Conformity assessment. General principles and requirements for validation and verification bodies
УДК 658.562:006.354
ОКС 03.120.20
Дата введения - 1 декабря 2022 г.
Введен впервые
Предисловие
1 Подготовлен Федеральным автономным учреждением "Национальный институт аккредитации" (ФАУ НИА) на основе официального перевода на русский язык англоязычной версии указанного в пункте 4 стандарта, который выполнен Федеральным автономным учреждением "Национальный институт аккредитации" (ФАУ НИА)
2 Внесен Техническим комитетом по стандартизации ТК 079 "Оценка соответствия"
3 Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 19 сентября 2022 г. N 953-ст
4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 17029:2019 "Оценка соответствия. Общие принципы и требования к органам по валидации и верификации" (ISO/IEC 17029:2019 "Conformity assessment - General principles and requirements for validation and verification bodies", IDT).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА
5 Введен впервые
Введение
Под валидацией и верификацией как оценкой соответствия понимается подтверждение достоверности информации, изложенной в заявлении. Другими терминами, используемыми для объекта оценки посредством валидации и верификации являются "заключение", "декларация", "утверждение", "прогноз" или "отчет".
Оба вида деятельности различаются в зависимости от хронологии оцениваемых заявлений. Валидация применяется к заявлениям, касающимся предполагаемого будущего использования или прогнозируемого результата (подтверждение правдоподобия), в то время как верификация применяется к заявлениям, касающимся уже произошедших событий или результатов, которые уже были получены (подтверждение правдивости).
Поскольку требования в настоящем стандарте носят общий характер, необходимо использовать программу конкретной валидации/верификации. Такая программа дополнительно устанавливает определения, принципы, правила, процессы и требования к этапам процесса валидации/верификации, а также к компетентности валидаторов/верификаторов для конкретной отрасли. Программы могут представлять собой законодательные требования, международные, региональные или национальные стандарты, глобальные инициативы, отраслевые приложения, а также индивидуальные соглашения с клиентами органа по валидации/верификации.
Валидация/верификация обеспечивает уверенность и дает заинтересованным сторонам и потенциальным потребителям доверие к заявлению. Программа может определять уровни уверенности, например, допустимый или ограниченный уровень уверенности.
В соответствии со стандартом ИСО/МЭК 17000 функциональный подход к демонстрации выполнения указанных требований описывают оценку соответствия как ряд из трех функций:
- выбор;
- определение и
- анализ, принятие решения и аттестации.
Взаимосвязь между общими терминами и понятиями, определенными в стандарте ИСО/МЭК 17000, и терминами и понятиями, определенными в настоящем стандарте, приведена в таблице B.1.
Согласно такому функциональному подходу, валидация и верификация как оценка соответствия включают решение о подтверждении заявления. Решение относительно того, соответствует ли заявление первоначально установленным требованиям, затем выдается органом по валидации/верификации в качестве заключения о валидации/верификации. Установленные требования могут быть общими или подробными, например, заявление не содержит существенных искажений. Применимая программа может определять дополнительные шаги в процессе валидации/верификации.
При определении того, может ли быть подтверждено заявление клиента, органам по валидации/верификации необходимо собрать информацию и составить полное представление о выполнении установленных требований. Это может включать соответствующую оценку данных и планов, анализ документации, выполнение альтернативных расчетов, визит на объекты или проведение интервью с персоналом.
Требования, установленные настоящим стандартом, являются общими для обоих видов деятельности, как для валидации, так и для верификации. Если требование применяется только к одному виду деятельности, оно идентифицируется.
Органы по валидации/верификации могут быть внутренними органами организации, которая предоставляет заявление (первая сторона), органами, заинтересованными в заявлении (вторая сторона), или органами, независимыми от лица или организации, которые подают заявление и потенциальными потребителями такого заявления не являются (третья сторона).
Определяя валидацию/верификацию как подтверждение, эти виды деятельности отличаются от других инструментов оценки соответствия, поскольку не приводят ни к характеристике (испытаниям), ни к проведению экспертизы (инспекции), ни к подтверждению соответствия в течение определенного периода (сертификация). Вместе с тем валидация/верификация предназначена подходить для приложения к системе оценки соответствия. Так же, как отчеты об испытаниях из лаборатории могут быть включены для целей инспекции, или аудит системы менеджмента производителя может использоваться в качестве входных данных для сертификации продукции, заключения о валидации/верификации могут использоваться в качестве входных данных для иной деятельности по оценке соответствия. Аналогичным образом, результаты другой деятельности по оценке соответствия могут использоваться в качестве входных данных при осуществлении деятельности по валидации/верификации.
В соответствии с настоящим стандартом заключения о соответствии, выданные в результате иной деятельности по оценке соответствия, не считаются объектами валидации/верификации. Это включает, например, декларацию поставщика о соответствии продукции техническим характеристикам в соответствии со стандартом ИСО/МЭК 17050, сертификаты соответствия стандарту ИСО/МЭК 17021-1 или проверки и верификации проекта в контексте инспекции в соответствии со стандартом ИСО/МЭК 17020.
Кроме того, настоящий стандарт не распространяется на ситуации, когда деятельность по валидации/верификации осуществляется как этап процесса испытаний (ИСО/МЭК 17025, ИСО 15189), инспекции (ИСО/МЭК 17020) или сертификации (ИСО/МЭК 17021-1, ИСО/МЭК 17065), а также когда необходимо применять специальные требования для структурирования и выполнения этих процессов. Примерами являются валидация метода в качестве этапа испытаний, проводимых в соответствии с стандартом ИСО/МЭК 17025, а также валидация/верификация проекта в контексте внедрения системы менеджмента в соответствии с стандартом ИСО 9001.
Текущие примеры валидации/верификации как деятельности по оценке соответствия включают заявления, связанные с выбросами парниковых газов (например, в соответствии с стандартом ИСО 14064-3), экологической маркировкой, декларированием продукции и ее следов (например, в соответствии с стандартами ИСО 14020 и ИСО 14040, такими как экологическая декларация продукции), устойчивостью или экологической отчетностью (например, в соответствии с стандартом ИСО 14016). Потенциальные новые приложения могут включать заявления, касающиеся строительных технологий, управления энергопотреблением, финансового менеджмента, систем промышленной автоматизации, программного обеспечения и системной инженерии, искусственного интеллекта, информационных технологий, изделий медицинского назначения и медицинского оборудования, безопасности машин, безопасности и инженерного проектирования, а также социальной ответственности. Однако в отраслевом приложении, где валидация/верификация не выполняется как деятельность по оценке соответствия, как определено настоящим стандартом, такие виды деятельности выходят за область применения настоящего стандарта.
В настоящем стандарте используются следующие глагольные формы:
- "должен" - обозначает требование;
- "следует" - обозначает рекомендацию;
- "допускается" - обозначает разрешение;
- "может" - обозначает возможность или способность.
Дополнительная информация приведена в Директивах ИСО/МЭК, часть 2.
Для исследовательских целей заинтересованным лицам предлагается выразить свое мнение по настоящему стандарту и отметить приоритетные изменения для будущих изданий. Чтобы принять участие в онлайн-опросе, см ссылку ниже: https://fr.surveymonkey.eom/r/NG3LYKD.
1 Область применения
Настоящий стандарт содержит общие принципы и требования к компетентности, согласованному функционированию и беспристрастности органов, осуществляющих валидацию/верификацию в качестве деятельности по оценке соответствия.
Органы, действующие в соответствии с настоящим стандартом, могут предоставлять валидацию/верификацию в качестве деятельности первой, второй или третьей стороны. Такие органы могут быть только органами по валидации, только органами по верификации или обеспечивать оба этих вида деятельности.
Настоящий стандарт применим к любым отраслевым органам по валидации/верификации, обеспечивающим подтверждение того, что заявления либо правдоподобны в отношении предполагаемого будущего использования (валидация), либо правдиво изложены (верификация). Вместе с тем в соответствии с настоящим стандартом результаты иных видов деятельности по оценке соответствия (например, испытаний, инспекции и сертификации) не считаются предметом валидации/верификации. Также не рассматриваются ситуации, когда действия по валидации/верификации выполняются в качестве этапов иного процесса оценки соответствия.
Настоящий стандарт применим в любом секторе экономики в сочетании с программами для конкретных отраслей, содержащими требования к процессам и процедурам валидации/верификации.
Настоящий стандарт может быть использован в качестве основы для аккредитации органами по аккредитации, паритетной оценке в рамках групп по паритетной оценке или других форм признания органов по валидации/верификации международными или региональными организациями, правительствами и регулирующими органами, владельцами программ, отраслевыми органами, компаниями, клиентами или потребителями.
Примечание - Настоящий стандарт содержит общие требования и является нейтральным по отношению к действующей программе валидации/верификации. Требования действующих программ являются дополнительными по отношению к требованиям настоящего стандарта.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующий стандарт [для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения)]:
ISO/IEC 17000, Conformity assessment - Vocabulary and general principles (Оценка соответствия. Словарь и общие принципы)
3 Термины и определения
В настоящем стандарте применены термины по ИСО/МЭК 17000, а также следующие термины и определения.
ИСО и МЭК ведут терминологические базы данных для использования в сфере стандартизации по следующим адресам:
- онлайн-платформа ИСО доступна на https://www.iso.org/obp
- электропедия МЭК доступна на http://www.electropedia.org/
3.1 заявление (claim): Информация, заявленная клиентом (3.13).
Примечания
1 Заявление является объектом оценки соответствия посредством валидации (3.2) или верификации (3.3).
2 Заявление может отражать ситуацию в конкретный момент времени или охватывать определенный период времени.
3 Заявление должно быть четко идентифицируемым и обеспечивать возможность последовательной оценки или измерения, проводимых органом по валидации (3.4) или органом по верификации (3.5), на соответствие установленным требованиям.
4 Заявление может быть представлено в форме отчета, заключения, декларации, плана проекта или сводных данных.
3.2 валидация (validation): Подтверждение заявления (3.1) посредством предоставления объективных доказательств того, что требования для конкретного предполагаемого будущего использования или применения выполнены.
Примечания
1 Объективные доказательства могут быть получены из реальных или смоделированных источников.
2 Валидация считается процессом оценки обоснованности допущений, ограничений и методов, которые подтверждают заявление о результатах будущей деятельности.
3 Валидация применяется к заявлениям относительно предполагаемого будущего использования на основе прогнозируемой информации (подтверждение правдоподобности).
4 Рисунок C.1 иллюстрирует применение валидации.
[ИСО 9000:2015, 3.8.13, изменен - слова "заявление" и "будущее" добавлены в определение, а также изменены примечания к статье].
3.3 верификация (verification): Подтверждение заявления (3.1) путем предоставления объективных доказательств того, что установленные требования выполнены.
Примечания
1 Верификация считается процессом оценки заявления на основе исторических данных и информации для определения того, является ли заявление существенно правильным, а также соответствует ли оно установленным требованиям.
2 Верификация применяется к заявлениям, касающимся событий, которые уже произошли, или результатов, которые уже получены (подтверждение правдивости).
3 Рисунок C.2 иллюстрирует применение верификации.
[ИСО 9000:2015, 3.8.12, изменен - слово "заявление" добавлено в определение, а также изменены примечания к статье].
3.4 орган по валидации (validation body): Орган, выполняющий валидацию (3.2).
Примечание - Орган по валидации может быть организацией или частью организации.
3.5 орган по верификации (verification body): Орган, выполняющий верификацию (3.3).
Примечание - Орган по верификации может быть организацией или частью организации.
3.6 заключение о валидации (validation statement): Объявление органом по валидации (3.4) результатов процесса валидации (3.2).
Примечания
1 Заключения о валидации могут упоминаться с использованием специальных терминов, определенных программой, таких как "решения", "мнения" или "отчеты".
2 Заключение о валидации отражает только ситуацию на момент его выпуска.
3 Заключение о валидации может подтверждать или не подтверждать заявление (3.1) с комментариями или без них в соответствии с требованиями программы.
3.7 заключение о верификации (verification statement): Объявление органом по верификации (3.5) результатов процесса верификации (3.3).
Примечания
1 Заключения о верификации могут упоминаться с использованием специальных терминов, определенных программой, таких как "решения", "мнения" или "отчеты".
2 Заключение о верификации отражает только ситуацию на момент его выпуска.
3 Заключение о верификации может подтверждать или не подтверждать заявление (3.1) с комментариями или без них, в соответствии с требованиями программы.
3.8 программа валидации (validation programme): Правила, процедуры и управление для осуществления деятельности по валидации (3.2) в конкретной отрасли.
Примечания
1 Программы валидации могут выполняться на международном, региональном, национальном, субнациональном или отраслевом уровнях.
2 Программа также может называться "схемой".
3 Программой может служить серия стандартов, способных охватить все требования настоящего стандарта.
3.9 программа верификации (verification programme): Правила, процедуры и управление для осуществления деятельности по верификации (3.3) в конкретной отрасли.
Примечания
1 Программы верификации могут выполняться на международном, региональном, национальном, субнациональном или отраслевом уровнях.
2 Программа также может называться "схемой".
3 Программой может служить серия стандартов, способных охватывать все требования настоящего стандарта.
3.10 владелец программы (programme owner): Лицо или организация, ответственные за разработку и поддержание конкретной программы валидации (3.8) или программы верификации (3.9).
Примечание - Владельцем программы может быть сам орган по валидации (3.4) или орган по верификации (3.5), правительственный орган, торговая ассоциация, группа органов по валидации или органов по верификации, внешний владелец программы или другие лица.
[ИСО/МЭК 17065:2012, 3.11, изменен - термин "владелец схемы" заменен на "владелец программы", а слова "схема сертификации" заменены на "программа валидации или программа верификации"].
3.11 область применения валидации/верификации (scope of validation/verification): Идентификация:
- заявления (3.1), являющегося объектом валидации (3.2) или верификации (3.3), включая границы заявления,
- применимой программы валидации (3.8) или программы верификации (3.9), а также
- стандартов и других нормативных документов, включая дату их публикации, на соответствие которым заявление валидировано или верифицировано.
3.12 беспристрастность (impartiality): Наличие объективности.
Примечания
1 Объективность означает, что конфликтов интересов не существует или они разрешены таким образом, что не оказывают отрицательного влияния на деятельность органа по валидации (3.4) или органа по верификации (3.5).
2 Другие термины, использующиеся для передачи элемента беспристрастности, включают "независимость", "отсутствие личной заинтересованности", "отсутствие расхождений", "отсутствие предубеждений", "нейтральность", "честность", "непредвзятость", "отсутствие произвола", "независимость суждений", "сбалансированность".
[ИСО/МЭК 17021-1:2015, 3.2, изменен - в примечании 1 к статье слова "последующая деятельность органа по сертификации" заменены словами "деятельность органа по валидации/верификации"].
3.14 консультирование (consultancy): Участие в подготовке заявления (3.1), которое будет объектом валидации (3.2) или верификации (3.3).
Примечания
1 Термин "консультирование" используется в отношении деятельности органов по валидации (3.4) или органов по верификации (3.5), их персонала, а также организаций, связанных с органами по валидации/верификации или имеющих к ним отношение.
2 Участие в подготовке заявления также включает участие в проектировании объекта, ведущего к заявлению, или предоставление специальных знаний по конкретному объекту, поддерживающих подготовку заявления.
3 Организация обучения и участие в качестве преподавателя не рассматривается как консультирование при условии, что если курс относится к заявлению, которое будет объектом валидации/верификации, он ограничивается предоставлением общей информации; т.е. преподавателям не следует предлагать клиенту (3.13) конкретные решения.
4 Предоставление клиенту общей информации, но не конкретных решений по подготовке заявления, которое будет объектом валидации/верификации, не считается консультированием. Такая информация может включать:
- разъяснение значения и цели требований к валидации/верификации;
- разъяснение соответствующих теорий, методологий, методов или инструментов;
- обмен неконфиденциальной информацией о соответствующей передовой практике.
3.15 уровень уверенности (level of assurance): Степень доверия к заявлению (3.1).
Примечание - Уровни уверенности и условия их достижения могут быть определены в программе (например, абсолютный, допустимый, ограниченный).
3.16 существенный (material): Значимый для предполагаемых пользователей.
Примечания
1 Существенность - это концепция, согласно которой искажения, по отдельности или в совокупности, могут повлиять на достоверность заявления (3.1) или решений, принимаемых предполагаемым пользователем.
2 Существенность может быть качественной или количественной.
4 Принципы
4.1 Общие положения
4.1.1 Принципы, приведенные в настоящем разделе, являются основой для требований, изложенных в настоящем стандарте. Эти принципы следует применять в качестве руководства при принятии решений, которые могут потребоваться в непредвиденных ситуациях. Принципы не являются требованиями.
4.1.2 Общая цель валидации/верификации состоит в формировании доверия у всех сторон к тому, что валидированное или верифицированное заявление соответствует установленным требованиям. Ценность валидации/верификации состоит в доверии, которое устанавливается посредством беспристрастной оценки компетентным органом по валидации/верификации.
4.1.3 Стороны, заинтересованные в валидации/верификации, в частности, включают:
a) клиентов органов по валидации/верификации;
b) владельцев программ;
c) потребителей заявлений, которые были валидированы или верифицированы;
d) регулирующие органы.
4.2 Принципы для процессов валидации/верификации
4.2.1 Подход к принятию решений, основанный на доказательствах
В процессе используется метод достижения надежных и воспроизводимых выводов валидации/верификации, основанный на достаточных и надлежащих объективных доказательствах. Заключение о валидации/верификации основано на доказательствах, собранных в результате объективной валидации/верификации заявления.
4.2.2 Документация
Процесс валидации/верификации документируется и устанавливает основу для вывода и решения относительно соответствия заявления установленным требованиям.
4.2.3 Достоверное представление
Деятельность по валидации/верификации, обнаружения, выводы и заключения, включая существенные препятствия, возникшие в ходе процесса, а также нерешенные, расходящиеся мнения между органом по валидации/верификации и клиентом, отражаются правдиво и точно.
4.3 Принципы для органов по валидации/верификации
4.3.1 Беспристрастность
Решения основываются на объективных доказательствах, полученных в процессе валидации/верификации, и не зависят от других интересов или сторон.
Угрозы беспристрастности, в частности, могут включать в себя следующее:
a) собственная выгода: угроза возникает в случае, когда лицо или организация действуют в личных интересах. В случае валидации/верификации угрозой беспристрастности является финансовый интерес;
b) анализ собственной деятельности: угроза возникает при анализе лицом или организацией собственной работы;
c) близкие отношения (или доверие): угроза возникает при слишком близких отношениях с лицом или организацией или в том случае, когда они слишком доверяют другому лицу вместо того, чтобы искать доказательства для валидации/верификации;
d) запугивание: угроза возникает, когда у лица или организации возникает ощущение, что им открыто или скрытым образом угрожают, например, заменой или сообщением руководству.
4.3.2 Компетентность
Персонал обладает необходимыми знаниями, навыками, опытом, подготовкой, вспомогательной инфраструктурой и потенциалом для эффективного выполнения действий по валидации/верификации.
4.3.3 Конфиденциальность
Конфиденциальная информация, полученная или наработанная в процессе валидации/верификации, защищена и не разглашается несоответствующим образом.
4.3.4 Открытость
Орган по валидации/верификации должен обеспечить открытый доступ или раскрытие соответствующей информации о процессе валидации/верификации.
4.3.5 Ответственность
Ответственность за заявление и его соответствие применимым установленным требованиям несет клиент органа по валидации/верификации, а не орган по валидации/верификации.
Орган по валидации/верификации несет ответственность за то, чтобы заключение о валидации/верификации основывалось на достаточных и надлежащих объективных доказательствах.
4.3.6 Реагирование на жалобы
Стороны, заинтересованные в валидации/верификации, имеют возможность подавать жалобы. Эти жалобы надлежащим образом рассматриваются и разрешаются. Реагирование на жалобы необходимо для того, чтобы продемонстрировать объективность и надежность результатов валидации/верификации для всех пользователей.
4.3.7 Подход, основанный на оценке риска
Органы по валидации/верификации должны учитывать риски, связанные с предоставлением компетентной, последовательной и беспристрастной валидации или верификации. Риски могут быть, в частности, связаны:
a) с целями валидации или верификации и программными требованиями;
b) компетентностью, последовательностью и реальной, а также предполагаемой беспристрастностью;
c) юридическими и нормативными вопросами, а также вопросами обязательства;
d) организацией-клиентом, в которой проводится валидация или верификация, а также ее системой менеджмента, операционной средой, географическим положением и т.д.;
e) вероятностью того, что любой параметр, включенный в заявление, приведет к существенному искажению, даже если внедрена система контроля;
f) уровнем уверенности, который должен быть достигнут, а также соответствующий сбор доказательств, используемый в процессе валидации или верификации;
g) восприятием заинтересованных сторон;
h) вводящими в заблуждение заявлениями или неправильным использованием марок клиентом;
i) контролем рисков и возможностями для улучшения.
5 Общие требования
5.1 Юридическое лицо
Орган по валидации/верификации должен быть юридическим лицом или определенной частью юридического лица, чтобы нести юридическую ответственность за все свои действия по валидации/верификации.
Примечание - Правительственный орган по валидации/верификации является юридическим лицом на основании его правительственного статуса.
5.2 Ответственность за заключение о валидации/верификации
Орган по валидации/верификации должен нести ответственность и сохранять за собой полномочия в отношении выданных им заключений о валидации/верификации.
5.3 Управление беспристрастностью
5.3.1 Деятельность по валидации/верификации должна осуществляться беспристрастно.
5.3.2 Орган по валидации/верификации должен нести ответственность за обеспечение беспристрастности своей деятельности по валидации/верификации, а также он не должен допускать коммерческого, финансового или другого давления, компрометирующего его беспристрастность.
5.3.3 Орган по валидации/верификации должен осуществлять мониторинг своей деятельности и своих взаимоотношений для выявления угроз своей беспристрастности. Этот мониторинг должен включать взаимоотношения его персонала.
Примечания
1 Хотя требования к беспристрастности в настоящем стандарте одинаковы для органов первой, второй и третьей сторон, соответствующие входные данные и результаты соответствующей оценки рисков могут отличаться.
2 Выявление угроз беспристрастности может включать сбалансированные консультации с соответствующими заинтересованными сторонами, без преобладания какого-либо одного интереса, для консультирования по поводу аспектов, оказывающих влияние на обеспечение беспристрастности, включая открытость и восприятие общественностью. Одним из способов проведения консультирования, является создание комитета с участием заинтересованных сторон.
3 Программа может сделать требование о консультации с соответствующими заинтересованными сторонами для консультирования по вопросам, влияющим на беспристрастность, обязательным.
4 Взаимоотношения могут быть связаны с правами собственности, властными полномочиями, менеджментом, персоналом, совместно используемыми ресурсами, финансированием, контрактами, маркетингом (включая брендинг). Такие взаимоотношения не обязательно представляют для органа по валидации/верификации угрозу беспристрастности.
5.3.4 Если выявлена угроза беспристрастности, ее воздействие должно быть устранено или сведено к минимуму, чтобы беспристрастность не была поставлена под угрозу.
5.3.5 Орган по валидации/верификации должен иметь обязательство высшего руководства по обеспечению беспристрастности.
5.3.6 Орган по валидации/верификации должен иметь общедоступное обязательство о том, что, понимая важность беспристрастности при выполнении работ по валидации/верификации, он управляет ситуациями, связанными с конфликтом интересов, и обеспечивает объективность.
5.3.7 Анализ (9.6) и принятие решения (9.7) должны осуществляться персоналом, отличным от тех, кто проводил валидацию/верификацию (9.5).
5.3.8 При предоставлении валидации и верификации одному и тому же клиенту орган по валидации/верификации должен учитывать потенциальную угрозу беспристрастности (например, самопроверка и близкие или дружеские отношения) и управлять этим риском соответствующим образом.
5.3.9 Орган по валидации/верификации не должен предлагать или предоставлять как консультации, так и валидацию/верификацию для одного и того же заявления от одного и того же клиента.
5.3.10 Предоставляя валидацию и верификацию одному и тому же клиенту, орган по валидации/верификации должен учитывать потенциальную угрозу беспристрастности (например, анализ собственной деятельности и близкие отношения) и соответствующим образом управлять этим риском.
5.3.11 Орган по валидации/верификации не должен предлагать или предоставлять консультации и валидацию или верификацию по одному и тому же заявлению от одного и того же клиента.
5.3.12 Если отношения между органом, предоставляющим консультации, и органом по валидации/верификации представляют неприемлемую угрозу беспристрастности органа по валидации/верификации, орган по валидации/верификации не должен предоставлять деятельность по валидации/верификации клиентам, которые получили консультации по тому же заявлению. Это включает потенциальных клиентов, с которыми орган по валидации/верификации осуществляет предварительное задание.
5.3.13 Деятельность органа по валидации/верификации не должна рекламироваться или предлагаться как связанная с деятельностью любой организации, предоставляющей консультации.
5.3.14 Орган по валидации/верификации должен принять меры, когда ему становится известно (например, через жалобу) о ненадлежащих связях или объявлениях любой консалтинговой организации, в которых говорится или подразумевается, что валидация/верификация была бы проще, легче, быстрее или дешевле при привлечении данного органа по валидации/верификации. Орган по валидации/верификации не должен заявлять или подразумевать, что валидация/верификация были бы проще, легче, быстрее или дешевле, если бы использовалась указанная консультационная организация.
5.3.15 Орган по валидации/верификации должен предпринять ответные действия в отношении любых угроз для обеспечения беспристрастности, возникающих в связи с действиями других лиц, органов или организаций. Это включает действия тех органов, которым деятельность по валидации/верификации была передана на аутсорсинг.
5.4 Обязательство
Орган по валидации/верификации должен быть способен продемонстрировать, что он оценивает риски, возникающие в результате его деятельности по валидации/верификации, и что он располагает достаточными средствами (например, страхование или наличие резервов) для выполнения обязательств, возникающих в ходе его деятельности по каждой программе валидации/верификации и географической зоне, в которой он осуществляет свою деятельность.
6 Требования к структуре
6.1 Организационная структура и высшее руководство
6.1.1 Орган по валидации/верификации должен быть организован и управляться таким образом, чтобы он мог поддерживать способность выполнять свою деятельность по валидации/верификации.
6.1.2 Деятельность по валидации/верификации должна быть структурирована и управляться таким образом, чтобы гарантировать беспристрастность.
6.1.3 Орган по валидации/верификации должен задокументировать свою организационную структуру, обязанности, ответственность и полномочия руководства и другого персонала, участвующего в деятельности по валидации/верификации, а также любых комитетов. Если орган по валидации/верификации является частью юридического лица, его организационная структура должна включать распределение полномочий и взаимодействие с другими частями этого юридического лица.
6.1.4 Орган по валидации/верификации должен определить высшее руководство (совет, группу лиц или лицо), обладающее всеми полномочиями и ответственностью за каждое из следующих действий:
a) разработку политик и установление процессов, связанных с его деятельностью;
b) контроль выполнения политики и процессов;
c) обеспечение беспристрастности;
d) надзор за его финансами;
e) разработка деятельности и требований по валидации/верификации;
f) выполнение деятельности по валидации/верификации;
g) принятие решения и выдача заключения о валидации/верификации;
h) делегирование полномочий комитетам или лицам для осуществления, если требуется, определенных действий от своего имени;
i) договорные отношения;
j) требования к компетентности персонала;
k) реагирование на жалобы и апелляции;
l) система менеджмента органа по валидации/верификации;
m) предоставление необходимых ресурсов для деятельности по валидации/верификации.
6.2 Оперативный контроль
6.2.1 Орган по валидации/верификации должен иметь процесс для эффективного контроля за деятельностью по валидации/верификации, осуществляемой организациями, находящимися под его оперативным контролем, филиалами, компаниями, агентами, получателями франшизы и т.д. независимо от их правового статуса, отношения или географического местонахождения.
6.2.2 Орган по валидации/верификации должен определить и установить надлежащий уровень и способ контроля за осуществляемой деятельностью. Это включает его процессы, отрасли деятельности по валидации/верификации, компетентность персонала, каналы управленческого контроля, отчетность и выполнение операций в удаленном доступе и записи.
6.2.3 Орган по валидации/верификации должен рассмотреть риски, связанные с этой деятельностью, в отношении компетентности, последовательности и беспристрастности органа по валидации/верификации.
7 Требования к ресурсам
7.1 Общие положения
Орган по валидации/верификации должен располагать персоналом, помещениями, оборудованием, системами и вспомогательными службами, необходимыми для выполнения его деятельности по валидации или верификации.
Примечание - Требования к персоналу, помещениям, оборудованию, системам и вспомогательным службам могут содержаться в программе валидации или верификации.
7.2 Персонал
7.2.1 Орган по валидации и/или верификации должен располагать достаточным количеством компетентных лиц для выполнения его деятельности по валидации или верификации.
Примечание - Персонал включает тех лиц, которые являются сотрудниками, директорами и членами комитетов органа, а также любых лиц, привлекаемых органом для проведения валидации или верификации.
7.2.2 Орган по валидации/верификации должен требовать от всего персонала, вовлеченного в деятельность по валидации/верификации, заключения юридически значимого соглашения, в котором персонал берет на себя следующие обязательства:
a) соблюдать процессы и инструкции органа по валидации/верификации, включая те, которые относятся к беспристрастности и конфиденциальности;
b) заявить о любой предыдущей и/или настоящей связи со своей стороны или со стороны другого лица или организации, с которыми они связаны (например, член семьи или их работодатель), с клиентом органа по валидации/верификации;
c) раскрыть любую известную им ситуацию, которая может привести их или орган по валидации/верификации к предполагаемому или фактическому конфликту интересов.
7.2.3 Орган по валидации/верификации должен использовать эту информацию в качестве входных данных для выявления угроз беспристрастности, возникающих в результате деятельности такого персонала или лиц или организаций, связанных с ним (см. 5.3.3).
7.2.4 Весь персонал органа по валидации/верификации, внутренний или внешний, который может повлиять на деятельность по валидации/верификации, должен действовать беспристрастно.
7.2.5 В течение периода, установленного органом по валидации/верификации, персонал, который предоставлял консультации по заявлению, являющемуся объектом валидации/верификации, не должен осуществлять деятельность по валидации/верификации в связи со своим предыдущим участием. Этот период должен быть достаточно продолжительным, чтобы гарантировать, что угрозы беспристрастности сведены к минимуму или устранены.
Примечание - Период может быть указан в программе.
7.2.6 Персонал, включая любых членов комитетов, подрядчиков, а также персонал внешних органов или лиц, действующих от имени органа по валидации/верификации, должен сохранять конфиденциальность всей информации, полученной или созданной в ходе осуществления деятельности органа по валидации/верификации.
7.2.7 Орган по валидации/верификации должен довести до сведения персонала его обязанности, ответственность и полномочия.
7.3 Процесс управления компетентностью персонала
7.3.1 Орган по валидации/верификации должен иметь процессы управления компетентностью своего персонала, вовлеченного в деятельность по валидации/верификации.
7.3.2 Процессы должны требовать от органа по валидации/верификации:
a) определить критерии компетентности персонала для каждой функции в процессе валидации/верификации, включая, по крайней мере:
- способность применять общие концепции валидации/верификации (например, сбор доказательств, риск, искажения, уровень уверенности, существенность);
- знание типа и типичного содержания заявления клиента;
- знание требований программы (например, компетентность, необходимая для конкретного процесса валидации/верификации);
b) определить потребности в обучении и обеспечить, при необходимости, обучение процессу валидации/верификации, требованиям, методологии, действиям и другим соответствующим требованиям программы валидации/верификации;
c) продемонстрировать, что персонал обладает необходимой компетентностью для выполнения своих обязанностей и ответственности;
d) официально уполномочить персонал на выполнение функций в процессе валидации/верификации;
e) осуществлять мониторинг за работой персонала.
Примечание - Дополнительные требования к компетентности персонала могут содержаться в программе валидации/верификации.
7.3.3 Орган по валидации/верификации должен иметь документированную информацию, демонстрирующую компетентность его персонала, вовлеченного в деятельность по валидации/верификации. Это включает соответствующее образование, подготовку, опыт, мониторинг работы, аффилированность и профессиональный статус.
7.4 Аутсорсинг
При отсутствии в применяемой программе запретов на аутсорсинг орган по валидации/верификации может передать на аутсорсинг деятельность по валидации или верификации и при этом должен:
a) нести полную ответственность за валидацию/верификацию;
b) не передавать на аутсорсинг осуществление договоренности (9.3), а также принятие решения о подтверждении заявления и выдачу заключения о верификации или валидации (9.7);
c) иметь юридически значимое соглашение, включая требования конфиденциальности и управления беспристрастностью, с каждым органом, который осуществляет деятельность, переданную на аутсорсинг;
d) убедиться в том, что организация, оказывающая услуги на условиях аутсорсинга, соответствует применимым требованиям настоящего стандарта, включая компетентность, беспристрастность и конфиденциальность, а также любым применимым требованиям программы;
e) получить согласие клиента на использование организации, выполняющей аутсорсинг.
Примечания
1 Под аутсорсингом понимаются договорные отношения органа по валидации/верификации с организацией, включая другие органы по валидации/верификации, для обеспечения деятельности по валидации/верификации.
2 Привлечение органом по валидации/верификации отдельных лиц или сотрудников других организаций для предоставления дополнительных ресурсов или экспертных знаний не являются аутсорсингом при условии, что эти лица или сотрудники индивидуально наняты для работы в рамках системы менеджмента органа по валидации/верификации.
8 Программа валидации/верификации
Орган по валидации/верификации должен применять одну или несколько программ валидации/верификации, которые согласуются с требованиями настоящего стандарта и не исключают требования настоящего стандарта.
Примечания
1 Программа валидации/верификации является набором правил, процедур и управления для проведения валидации/верификации в конкретной отрасли, содержащим следующие элементы:
- область применения валидации/верификации;
- конкретные критерии компетентности для группы по валидации/верификации, а также органа по валидации/верификации;
- процесс валидации/верификации;
- деятельность по сбору доказательств валидации/верификации;
- отчетность по валидации/верификации.
2 Приложение A определяет элементы, которые могут быть включены в программу валидации/верификации.
9 Требования к процессу
9.1 Общие положения
Орган по валидации/верификации в рамках деятельности по валидации/верификации должен выполнить следующие этапы процесса:
- предварительное задание (9.2);
- задание (9.3);
- планирование (9.4);
- проведение валидации/верификации (9.5);
- анализ (9.6);
- принятие решения и выдача заключения о валидации/верификации (9.7);
- факты, обнаруженные после выпуска заключения о валидации/верификации (9.8);
- рассмотрение апелляций (9.9);
- рассмотрение жалоб (9.10);
- записи (9.11).
9.2 Предварительное задание
9.2.1 Орган по валидации/верификации должен требовать от клиента предоставить информацию, достаточную для проведения предварительного анализа, включая, как минимум, следующее:
a) имя клиента и предлагаемое заявление, подлежащее валидации/верификации;
b) места осуществления деятельности клиента;
c) программу валидации/верификации, а также соответствующие установленные требования к валидации/верификации;
d) цели и область применения валидации/верификации;
e) отчеты, данные и любую другую соответствующую информацию;
f) существенность и уровень уверенности, если они известны на данном этапе и если применимы;
g) любую другую информацию, требуемую программой валидации/верификации.
9.2.2 Орган по валидации/верификации должен провести предварительный анализ полученной от клиента информации, чтобы убедиться, что:
a) применимая программа существует или такая программа должна быть создана;
b) заявление понятно (например, его контекст, содержание и сложность);
c) цели и область применения валидации/верификации были согласованы с клиентом;
d) установленные требования, на соответствие которым будет валидироваться или верифицироваться заявление, идентифицированы и являются подходящими;
e) существенность и уровень уверенности согласованы, если это применимо;
f) процесс валидации/верификации может быть реализован (например, деятельность по сбору доказательств, оценка собранных доказательств);
g) продолжительность валидации/верификации может быть оценена;
h) орган по валидации/верификации идентифицировал и располагает ресурсами и компетентностями, которые требуются для проведения валидации/верификации;
i) могут быть предложены временные рамки для запланированной валидации/верификации.
9.2.3 После предварительного анализа предоставленной клиентом информации орган по валидации/верификации должен либо согласиться, либо отказаться от проведения валидации/верификации.
9.3 Задание
9.3.1 Орган по валидации/верификации должен иметь соглашение с каждым клиентом о проведении деятельности по валидации/верификации согласно соответствующим требованиям настоящего стандарта, а также требованиям, указанным в применимой программе валидации/верификации:
a) для деятельности по валидации/верификации, осуществляемой второй и третьей стороной, заключается соглашение, имеющее юридическую силу (например, контракт);
b) для деятельности по валидации/верификации, осуществляемой первой стороной, заключается внутреннее соглашение, такое как соглашение об уровне обслуживания, внутренний контракт, техническое задание или другое внутреннее соглашение, подлежащее исполнению.
9.3.2 Орган по валидации/верификации должен обеспечить, чтобы его соглашение включало обязательство клиента о соблюдении, по крайней мере, следующего:
a) требования к валидации/верификации;
b) принятие всех необходимых мер для проведения валидации/верификации, включая положения об изучении документации и доступе ко всем соответствующим процессам, площадкам, записям и персоналу;
c) создание условий для размещения наблюдателей там, где это применимо;
d) соблюдение правил, установленных органом по валидации/верификации в отношении ссылки на валидацию/верификацию или использование марок (10.3).
9.3.3 Соглашение должно подтверждать, что клиент привлекает орган по валидации/верификации для проведения валидации/верификации, включая перечень:
a) положений, перечисленных в 9.2.2;
b) конкретных требований к деятельности по валидации/верификации, включая любые дополнительные соответствующие требования, установленные программой или стандартом.
9.3.4 Орган по валидации/верификации несет ответственность за любые входные данные, которые он рассматривает в рамках деятельности по валидации/верификации, включая те, которые были получены от клиента или других внешних сторон.
9.4 Планирование
9.4.1 До того, как приступить к деятельности по валидации/верификации орган по валидации/верификации должен провести следующую деятельность по планированию с учетом требований, указанных в применимой программе валидации/верификации:
a) выделить для осуществления деятельности компетентные ресурсы;
b) на основе понимания заявления определить действия по валидации/верификации;
c) оценить риск существенного искажения заключения;
d) согласовать с клиентом сроки и механизмы доступа;
e) в соответствии с установленными требованиями, а также с учетом результатов b) и c) определить деятельность по сбору доказательств, необходимые для завершения валидации/верификации;
f) принимая во внимание c), а также любые меры, принятые клиентом для контроля источников потенциальных ошибок, упущений и искажений, подготовить план сбора доказательств;
g) подготовить план валидации/верификации (9.4.2) с учетом плана сбора доказательств в качестве входных данных.
Примечания
1 Процессы подготовки плана сбора доказательств и плана валидации/верификации могут быть повторяющимися.
2 В некоторых программах план сбора доказательств называется "план выборки".
3 Другими параметрами, которые могут быть определены программами, подлежащими рассмотрению в ходе планирования, являются существенность или уровень уверенности.
4 Уровень уверенности используется для определения глубины детализации, которую орган по валидации/верификации устанавливает в своем плане валидации/верификации и плане сбора доказательств для определения наличия существенных ошибок, пропусков или искажений.
9.4.2 Орган по валидации/верификации должен разработать план валидации/верификации, который описывает действия и графики, а также включает следующее:
a) цели и область применения валидации/верификации;
b) идентификацию членов группы по валидации/верификации, а также их роли и ответственности в группе (например, руководитель группы, наблюдатель);
c) временные рамки и продолжительность деятельности по валидации/верификации;
d) установленные требования.
9.4.3 Орган по валидации/верификации должен сообщить клиенту фамилии и роли членов группы с уведомлением о возможности представления любых возражений против назначения любого члена группы в ее состав.
9.4.4 Орган по валидации/верификации должен передать клиенту план валидации/верификации.
9.5 Проведение валидации/верификации
9.5.1 Орган по валидации/верификации должен выполнить деятельность по проведению валидации/верификации в соответствии с планом валидации/верификации.
9.5.2 План валидации/верификации должен быть пересмотрен по мере необходимости в ходе деятельности по валидации/верификации.
9.5.3 Любые изменения плана валидации/верификации должны быть внутренне документированы, включая причины, а также доведены до сведения клиента.
9.5.4 Орган должен осуществлять следующие виды деятельности:
a) сбор достаточных объективных свидетельств о входных данных и/или информации, обеспечение их прослеживаемости в процессе управления данными и/или информацией, любого дальнейшего анализа и расчетов;
b) выявление искажений, а также рассмотрение их существенности;
c) оценка соответствия установленным требованиям с учетом программы валидации/верификации.
9.5.5 Орган по валидации/верификации должен подготовить следующее:
a) выводы о результатах деятельности по 9.5.4;
b) проект заключения о валидации/верификации;
c) отчет, если применимо.
Примечание - Отчет может быть отдельным документом или может быть включен в документ, содержащий проект заключения о валидации/верификации.
9.6 Анализ
9.6.1 Орган по валидации/верификации должен осуществлять деятельность по анализу.
9.6.2 Анализ должен проводиться лицами, которые не были вовлечены в проведение валидации/верификации.
Примечание - В программе могут быть указаны дополнительные ограничения, например, требование, чтобы анализ проводился лицами, не вовлеченными в конкретную деятельность по планированию валидации/верификации.
9.6.3 Анализ должен подтвердить:
a) что вся деятельность по валидации/верификации была завершена в соответствии с соглашением и программой;
b) достаточность и уместность доказательств для обоснования решения;
c) были ли выявлены, устранены и задокументированы значительные обнаружения.
9.6.4 Лицо, проводящее анализ, должно взаимодействовать с группой по валидации/верификации, при возникновении необходимости в разъяснениях. Группа по валидации/верификации должна содействовать решению вопросов, поднятых лицом, проводящим анализ.
9.6.5 В ходе анализа должны быть доступны все записи о деятельности по валидации/верификации, как указано в 9.11.
9.7 Принятие решения и выдача заключения о валидации/верификации
9.7.1 Решение
9.7.1.1 По завершении анализа валидации/верификации орган по валидации/верификации принимает решение о том, подтверждать или нет заявление.
9.7.1.2 Решение должно быть принято лицами, которые не были вовлечены в проведение валидации/верификации.
Примечание - В программе могут быть указаны дополнительные ограничения, например, требование, чтобы решение принималось лицами, не вовлеченными в конкретную деятельность по планированию валидации/верификации.
9.7.1.3 На основании этого решения выдается или не выдается заключение о валидации/верификации в соответствии с требованиями программы.
9.7.1.4 Если орган по валидации/верификации не выдает заключение о валидации/верификации, он должен проинформировать об этом клиента.
9.7.2 Выдача заключения о валидации/верификации
Когда орган по валидации/верификации выдает заключение о валидации/верификации (9.7.1), такое заключение должно:
a) включать имя клиента;
b) идентифицировать, является ли оно заключением по валидации или заключением по верификации;
c) ссылаться на заявление, включая дату или период, на который это заявление распространяется;
d) включать тип органа по валидации/верификации в отношении рассматриваемого заключения (т.е. первая сторона, вторая сторона или третья сторона);
e) включать название и адрес органа по валидации/верификации (если включены знаки, например, знак аккредитации, они не должны вводить в заблуждение или быть двусмысленными);
f) описывать цели и область применения валидации/верификации;
g) описывать были ли данные и информация, поддерживающие заявление, гипотетическими, прогнозируемыми и/или историческими по своему характеру;
h) включать ссылку на программу валидации/верификации, а также соответствующие установленные требования;
i) включать решение, принятое по заявлению, включая выполнение любых требований, связанных с программой (например, существенность или уровень уверенности);
j) указывать дату и уникальную идентификацию заключения;
k) включать любые обнаружения, которые не были рассмотрены до выпуска заключения о валидации/верификации, если это требуется программой.
9.8 Факты, обнаруженные после выпуска заключения о валидации/верификации
9.8.1 Если новые факты или информация, которые могут существенно повлиять на заключение о валидации/верификации, обнаруживаются после даты его выпуска, орган по валидации/верификации должен:
a) как можно скорее сообщить об этом клиенту и, если требуется, владельцу программы;
b) предпринять соответствующие действия, включая следующее:
1) обсудить этот вопрос с клиентом;
2) рассмотреть вопрос о необходимости пересмотра или отзыва заключения о валидации/верификации.
9.8.2 Если заключение о валидации/верификации требует пересмотра, орган по валидации/верификации должен осуществить процессы для выпуска нового заключения, включая указание причин пересмотра. Это может включать повторение соответствующих этапов процесса валидации/верификации.
9.8.3 Орган по валидации/верификации может также сообщить другим заинтересованным сторонам о том факте, что доверие к первоначальному заключению теперь может быть поставлено под угрозу с учетом новых фактов или информации.
9.9 Рассмотрение апелляций
9.9.1 Орган по валидации/верификации должен иметь документально оформленный процесс получения, оценки и принятия решений по апелляциям.
9.9.2 Процесс рассмотрения апелляций должен включать как минимум следующее:
a) описание процесса получения, расследования, обоснования апелляции и принятия решения о том, какие действия должны быть предприняты в ответ;
b) отслеживание и регистрация апелляции, включая действия по ее разрешению;
c) обеспечение принятия соответствующих мер.
9.9.3 Орган по валидации/верификации, получивший апелляцию, несет ответственность за сбор всей необходимой информации для определения обоснованности апелляции.
9.9.4 Орган по валидации/верификации должен подтвердить получение апелляции и предоставить апеллянту результаты и, если это применимо, отчеты о ходе работы.
9.9.5 Описание процесса рассмотрения апелляций должно быть доступно любой заинтересованной стороне.
9.9.6 Орган несет ответственность за все решения в процессе рассмотрения апелляций.
9.9.7 Расследование и принятие решения по апелляциям не должны приводить к каким-либо дискриминационным действиям.
9.9.8 Решение по апелляции должно быть принято или рассмотрено и утверждено лицами, не вовлеченными в решение, которое является предметом рассматриваемой апелляции.
9.10 Рассмотрение жалоб
9.10.1 Орган по валидации/верификации должен иметь документально оформленный процесс получения, оценки и разрешения жалоб.
9.10.2 Процесс рассмотрения жалоб должен включать как минимум следующее:
a) описание процесса получения, обоснования, расследования жалобы, а также принятия решения о том, какие действия должны быть предприняты в ответ;
b) отслеживание и регистрация жалобы, включая действия, предпринятые для ее разрешения;
c) обеспечение принятия соответствующих мер.
9.10.3 Орган по валидации/верификации, получивший жалобу, несет ответственность за сбор всей необходимой информации для определения обоснованности жалобы.
9.10.4 По возможности орган по валидации и/или верификации должен подтвердить получение жалобы и предоставить заявителю результаты и, если это применимо, отчеты о ходе работы.
9.10.5 Описание процесса рассмотрения жалоб должно быть доступно любой заинтересованной стороне.
9.10.6 После получения жалобы орган должен подтвердить, относится ли жалоба к его деятельности по валидации/верификации, и, если да, разрешить жалобу.
9.10.7 Расследование и разрешение жалоб не должно приводить к каким-либо дискриминационным действиям.
9.10.8 Разрешение жалоб должно приниматься или рассматриваться и утверждаться лицами, не участвующими в рассматриваемой жалобе. Там, где ресурсы этого не позволяют, любой альтернативный подход не должен ставить под угрозу беспристрастность.
9.11 Записи
9.11.1 Орган по валидации/верификации должен вести и управлять записями о своей деятельности по валидации/верификации, включая:
a) информацию, представленную во время предварительной договоренности, а также область применения валидации/верификации;
b) обоснование того, как определяется продолжительность валидации/верификации;
c) любые изменения в деятельности по планированию валидации/верификации;
d) демонстрацию того, что деятельность по валидации/верификации была выполнена в соответствии с требованиями настоящего стандарта и программой валидации/верификации, включая обнаружения и информацию о существенных или несущественных искажениях;
e) оценка, отбор и мониторинг деятельности органов, осуществляющих деятельность на аутсорсинге;
f) доказательства, подтверждающие выводы и решения;
g) заключения о валидации/верификации;
h) жалобы и апелляции, а также любые последующие коррекции или корректирующие действия.
9.11.2 Орган по валидации/верификации должен надежно и конфиденциально вести записи по валидации/верификации, включая их транспортировку, передачу или перенос.
9.11.3 Орган по валидации/верификации должен хранить записи по валидации/верификации в соответствии с программой, контрактными обязательствами и другими требованиями системы менеджмента.
Примечание - ИСО 15489-1 определяет концепции и принципы, на основе которых разрабатываются подходы к созданию, ведению и управлению записями.
10 Требования к информации
10.1 Общедоступная информация
10.1.1 Орган по валидации/верификации должен обеспечить, чтобы общедоступной была следующая информация:
a) информация о процессе валидации/верификации;
b) обязательство о беспристрастности;
c) перечень видов деятельности по валидации/верификации, которые предоставляет орган по валидации/верификации, включая ссылки на применимые программы;
d) процесс рассмотрения жалоб и апелляций.
10.2 Другая информация, которая должна быть доступна
10.2.1 Орган по валидации/верификации должен хранить и, по запросу, предоставлять четкую, прослеживаемую и точную информацию о своей деятельности и отраслях, в которых он работает.
10.2.2 Если в программе не указано иное, орган по валидации/верификации должен предоставить по запросу информацию о статусе выданного им заключения о валидации/верификации.
10.2.3 Орган по валидации/верификации должен предоставлять клиентам информацию и обновлять информацию о следующем:
a) применимых программах валидации/верификации и любых их изменениях;
b) плате за деятельность по валидации/верификации;
c) требованиях органа по валидации/верификации к клиенту, чтобы:
1) соблюдать программу валидации/верификации,
2) принять все необходимые меры для проведения валидации/верификации,
3) предусмотреть условия, где это применимо, для обеспечения присутствия наблюдателей (например, оценщиков по аккредитации или стажеров валидаторов или верификаторов);
d) своей политике, регулирующей любое заключение, которое клиент имеет право использовать при ссылке на свое заключение о валидации/верификации в сообщениях любого рода в соответствии с требованиями пункта 10.3.
10.3 Ссылка на валидацию/верификацию и использование марок
10.3.1 Орган по валидации/верификации должен иметь правила, регулирующие любые ссылки на валидацию/верификацию, а также использование его марок, которые он разрешает использовать своим клиентам. Эти правила должны обеспечивать, в том числе прослеживаемость от органа по валидации/верификации и до выданного им заключения о валидации/верификации.
10.3.2 Данные ссылки или марки должны использоваться только в отношении валидированного/верифицированного заявления, а также они не должны вводить в заблуждение в отношении сертификации продукции.
10.4 Конфиденциальность
10.4.1 Орган по валидации/верификации должен нести ответственность, посредством юридически значимых соглашений, за управление всей информацией, полученной или созданной в ходе выполнения деятельности по валидации/верификации.
10.4.2 Орган по валидации/верификации должен заранее информировать клиента об информации, которую он намерен разместить в открытом доступе.
10.4.3 За исключением информации, которую сам клиент размещает в открытом доступе, или, когда это согласовано между органом по валидации/верификации и клиентом, вся остальная информация считается информацией, являющейся собственностью клиента, и должна рассматриваться как конфиденциальная.
10.4.4 В случае если орган по валидации/верификации в соответствии с законодательными или договорными требованиями обязан разгласить конфиденциальную информацию, клиент или заинтересованное лицо, должны быть уведомлены о разглашении информации, если это не запрещено законом.
10.4.5 Информация о клиенте, полученная из источников, отличных от клиента (например, заявитель, регулирующий орган), должна быть конфиденциальной между клиентом и органом по валидации/верификации. Поставщик (источник) этой информации является для органа конфиденциальным и не должен сообщаться клиенту, если это не согласовано с источником.
11 Требования к системам менеджмента
11.1 Общие положения
11.1.1 Орган по валидации/верификации должен создать, документировать, применить и поддерживать систему менеджмента для поддержки и демонстрации последовательного выполнения требований настоящего стандарта.
11.1.2 Система менеджмента органа по валидации/верификации должна включать, по крайней мере, следующее:
- политику и ответственности;
- анализ со стороны руководства (11.2);
- внутренние аудиты (11.3);
- корректирующие действия (11.4);
- действия по обращению с рисками и возможностями (11.5);
- документированную информацию (11.6).
11.1.3 Орган по валидации/верификации может выполнить пункт 11.1.2 путем создания и поддержания системы менеджмента качества в соответствии с требованиями международного стандарта ИСО 9001. Эта система менеджмента качества должна поддерживать и демонстрировать последовательное выполнение требований настоящего стандарта.
11.2 Анализ со стороны руководства
11.2.1 Высшее руководство органа по валидации/верификации должно анализировать свою систему менеджмента через запланированные интервалы времени с целью обеспечения ее постоянной пригодности, адекватности и результативности, включая заявленные политику и цели, связанные с выполнением требований настоящего стандарта.
11.2.2 Входные данные для анализа со стороны руководства должны регистрироваться и включать в себя информацию, касающуюся:
a) изменений во внутренних и внешних вопросах, имеющих отношение к органу по валидации/верификации;
b) достижения целей;
c) пригодности политики и процедур;
d) статуса действий, предпринятых после предыдущего анализа со стороны руководства;
e) результатов недавних внутренних аудитов;
f) корректирующих действий;
g) оценки внешних органов;
h) изменений в объеме и типе или в сфере деятельности органа по валидации/верификации;
i) отзывов клиентов и персонала;
j) жалоб и апелляций;
k) результативности любых примененных улучшений;
I) достаточности ресурсов;
m) результатов анализа рисков;
n) другие соответствующие факторы, такие как деятельность по мониторингу и подготовка.
11.2.3 Выходные данные анализа со стороны руководства должны регистрировать все решения и действия, относящиеся как минимум к:
a) результативности системы менеджмента и ее процессов;
b) совершенствованию деятельности органа по валидации/верификации, связанной с выполнением требований настоящего стандарта;
c) предоставлению необходимых ресурсов;
d) любой потребности в изменениях.
11.3 Внутренние аудиты
11.3.1 Орган по валидации/верификации должен проводить внутренние аудиты через запланированные интервалы времени для получения информации о том, система менеджмента:
a) соответствует ли:
- собственным требованиям органа по валидации/верификации к своей системе менеджмента, включая деятельность по валидации/верификации;
- требованиям настоящего стандарта;
b) эффективно ли применена и поддерживается.
11.3.2 Орган по валидации/верификации должен:
a) планировать, устанавливать, осуществлять и поддерживать программу аудита, включая частоту, методы, ответственности, требования к планированию и отчетности, которая должна учитывать важность соответствующей деятельности органа по валидации/верификации, изменения, влияющие на орган по валидации/верификации, а также результаты предыдущих аудитов;
b) определить критерии аудита и область для каждого аудита;
c) обеспечить, чтобы результаты аудитов были доведены до сведения соответствующего персонала;
d) осуществлять соответствующие коррекции и корректирующие действия без неоправданной задержки;
e) сохранять записи в качестве доказательства выполнения программы аудита и результатов аудита.
Примечание - ИСО 19011 содержит руководящие указания по проведению внутренних аудитов.
11.3.3 Орган по валидации/верификации должен обеспечить, чтобы его внутренние аудиторы не проверяли свою собственную работу.
11.4 Корректирующее действие
Орган по валидации/верификации должен установить процессы по определению и управлению несоответствиями в своей деятельности. При необходимости орган по валидации/верификации должен также предпринимать действия по устранению причин несоответствий для предупреждения их повторного возникновения. Корректирующие действия должны быть адекватными последствиям выявленных несоответствий. Процессы должны определять требования:
a) к выявлению несоответствий (например, согласно обоснованным жалобам или результатам внутренних аудитов);
b) установлению причин несоответствий;
c) устранению несоответствий;
d) оцениванию необходимости предпринимаемых действий, чтобы избежать повторения несоответствий;
e) определение и своевременное выполнение необходимых действий;
f) регистрации результатов предпринятых действий;
g) анализу результативности предпринятых корректирующих действий.
11.5 Действия по обращению с рисками и возможностями
11.5.1 Орган по валидации/верификации должен учитывать риски и возможности, связанные с деятельностью по валидации/верификации, чтобы:
a) придать уверенности в том, что система менеджмента достигает намеченных результатов;
b) расширять возможности для достижения программы и целей органа по валидации/верификации;
c) предотвращать или уменьшать нежелательные воздействия и потенциальные ошибки в деятельности органа по валидации/верификации;
d) добиться улучшения.
11.5.2 Орган по валидации/верификации должен планировать:
a) действия по обращению с этими рисками и возможностями;
b) как интегрировать и применить эти действия в свою систему менеджмента;
c) как оценить результативность этих действий.
Примечание - Хотя в настоящем стандарте указано, что орган по валидации/верификации планирует действия по обращению с рисками, нет требований к формальным методам управления рисками или документированию процесса управления рисками. Органы по валидации/верификации могут принять решение о необходимости разработки более обширной методологии управления рисками, чем требуется в настоящем стандарте (например, путем применения других руководств или стандартов).
11.5.3 Действия, предпринимаемые по обращению с рисками и возможностями, должны быть пропорциональны потенциальному влиянию на заключение по валидации/верификации.
Примечания
1 Варианты обращения с рисками могут включать выявление и предотвращение угроз, принятие риска для реализации возможности, устранение источника риска, изменение вероятности или последствий, разделение риска или сохранение риска путем принятия обоснованного решения.
2 Возможности могут привести к расширению области деятельности органа по валидации/верификации, обращению к новым клиентам, использованию новых технологий и других возможностей в целях потребностей клиентов.
11.6 Документированная информация
11.6.1 Орган по валидации/верификации должен контролировать документированную информацию, требуемую системой менеджмента и настоящим стандартом, чтобы гарантировать, что она:
a) доступна и пригодна для использования, где и когда она необходима, и
b) достаточно защищена (например, от несоблюдения конфиденциальности, неправильного использования или потери целостности).
11.6.2 Для контроля документированной информацией орган по валидации/верификации должен рассмотреть следующие виды деятельности, если это применимо:
a) распространение, обеспечение ее доступности, поиск и использование;
b) хранение и защиту, включая сохранение разборчивости;
c) контроль изменений (например, контроль версий);
d) соблюдение сроков хранения и порядка уничтожения.
11.6.3 Документированная информация внешнего происхождения, определенная органом по валидации/верификации как необходимая для планирования и функционирования системы менеджмента, должна быть идентифицирована соответствующим образом, а также должна контролироваться.
11.6.4 Документированная информация, сохраняемая в качестве доказательства соответствия, должна быть защищена от непреднамеренных изменений.
Примечания
1 Доступ может подразумевать решение относительно разрешения только на просмотр документированной информации или разрешения и полномочий на просмотр и изменение документированной информации.
2 Документированная информация относится к процессам, процедурам, записям, данным, заключениям и другой информации, требуемой настоящим стандартом.
Библиография
Ключевые слова: органы по валидации, органы по верификации, требования к органам по валидации и верификации, деятельность по оценке соответствия.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Национальный стандарт РФ ГОСТ Р ИСО/МЭК 17029-2022 "Оценка соответствия. Общие принципы и требования к органам по валидации и верификации" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 19 сентября 2022 г. N 953-ст)
Текст ГОСТа приводится по официальному изданию Российского института стандартизации, Москва, 2022 г.
Дата введения - 1 декабря 2022 г.