Приложение C (справочное). Процессы менеджмента риска и возможностей и оценки соответствия. Национальный стандарт РФ ГОСТ Р ИСО 29001-2023 "Нефтяная, нефтехимическая и газовая промышленность. Отраслевые системы менеджмента качества. Требования к организациям, поставляющим продукцию и услуги" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 27.01.2023 N 60-ст)

Приложение C
(справочное)

Процессы менеджмента риска и возможностей и оценки соответствия

C.1 Общие положения

Для поставки продукции или услуги внутри организации или за ее пределами организация устанавливает требования, необходимые для выполнения. Она также может устанавливать требования к оценке соответствия.

В настоящем приложении представлены методы оценки риска для достижения установленных требований и реализации возможностей совершенствования, а также для планирования способов управления, которые должны быть применены провайдерами для обеспечения соответствия установленным требованиям, в том числе продукции и услуг, поставляемых сторонними организациями в соответствии с 8.1 и 8.4.

На любом уровне цепи поставок организация может решить предоставлять продукцию и услуги, используя собственные процессы, или заключать контракты с подрядчиками на управление или исполнение или напрямую с поставщиками блоков, оборудования, комплектующих или материалов. На рисунке C.1 показана каскадная модель заключения контрактов.

Примечание - Эксплуатирующая организация (синяя ячейка) может принять решение о заключении контракта с внешним поставщиком на любом уровне цепи поставок. Аналогичным образом любая другая организация в цепи поставок (оранжевые ячейки) может сама обеспечить процесс, продукцию или услугу по контракту или принять решение о (частичном) аутсорсинге такой деятельности.

Рисунок C.1 - Каскадная модель заключения контрактов

Учитывая, что внешние провайдеры процессов, продукции и услуг используют свои системы менеджмента качества для обеспечения выполнения требований и обеспечения поставки, организации следует оценивать связанные с этим риски и управлять ими в соответствии с 8.4.2.

Данный принцип разработан для развертывания и каскадирования цепи поставок (см. рисунок C.2).

Примечание - QR - требование по качеству, RA - оценка риска, TBE - оценка технического предложения, CAS - система оценки соответствия

Рисунок C.2 - Представление процесса управления рисками и оценки соответствия

C.2 Принципы классификации рисков

В настоящем стандарте применены следующие принципы классификации рисков:

a) классификацию рисков следует осуществлять с учетом общего срока службы продукции или услуги, начиная с установления требований и заканчивая выводом продукции из эксплуатации и/или завершением обслуживания;

b) при классификации рисков следует учитывать требования по охране труда, окружающей среды и безопасности, действующие в стране или странах, в которых продукция или услуги создаются, используются и/или выводятся из эксплуатации/утилизируются;

c) классификацию рисков следует осуществлять с помощью определенных параметров;

d) менеджмент риска следует осуществлять персоналу, обладающему опытом и знаниями о продукции или услугах, в том числе:

- в области выявления и менеджмента последствий отказов;

- в области проектирования, производства, исполнения и об уровнях завершенности/сложности (если это необходимо);

- о предыдущих отказах и практическом опыте.

Примечание - Источники знаний организации описаны в 7.1.6.

C.3 Процесс менеджмента риска и оценки соответствия

C.3.1 Объем работ и среда организации потребителя

Установленные требования потребителя к продукции и/или услуге (см. 8.2) служат исходными данными для операционного планирования и управления. При планировании поставки и управления организации следует учитывать следующее:

- вид подлежащей оценке продукции или услуги;

- область, в которой она будет использоваться;

- процессы проектирования, производства и предоставления услуг, которые будут использоваться;

- виды деятельности, которые будут предоставляться сторонними организациями;

- требования потребителя или обязательные требования.

C.3.2 Осуществление оценки риска

Для определения рисков, связанных с предлагаемыми процессами поставки продукции или услуг, организации следует выполнять оценку в соответствии с требованиями 6.1. При оценке риска в зависимости от ситуации для достижения установленных требований и реализации возможностей совершенствования следует учитывать следующие категории рисков:

- обязательные требования;

- здоровье и личная безопасность;

- безопасность процесса;

- окружающая среда;

- капитальные затраты (CAPEX);

- операционные затраты (OPEX);

- операции с простоями или задержками производства;

- компетентность при использовании;

- компетентность при проектировании, производстве или выполнении;

- процессы, продукция или услуги, предоставляемые сторонними организациями.

При оценке риска при оказании специальных услуг, а также при использовании материалов и оборудования следует также учитывать следующие категории рисков:

- применение по назначению и прогнозируемое ненадлежащее использование;

- проверенное на практике устройство или конфигурация;

- требования к надежности и ремонтопригодности;

- уровни завершенности и сложности конструкции/услуги;

- опыт применения той же продукции, процесса или услуги;

- требования к сертификации и прослеживаемости.

Организации следует разработать процесс оценки риска, учитывающий подлежащие рассмотрению факторы и фиксирующий результаты оценки.

Оценку риска следует проводить под руководством компетентного координатора при поддержке технических специалистов, специалистов по качеству, безопасности и эксплуатации, а также при участии соответствующих внутренних и внешних заинтересованных сторон. Оценку риска допускается проводить в ходе рабочих совещаний, собеседований, исследований.

Примечание - Описание технологий оценки риска см. в МЭК 31010.

Результатом оценки риска может быть его классификация на основе:

- последствий события;

- вероятности возникновения;

- возможности выявления режима отказа.

Более подробные рекомендации/инструменты по процессам оценки риска для определения уровней соответствия доступны в электронном формате на сайте https://standards.iso.org/iso/29001/ed-1/en.

Примечание - Рекомендации/инструменты по определению уровней соответствия представлены также в ИСО 31000, ИСО 31004 и МЭК 31010.

C.3.3 Определение требований к управлению и оценке соответствия

Организации следует рассматривать запланированные процессы поставки продукции и услуг и результаты оценки риска как основу для определения требований к управлению и оценке соответствия, обеспечивающую соответствие требованиям.

Требования к управлению и оценке соответствия должны касаться:

a) внутренних операций в соответствии с 8.3, 8.5 и 8.6;

b) процессов, продукции или услуг, предоставляемых сторонними организациями в соответствии с 8.4 и C.4;

c) среды, в которой осуществляется управление и оценка, в том числе:

- деятельности по оценке соответствия первой стороной, осуществляемой организацией;

- деятельности по оценке соответствия второй стороной, осуществляемой потребителем или от его имени;

- деятельности по оценке соответствия третьей стороной, осуществляемой независимым органом с целью выполнения обязательных требований или требований потребителя.

Документированная информация, созданная для определения требований к управлению и оценке соответствия (см. 8.1), должна включать положения о требованиях и обязательствах при оценке соответствия со стороны потребителя и независимого органа.

Примечание - Провайдер остается ответственным за операционное планирование и контроль, а также за подтверждение соответствия продукции и/или услуг требованиям (см. 8.1 и 8.2), независимо от требований к оценке соответствия, определенных потребителем, либо путем ссылки на требования стандарта/технических условий либо на область применения.

C.4 Управление процессами, продукцией или услугами, предоставляемыми сторонними организациями

C.4.1 Объем работ, выполняемых сторонними организациями

Организации следует определить и контролировать выполнение объема работ по каждому процессу, продукции или услуге, предоставляемым сторонними организациями, в соответствии с 8.4.

C.4.2 Оценка возможностей потенциального провайдера

Организации следует провести оценку возможностей потенциальных провайдеров, чтобы определить их способность выполнить требования к объему работ и наличие у них необходимых средств управления системой менеджмента (качества) для обеспечения выполнения необходимых требований. В число критериев оценки может входить сложность продукции или услуг и необходимость участия организации в процессе проектирования, производства и цепи поставок продукции или услуг с учетом следующих факторов:

- новизна устройства продукции или услуги (например, модификации проверенной/испытанной конструкции, изменения конструкции, новой конструкции сложного изделия);

- сложность изготовления продукции или предоставления услуги (например, массовое производство или единичные партии, требующие создания опытных образцов, сложной сборки и испытаний);

- требования к сохранению товаров, предназначенных для использования в нефтяной или газовой промышленности (например, эластомерные компоненты или химические реагенты);

- знание цепи поставок, владение рисками и составление отчетности по ним, знание количества и типа каналов поставок (например, многоуровневые субподряды, сложные или неясные источники поставок комплектующих);

- имеющиеся ресурсы и предлагаемые возможности объектов провайдеров.

Оценка возможностей потенциальных провайдеров может быть основана на результатах предыдущей деятельности, предварительной аттестации или аудита.

C.4.3 Требования к оценке соответствия внешних провайдеров

Требования к оценке соответствия, указанные в информации для внешних провайдеров в соответствии с 8.4.3, должны отражать результаты оценки риска в отношении объема работ (см. C.3) и учитывать следующее:

- контрольные мероприятия, определенные контрактом и/или техническими условиями и определенным уровнем требований к качеству (QSL) (если это применимо);

- предполагаемый уровень оценки контрольных мероприятий провайдера со стороны потребителя и независимых органов [если это применимо, посредством создания системы оценки соответствия (CAS)].

Оценку технического предложения (TBE), включая оценку способности провайдеров соответствовать техническим условиям и соответствующему QSL, используют для подтверждения или изменения CAS, которая будет применена к выбранному провайдеру и отражена в контракте в соответствии с 8.4.3.

Примеры подходов к определению требований к оценке соответствия представлены в электронном формате на сайте http://standards.iso.org/iso/29001.

C.4.4 Контроль внешних провайдеров в ходе выполнения объема работ

Организации следует проводить запланированные мероприятия по оценке соответствия в качестве предварительного условия для принятия процесса, продукции или услуги, предоставленных сторонними организациями, для включения в свои операции в соответствии с согласованными требованиями по оценке соответствия.

В рамках настоящего стандарта требования к оценке соответствия, как правило, подразделяют на:

- Ожидание (H): Этап в цепочке действий, определенный в согласованной документированной информации, который требует согласования потребителя или уполномоченного органа перед началом дальнейших действий.

- Заверение (W): Этап в цепочке действий, при котором потребитель или уполномоченный орган может освидетельствовать операцию или процесс в согласованные сроки после уведомления и в соответствии с методом, который установлен в согласованной документированной информации.

- Надзор (S): Этап для периодического наблюдения или мониторинга потребителем, его представителем или назначенным органом за деятельностью, операцией, процессом или документированной информацией на территории провайдера или внешнего провайдера.

- Оценка (R): Этап для определения пригодности, адекватности или эффективности документированной информации для проверки соответствия согласованным требованиям и обязательствам.

Деятельность провайдера по выполнению требований следует регулярно оценивать в ходе выполнения объема работ и, при необходимости, выполнять корректирующие мероприятия и изменять уровень оценки соответствия в зависимости от рисков.

C.5 Пример мероприятий по оценке соответствия

В таблице C.1 представлена матрица общих мероприятий по оценке соответствия в четырех системах оценки соответствия или на четырех уровнях вмешательства потребителя на основе выполненной оценки риска и возможностей.

Таблица C.1 - Типовая матрица мероприятий по оценке соответствия (на основе ISO/TR 13881:2000)

Мероприятия для оценки потребителем	Система оценки соответствия (снижение рисков, связанных с провайдерами) a
	A	B	C	D
Планирование и управление деятельностью на стадиях жизненного цикла продукции и услуг (8.1)	-	-	-	-
Разъяснения после передачи контракта (8.2)	H	W	-	-
Оценка риска	H	W	R	-
Операционное планирование и процессы	H	W	R	-
Планирование контроля	H	W	-	-
Проектирование и разработка (8.3)	-	-	-	-
Планирование проектирования и разработки (8.3.2)	-	-	-	-
Анализ проекта	H	R	-	-
Верификация проекта	H (3)	R (3)	-	-
Валидация проекта	H (3)	R (3)	-	-
Управление внешними поставками (8.4)	-	-	-	-
Объем, оценка риска и средства управления внешними поставками (8.4, C.4)	H	W	R	-
Выполнение мероприятий по внешней оценке	W	S	S	-
Передача организации	H	W	S	-
Производство продукции и предоставление услуг (8.5)	-	-	-	-
Аттестация процесса	H	R	S	-
Надзор за продукцией, процессом или услугой посредством:	-	-	-	-
- периодического контроля	H	S	S	S
- контроля образцов	W	S	S	-
- полного (100 %-ного) контроля	W	S	-	-
Выпуск продукции и услуг (8.6)	-	-	-	-
Выходной контроль	H	W	-	-
Декларация о соответствии провайдеров	H	W	R	R
Независимая сертификация	H (3)	H	R	-
a H - ожидание, R - оценка, S - надзор, W - заверение, (3) - мероприятия по оценке соответствия третьей стороной.