Приложение В (обязательное). Критерии для проведения аудита организаций, имеющих несколько производственных площадок. Национальный стандарт РФ ГОСТ Р ИСО 28003-2019 "Системы менеджмента безопасности цепи поставок. Требования к органам, проводящим аудит и сертификацию систем менеджмента безопасности цепи поставок" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 23.12.2019 N 1435-ст)

Приложение В
(обязательное)

Критерии для проведения аудита организаций, имеющих несколько производственных площадок

В.1 Определения

В.1.1 Организации, имеющие несколько производственных площадок

В.1.1.1 Организация, имеющая несколько производственных площадок, определяется как организация, которая предоставляет услуги безопасности цепи поставок из более чем одного местоположения.

В.1.1.2 Такая организация не обязательно должна быть одним юридическим лицом, но все объекты должны иметь юридические или договорные отношения с центральным офисом организации и подчиняться общей системе менеджмента безопасности цепи поставок, которая разрабатывается, устанавливается, утверждается и постоянно управляется из центрального офиса. Это означает, что центральный офис имеет право при необходимости предпринимать корректирующие действия на любой площадке, что должно быть указано в контракте между центральным офисом и площадками, при возможности.

Примеры организаций с несколькими площадками:

- организации, работающие по франшизе;

- сервисные компании с сетью дистрибьюторов/складов, терминалов, другими площадками и логистикой, которые проводят аналогичные процессы и работают по тем же процедурам;

- компании с несколькими филиалами и/или предприятиями, предоставляющими аналогичные услуги.

В.2 Критерии применимости для организации

В.2.1 Угрозы безопасности цепи поставок уникальны для каждой производственной площадки, поэтому все производственные площадки, включенные в область сертификации/регистрации организации, подлежат аудиту. Организация должна провести оценку угроз и рисков для каждого объекта и соответствующим образом внедрить управление операциями/деятельностью. Точно также угрозы безопасности цепи поставок, применимые к непроизводственным площадкам, которые осуществляют вспомогательную административную деятельность, также являются уникальными, но по характеру предпринимаемых действий могут представлять меньший риск для безопасности цепи поставок. Все рабочие площадки следует подвергать аудитам со стороны органа по сертификации/регистрации, а риски на непроизводственных площадках - оценивать и проверять соразмерно их значимости.

В.2.2 Некоторое послабление аудитов площадок применимо в двух ситуациях, (см. В.2.2.1).

В.2.2.1 Если услуги цепи поставок, предоставляемые всеми площадками и всеми видами деятельности, в основном одинаковы и выполняются полностью в соответствии с одними и теми же методами и процедурами, то, вероятно, существуют определенные возможности для сокращения аудитодней для некоторых площадок, эксплуатируемых организацией. Тем не менее для всех площадок специфичные угрозы должны быть идентифицированы и подвергнуты оценке риска, а далее проверены органом по сертификации во время аудита на месте. Для того чтобы рассмотреть возможность сокращения аудита, следует применять критерии, приведенные в В.2.2.1.1 и В.2.2.1.2.

В.2.2.1.1 Система менеджмента безопасности цепи поставок организации имеет централизованное руководство и работает в соответствии с централизованно управляемым процессом для проведения оценок безопасности и разработки планов безопасности, на которую распространяется центральная система сбора и анализа данных с площадок, связанная с нижеследующим:

- локальной системой документации и изменениями в системе;

- анализом со стороны руководства;

- улучшением целей, целевых показателей и программ управления;

- оценкой жалоб/претензий, инцидентов, корректирующих действий.

Все соответствующие площадки, включая центральный офис, должны быть предметом программы внутреннего аудита организации и оценки результатов аудита. Каждая площадка должна проходить аудит в соответствии с этой программой до начала аудита со стороны сертификационного органа.

Организация должна провести оценку угроз безопасности для каждой площадки и соответствующим образом внедрить управление операциями/деятельностью.

В.2.2.1.2 Организация должна продемонстрировать, что центральный офис организации разработал систему менеджмента безопасности цепи поставок в соответствии с оцениваемым стандартом и что деятельность организации в целом удовлетворяет требованиям стандарта, по которому проходит сертификация.

В.2.3 Организация должна продемонстрировать свою способность и возможности проводить сбор и анализ данных, в том числе, но не ограничиваясь ниже приведенным списком, поступающих со всех площадок, включая центральный офис, если это необходимо:

- изменения в системе в целом и системе документации;

- анализ со стороны руководства;

- улучшение целей, целевых показателей и управление программами;

- оценку жалоб/претензий, инцидентов, корректирующих действий;

- планирование и оценку результатов внутренних аудитов.

Организация должна проводить оценку риска для каждой площадки в отдельности, соответствующим образом внедрять средства управления операциями/деятельностью и иметь возможность продемонстрировать посредством записей результативность средств контроля для всех объектов, включая те, которые не подлежат проверкам органов по сертификации/регистрации.

В.2.4 При отклонении от требуемой продолжительности в аудитоднях (см. приложение А) или при условии использования подхода "все площадки должны быть проверены органом по сертификации" для любого объекта, включенного в область сертификации, для обоснования отклонения по продолжительности аудита и подхода "все площадки должны быть проверены", предписанного настоящим стандартом, орган по сертификации должен документировать и внедрять процедуры, в которых применяется подход менеджмента рисков.

Такие обоснования органа по сертификации/регистрации должны включать:

- попадание направления деятельности или деятельности организации в целом в область аудита, базирующееся на оценке рисков или сложности этой деятельности;

- тип и размер производственной площадки, относящийся к организации, подходит по критериям к организации с несколькими площадками;

- модификации внедрения на местах системы менеджмента безопасности цепи поставок, такие как необходимость учета местных нормативно-законодательных требований, особенностей поведенческих характеристик, специфики угроз исходя из статистики терроризма и преступности, использования планов безопасности цепи поставок в системе менеджмента безопасности цепи поставок для различных видов деятельности или различных договорных или регулирующих систем;

- использование временных площадок, которые работают по системе менеджмента безопасности цепи поставок организации.

В.2.5 Записи, поддерживаемые центральным офисом должны демонстрировать результативность внедрения системы менеджмента безопасности для всех площадок, включая те, которые не посещал орган по сертификации

В.3 Критерии соответствия органа по сертификации/регистрации

Орган по сертификации/регистрации должен предоставить организации информацию о критериях, изложенных в настоящем стандарте, до начала процесса оценки и не должен проводить аудит, если какой-либо из критериев не соблюден. Перед началом процесса оценки следует проинформировать организацию о том, что сертификат/регистрация не будут выданы, если во время оценки будут обнаружены несоответствия в отношении этих критериев.

В.3.1 Анализ контракта

В.3.1.1 Процедуры органа по сертификации/регистрации должны обеспечивать, чтобы при первоначальном рассмотрении контракта определялись сложность и масштаб работ, охватываемых системой менеджмента безопасности цепи поставок, подлежащих сертификации/регистрации, и любые различия между площадками в качестве основы для определения объема выборок.

В.3.1.2 Орган по сертификации/регистрации должен определить центральную организацию, которая является ее договорным партнером для выполнения сертификации/регистрации.

В.3.1.3 Орган по сертификации/регистрации должен проверять в каждом отдельном случае, в какой степени площадки организации производят или предоставляют в значительной степени одинаковые виды продуктов или услуг в соответствии с теми же процедурами и методами. Процедура отбора образцов может быть применена к отдельным участкам исключительно после положительного рассмотрения органом по сертификации/регистрации того, что всех участков, предложенных для включения в комплексную проверку, на основании их соответствия установленным критериям.

В.3.1.4 Если все производственные площадки организации, на которых осуществляется деятельность, подлежащая сертификации/регистрации, не готовы к одновременной подаче на прохождение сертификации/регистрации, организация должна заранее проинформировать орган по сертификации/регистрации о площадках, которые она планирует включить в сертификат.

В.3.2 Оценка

В.3.2.1 Орган по сертификации/регистрации должен иметь документированные процедуры для проведения оценок в соответствии со своей процедурой для нескольких площадок. Такие процедуры должны определять способ, которым орган по сертификации/регистрации, убеждается, в частности, что единая система менеджмента цепи поставок управляет деятельностью на всех площадках, и фактически применяется ко всем площадкам, а также, что все критерии, представленные в В.2, выполнены.

В.3.2.2 Если в оценке/надзорном аудите (инспекцион