания срока действия документа о сертификации или дату ресертификации, соответствующую циклу ресертификации;
d) уникальный (неповторяющийся) идентификационный номер;
e) стандарт на систему менеджмента и/или другой нормативный документ, который использовался для аудита сертифицированного заказчика, включая статус документа (например, дату или номер редакции);
f) область сертификации в отношении видов деятельности, продукции и услуг применительно к каждому месту осуществления деятельности без введения в заблуждение или неоднозначности;
g) наименование, адрес и сертификационный знак органа по сертификации; а также другие знаки (например, знак аккредитации, логотип заказчика) при условии, что они не вводят в заблуждение или не являются неоднозначными;
h) любую другую информацию, требуемую стандартом и/или другим нормативным документом, использованным для сертификации;
i) в случае выдачи любых пересмотренных документов по сертификации - информацию, позволяющую отличить пересмотренные документы от предыдущих устаревших документов.
8.3.1 Орган по сертификации должен иметь правила управления любым знаком сертификации системы менеджмента, который он разрешает использовать сертифицированным заказчикам. Эти правила должны, помимо прочего, обеспечивать возможность по знаку определять орган по сертификации. В знаке или сопровождающем его тексте не должно быть неоднозначности относительно того, что именно было сертифицировано и какой орган по сертификации выдал сертификат. Этот знак не следует наносить ни на продукцию, ни на ее упаковку или использовать каким-либо другим способом, который может быть интерпретирован как обозначение соответствия самой продукции.
Примечание - ИСО/МЭК 17030 содержит дополнительную информацию для использования знаков третьих сторон.
8.3.2 Орган по сертификации не должен разрешать сертифицированным заказчикам наносить свои знаки на отчеты (протоколы) о лабораторных испытаниях, калибровке или инспекции или сертификаты.
8.3.3 Орган по сертификации должен иметь правила, устанавливающие использование сертифицированным заказчиком любого заявления о том, что его система менеджмента сертифицирована, на упаковке продукции или в сопровождающей продукцию информации. Под упаковкой продукции понимают то, что может быть удалено без нарушения целостности продукции или без ее повреждения. Под сопровождающей информацией понимают то, что доступно независимо от продукции или легко отделяется от нее. Этикетки с указанием типа продукции или идентификационные таблички рассматриваются как часть продукции. Заявление ни в коем случае не должно означать, что продукция, процесс или услуга сертифицированы. Заявление должно содержать ссылку:
- идентификационный признак сертифицированного заказчика (например, на его торговую марку или наименование);
- тип системы менеджмента (например, на систему менеджмента качества, на систему экологического менеджмента) и применимый стандарт;
- орган по сертификации, выдавший сертификат.
8.3.4 Орган по сертификации посредством имеющих юридическую силу соглашений должен требовать, чтобы сертифицированный заказчик:
a) соответствовал требованиям органа по сертификации при ссылках на статус своей сертификации в средствах массовой информации, таких как Интернет, брошюры или рекламы, или в других документах;
b) не делал и не допускал никаких вводящих в заблуждение заявлений относительно своей сертификации;
c) не использовал и не разрешал использовать документ о сертификации или какую-либо его часть любым способом, вводящим в заблуждение;
d) при приостановлении или отмене сертификации прекращал использование всех рекламных материалов, содержащих ссылку на сертификацию, в соответствии с указаниями органа по сертификации (см. 9.6.5);
e) вносил изменения во все рекламные материалы, в случае если область сертификации сокращена;
f) не допускал использование ссылок на сертификацию своей системы менеджмента таким образом, чтобы подразумевать, что орган по сертификации сертифицировал продукцию (включая услуги) или процесс;
g) не допускал трактования, что сертификация распространяется на виды деятельности и места осуществления деятельности, находящиеся за рамками области сертификации;
h) не использовал факт своей сертификации таким образом, который мог бы нанести ущерб репутации органа по сертификации и/или системы сертификации и привести к потере доверия со стороны общества.
8.3.5 Орган по сертификации должен надлежащим образом осуществлять управление своей собственностью и принимать меры в случае некорректных ссылок на статус сертификации или использование вводящих в заблуждение документов о сертификации, сертификационных знаков или отчетов об аудите.
Примечание - Такие действия могут включать требования о проведении коррекций или корректирующих действий, приостановление или отмену сертификации, публикацию информации о нарушении и, при необходимости, осуществления соответствующих правовых действий.
8.4.1 Орган по сертификации должен нести ответственность за управление всей информацией, полученной или образовавшейся в ходе осуществления деятельности по сертификации на всех уровнях его организационной структуры, включая собственные комитеты и внешние органы или отдельных лиц, действующих от его имени, посредством юридически закрепленных соглашений.
8.4.2 Орган по сертификации должен заранее проинформировать заказчика о той информации, которую он намеревается сделать общедоступной. Вся другая информация, за исключением той, которая становится общедоступной по инициативе заказчика, считается конфиденциальной.
8.4.3 За исключением случаев, предусмотренных в настоящем стандарте, информацию о конкретном сертифицированном заказчике или физическом лице не следует раскрывать третьей стороне без письменного согласия соответствующего сертифицированного заказчика или физического лица.
8.4.4 Когда законодательство требует от органа по сертификации или уполномочивает его на основании договорных соглашений (например, с органом по аккредитации) раскрыть конфиденциальную информацию, заинтересованный заказчик или физическое лицо, если это не запрещено законом, должны быть уведомлены о предоставленной информации.
8.4.5 Информация о заказчике, полученная не от него самого, а из других источников (например, от лица, подающего жалобу, органов государственного контроля (надзора) или других государственных органов), должна рассматриваться как конфиденциальная в соответствии с политикой органа по сертификации.
8.4.6 Персонал, включая членов любого комитета, подрядчиков, персонал внешних органов или лица, действующие от имени органа по сертификации, должны сохранять конфиденциальность в отношении всей информации, полученной или созданной при осуществлении деятельности органом по сертификации, за исключением случаев, предусмотренных законодательством.
8.4.7 Орган по сертификации должен предусмотреть процессы и, где это применимо, оборудование и средства, обеспечивающие безопасное обращение с конфиденциальной информацией.
Орган по сертификации должен предоставлять заказчикам и поддерживать в актуальном состоянии следующую информацию:
a) подробное описание первоначальной и последующей деятельности по сертификации, включая подачу заявки, проведение первоначальных аудитов, инспекционных аудитов, а также процессы выдачи и отказа в выдаче сертификата, подтверждения, расширения или сокращения области сертификации; обновления, приостановки, возобновления или отмены сертификации;
b) нормативные требования к сертификации;
c) информацию о стоимости рассмотрения заявки, первоначальной и последующей сертификации;
d) требования органа по сертификации к заказчикам:
1) соответствовать требованиям к сертификации;
2) принимать все необходимые меры для проведения аудитов, включая предоставление для проведения экспертизы документации и доступ ко всем процессам и участкам, записям и персоналу для целей первоначальной сертификации, инспекционного контроля, ресертификации и разрешения жалоб;
3) обеспечить, где это применимо, участие в аудите наблюдателей (например, экспертов по аккредитации или аудиторов-стажеров);
e) документы, описывающие права и обязанности сертифицированных заказчиков, включая требования о том, что упоминания их сертификации в сообщениях любого рода должны осуществляться в соответствии с требованиями 8.3;
f) информацию о процедурах рассмотрения жалоб и апелляций.
Орган по сертификации должен уведомить своих сертифицированных заказчиков о любых изменениях в своих требованиях к сертификации. Орган по сертификации должен убедиться в том, что каждый сертифицированный заказчик соответствует новым требованиям.
Орган по сертификации должен иметь юридически закрепленные договоренности о том, чтобы сертифицированный заказчик незамедлительно информировал орган по сертификации о вопросах, которые могут повлиять на способность системы менеджмента продолжать соответствовать требованиям стандарта, используемого для сертификации. К ним относятся, например, изменения, касающиеся:
a) юридического, коммерческого, организационного статуса или формы собственности;
b) организации и руководства (например, ключевого персонала, осуществляющего руководство, персонала, принимающего решения, или технического персонала);
c) основного адреса и расположения мест осуществления деятельности;
d) областей деятельности, охваченных сертифицированной системой менеджмента;
e) существенных изменениях в системе менеджмента и процессах.
Орган по сертификации должен предпринимать соответствующие действия.
Орган по сертификации должен потребовать от уполномоченного представителя организации-заявителя предоставить необходимую информацию, позволяющую ему установить следующее:
a) желаемую область сертификации;
b) соответствующие сведения об организации-заявителе, требуемые конкретной схемой сертификации, включая ее наименование, адрес(а) ее мест осуществления деятельности, ее процессы и операции, людские и технические ресурсы, структурные подразделения, взаимоотношения и любые соответствующие юридические обязательства;
c) информацию о процессах, переданных на аутсорсинг, которые могут повлиять на соответствие требованиям;
d) стандарты или другие требования, на соответствие которым организация-заявитель намерена сертифицироваться;
e) предоставлялись ли консультации, касающиеся системы менеджмента, подлежащей сертификации, и если да, то кем.
9.1.2.1 Орган по сертификации должен провести анализ заявки и дополнительной информации по сертификации, чтобы удостовериться в том, что:
a) информация об организации-заявителе и ее системе менеджмента достаточна для разработки программы аудита (см. 9.1.3);
b) все известные расхождения в понимании требований между органом по сертификации и организацией-заявителем устранены;
c) орган по сертификации обладает компетентностью и способностью осуществлять деятельность по сертификации;
d) приняты во внимание запрашиваемая область сертификации, место(а) осуществления деятельности организации-заявителя, время, необходимое для проведения аудита, и все другие обстоятельства, влияющие на деятельность по сертификации (язык, условия безопасности, угрозы беспристрастности и т.п.).
9.1.2.2 На основе результатов анализа заявки орган по сертификации должен либо принять, либо отклонить заявку на сертификацию. Если по результатам рассмотрения заявки орган по сертификации отклоняет заявку на сертификацию, причины отклонения заявки должны быть задокументированы и разъяснены заказчику.
9.1.2.3 На основе проведенного анализа орган по сертификации должен определить компетентность, необходимую аудиторской группе и лицам, принимающим решение о сертификации.
9.1.3.1 Программа аудита должна быть разработана в отношении всего цикла сертификации, устанавливающего всю деятельность по проведению аудитов, необходимую для демонстрации того, что система менеджмента заказчика соответствует требованиям сертификации по выбранному стандарту(ам) или другому(им) нормативному(ым) документу(ам). Программа аудита для всего цикла сертификации должна охватывать все требования к системе менеджмента.
9.1.3.2 Программа аудита для первоначальной сертификации должна включать двухэтапный первоначальный аудит, инспекционные аудиты в течение первого и второго года после принятия решения о сертификации и ресертификационный аудит в третий год до окончания срока действия сертификации. Первый трехлетний сертификационный цикл начинается с момента принятия решения о сертификации. Последующие циклы начинаются с принятия решения о ресертификации (см. 9.6.3.2.3). При определении программы аудита и любых последующих корректировках должны учитываться размер организации заказчика, область применения и сложность его системы менеджмента, продукции и процессов, а также продемонстрированный уровень результативности системы менеджмента и результаты всех предыдущих аудитов.
Примечания
1 В приложении E представлена блок-схема типичного процесса аудита и сертификации.
2 Ниже представлен перечень дополнительных вопросов, которые могут быть рассмотрены при разработке или пересмотре программы аудита, а также возможно учитывать при определении области аудита и разработке плана аудита:
- жалобы, полученные органом по сертификации, касающиеся заказчика;
- комбинированный, комплексный или совместный аудит;
- изменения в требованиях к сертификации;
- изменения в правовых требованиях;
- изменения в требованиях к аккредитации;
- данные о показателях деятельности организации (например, уровень дефектов, данные о ключевых показателях деятельности);
- соответствующие озабоченности заинтересованных сторон.
3 Длительность сертификационного цикла может отличаться от трехлетнего, если это установлено схемой сертификации, применяемой в конкретной отрасли экономической деятельности.
9.1.3.3 Инспекционные аудиты необходимо проводить не реже одного раза в календарный год, за исключением годов ресертификации. Дата первого инспекционного аудита после первоначальной сертификации должна быть не позже 12 мес после даты принятия решения о сертификации.
Примечание - Может потребоваться корректировка частоты проведения инспекционных аудитов с учетом таких факторов, как время года или когда сертификация систем менеджмента возможна в течение ограниченного периода времени (например, на временной строительной площадке).
9.1.3.4 Если орган по сертификации принимает во внимание уже проведенную для заказчика сертификацию и результаты аудитов, проведенных другим органом по сертификации, он должен получить и сохранить достаточные доказательства, такие как отчеты и документация по корректирующим действиям, в отношении любого несоответствия. Такая документация должна подтверждать соответствие требований настоящего стандарта. Орган по сертификации должен на основе полученной информации обосновывать и зафиксировать любые корректировки существующей программы аудита, а также последующее осуществление корректирующих действий в отношении предыдущих несоответствий.
9.1.3.5 Если заказчик осуществляет свою деятельность посменно, то при разработке программы аудита и планов аудита следует учитывать деятельность, осуществляемую в течение работающей смены.
9.1.4.1 Орган по сертификации должен иметь документированные процедуры определения продолжительности аудита. Для каждого заказчика орган по сертификации должен определить время, необходимое для планирования и проведения полного и результативного аудита системы менеджмента заказчика.
9.1.4.2 При определении продолжительности аудита орган по сертификации должен учитывать, помимо прочего, следующие аспекты:
a) требования соответствующего стандарта на систему менеджмента;
b) размер и сложность организации заказчика и его системы менеджмента;
c) технологические аспекты и нормативные требования;
d) любую деятельность, входящую в область применения системы менеджмента, переданную на аутсорсинг;
e) результаты любых предыдущих аудитов;
f) размер и количество мест осуществления деятельности, их географическое местоположение и возможность проведения работ по схеме, применяемой для сертификации организации, осуществляющей деятельность на нескольких площадках;
g) риски, связанные с продукцией, процессами или деятельностью организации;
h) является ли аудит комбинированным, совместным или комплексным.
Примечания
1 Время, потраченное на проезд до места осуществления деятельности по аудиту и обратно, не включается в расчет продолжительности аудита системы менеджмента.
2 Орган по сертификации может использовать руководящие указания, установленные в ИСО/МЭК ТС 17023 для определения продолжительности аудита системы менеджмента, при документировании этих процедур.
Если для конкретной схемы сертификации установлены специальные критерии, например ИСО/ТС 22003 или в ИСО/МЭК 27006, они должны применяться.
9.1.4.3 Продолжительность аудита системы менеджмента и ее обоснование должны быть задокументированы.
9.1.4.4 Время, затраченное любым членом аудиторской группы, не являющимся аудитором (т.е. техническими экспертами, письменными и устными переводчиками, наблюдателями и аудиторами-стажерами), не должно учитываться в установленной выше продолжительности аудита системы менеджмента.
Примечание - Привлечение письменных и устных переводчиков может потребовать увеличения продолжительности аудита.
Если для аудита системы менеджмента заказчика, охватывающей однотипную деятельность, осуществляемую в местах, расположенных в различных географических регионах, используется выборка из нескольких мест, орган по сертификации должен разработать программу выборки для обеспечения надлежащего аудита системы менеджмента. Обоснование плана выборки должно быть задокументировано для каждого заказчика. Выборка не допускается для некоторых конкретных схем сертификации, а в тех случаях, когда для конкретной схемы сертификации установлены специальные критерии, например ИСО/ТС 22003, они должны применяться.
Примечание - При наличии нескольких площадок, охватывающих неоднотипную деятельность, выборочная проверка не приемлема.
Когда орган по сертификации осуществляет сертификацию сразу по нескольким стандартам на системы менеджмента, планирование аудита должно обеспечивать проведение адекватного аудита на месте для обеспечения доверия к сертификации.
9.2.1.1 Цели аудита должны быть определены органом по сертификации. Область и критерии аудита, включая любые изменения, устанавливает орган по сертификации после обсуждения их с заказчиком.
9.2.1.2 Цели аудита должны описывать, что должно быть достигнуто в ходе аудита, и включать следующее:
a) определение степени соответствия системы менеджмента заказчика или ее частей критериям аудита;
b) определение способности системы менеджмента обеспечить выполнение заказчиком применимых законодательных, нормативных и договорных требований;
Примечание - Сертификационный аудит системы менеджмента не является аудитом на соответствие правовым требованиям.
c) определение результативности системы менеджмента в обеспечении того, чтобы заказчик мог в разумной степени рассчитывать на достижение поставленных целей;
d) определение областей для потенциального улучшения системы менеджмента, если это применимо.
9.2.1.3 Область аудита должна включать описание объема и границ аудита, таких, как места осуществления деятельности, структурные подразделения, виды деятельности и процессы, подлежащие аудиту. Если процесс первоначальной или повторной сертификации состоит из нескольких аудитов (например, охватывающих разные места осуществления деятельности), то область отдельного аудита может охватывать не всю область сертификации, но совокупность аудитов должна соответствовать области, заявленной в документе на сертификацию.
9.2.1.4 Критерии аудита должны использоваться в качестве ссылки, соответствие которой определяется, и должны включать:
- требования установленного нормативного документа на системы менеджмента;
- разработанные заказчиком процессы и документацию системы менеджмента.
9.2.2.1 Общие положения
9.2.2.1.1 Орган по сертификации должен определить процесс отбора и назначения аудиторской группы, включая руководителя аудиторской группы и, при необходимости, технических экспертов, с учетом компетентности, необходимой для достижения целей аудита, и требований к беспристрастности. Если в аудиторской группе только один аудитор, то он должен обладать компетентностью для выполнения обязанностей руководителя аудиторской группы, применимых к данному аудиту. Аудиторская группа для проведения аудита должна обладать совокупной компетентностью, определенной органом по сертификации в соответствии с 9.1.2.3.
9.2.2.1.2 При определении размеров и состава аудиторской группы необходимо учитывать следующее:
a) цели, область, критерии и расчетную трудоемкость аудита;
b) является ли аудит комбинированным, совместным или комплексным;
c) совокупную компетентность аудиторской группы, необходимую для достижения целей аудита (см. таблицу A.1);
d) требования к сертификации (включая любые применимые законодательные, нормативные или договорные требования);
e) язык и культуру.
Примечание - Руководитель аудиторской группы, проводящий комбинированный или комплексный аудит, должен обладать глубокими знаниями, как минимум, одного из стандартов и иметь представление о других стандартах, используемых для данного конкретного аудита.
9.2.2.1.3 Необходимые знания и навыки руководителя аудиторской группы могут быть дополнены знаниями и навыками технических экспертов, письменных и устных переводчиков, которые должны работать под руководством аудитора. Если привлекаются письменные или устные переводчики, они должны быть подобраны таким образом, чтобы не оказывать чрезмерного влияния на аудит.
Примечание - Критерии отбора технических экспертов определяют в каждом конкретном случае с учетом потребностей аудиторской группы и области аудита.
9.2.2.1.4 Аудиторы-стажеры могут участвовать в аудите при условии, что в аудиторской группе один из аудиторов будет назначен ответственным за оценку деятельности аудитора-стажера. Этот аудитор должен быть компетентен для исполнения этих обязанностей и нести окончательную ответственность за деятельность и наблюдения аудитора-стажера.
9.2.2.1.5 Руководитель аудиторской группы по согласованию с членами аудиторской группы должен возложить на каждого члена группы ответственность за проведение аудита конкретных процессов, структурных подразделений, мест осуществления деятельности, сфер или видов деятельности. Такие задания должны учитывать необходимость компетентности, эффективного и результативного использования аудиторской группы, а также различные роли и обязанности аудиторов, аудиторов-стажеров и технических экспертов. По мере проведения аудита могут вноситься изменения в рабочие задания для обеспечения целей аудита.
9.2.2.2 Наблюдатели, технические эксперты и сопровождающие лица
9.2.2.2.1 Наблюдатели
Присутствие наблюдателей во время аудита и обоснование этого должно быть согласовано органом по сертификации и заказчиком до проведения аудита. Аудиторская группа должна обеспечить, чтобы наблюдатели не оказывали излишнего влияния на процесс аудита или его результаты и не вмешивались в процесс аудита.
Примечание - Наблюдателями могут быть представители организации заказчика, консультанты, представители органа по аккредитации, проводящие наблюдение, представители органов власти или другие уполномоченные лица.
9.2.2.2.2 Технические эксперты
Роль технических экспертов во время аудита должна быть согласована органом по сертификации и заказчиком до проведения аудита. Технический эксперт не должен выступать в качестве аудитора в составе аудиторской группы. Технические эксперты должны сопровождать аудиторов.
Примечание - Технические эксперты могут консультировать аудиторскую группу при подготовке, планировании или проведении аудита.
9.2.2.2.3 Сопровождающие лица
Каждого аудитора должен сопровождать представитель заказчика, если только руководитель аудиторской группы и заказчик не договорились об ином. Сопровождающее аудиторскую группу лицо(а) назначается(ются) для того, чтобы содействовать проведению аудита. Аудиторская группа должна следить за тем, чтобы сопровождающие лица не влияли и не вмешивались в процесс или результаты аудита.
Примечания
1 В обязанности сопровождающего лица может входить:
a) установление контактов и времени проведения интервью;
b) организация посещения конкретных участков в месте осуществления деятельности;
c) обеспечение знания и соблюдения членами аудиторской группы правил безопасности и охраны;
d) наблюдение за ходом аудита от имени заказчика;
e) предоставление по запросу аудитора разъяснений или соответствующей информации.
2 Там, где это применимо, лицо, которое подвергается аудиту, может выступать в роли сопровождающего.
9.2.3.1 Общие положения
Орган по сертификации должен обеспечить разработку плана аудита перед каждым аудитом, указанным в программе аудита, чтобы обеспечить основу для соглашения по вопросам проведения деятельности по аудиту и ее распределения во времени.
Примечание - Не предполагается, что орган по сертификации будет разрабатывать план каждого аудита одновременно с разработкой программы аудита.
9.2.3.2 Подготовка плана аудита
План аудита должен соответствовать целям и области аудита. План аудита должен, по крайней мере, включать в себя или ссылаться на следующее:
a) цели аудита;
b) критерии аудита;
c) область аудита, включая установление организационных и функциональных структур или процессов, подлежащих аудиту;
d) даты и места осуществления деятельности, где будет осуществляться деятельность по аудиту, включая посещения временных мест осуществления деятельности и, где это приемлемо, проведение дистанционных аудитов;
e) прогнозируемую продолжительность аудита на месте;
f) роли, обязанности и ответственность членов аудиторской группы и сопровождающих лиц, таких как наблюдатели или переводчики.
Примечание - Информация о плане аудита может содержаться более чем в одном документе.
9.2.3.3 Информирование о задачах аудиторской группы
Задачи, поставленные перед аудиторской группой, должны быть определены и требовать от аудиторской группы:
a) провести экспертизу и убедиться в том, что структура, политики, процессы, процедуры, записи и соответствующие документы заказчика, соответствуют стандарту на систему менеджмента;
b) убедиться, что они соответствуют всем требованиям, относящимся к предполагаемой области сертификации;
c) убедиться, что процессы и процедуры результативно установлены, внедрены и поддерживаются в рабочем состоянии, чтобы обеспечить основу для доверия к системе менеджмента заказчика;
d) довести до сведения заказчика любые расхождения между его политикой, целями и задачами, для принятия им соответствующих мер.
9.2.3.4 Информирование о плане аудита
План аудита должен быть доведен до сведения заказчика, а даты проведения аудита должны быть заранее с ним согласованы.
9.2.3.5 Информирование о членах аудиторской группы
Орган по сертификации должен сообщить фамилии и, по запросу, предоставить справочную информацию о каждом члене аудиторской группы, при этом у заказчика должно быть достаточно времени, чтобы возразить против назначения любого конкретного члена аудиторской группы, а у органа по сертификации - чтобы пересмотреть состав аудиторской группы в ответ на любое обоснованное возражение.
9.3.1.1 Общие положения
Первоначальный сертификационный аудит системы менеджмента следует проводить в два этапа: первый и второй.
9.3.1.2 Первый этап аудита
9.3.1.2.1 Планирование должно обеспечить достижение целей первого этапа, а заказчик должен быть проинформирован о проведении любых работ "на месте" в ходе первого этапа.
Примечание - Первый этап аудита не требует официального плана аудита (см. 9.2.3).
9.3.1.2.2 Целями первого этапа аудита являются:
a) анализ документированной информации системы менеджмента заказчика;
b) оценка условий на конкретных местах осуществления деятельности заказчика и проведение обсуждения с персоналом заказчика степени готовности ко второму этапу аудита;
c) анализ состояния заказчика и понимания им требований стандарта, в частности, в отношении идентификации ключевых показателей или значимых аспектов, процессов, целей и функционирования системы менеджмента;
d) получение необходимой информации об области применения системы менеджмента, включая информацию о:
- месте(ах) осуществления деятельности заказчиком;
- используемых процессах и оборудовании;
- уровне установленных средств и методов управления (особенно в случае заказчиков, имеющих несколько площадок);
- применимых законодательных и нормативных требованиях;
e) анализ распределения ресурсов, необходимых для проведения второго этапа аудита, и согласование с заказчиком деталей второго этапа аудита;
f) расстановка акцентов для планирования второго этапа аудита посредством достаточного понимания функционирования системы менеджмента и мест осуществления деятельности заказчика в контексте стандарта на систему менеджмента или другого нормативного документа;
g) оценка того, планируются ли и проводятся ли внутренние аудиты и анализы со стороны руководства, и подтверждает ли уровень внедрения системы менеджмента, что заказчик готов к проведению второго этапа аудита.
Примечание - Если хотя бы часть первого этапа аудита будет проведена на территории заказчика, это поможет достичь целей, указанных выше.
9.3.1.2.3 Документально оформленные заключения относительно достижения целей первого этапа аудита и готовности ко второму этапу аудита должны быть доведены до сведения заказчика, включая указание на все проблемные области, которые могут быть классифицированы как несоответствия на втором этапе аудита.
Примечание - Заключения по результатам первого этапа аудита не обязательно должны полностью соответствовать требованиям к отчету об аудите (см. 9.4.8).
9.3.1.2.4 При определении интервала между первым и вторым этапами аудита должны быть рассмотрены потребности заказчика в устранении проблемных областей, выявленных на первом этапе. Органу по сертификации также может потребоваться время, чтобы пересмотреть свои мероприятия по подготовке второго этапа аудита. Если выявлены какие-либо значительные изменения, которые повлияют на систему менеджмента, орган по сертификации должен рассмотреть необходимость повторения всего или части первого этапа аудита. Заказчик должен быть проинформирован о том, что результаты первого этапа аудита могут привести к отсрочке или отмене второго этапа аудита.
9.3.1.3 Второй этап аудита
Целью второго этапа аудита является оценка внедрения, включая результативность системы менеджмента заказчика. Второй этап необходимо проводить на месте(ах) осуществления деятельности заказчика. Он должен включать в себя аудит, по крайней мере, следующего:
a) информации и доказательств соответствия всем требованиям применяемого стандарта на систему менеджмента или других нормативных документов;
b) показателей деятельности по мониторингу, измерению, ведению отчетности и анализа ключевых показателей деятельности в отношении целей и задач (в соответствии с ожиданиями в применяемом стандарте на систему менеджмента или другом нормативном документе);
c) способности системы менеджмента заказчика и показателей ее функционирования в отношении выполнения применимых законодательных, нормативных и договорных требований;
d) управления процессами заказчиком;
e) внутреннего аудита и анализа со стороны руководства;
f) ответственности руководства за политику заказчика.
9.3.1.4 Заключение по итогам первоначального сертификационного аудита
Аудиторская группа должна проанализировать всю информацию и свидетельства аудита, полученные на первом и втором этапах аудита, чтобы на основе результатов аудита прийти к соглашению относительно заключения аудита.
Орган по сертификации должен установить процесс проведения аудитов "на месте". Этот процесс должен включать в себя вступительное совещание в начале аудита и заключительное совещание по завершении аудита.
Если какая-либо часть аудита осуществляется с помощью электронных средств коммуникации или проверяемое место осуществления деятельности является виртуальным, орган по сертификации должен обеспечить, чтобы такие действия проводились персоналом, обладающим соответствующей компетентностью. Свидетельства, полученные в ходе такого аудита, должны быть достаточными для того, чтобы аудитор мог принять обоснованное решение о соответствии рассматриваемому требованию.
Примечание - Аудиты "на месте" могут включать удаленный доступ к электронному(ым) сайту(ам), содержащему(им) информацию, имеющую отношение к аудиту системы менеджмента. Также может быть рассмотрена возможность использования электронных средств для проведения аудитов.
Официальное вступительное совещание следует проводить с руководством заказчика и, где это уместно, с лицами, ответственными за функции или процессы, подлежащие аудиту. Цель вступительного совещания, которое обычно проводит руководитель аудиторской группы, - дать краткое объяснение того, как будет осуществляться деятельность по аудиту. Степень детализации должна соответствовать степени знакомства заказчика с процессом аудита и охватить следующее:
a) представление участников, включая краткое описание их обязанностей;
b) подтверждение области сертификации;
c) подтверждение плана аудита (включая тип и область аудита, его цели и критерии), любых изменений и других соответствующих договоренностей с заказчиком, таких как дата и время заключительного совещания, промежуточных совещаний аудиторской группы с руководством заказчика;
d) подтверждение официальных каналов связи между аудиторской группой и заказчиком;
e) подтверждение наличия ресурсов и средств, необходимых аудиторской группе;
f) подтверждение положений, касающихся конфиденциальности;
g) подтверждение соответствующих процедур по обеспечению безопасности труда, действиям в чрезвычайных ситуациях и обеспечению личной безопасности аудиторской группы;
h) подтверждение наличия, обязанностей и персонального состава всех сопровождающих лиц и наблюдателей;
i) информацию о методе составления и предоставления отчета об аудите, включая классификацию наблюдений аудита;
j) информирование об условиях, при которых аудит может быть досрочно прекращен;
k) подтверждение того, что руководитель аудиторской группы и аудиторская группа, представляющая орган по сертификации, несут ответственность за аудит и контролируют выполнение плана аудита, включая деятельность по проведению аудита и последовательность проведения аудита;
l) подтверждение статуса результатов предыдущего анализа или аудита, если это применимо;
m) информирование о методах и процедурах, которые будут применяться при проведении аудита, основанного на выборочной проверке;
n) подтверждение языка, который будет использоваться во время аудита;
o) подтверждение того, что во время аудита заказчик будет информирован о ходе аудита и о любых проблемах;
p) предоставление возможности заказчику задать вопросы.
9.4.3.1 Во время аудита аудиторская группа должна периодически оценивать ход аудита и обмениваться информацией. Руководитель аудиторской группы должен, при необходимости, перераспределять работу между членами аудиторской группы и периодически сообщать заказчику о ходе аудита и любых проблемах.
9.4.3.2 Если имеющиеся свидетельства аудита указывают на то, что цели аудита недостижимы или свидетельствуют о наличии непосредственного и значительного риска (например, безопасности), руководитель аудиторской группы должен сообщить об этом заказчику и, если возможно, органу по сертификации, чтобы определить соответствующие действия. Такие действия могут включать повторное подтверждение или изменения плана аудита, изменение целей или области аудита или прекращение аудита. Руководитель аудиторской группы должен сообщить органу по сертификации о результатах принятых мер.
9.4.3.3 Руководитель аудиторской группы должен рассмотреть с заказчиком любую необходимость внесения изменений в область аудита, которая становится очевидной по мере проведения аудита "на месте", и сообщить об этом органу по сертификации.
9.4.4.1 Во время аудита информация, относящаяся к целям, области и критериям аудита (включая информацию о взаимодействии между функциями, видами деятельности и процессами), должна быть получена путем соответствующей выборки и проверена, чтобы стать свидетельством аудита.
9.4.4.2 Методы получения информации включают (но не ограничиваются):
a) интервью;
b) наблюдение за процессами и деятельностью;
c) изучение документации и записей.
9.4.5.1 Наблюдения аудита, обобщающие соответствие и детализирующие несоответствия, должны быть идентифицированы, классифицированы и задокументированы, чтобы можно было принять обоснованное решение о сертификации или подтвердить сертификацию.
9.4.5.2 Возможности для улучшения могут быть выявлены и задокументированы, если это не запрещено требованиями схемы сертификации системы менеджмента. Вместе с тем, наблюдения аудита, которые являются несоответствиями, не могут быть задокументированы как возможности для улучшения.
9.4.5.3 Выявленное несоответствие должно быть зарегистрировано в отношении конкретного требования и должно содержать четкое изложение несоответствия с подробным указанием объективных свидетельств, на которых это несоответствие основано. Несоответствия должны быть обсуждены с заказчиком, чтобы убедиться в точности свидетельств и в том, что несоответствия понятны. Однако аудитор должен воздерживаться от высказывания предположений о причинах несоответствий или путях/способах их устранения.
9.4.5.4 Руководитель аудиторской группы должен попытаться урегулировать любые расхождения во мнениях между аудиторской группой и заказчиком относительно свидетельств или наблюдений аудита, а нерешенные вопросы должны быть задокументированы.
Под руководством руководителя аудиторской группы перед заключительным совещанием аудиторская группа должна:
a) проанализировать наблюдения аудита и любую другую соответствующую информацию, полученную в ходе аудита, на предмет их соответствия целям и критериям аудита и систематизировать несоответствия;
b) согласовать заключения по аудиту с учетом неопределенности, присущей процессу аудита;
c) согласовать любые последующие действия;
d) подтвердить приемлемость программы аудита или определить любые изменения, которые необходимы для будущих аудитов (например, область сертификации, продолжительность или даты аудита, частота инспекционного контроля, компетентность аудиторской группы).
9.4.7.1 Официальное заключительное совещание, на котором регистрируется присутствие, проводится с руководством заказчика и, где это уместно, с лицами, ответственными за функции или процессы, подвергшиеся аудиту. Цель заключительного совещания, которое обычно проводит руководитель аудиторской группы, - представить заключение по итогам аудита, включая рекомендации относительно возможности сертификации. Любые несоответствия должны быть представлены таким образом, чтобы они были понятны, и должны быть согласованы сроки реагирования на них.
Примечание - "Понятно" не обязательно означает, что несоответствия были приняты заказчиком.
9.4.7.2 Заключительное совещание должно также включать следующие элементы, степень детализации которых должна соответствовать степени знакомства заказчика с процессом аудита:
a) информирование заказчика о том, что полученные свидетельства аудита основаны на выборочной информации, что вносит элемент неопределенности;
b) метод и сроки предоставления отчета об аудите, включая классификацию наблюдений аудита;
c) процесс работы органа по сертификации с несоответствиями, включая любые последствия, связанные со статусом сертификации заказчика;
d) сроки, в течение которых заказчик должен представить план коррекции и корректирующих действий для любых несоответствий, выявленных в ходе аудита;
e) информацию о действиях органа по сертификации после проведения аудита;
f) информацию о процессах рассмотрения жалоб и апелляций.
9.4.7.3 Заказчику должна быть предоставлена возможность задать вопросы. Любые расхождения оценок в отношении наблюдений аудита или заключений по наблюдениям аудита между аудиторской группой и заказчиком должны быть обсуждены и, по возможности, разрешены. Любые расхождения во мнениях, которые не удалось разрешить, должны быть задокументированы и переданы в орган по сертификации.
9.4.8.1 Орган по сертификации должен представить заказчику письменный отчет по результатам аудита. Аудиторская группа может выявить возможности для улучшения, но не должна рекомендовать конкретные решения. Право собственности на отчет об аудите должно сохраняться за органом по сертификации.
9.4.8.2 Руководитель аудиторской группы должен обеспечить подготовку отчета об аудите и нести ответственность за его содержание. Отчет об аудите должен представлять собой точные, краткие и понятные записи об аудите, позволяющие принять обоснованное решение о сертификации, и должен включать или содержать ссылки на следующее:
a) идентификацию органа по сертификации;
b) наименование и адрес заказчика и представителя заказчика;
c) тип аудита (например, первоначальный, инспекционный или ресертификационный аудит или специальные аудиты);
d) критерии аудита;
e) цели аудита;
f) область аудита, в частности, подвергнутые аудиту организационные или функциональные структуры или процессы, а также сроки проведения аудита;
g) любые отклонения от плана аудита и их причины;
h) любые существенные вопросы, повлиявшие на программу аудита;
i) идентификацию руководителя аудиторской группы, членов аудиторской группы и любых сопровождающих лиц;
j) даты и места проведения аудита (на месте осуществления деятельности или за его пределами, на постоянных или временных местах осуществления деятельности);
k) наблюдения аудита (см. 9.4.5), ссылки на свидетельства и заключения аудита в соответствии с требованиями вида аудита;
l) существенные изменения, если таковые имелись, которые повлияли на систему менеджмента заказчика со времени предыдущего аудита;
m) любые нерешенные вопросы, если таковые были выявлены;
n) где это применимо, является ли аудит комбинированным, совместным или комплексным;
o) защитительное заявление, указывающее на то, что аудит основан на процессе выборки из доступной информации;
p) рекомендации аудиторской группы;
q) результативность контроля со стороны заказчика, прошедшего аудит, за использованием документов о сертификации и сертификационных знаков, если применимо;
r) верификация результативности предпринятых корректирующих действий в отношении ранее выявленных несоответствий, если применимо.
9.4.8.3 Отчет об аудите также должен содержать:
a) заявление о соответствии и результативности системы менеджмента вместе с обобщенным изложением свидетельств, относящихся к:
- способности системы менеджмента соответствовать применимым требованиям и ожидаемым результатам;
- процессу внутреннего аудита и анализа со стороны руководства;
b) заключение о правомерности области сертификации;
c) подтверждение того, что цели аудита были достигнуты.
Орган по сертификации должен потребовать от заказчика в течение определенного времени проанализировать причину и описать конкретные корректирующие действия, которые были предприняты или планируется предпринять для устранения выявленных несоответствий.
Орган по сертификации должен проанализировать представленные заказчиком коррекции, выявленные причины и корректирующие действия, чтобы определить, являются ли они приемлемыми. Орган по сертификации должен верифицировать результативность любых коррекций и предпринятых корректирующих действий. Свидетельства, подтверждающие устранение несоответствий, должны быть задокументированы. Заказчик должен быть проинформирован о результатах анализа и верификации. Заказчик должен быть проинформирован о необходимости проведения дополнительного полного аудита, дополнительного ограниченного аудита или документированных доказательств (которые должны быть подтверждены во время последующих аудитов) для верификации результативности коррекции и корректирующих действий, если такая необходимость возникнет.
Примечание - Верификация результативности коррекции и корректирующих действий может быть проведена на основе анализа документации, предоставленной заказчиком, или, где это необходимо, путем верификации непосредственно на месте. Обычно эту работу выполняет один из членов аудиторской группы.
9.5.1.1 Орган по сертификации должен обеспечить, чтобы лица или комитеты, принимающие решения о сертификации или отказе в сертификации, расширении или сокращении области сертификации, приостановке или возобновлении, отмене или обновлении сертификации, не принимали участие в аудитах. Лицо(а), назначенное для принятия решения о сертификации, должно обладать соответствующей компетентностью.
9.5.1.2 Лицо(а) [за исключением членов комитетов (см. 6.1.4)], назначенное органом по сертификации для принятия решения о сертификации, должно быть штатным сотрудником органа по сертификации или привлекаться к работе на основе юридически действительного соглашения с органом по сертификации или с юридическим лицом, действующим под организационным управлением органа по сертификации. Организационное управление со стороны органа по сертификации должно быть основано на одном из нижеследующего:
a) полное или контрольное владение органом по сертификации другим юридическим лицом;
b) участие органа по сертификации в совете директоров другого юридического лица с правом блокирования принятия решений;
c) документально подтвержденных полномочий органа по сертификации в отношении другого юридического лица в сети юридических лиц (в которой находится орган по сертификации), связанных между собой правом собственности или участием в совете директоров.
Примечание - Для органов по сертификации, являющихся частью государственных структур, другие части одной и той же части государственной структуры могут рассматриваться как "связанные собственностью" с органом по сертификации.
9.5.1.3 Лица, являющиеся работниками организаций, находящихся под организационным управлением органа по сертификации, или привлекаемые этими организациями по договору, должны выполнять те же требования настоящего стандарта, что и лица, являющиеся работниками органа по сертификации или привлекаемые органом по сертификации по договору.
9.5.1.4 Орган по сертификации должен документировать каждое решение о сертификации, включая любую дополнительную информацию или разъяснения, полученные от аудиторской группы или других источников.
Орган по сертификации должен установить процесс для проведения перед принятием решения о сертификации, расширении или сокращении области сертификации, обновлении, приостановке, возобновлении или отмене сертификации эффективного анализа того, что:
a) информация, представленная аудиторской группой, является достаточной в отношении требований сертификации и области сертификации;
b) для любых значительных несоответствий он рассмотрел, принял и верифицировал коррекции и корректирующие действия;
c) для любых незначительных несоответствий он рассмотрел и принял план заказчика по коррекциям и корректирующим действиям.
9.5.3.1 Информация, представляемая аудиторской группой органу по сертификации для принятия решения о сертификации, должна, как минимум, включать:
a) отчет об аудите;
b) комментарии по несоответствиям и, где это применимо, коррекциям и корректирующим действиям, предпринятым заказчиком;
c) подтверждение информации, представленной органу по сертификации и использованной при рассмотрении заявки (см. 9.1.2);
d) подтверждение того, что цели аудита были достигнуты;
e) рекомендации по предоставлению или отказу в сертификации вместе с любыми условиями или замечаниями.
9.5.3.2 Если орган по сертификации не может верифицировать выполнение коррекций и корректирующих действий в отношении любого значительного несоответствия в течение 6 мес после последнего дня второго этапа аудита, орган по сертификации должен повторно провести второй этап аудита, прежде чем принять решение о сертификации.
9.5.3.3 В тех случаях, когда предусматривается передача сертификации от одного органа по сертификации к другому, принимающий орган по сертификации должен иметь процесс получения информации в объеме, достаточном для принятия решения о сертификации.
Примечание - Схемы сертификации могут иметь особые правила, касающиеся передачи сертификации.
Орган по сертификации принимает решения об обновлении сертификации, основываясь на результатах ресертификационного аудита, равно как на результатах анализа функционирования системы за период ее сертификации и жалоб, полученных от пользователей сертификации.
Орган по сертификации должен подтверждать сертификацию на основе демонстрации того, что заказчик продолжает соответствовать требованиям стандарта на систему менеджмента. Орган по сертификации может подтвердить сертификацию заказчика на основе положительного заключения руководителя аудиторской группы без дальнейшего независимого анализа и принятия решения при условии, что:
a) для любого значительного несоответствия или другой ситуации, которая может привести к приостановке или отмене сертификации, орган по сертификации имеет систему, которая требует, чтобы руководитель аудиторской группы сообщил органу по сертификации о необходимости инициировать проведение анализа компетентным персоналом (см. 7.2.8), отличным от персонала, проводившего аудит, чтобы определить, может ли сертификация быть подтверждена;
b) компетентный персонал органа по сертификации проводит мониторинг деятельности по инспекционному контролю, включая мониторинг отчетной документации его аудиторов, в целях подтверждения того, что деятельность по сертификации осуществляется должным образом.
9.6.2.1 Общие положения
9.6.2.1.1 Орган по сертификации должен планировать свою деятельность по инспекционному контролю таким образом, чтобы репрезентативные области и функции, охватываемые областью применения системы менеджмента, подвергались мониторингу на регулярной основе и учитывали изменения, происходящие с сертифицированным заказчиком и его системой менеджмента.
9.6.2.1.2 Деятельность по инспекционному контролю должна включать проведение аудитов на месте с целью оценки соответствия сертифицированной системы менеджмента заказчика определенным требованиям стандарта, на соответствие которому предоставлена сертификация. Другие действия по контролю могут включать:
a) запросы органа по сертификации сертифицированному заказчику по аспектам сертификации;
b) анализ любых заявлений сертифицированного заказчика, касающихся его деятельности (например, в рекламных материалах, на веб-сайте);
c) обращения к сертифицированному заказчику для получения документированной информации (на бумажных или электронных носителях);
d) другие средства мониторинга деятельности сертифицированного заказчика.
9.6.2.2 Инспекционный аудит
Инспекционные аудиты - это аудиты, проводимые на месте осуществления деятельности, но не обязательно аудиты всей системы. Они должны планироваться вместе с другими мероприятиями по инспекционному контролю, чтобы орган по сертификации мог быть уверен, что сертифицированная система менеджмента заказчика продолжает соответствовать требованиям между ресертификационными аудитами. Каждый инспекционный аудит по соответствующему стандарту на систему менеджмента должен включать:
a) результаты внутренних аудитов и анализа со стороны руководства;
b) анализ действий, предпринятых в отношении несоответствий, выявленных во время предыдущего аудита;
c) рассмотрение жалоб;
d) результативность системы менеджмента в отношении достижения целей сертифицированного заказчика и намеченных результатов соответствующей системы (систем) менеджмента;
e) ход запланированных мероприятий, направленных на постоянное улучшение;
f) анализ непрерывности управления осуществляемой деятельности;
g) анализ любых изменений;
h) использования знаков соответствия и/или других ссылок на сертификацию.
9.6.3.1 Планирование ресертификационного аудита
9.6.3.1.1 Цель ресертификационного аудита - подтвердить сохранение соответствия и результативности системы менеджмента в целом, а также ее пригодность и применимость к области сертификации. Ресертификационный аудит должен быть спланирован и проведен с целью оценки сохраняющегося соответствия всем требованиям соответствующего стандарта на систему менеджмента или другого нормативного документа. Он должен быть спланирован и проведен своевременно, чтобы обеспечить возможность обновления сертификата до истечения срока действия имеющегося сертификата.
9.6.3.1.2 Деятельность по ресертификации должна включать анализ отчетов о предыдущих инспекционных аудитах и рассмотрение показателей функционирования системы менеджмента в течение последнего сертификационного цикла.
9.6.3.1.3 В ситуациях, когда произошли значительные изменения в системе менеджмента, организации или в среде организации, в которой функционирует система менеджмента (например, изменения в законодательстве), может потребоваться проведение первого этапа аудита в рамках ресертификационного аудита.
Примечание - Такие изменения могут произойти в любое время в течение сертификационного цикла, и органу по сертификации может потребоваться проведение специального аудита (см. 9.6.4), который может быть, а может и не быть двухэтапным аудитом.
9.6.3.2 Ресертификационный аудит
9.6.3.2.1 Ресертификационный аудит должен включать в себя аудит "на месте", в ходе которого рассматриваются следующие вопросы:
a) результативность системы менеджмента в целом в свете внутренних и внешних изменений и ее сохраняющаяся пригодность и применимость к области сертификации;
b) продемонстрированная приверженность (см. ГОСТ Р ИСО 9001, пункт 5.1) поддерживать результативность и совершенствовать систему менеджмента в целях улучшения деятельности организации в целом;
c) результативность системы менеджмента в отношении достижения целей сертифицированного заказчика и намеченных результатов соответствующей системы (систем) менеджмента.
9.6.3.2.2 Для любого значительного несоответствия орган по сертификации должен определить временные рамки для коррекции и корректирующих действий. Эти действия должны быть выполнены и верифицированы до истечения срока действия сертификата.
9.6.3.2.3 Если мероприятия по ресертификации успешно завершены до истечения срока действия действующего сертификата, дата истечения срока действия нового сертификата может быть основана на дате истечения срока действия действующего сертификата. Дата выдачи нового сертификата должна приходиться на решение о ресертификации или после него.
9.6.3.2.4 Если орган по сертификации не завершил ресертификационный аудит или орган по сертификации не может верифицировать коррекции и корректирующие действия для любого значительного несоответствия (см. 9.5.2) до истечения срока признания сертификации, то ресертификация не рекомендуется и признание сертификации не продлевается. Заказчик должен быть проинформирован и последствия этого должны быть ему разъяснены.
9.6.3.2.5 После истечения срока действия сертификата орган по сертификации может возобновить сертификацию в течение 6 мес, при условии завершения оставшихся работ по ресертификации, в противном случае должен быть проведен, как минимум, второй этап аудита. Дата вступления в силу сертификата должна наступать после принятия решения о ресертификации, а дата окончания срока действия должна быть основана на предыдущем цикле сертификации.
9.6.4.1 Расширение области сертификации
Орган по сертификации в ответ на заявку о расширении области сертификации должен провести анализ заявки и определить любые действия по аудиту, необходимые для принятия решения о возможности расширения. Это может быть проведено в сочетании с инспекционным аудитом.
9.6.4.2 Аудиты с краткосрочным предварительным уведомлением
Органу по сертификации может потребоваться проведение аудита сертифицированного заказчика с краткосрочным предварительным уведомлением для расследования жалоб или в ответ на произошедшие изменения или же в случае приостановления действия сертификата заказчика. В таких случаях:
a) орган по сертификации должен описать и довести до сведения сертифицированных заказчиков (например, в документах, как описано в 8.5.1) условия, на которых будут проводиться такие аудиты;
b) орган по сертификации должен проявить дополнительную осторожность при назначении аудиторской группы из-за отсутствия у заказчика возможности возразить против состава аудиторской группы.
9.6.5.1 Орган по сертификации должен разработать политику и документированную процедуру(ы) для приостановки, отзыва или сокращения области сертификации и должен установить дальнейшие действия по сертификации.
9.6.5.2 Орган по сертификации должен приостановить сертификацию в случаях, когда, например:
- сертифицированная система менеджмента заказчика постоянно или значительно не соответствует требованиям сертификации, включая требования к результативности системы менеджмента;
- сертифицированный заказчик не позволяет проводить инспекционные или ресертификационные аудиты с требуемой периодичностью;
- сертифицированный заказчик добровольно запросил приостановить сертификацию.
9.6.5.3 В случае приостановки сертификации системы менеджмента заказчика она временно считается не сертифицированной.
9.6.5.4 Орган по сертификации должен восстановить приостановленную сертификацию, если проблема, которая привела к приостановке, была решена. Неспособность решить проблемы, которые привели к приостановке, в установленный органом по сертификации срок влечет за собой отмену или сокращение области сертификации.
Примечание - В большинстве случаев срок приостановки не превышает 6 мес.
9.6.5.5 Орган по сертификации должен сократить область сертификации, чтобы исключить части, не соответствующие требованиям, если сертифицированный заказчик постоянно или значительно не выполняет требования сертификации для этих частей области сертификации. Любое такое сокращение должно быть связано с требованиями стандарта, используемого для сертификации.
9.7.1 Орган по сертификации должен определить документированный процесс получения, оценки и принятия решений по апелляциям.
9.7.2 Орган по сертификации должен нести ответственность за все решения на всех уровнях процесса рассмотрения апелляций. Орган по сертификации должен обеспечить, чтобы лица, участвующие в процессе рассмотрения апелляций, были отличны от тех, кто проводил аудиты и принимал решения о сертификации.
9.7.3 Подача, рассмотрение и принятие решения по апелляции не должны приводить к каким-либо дискриминационным действиям по отношению к подавшему апелляцию.
9.7.4 Процесс рассмотрения апелляций должен включать, как минимум, следующие элементы и методы:
a) описание процесса получения, проверки и рассмотрения апелляции, а также принятия решения о том, какие действия необходимо предпринять в ответ на нее, с учетом результатов рассмотрения предыдущих аналогичных апелляций;
b) отслеживание и регистрацию апелляций, включая действия, предпринятые для их разрешения;
c) обеспечение принятия любых соответствующих коррекций и корректирующих действий.
9.7.5 Орган по сертификации, получивший апелляцию, должен нести ответственность за сбор и верификацию всей информации для подтверждения обоснованности апелляции.
9.7.6 Орган по сертификации должен подтвердить поступление апелляции и предоставить апеллянту отчеты о ходе и результатах рассмотрения апелляции.
9.7.7 Решение, которое должно быть сообщено апеллянту, должно быть принято или проанализировано и утверждено лицом (лицами), ранее не имевшим отношения к предмету апелляции.
9.7.8 Орган по сертификации должен направить апеллянту официальное уведомление об окончании процесса рассмотрения апелляции.
9.8.1 Орган по сертификации должен нести ответственность за все решения на всех уровнях процесса рассмотрения жалоб.
9.8.2 Подача, расследование и принятие решений по жалобам не должны приводить к дискриминационным действиям в отношении подателя жалобы.
9.8.3 При получении жалобы орган по сертификации должен проверить, относится ли жалоба к деятельности по сертификации, за которую он отвечает, и, если да, должен ее рассмотреть. Если жалоба относится к сертифицированному заказчику, то при рассмотрении жалобы следует принять во внимание результативность сертифицированной системы менеджмента.
9.8.4 Любая обоснованная жалоба на сертифицированного заказчика должна быть ему передана органом по сертификации в соответствующие сроки.
9.8.5 Орган по сертификации должен определить документированный процесс получения, оценки и принятия решений по жалобам. Этот процесс должен соответствовать требованиям конфиденциальности как в отношении заявителя, так и в отношении предмета жалобы.
9.8.6 Процесс рассмотрения жалоб должен включать, как минимум, следующие элементы и методы:
a) описание процесса получения, признания обоснованности, рассмотрения жалобы и принятия решения о том, какие действия необходимо предпринять в ответ на нее;
b) отслеживание и регистрацию жалоб, включая действия, предпринятые в ответ на них;
c) обеспечение принятия соответствующих коррекций и корректирующих действий.
Примечание - Руководящие указания по обращению с жалобами содержатся в ИСО 10002.
9.8.7 Орган по сертификации, получивший жалобу, должен нести ответственность за сбор и проверку всей необходимой информации для признания обоснованности жалобы.
9.8.8 Во всех случаях, когда это можно сделать, орган по сертификации должен подтвердить получение жалобы и предоставить подателю жалобы отчеты о ходе и результатах рассмотрения жалобы.
9.8.9 Решение, которое будет сообщено подателю жалобы, должно быть принято или рассмотрено и утверждено лицом (лицами), ранее не имевшим отношения к предмету жалобы.
9.8.10 Во всех случаях, когда это можно сделать, орган по сертификации должен направить подателю жалобы официальное уведомление о завершении процесса рассмотрения жалобы.
9.8.11 Орган по сертификации должен определить совместно с сертифицированным заказчиком и подателем жалобы, следует ли предавать гласности предмет жалобы и результат ее рассмотрения и если да, то в каком объеме.
9.9.1 Орган по сертификации должен вести записи по аудиту и другой деятельности по сертификации для всех заказчиков, включая все организации, подавшие заявки, и все организации, прошедшие аудит, получившие сертификат или действие сертификатов которых было приостановлено или отменено.
9.9.2 Записи о сертифицированных заказчиках должны включать следующее:
a) информацию, содержащуюся в заявке на сертификацию, а также отчеты о первоначальном, инспекционных и ресертификационном аудитах;
b) соглашение (договор) о сертификации;
c) обоснование методологии, используемой для выборки мест осуществления деятельности, если это необходимо;
Примечание - Методология выборки включает выборку примеров, используемых для аудита конкретной системы менеджмента, и/или выбор мест осуществления деятельности в случае аудита организации, осуществляющей деятельность в нескольких местах.
d) обоснование определения продолжительности работы аудиторов (см. 9.1.4);
e) верификацию коррекций и корректирующих действий;
f) записи о жалобах и апелляциях, а также о любых последующих коррекциях или корректирующих действиях;
g) протоколы и решения комитетов, если применимо;
h) документацию, содержащую решения по сертификации;
i) документы о сертификации, включая область сертификации в отношении продукции, процесса или услуги, в зависимости от обстоятельств;
j) соответствующие записи, необходимые для подтверждения доверия к сертификации, такие как доказательства компетентности аудиторов и технических экспертов;
k) программы аудита.
9.9.3 Орган по сертификации должен хранить записи о заявителях и заказчиках, обеспечивая при этом их конфиденциальность. Записи должны перемещаться, передаваться или пересылаться таким образом, чтобы обеспечить сохранение конфиденциальности.
9.9.4 Орган по сертификации должен придерживаться документированной политики и документированных процедур сохранения записей. Записи о сертифицированных заказчиках и ранее сертифицированных заказчиках должны сохраняться в течение текущего цикла плюс один полный цикл сертификации.
Примечание - В некоторых странах законодательство предусматривает, что записи должны сохраняться в течение более длительного периода времени.
Орган по сертификации должен разработать, задокументировать, применять и поддерживать систему менеджмента, которая способна поддерживать и демонстрировать последовательное выполнение требований настоящего стандарта. В дополнение к выполнению требований разделов с 5 по 9 орган по сертификации должен внедрить систему менеджмента в соответствии с:
a) общими требованиями к системе менеджмента (см. 10.2)
или
b) с требованиями к системе менеджмента согласно ИСО 9001 (см. 10.3).
Орган по сертификации должен создать, документировать, применять и поддерживать систему менеджмента, способную обеспечивать и демонстрировать постоянное выполнение требований настоящего стандарта.
Высшее руководство органа по сертификации должно установить и документировать политики и цели его деятельности. Высшее руководство должно представить доказательства своей приверженности разработке и применению системы менеджмента в соответствии с требованиями данного стандарта. Высшее руководство должно обеспечить понимание, реализацию и поддержание политик на всех уровнях органа по сертификации.
Высшее руководство органа по сертификации должно назначить ответственных и предоставить полномочия для:
a) обеспечения того, чтобы процессы и процедуры, необходимые для системы менеджмента, были разработаны, применялись и поддерживались;
b) представления отчетов высшему руководству о показателях функционирования системы менеджмента и потребностях в ее улучшении.
Способы реализации всех применимых требований настоящего стандарта должны быть представлены в руководстве по системе менеджмента либо в сопутствующих документах. Орган по сертификации должен обеспечить доступ к руководству по системе менеджмента и соответствующим сопутствующим документам всему соответствующему персоналу.
Орган по сертификации должен установить процедуры управления документами (внутренними и внешними), относящимися к выполнению данного стандарта. Процедуры должны определять средства и методы управления, необходимые для:
a) проверки документов на адекватность перед выпуском;
b) анализа, актуализации (если необходимо) и переутверждения документов;
c) обеспечения идентификации изменений и действующей редакции документов;
d) обеспечения доступности соответствующих версий применимых документов в местах их использования;
e) обеспечения сохранности документов, чтобы они оставались удобочитаемыми и легко идентифицируемыми;
f) обеспечения идентификации документов внешнего происхождения и управления их распространением;
g) предотвращения непреднамеренного использования устаревших (отмененных) документов и применения к ним соответствующей идентификации, если они сохраняются для каких-либо целей.
Примечание - Документация может быть представлена в любой форме и на любом носителе.
Орган по сертификации должен установить процедуры для определения средств и методов управления, необходимых для идентификации, хранения, защиты, поиска, установления срока хранения, а также утилизации своих записей, относящихся к выполнению настоящего стандарта.
Орган по сертификации должен установить процедуры сохранения записей в течение периода, соответствующего его договорным и юридическим обязательствам. Доступ к таким записям должен соответствовать договоренностям о конфиденциальности.
Примечание - Требования к записям о сертифицированных заказчиках см. также в 9.9.
10.2.5.1 Общие положения
Высшее руководство органа по сертификации должно установить процедуры проведения анализа системы менеджмента через запланированные промежутки времени, чтобы убедиться в ее сохраняющейся пригодности, адекватности и результативности, включая заявленные политики и цели, относящиеся к выполнению требований настоящего стандарта. Такой анализ должен проводиться не реже одного раза в год.
10.2.5.2 Исходные данные для анализа
Исходные данные для анализа системы менеджмента должны включать информацию, касающуюся:
a) результатов внутренних и внешних аудитов;
b) отзывов заказчиков и заинтересованных сторон;
c) обеспечения беспристрастности;
d) статуса корректирующих действий;
e) статуса действий по реагированию на риски;
f) последующих действий по результатам предыдущих анализов со стороны руководства;
g) достижения целей;
h) изменений, которые могли бы повлиять на систему менеджмента;
i) апелляций и жалоб.
10.2.5.3 Результаты анализа
Результаты анализа системы менеджмента должны включать решения и действия, связанные с:
a) повышением результативности системы менеджмента и ее процессов;
b) улучшением услуг по сертификации, связанных с выполнением требований настоящего стандарта;
c) потребностями в ресурсах;
d) пересмотром политики и целей организации.
10.2.6.1 Орган по сертификации должен установить процедуры проведения внутренних аудитов для верификации выполнения требований данного стандарта и результативности применения и поддержания системы менеджмента.
Примечание - ИСО 19011 содержит руководящие указания по проведению внутренних аудитов.
10.2.6.2 Программа аудита должна быть спланирована с учетом важности процессов и областей, подлежащих аудиту, а также результатов предыдущих аудитов.
10.2.6.3 Внутренние аудиты следует проводить не реже одного раза каждые 12 мес. Частота внутренних аудитов может быть сокращена, если орган по сертификации может продемонстрировать, что его система менеджмента продолжает результативно применяться в соответствии с настоящим стандартом и имеет доказанную стабильность.
10.2.6.4 Орган по сертификации должен обеспечить уверенность в том, что:
a) внутренние аудиты проводит квалифицированный персонал, обладающий знаниями в области сертификации, проведения аудитов, а также знаниями требований данного стандарта;
b) аудиторы не проводят аудит собственной деятельности;
c) персонал, ответственный за область, подвергнутую аудиту, проинформирован о результатах аудита;
d) любые действия, предпринимаемые по итогам внутренних аудитов, осуществляются своевременно и соответствующим образом;
e) выявляются любые возможности улучшения.
Орган по сертификации должен установить процедуры для идентификации и управления несоответствиями в своей деятельности. Орган по сертификации должен также, при необходимости, предпринять действия по устранению причин несоответствий с целью предотвращения их повторения. Корректирующие действия должны соответствовать влиянию возникших проблем. Процедуры должны определять требования к:
a) выявлению несоответствий (например, на основе обоснованных жалоб и внутренних аудитов);
b) определению причин несоответствий;
c) устранению несоответствий;
d) оценке необходимости действий для того, чтобы несоответствия не повторялись;
e) определению и своевременному выполнению необходимых действий;
f) фиксации результатов предпринятых действий;
g) анализу результативности корректирующих действий.
Орган по сертификации должен создать и поддерживать систему менеджмента в соответствии с требованиями ИСО 9001, которая способна поддерживать и демонстрировать постоянное выполнение требований данного стандарта, дополненных требованиями 10.3.2 - 10.3.4.
Для применения требований ИСО 9001 область применения системы менеджмента должна включать требования к проектированию и разработке услуг по сертификации.
Для применения требований ИСО 9001 при разработке системы менеджмента орган по сертификации должен учитывать доверие к сертификации и реагировать на потребности всех сторон (как указано в 4.1.2), которые полагаются на его услуги по аудиту и сертификации, а не только своих заказчиков.
Для применения требований ИСО 9001 орган по сертификации должен включить в качестве исходных данных для анализа со стороны руководства информацию о соответствующих апелляциях и жалобах от пользователей деятельности по сертификации и анализе беспристрастности.
(обязательное)
A.1 Общие положения
В таблице A.1 указаны знания и навыки, которые орган по сертификации должен определить для лиц, осуществляющих конкретные функции в области сертификации. "X" означает, что орган по сертификации должен определить критерии и глубину знаний и навыков. Требования к знаниям и навыкам, указанным в таблице A.1, более подробно описаны в разделах текста после таблицы, обозначенных номерами в скобках.
Таблица A.1
Знания и навыки | Функции в области сертификации | ||
Проведение анализа заявки для определения требуемой компетентности аудиторской группы, отбора членов аудиторской группы и определение продолжительности аудита | Проведение анализа отчетов об аудите и принятие решений о сертификации | Проведение аудита и руководство аудиторской группой | |
Знание практики ведения бизнес-менеджмента | X (см. A.2.1) | ||
Знание принципов, практики и методов проведения аудитов | X (см. A.3.1) | X (см. A.2.2) | |
Знание стандартов/нормативных документов на конкретную систему менеджмента | X (см. A.4.1) | X (см. A.3.2) | X (см. A.2.3) |
Знание процессов органа по сертификации | X (см. A.4.2) | X (см. A.3.3) | X (см. A.2.4) |
Знание экономической сферы деятельности заказчика | X (см. A.4.3) | X (см. A.3.4) | X (см. A.2.5) |
Знание продукции, процессов и организации заказчика | X (см. A.4.4) | X (см. A.2.6) | |
Владение языком, приемлемым для всех уровней организации заказчика | X (см. A.2.7) | ||
Навыки ведения записей и составления отчетов | X (см. A.2.8) | ||
Навыки представления информации | X (см. A.2.9) | ||
Навыки взятия интервью | X (см. A.2.10) | ||
Навыки управления аудитами | X (см. A.2.11) | ||
Примечание - Другими факторами, влияющими на определение уровня специальных знаний, необходимых для выполнения любой из функций в области сертификации, являются риск и сложность. | |||
A.2 Требования к компетентности членов аудиторской группы
Знание общих типов организаций, их размера, системы руководства, структуры и практики работы, информационных систем и систем сбора и обработки данных, систем документации, а также информационных технологий.
Знание общих принципов, практики и методов проведения аудита систем менеджмента, как указано в настоящем стандарте, достаточное для проведения сертификационных аудитов и оценки процессов внутренних аудитов.
Знание стандарта на систему менеджмента или других нормативных документов, установленных для конкретной сертификации, достаточное для того, чтобы определить, насколько результативно она применяется и соответствует требованиям.
Знание процессов органа по сертификации, достаточное для выполнения работы в соответствии с процедурами и процессами органа по сертификации.
Знание терминологии, практики и процессов, характерных для экономической сферы деятельности заказчика, достаточное для понимания отраслевых ожиданий с точки зрения стандарта на систему менеджмента или другого нормативного документа.
Примечание - Под экономической сферой деятельности следует понимать область экономической деятельности (например, авиакосмическая отрасль, химическая промышленность, финансовые услуги).
Знания, связанные с видами выпускаемой заказчиком продукции или его процессов, достаточные для понимания того, как может работать такая организация и как она может применять требования стандарта на систему менеджмента или другого соответствующего нормативного документа.
Способности результативно общаться с людьми на всех уровнях организации, используя соответствующую терминологию, выражения и речь.
Способность читать и записывать с достаточной скоростью, точностью и понятным изложением информации, делать заметки и обмениваться полученными наблюдениями и заключениями аудита.
Способность представлять наблюдения и заключения аудита так, чтобы их было легко понять. Для руководителей группы - представление на общих собраниях (например, на заключительном совещании) наблюдений аудита, заключений и рекомендаций, понятных соответствующей аудитории.
Способность взятия интервью для получения соответствующей информации, задавая открытые, хорошо сформулированные вопросы и слушая, чтобы понять и оценить ответы.
Способность проводить аудит и управлять им для достижения целей аудита в согласованные сроки. Для руководителя группы - способность содействовать проведению совещаний для результативного обмена информацией и способность распределять задания или перераспределять их, когда это необходимо.
A.3 Требования к компетентности персонала, проводящего анализ отчетов об аудитах и принимающего решение о сертификации
Функциональные обязанности такого персонала могут выполнять одно или несколько лиц.
Знание общих принципов, практики и методов проведения аудита систем менеджмента, как указано в настоящем стандарте, достаточное для понимания отчета о сертификационном аудите.
Знание стандарта на систему менеджмента или других нормативных документов, установленных для конкретной сертификации, достаточное для принятия решения на основании отчета о сертификационном аудите.
Знание процессов органа по сертификации, достаточное для того, чтобы определить, оправдались ли ожидания органа по сертификации, на основе информации, представленной для анализа.
Знание терминологии, практики и процессов, характерных для экономической сферы деятельности заказчика, достаточное для понимания отчета об аудите с точки зрения стандарта на систему менеджмента или другого нормативного документа.
A.4 Требования к компетентности персонала, проводящего анализ заявки на сертификацию для определения требуемой компетентности аудиторской группы, отбор членов аудиторской группы и определение продолжительности аудита
Функциональные обязанности такого персонала могут выполнять одно или несколько лиц.
Знание того, какой стандарт на систему менеджмента или другой нормативный документ установлен для сертификации.
Знание процессов органа по сертификации, достаточное для назначения компетентных членов аудиторской группы и точного определения продолжительности аудита.
Знание терминологии, практики и процессов, характерных для экономической сферы деятельности заказчика, достаточное для назначения компетентных членов аудиторской группы и точного определения продолжительности аудита.
Знание видов продукции или процессов заказчика, достаточное для назначения компетентных членов аудиторской группы и точного определения продолжительности аудита.
(справочное)
B.1 Общие положения
В настоящем приложении приведены примеры методов оценки, которые могут помочь органу по сертификации.
Методы оценки компетентности отдельных лиц можно разделить на пять основных категорий: анализ записей, обратная связь, интервью/собеседования, наблюдения и экзамены. Эти категории могут быть в дальнейшем разделены на подкатегории. Ниже приводится краткое описание каждого метода, его полезности и ограничений для оценки знаний и навыков. Маловероятно, что какой-либо один метод сам по себе подтвердит компетентность.
Методы, описанные в B.2 - B.6, могут предоставить полезную информацию о знаниях и навыках; они более результативны, когда разработаны для использования в сочетании с конкретными критериями компетентности, полученными в результате процесса установления компетентности, указанного в 7.1.2 и 7.1.3.
Пример схемы процесса определения и поддержания компетентности приведен в приложении C.
Некоторые записи являются показателями знаний, например резюме или биографические данные, отражающие опыт работы, опыт проведения аудитов, образование и подготовку.
Некоторые записи являются показателями навыков, такие как отчеты об аудитах, записи об опыте работы, опыте проведения аудита, образовании и подготовке.
Сами по себе такие записи вряд ли будут достаточным доказательством компетентности.
Другие записи являются прямым доказательством компетентности, например отчет об оценке работы аудитора, проводящего аудит.
B.3 Обратная связь
Обратная связь от предыдущих работодателей может быть показателем знаний и навыков, но важно, что иногда работодатели специально исключают негативную информацию.
Личные рекомендации могут быть показателем знаний и навыков. Маловероятно, что кандидат предоставит личную рекомендацию, в которой будет содержаться негативная информация.
Показателем уровня знаний и навыков может быть мнение коллег. Однако на такую обратную связь могут влиять личные отношения между коллегами.
Отзывы заказчиков могут служить индикатором знаний и навыков. Для аудиторов такие отзывы могут зависеть от результатов аудита.
Любая информация, полученная в качестве обратной связи, сама по себе не является удовлетворительным доказательством компетентности.
B.4 Собеседование (интервью)
Собеседование (интервью) может быть полезно для получения информации о знаниях и навыках.
Собеседования (интервью) при приеме на работу могут быть полезны для уточнения информации из резюме и опыта предыдущей работы в отношении знаний и навыков.
Собеседования (интервью), проводимые в рамках анализа показателей деятельности, могут дать конкретную информацию о знаниях и навыках.
Собеседование (интервью) с аудиторской группой, проводимое после окончания аудита, может дать полезную информацию о знаниях и навыках аудитора. Это дает возможность понять, почему аудитор принимал определенные решения, выбирал конкретные аудиторские маршруты и т.д. Этот метод может быть использован после проведенного аудита или позднее при рассмотрении письменного аудиторского отчета. Этот метод может быть особенно полезен при определении компетентности в конкретной технической области.
Прямое доказательство наличия компетенции может быть получено в результате структурированного собеседования (интервью) с записями соответствия установленным критериям компетенции.
Собеседования могут использоваться для оценки языковых, коммуникативных и межличностных навыков общения.
B.5 Наблюдения
Наблюдение за тем, как человек выполняет задание, может служить прямым доказательством его компетентности, которую он демонстрирует путем применения своих знаний и навыков для достижения запланированного результата. Этот метод оценки полезен применительно ко всем лицам, выполняющим соответствующие функциональные обязанности, административному и управленческому персоналу, а также к аудиторам и лицам, принимающим решения о сертификации. Одними из ограничений наблюдения за аудитором, проводящим аудит, является степень возможности присутствия наблюдателя на данном аудите.
Периодическое наблюдение за человеком полезно для подтверждения его сохраняющейся компетентности.
Письменные экзамены могут служить хорошим и хорошо документированным подтверждением знаний и, в зависимости от методов, также навыков.
Устный экзамен может дать хорошие доказательства знаний (в зависимости от компетентности экзаменатора), но только ограниченные итоги в отношении навыков.
Практические экзамены могут дать сбалансированный результат в отношении знаний и навыков, в зависимости от процесса экзамена и компетентности экзаменатора. Примеры таких методов включают ролевые игры, анализ конкретных ситуаций, моделирование стрессовых ситуаций и ситуации, возникающие во время выполнения работ.
(справочное)
И ПОДДЕРЖАНИЯ КОМПЕТЕНТНОСТИ
Блок-схема процесса, представленная на рисунке C.1, демонстрирует один из способов определения компетентности персонала путем определения конкретных задач, которые должны быть выполнены; определения конкретных знаний и навыков, необходимых для достижения запланированного результата. В процессе используются методы, описанные в приложении B.
и поддержания компетентности
(справочное)
Примерами личного поведения, которые важны для персонала, вовлеченного в деятельность по сертификации любого типа системы менеджмента, являются:
a) этичность, т.е. справедливость, правдивость, искренность, честность и сдержанность;
b) открытость, т.е. готовность рассматривать альтернативные идеи или точки зрения;
c) дипломатичность, т.е. тактичность в общении с людьми;
d) готовность к сотрудничеству, т.е. способность эффективно взаимодействовать с другими;
e) наблюдательность, т.е. способность активно осознавать окружающую обстановку и что происходит вокруг;
f) восприимчивость, т.е. способность инстинктивно осознавать и понимать ситуацию;
g) гибкость, т.е. способность идти на компромисс в различных ситуациях;
h) целеустремленность, т.е. настойчивость и нацеленность на достижение целей;
i) решительность, т.е. способность своевременно делать выводы на основе логических рассуждений и анализа;
j) уверенность в себе, т.е. способность действовать самостоятельно;
k) профессионализм, т.е. способность проявлять вежливость, добросовестность и в целом деловую манеру поведения на рабочем месте;
l) моральная стойкость, т.е. готовность действовать ответственно и этично, даже если эти действия не всегда популярны и иногда могут привести к разногласиям или конфронтации;
m) организованность, т.е. проявление умения эффективно распоряжаться своим временем, устанавливать очередность задач, планировать и эффективно выполнять свои действия.
Определение личностных свойств зависит от конкретной ситуации, и недостатки могут стать очевидными только в конкретных условиях. Орган по сертификации должен предпринять необходимые действия в отношении любого выявленного недостатка, отрицательно влияющего на деятельность по сертификации.
(справочное)
На рисунке E.1 представлена типичная блок-схема процесса аудита и сертификации. Могут осуществляться и другие виды деятельности по аудиту, например анализ документов и специальные аудиты. Для понимания различий между циклом аудита и циклом сертификации следует обратиться к 9.2 и 9.3.
и сертификации
(справочное)
НАЦИОНАЛЬНЫМ И МЕЖГОСУДАРСТВЕННЫМ СТАНДАРТАМ
Таблица ДА.1
Обозначение ссылочного международного стандарта | Степень соответствия | Обозначение и наименование соответствующего национального, межгосударственного стандарта |
ISO 9000 | IDT | ГОСТ Р ИСО 9000-2015 "Системы менеджмента качества. Основные положения и словарь" |
ISO/IEC 17000 | IDT | ГОСТ ISO/IEC 17000-2012 "Оценка соответствия. Словарь и общие принципы" |
Примечание - В настоящей таблице использовано следующее условное обозначение степени соответствия стандарта: - IDT - идентичные стандарты. | ||
[1] | ISO 9001 | Quality management systems - Requirements (Системы менеджмента качества. Требования) |
[2] | ISO 10002 | Quality management - Customer satisfaction - Guidelines for complaints handling in organizations (Менеджмент качества. Удовлетворенность потребителей. Руководящие указания по обращению с претензиями в организациях) |
[3] | ISO 14001 | Environmental management systems - Requirements with guidance for use (Системы экологического менеджмента. Требования и руководство по их применению) |
[4] | ISO/IEC TS 17021-2 | Conformity assessment - Requirements for bodies providing audit and certification of management systems - Part 2: Competence requirements for auditing and certification of environmental management systems (Оценка соответствия. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента. Часть 2. Требования к компетентности, необходимой для проведения аудитов и сертификации систем экологического менеджмента) |
[5] | ISO/IEC TS 17021-3 | Conformity assessment - Requirements for bodies providing audit and certification of management systems - Part 3: Competence requirements for auditing and certification of quality management systems (Оценка соответствия. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента. Часть 3. Требования к компетентности, необходимой для проведения аудитов и сертификации систем менеджмента качества) |
[6] | ISO/IEC TS 17021-4 | Conformity assessment - Requirements for bodies providing audit and certification of management systems - Part 4: Competence requirements for auditing and certification of event sustainability management systems (Оценка соответствия. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента. Часть 4. Требования к компетентности, необходимой для проведения аудитов и сертификации систем менеджмента устойчивости) |
[7] | ISO/IEC TS 17021-5 | Conformity assessment - Requirements for bodies providing audit and certification of management systems - Part 5: Competence requirements for auditing and certification of asset management systems (Оценка соответствия. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента. Часть 5. Требования к компетентности, необходимой для проведения аудитов и сертификации систем менеджмента недвижимости (активов)) |
[8] | ISO/IEC TS 17021-6 | Conformity assessment - Requirements for bodies providing audit and certification of management systems - Part 6: Competence requirements for auditing and certification of business continuity management systems (Оценка соответствия. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента. Часть 6. Требования к компетентности, необходимой для проведения аудитов и сертификации систем менеджмента непрерывности бизнеса) |
[9] | ISO/IEC TS 17021-7 | Conformity assessment - Requirements for bodies providing audit and certification of management systems - Part 7: Competence requirements for auditing and certification of road traffic safety management systems (Оценка соответствия. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента. Часть 7. Требования к компетентности, необходимой для проведения аудитов и сертификации систем менеджмента безопасности дорожного движения) |
[10] | ISO/IEC TS 17023 | Conformity assessment - Guidelines for determining the duration of management system certification audits (Оценка соответствия. Руководящие указания по определению продолжительности сертификационных аудитов систем менеджмента) |
[11] | ISO/IEC 17030 | Conformity assessment - General requirements for third-party marks of conformity (Оценка соответствия. Общие требования к сертификационным знакам, выдаваемым третьей стороной) |
[12] | ISO 19011:2011 | Guidelines for auditing management systems (Руководящие указания по проведению аудитов систем менеджмента) |
[13] | ISO 20121 | Event sustainability management systems - Requirements with guidance for use (Системы менеджмента устойчивости. Требования и руководство по применению) |
[14] | ISO/TS 22003 | Food safety management systems - Requirements for bodies providing audit and certification of food safety management systems (Системы менеджмента безопасности пищевых продуктов. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента безопасности пищевых продуктов) |
[15] | ISO 22301 | Societal security - Business continuity management systems - Requirements (Общественная безопасность. Системы менеджмента непрерывности бизнеса. Требования) |
[16] | ISO/IEC 27006 | Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems (Информационные технологии. Методы обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности) |
[17] | ISO 31000 | Risk management - Principles and guidelines (Менеджмент рисков. Принципы и руководство) |
[18] | IEC 31010 | Risk management - Risk assessment techniques (Менеджмент рисков. Методы оценки риска) |
[19] | ISO 39001 | Road traffic safety (RTS) management systems - Requirements with guidance for use (Системы менеджмента безопасности дорожного движения. Требования и руководство по применению) |
[20] | ISO 50003 | Energy management systems - Requirements for bodies providing audit and certification of energy management systems (Системы энергетического менеджмента. Требования к органам, осуществляющим аудит и сертификацию систем энергетического менеджмента) |
[21] | ISO 55001 | Asset management - Management systems - Requirements (Менеджмент недвижимости (активов). Системы менеджмента. Требования) |
УДК 658.562:006.354 | ОКС 03.120.20 |
Ключевые слова: оценка соответствия, требования, орган по сертификации, аудит, сертификация, системы менеджмента | |