Национальный стандарт РФ ГОСТ Р ИСО/МЭК 17021-1-2017
"Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 1. Требования"
(утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 4 июля 2017 г. N 640-ст)
Conformity assessment. Requirements for bodies providing audit and certification of management systems. Part 1. Requirements
ОКС 03.120.20
Дата введения - 1 апреля 2018 г.
Взамен ГОСТ Р ИСО/МЭК 17021-2012
Предисловие
1 Подготовлен Акционерным обществом "Всероссийский научно-исследовательский институт сертификации" (АО "ВНИИС") на основе официального перевода на русский язык англоязычной версии международного стандарта, указанного в пункте 4
2 Внесен Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии
3 Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 4 июля 2017 г. N 640-ст
4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 17021-1:2015 "Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 1. Требования" (ISO/IEC 17021-1:2015 "Conformity assessment - Requirements for bodies providing audit and certification of management systems - Part 1: Requirements", IDT).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА
5 Взамен ГОСТ Р ИСО/МЭК 17021-2012
Введение
Сертификация системы менеджмента организации, такой как система экологического менеджмента, система менеджмента качества или система менеджмента информационной безопасности, является одним из средств подтверждения того, что организация внедрила систему управления соответствующими аспектами своей деятельности, продукции и услуг согласно принятой ею политики и требованиями соответствующего международного стандарта к внедренной ею системы менеджмента.
Настоящая часть ИСО/МЭК 17021 (далее - настоящий стандарт) устанавливает требования к органам, проводящим аудит и сертификацию систем менеджмента. Настоящий стандарт содержит общие требования к таким органам, проводящим аудит и сертификацию в области качества, экологии и других областях применения систем менеджмента. Такие органы называются органами по сертификации. Выполнение этих требований позволяет гарантировать, что органы по сертификации выполняют сертификацию систем менеджмента компетентным, последовательным и беспристрастным образом, тем самым способствуя признанию таких органов и выданных ими сертификатов на национальном и международном уровнях. Настоящий стандарт является базой для признания результатов сертификации систем менеджмента в интересах международной торговли.
Сертификация системы менеджмента обеспечивает независимое свидетельство того, что система менеджмента организации:
a) соответствует установленным требованиям;
b) позволяет последовательно реализовывать принятую политику и достигать поставленных целей;
c) внедрена результативно.
Тем самым оценка соответствия, такая как сертификация системы менеджмента, обеспечивает получение выгоды организацией, ее потребителями и заинтересованными сторонами.
Раздел 4 настоящего стандарта содержит описание принципов, которые лежат в основе заслуживающей доверия сертификации. Эти принципы помогают читателю понять суть сертификации и служат необходимой предпосылкой к разделам 5-10. Эти принципы служат обоснованием требований настоящего стандарта, но сами по себе они не являются предметом аудиторской проверки. В разделе 10 представлены два альтернативных пути поддерживания и демонстрации постоянного выполнения требований настоящего стандарта посредством создания системы менеджмента органом по сертификации.
Деятельность по сертификации состоит из отдельных работ, которые формируют процесс сертификации, начиная с анализа заявки до завершения работ по сертификации. Приложение Е содержит иллюстрацию того, каким образом различные работы по сертификации могут быть связаны между собой.
Деятельность по сертификации включает в себя аудит системы менеджмента организации. Формой подтверждения соответствия системы менеджмента организации определенному стандарту на систему менеджмента или другим нормативным требованиям обычно является сертификационный документ или сертификат.
Настоящий стандарт может быть использован при проведении аудита и сертификации любого типа систем менеджмента. Признано, что некоторые требования и особенно те, которые относятся к компетентности аудиторов, могут быть дополнены новыми критериями для удовлетворения ожиданий заинтересованных сторон.
В настоящем стандарте использованы следующие глагольные формы:
- "должна" - указывает на требование;
- "следует" - указывает на рекомендацию;
- "могло бы" - указывает на разрешение;
- "может" - указывает на способность или возможность. Дальнейшие сведения можно найти в части 2 Директив ИСО/МЭК.
1 Область применения
Настоящий стандарт содержит принципы и требования, относящиеся к компетентности, последовательности и беспристрастности аудита, а также требования к органам, проводящим аудит и сертификацию любого типа систем менеджмента.
Органы по сертификации, работающие в соответствии с настоящим стандартом, не обязаны заниматься сертификацией всех типов систем менеджмента.
Сертификация систем менеджмента - это деятельность по оценке соответствия третьей стороной (ИСО/МЭК 17000:2004, 5.5), и таким образом, органы, осуществляющие эту деятельность, являются органами по оценке соответствия третьей стороной (называемые в настоящем стандарте органом/ органами по сертификации).
Примечания
1 В качестве примеров систем менеджмента можно привести системы экологического менеджмента, системы менеджмента качества и системы менеджмента информационной безопасности.
2 В настоящем стандарте сертификация систем менеджмента называется сертификация, а органы по оценке соответствия третьей стороной - органы по сертификации.
3 Орган по сертификации может быть неправительственной или правительственной организацией (наделенной или не наделенной регулирующими полномочиями).
4 Настоящий стандарт допускается использовать в качестве документа, содержащего критерии аккредитации, экспертной оценки или других процессов аудита.
2 Нормативные ссылки
В настоящем стандарте применены следующие международные стандарты. Для недатированных ссылок применяют последнее издание ссылочного стандарта (включая все изменения).
ИСО 9000 Системы менеджмента качества. Основные положения и словарь (ISO 9000, Quality management systems - Fundamentals and vocabulary)
ИСО/МЭК 17000 Оценка соответствия. Словарь и общие принципы (ISO/IEC 17000, Conformity assessment - Vocabulary and general principles)
3 Термины и определения
В настоящем стандарте применяют термины по ИСО 9000, ИСО/МЭК 17000, а также следующие термины.
3.1 сертифицированный заказчик (certified client): Организация, система менеджмента которой была сертифицирована.
3.2 беспристрастность (impartiality): Наличие объективности.
Примечания
1 Объективность означает, что конфликтов интересов не существует или они разрешены таким образом, что не оказывают отрицательного влияния на последующие действия органа по сертификации.
2 Другими терминами, которые могут быть полезны для передачи сути беспристрастности, являются "независимость", "отсутствие конфликта интересов", "отсутствие предвзятости", "отсутствие предубеждений", "нейтралитет", "справедливость", "непредубежденность", "объективность", "отстраненность", "уравновешенность".
3.3 консультирование по системе менеджмента (management system consultancy): Участие в разработке, внедрении или поддержании в рабочем состоянии системы менеджмента.
Примеры
1 Подготовка или разработка руководств или процедур.
2 Предоставление конкретных рекомендаций, инструкций или решений по разработке и внедрению системы менеджмента.
Примечания
1 Организация обучения или участие в качестве обучающего не рассматриваются как консультирование при условии, если курс обучения, относящийся к системам менеджмента или проведению аудита, ограничивается предоставлением общей информации, находящейся в открытом доступе, т.е. обучающий не должен предоставлять заказчику конкретные решения.
2 Предоставление общей информации, а не конкретных решений по улучшению процессов или систем заказчика, не рассматривается как консультирование. Такая информация может включать в себя:
- объяснение значения и сути критериев сертификации;
- идентификацию возможностей для улучшения;
- объяснение соответствующих теорий, методологий, технических приемов или методов;
- сообщение неконфиденциальной информации о наилучших практиках;
- другие аспекты менеджмента, не охватываемые проверяемой системой менеджмента.
3.4 сертификационный аудит (certification audit): Аудит, выполняемый проверяющей организацией, независимой от заказчика или заинтересованных сторон, с целью сертификации системы менеджмента заказчика.
Примечания
1 В приведенных ниже определениях термин "аудит" использован для упрощения ссылок на сертификационный аудит, проводимый третьей стороной.
2 Сертификационные аудиты включают в себя первоначальные, надзорные (инспекционные), ресертификационные аудиты, а также могут включать специальные аудиты.
3 Сертификационные аудиты обычно проводят группы аудиторов тех органов, которые проводят сертификацию соответствия требованиям стандартов на системы менеджмента.
4 Совместный аудит подразумевает проверку одного заказчика с не менее чем двумя проверяющими организациями.
5 Комбинированный аудит подразумевает проверку заказчика одновременно на соответствие требованиям не менее чем двух стандартов на системы менеджмента.
6 Комплексный аудит подразумевает проверку заказчика на соответствие требованиям более чем одного стандарта, когда заказчик применяет требования не менее чем двух стандартов на системы менеджмента в единой интегрированной системе менеджмента.
3.5 заказчик (client): Организация, систему менеджмента которой проверяют с целью сертификации.
3.6 аудитор (auditor): Лицо, проводящее аудит.
3.7 компетентность (competence): Способность применять знания и навыки для достижения намеченных результатов.
3.8 сопровождающий (guide): Лицо, назначенное заказчиком для содействия аудиторской группе.
3.9 наблюдатель (observer): Лицо, сопровождающее аудиторскую группу, но не участвующее в аудите.
3.10 техническая область (technical area): Область, характеризуемая общностью процессов, относящихся к конкретному типу системы менеджмента и ее предполагаемым результатам.
Примечание - См. примечание к 7.1.2.
3.11 несоответствие (nonconformity): Невыполнение требования.
3.12 значительное несоответствие (major nonconformity): Несоответствие (3.11), влияющее на способность системы менеджмента достигать намеченных результатов.
Примечание - Несоответствия могли бы быть классифицированы как значительные в следующих случаях:
- если приходится сомневаться в наличии результативного управления процессами или в том, что продукты или услуги будут отвечать установленным требованиям;
- при наличии серии незначительных несоответствий, связанных с одним и тем же требованием или аспектом, когда это может свидетельствовать о системной ошибке и таким образом образовывать значительное несоответствие.
3.13 незначительное несоответствие (minor nonconformity): Несоответствие (3.11), не влияющее на способность системы менеджмента достигать намеченных результатов.
3.14 технический эксперт (technical expert): Лицо, предоставляющее аудиторской группе свои знания или опыт по специальному вопросу.
Примечание - Знание или опыт по специальному вопросу могут быть отнесены к проверяемой организации, процессу или деятельности.
3.15 схема сертификации (certification scheme): Система оценки соответствия, относящаяся к системам менеджмента, применительно к которым установлены одинаковые требования, правила и процедуры.
3.16 общая продолжительность/трудоемкость аудита (audit time): Время, необходимое для планирования и результативного выполнения аудита системы менеджмента организации-заказчика.
3.17 продолжительность сертификационных аудитов системы менеджмента (duration of management system certification audit): Часть времени от общей продолжительности/трудоемкости аудита (3.16), необходимого на проведение мероприятий аудита, начиная с вводного совещания и заканчивая заключительным совещанием.
Примечание - Обычно мероприятия аудита включают в себя:
- проведение вводного совещания;
- выполнение анализа документации по ходу аудита;
- обмен информацией в ходе аудита;
- закрепление за сопровождающими и наблюдателями соответствующих функций и обязанностей;
- сбор и проверку информации;
- идентификацию выводов аудита;
- подготовку заключений аудита;
- проведение заключительного совещания.
4 Принципы
4.1 Общие положения
4.1.1 Принципы, приведенные в настоящем разделе, являются основой для изложенных в настоящем стандарте функциональных и описательных требований. Настоящий стандарт не содержит конкретных требований для всех возможных ситуаций. Эти принципы следует применять в качестве руководства при принятии решений, которые могут потребоваться в непредвиденных ситуациях. Принципы не являются требованиями.
4.1.2 Глобальная цель сертификации состоит в создании уверенности у всех сторон в том, что система менеджмента соответствует установленным требованиям. Ценность сертификации состоит в определенном уровне общественного доверия, которое было установлено посредством беспристрастной и компетентной оценки третьей стороной. К сторонам, заинтересованным в сертификации, в частности, относятся:
a) заказчики (клиенты) органов по сертификации;
b) потребители организаций, системы менеджмента которых были сертифицированы;
c) правительственные организации;
d) неправительственные организации;
e) потребители и другие члены общества.
4.1.3 К принципам, обеспечивающим доверие, относятся:
- беспристрастность,
- компетентность,
- ответственность,
- открытость,
- конфиденциальность,
- реагирование на жалобы,
- подход на основе рисков.
Примечание - Настоящий стандарт устанавливает принципы сертификации в разделе 4; соответствующие принципы, относящиеся к процессу аудита, можно найти в ИСО 19011:2011, раздел 4.
4.2 Беспристрастность
4.2.1 Чтобы проводить сертификацию, заслуживающую доверия, орган по сертификации должен быть беспристрастным и должен восприниматься как таковой.
4.2.2 Общепризнано, что источником дохода органа по сертификации является плата заказчика за сертификацию, и это является потенциальной угрозой для сохранения беспристрастности.
4.2.3 Для достижения и поддержания доверия необходимо, чтобы решения органа по сертификации основывались на объективных свидетельствах соответствия (или несоответствия), полученных органом по сертификации, и чтобы на его решения не влияли другие интересы или другие стороны.
4.2.4 Угрозы для сохранения беспристрастности, в частности, могут включать в себя следующее:
a) собственная выгода: угроза возникает в случае, когда человек или организация действуют в личных интересах. В случае сертификации угрозой беспристрастности является финансовый интерес;
b) анализ собственной деятельности: угроза возникает при анализе человеком или организацией собственной работы. Выполнение аудита систем менеджмента заказчика, которому орган по сертификации предоставлял консультации по системам менеджмента, может привести к анализу собственной работы;
c) близкие отношения (или доверие): угроза возникает при слишком близких отношениях с лицом или организацией или в том случае, когда аудитор слишком доверяет другому лицу вместо того, чтобы искать свидетельства аудита;
d) запугивание: угроза возникает, когда у человека или органа возникает ощущение, что им открыто или скрытым образом угрожают, например, заменой или сообщением руководству.
4.3 Компетентность
4.3.1 Компетентность персонала органа по сертификации во всех работах, связанных с процессом сертификации, необходима для проведения сертификации, заслуживающей доверие.
4.3.2 Также необходимо, чтобы сертификация поддерживалась системой менеджмента органа по сертификации.
4.3.3 Важнейшая задача для руководства органа по сертификации состоит в обеспечении внедрения процесса для установления критериев компетентности персонала, участвующего в проведении аудита и других работах по сертификации, и чтобы компетентность персонала оценивалась согласно данным критериям.
4.4 Ответственность
4.4.1 Ответственность за достижение соответствия требованиям конкретного стандарта на систему менеджмента и за соответствие требованиям к сертификации несет сертифицированный заказчик, а не орган по сертификации.
4.4.2 Орган по сертификации несет ответственность за оценку достаточности объективных свидетельств, на основании которых принимается решение о сертификации. На основании выводов аудита он принимает решение о выдаче сертификата, если имеются достаточные свидетельства соответствия, или о невыдаче сертификата, если нет достаточных свидетельств соответствия.
Примечание - Любой аудит основан на выборке из всей системы менеджмента организации, поэтому гарантия 100%-ного соответствия требованиям невозможна.
4.5 Открытость
4.5.1 Орган по сертификации должен обеспечивать открытый доступ или своевременно раскрывать соответствующую информацию о процессе аудита и сертификации, а также о статусе сертификации (например, о выдаче, подтверждении сертификата, расширении или сужении области действия сертификата, об обновлении, о приостановлении действия или отмене сертификата) любой организации с целью обеспечения уверенности в добросовестности и достоверности сертификации. Открытость - это принцип доступности или раскрытия соответствующей информации.
4.5.2 Для обеспечения или поддерживания доверия к сертификации орган по сертификации должен предоставлять необходимый доступ или раскрывать неконфиденциальную информацию о результатах конкретных аудитов (например, аудитов в ответ на жалобы) определенным заинтересованным сторонам.
4.6 Конфиденциальность
Для получения преимущественного доступа к информации, требуемой органом по сертификации для адекватной оценки соответствия требованиям, необходимо, чтобы орган по сертификации не раскрывал конфиденциальной информации.
4.7 Реагирование на жалобы
Стороны, которые полагаясь на сертификацию, ожидают, что их жалобы будут рассмотрены, должны быть уверены, что в случае признания их обоснованными орган по сертификации надлежащим образом учтет эти жалобы и приложит надлежащие усилия для их разрешения. Результативное реагирование на жалобы - важное средство защиты органа по сертификации, его заказчиков и других пользователей сертификации от ошибок, упущений или ненадлежащего поведения. Доверие к деятельности по сертификации обеспечивается в том случае, если проводится соответствующая работа с жалобами.
Примечание - Правильный баланс между принципами открытости и конфиденциальности, включая реагирование на жалобы, необходимо соблюдать для демонстрации обоснованности и достоверности процесса всем пользователям сертификации.
4.8 Подход на основе рисков
Органы по сертификации должны учитывать риски, связанные с проведением компетентной, непротиворечивой и беспристрастной сертификации. Риски могут быть, в частности, связаны с:
- целями аудита;
- выборкой, применяемой для целей аудита;
- юридическими и другими обязательными требованиями, включая обязательства сторон;
- проверяемой организацией и условиями деятельности заказчика;
- влиянием аудита на заказчика и его деятельность;
- здоровьем и безопасностью членов аудиторской группы;
- восприятием заинтересованных сторон;
- недостоверными сообщениями сертифицируемого заказчика;
- использованием знаков.
5 Общие требования
5.1 Особенности, связанные с законодательством и договорами
5.1.1 Юридическая ответственность
Орган по сертификации должен быть юридическим лицом или определенной частью юридического лица, чтобы нести юридическую ответственность за все свои действия в области сертификации. Правительственный орган по сертификации рассматривается как юридическое лицо вследствие его правительственного статуса.
5.1.2 Договор на проведение работ по сертификации
Орган по сертификации должен заключить с каждым заказчиком имеющий юридическую силу договор об оказании услуг по сертификации в соответствии с требованиями настоящего стандарта. Кроме того, при наличии нескольких офисов у органа по сертификации или нескольких производственных площадок у заказчика орган по сертификации должен предусмотреть заключение имеющего юридическую силу договора между выдающим сертификат органом и заказчиком, действие которого распространяется на все производственные площадки, подлежащие сертификации.
Примечание - Договор может включать несколько договорных соглашений, связанных между собой посредством ссылок или иным образом.
5.1.3 Ответственность за решения о сертификации
Орган по сертификации должен нести ответственность и иметь полномочия для принятия решений в области сертификации, включая выдачу, отказ в выдаче, подтверждение, возобновление сертификата, расширение или сужение области действия сертификата, приостановку и прекращение действия сертификата.
5.2 Управление беспристрастностью
5.2.1 Работы по оценке соответствия должны проводиться беспристрастным образом. Орган по сертификации должен нести ответственность за обеспечение беспристрастности в ходе работ по оценке соответствия, и он не должен допускать коммерческого, финансового или другого давления, компрометирующего его беспристрастность.
5.2.2 Высшее руководство органа по сертификации должно взять на себя обязательства по обеспечению беспристрастности в ходе работ по сертификации систем менеджмента. Орган по сертификации должен иметь политику с заявлением о том, что, понимая важность беспристрастности при выполнении работ по сертификации систем менеджмента, он управляет ситуациями, связанными с конфликтом интересов, и гарантирует объективность своих действий по сертификации систем менеджмента.
5.2.3 Орган по сертификации должен на постоянной основе идентифицировать, анализировать, оценивать, регулировать, контролировать и документировать риски, связанные с конфликтом интересов, возникающие при проведении сертификации, включая конфликты, вытекающие из его взаимоотношений. Если взаимоотношения создают угрозу для обеспечения беспристрастности, орган по сертификации должен документально оформить и суметь продемонстрировать, как он устраняет или минимизирует такие угрозы, а также задокументировать сведения о любом остающемся риске. Такая демонстрация должна охватывать все выявленные потенциальные источники конфликта интересов как в рамках органа по сертификации, так и в деятельности других лиц, органов или организаций. Если взаимоотношения становятся недопустимой угрозой для обеспечения беспристрастности (например, в случае, когда запрос на проведение сертификации поступает от дочерней компании органа по сертификации, находящейся в полном его владении), сертификация не допускается.
Высшее руководство должно анализировать любой остающийся риск на предмет его допустимости.
Работа по оценке рисков должна включать в себя идентификацию заинтересованных сторон и консультирование с ними по поводу аспектов, оказывающих влияние на обеспечение беспристрастности, включая открытость и восприятие общественностью. Консультирование с заинтересованными сторонами должно быть сбалансированным, не допускающим преобладания интересов одной из сторон.
Примечания
1 Взаимоотношения, представляющие угрозу для обеспечения беспристрастности органа по сертификации, могут быть связаны с правами собственности, властными полномочиями, менеджментом, персоналом, совместно используемыми ресурсами, финансированием, контрактами, маркетингом, уплатой комиссионных с продаж или с другим поощрением за привлечение новых заказчиков и т.д.
2 Заинтересованными сторонами могут быть работники и заказчики органа по сертификации, потребители организаций, системы менеджмента которых проверяют в целях сертификации, представители торгово-промышленных ассоциаций, представители правительственных регулирующих органов и других правительственных учреждений или представители неправительственных организаций, включая организации потребителей.
3 Одним из способов выполнения требования настоящего раздела, касающегося необходимости проведения консультирования, является создание комитета с участием заинтересованных сторон.
5.2.4 Орган по сертификации не должен сертифицировать какой-либо другой орган по сертификации в отношении его деятельности по сертификации систем менеджмента.
5.2.5 Орган по сертификации и любая часть того же юридического лица, а также любое юридическое лицо под организационным управлением органа по сертификации [см. перечисление b) 9.5.1.2] не должны предлагать или проводить консультации по системам менеджмента. Это также применимо к той части правительственной структуры, которая идентифицирована как орган по сертификации.
Примечание - Это не исключает возможности обмена информацией (например, объяснение содержания выводов или требований) между органом по сертификации и его заказчиками.
5.2.6 Проведение внутренних аудитов органом по сертификации может представлять серьезную угрозу для обеспечения беспристрастности. Орган по сертификации и любая часть того же юридического лица, а также любое юридическое лицо под организационным управлением органа по сертификации [см. перечисление b) 9.5.1.2], не должны предлагать или проводить внутренние аудиты у сертифицированных им заказчиков. Орган по сертификации не должен сертифицировать систему менеджмента, внутренние аудиты которой он проводил, как минимум два года после завершения внутренних аудитов. Это также применимо к той части правительственной структуры, которая идентифицирована как орган по сертификации.
Примечание - См. примечание 1 к 5.2.3.
5.2.7 Если заказчику оказывалась консультативная помощь организацией, имеющей связи с органом по сертификации, то это представляет серьезную угрозу для обеспечения беспристрастности. Одним из признанных способов снижения этой угрозы является установление двухлетнего моратория на проведение сертификации системы менеджмента с момента завершения консультаций.
Примечание - См. примечание 1 к 5.2.3.
5.2.8 Орган по сертификации не должен передавать право проведения аудитов организации, занимающейся консультированием по системам менеджмента, поскольку это представляет неприемлемую угрозу для обеспечения беспристрастности органа по сертификации (см. 7.5). Это не распространяется на лиц, привлеченных в качестве аудиторов по договору (см. 7.3).
5.2.9 Услуги органа по сертификации не должны предлагаться на рынке во взаимосвязи с услугами организации, занимающейся консультированием по системам менеджмента. Орган по сертификации должен принимать меры по устранению неуместных ссылок или заявлений любой консалтинговой организации, утверждающих или подразумевающих, что проведение сертификации будет проще, легче, быстрее или дешевле при привлечении данного органа по сертификации. Орган по сертификации не должен делать заявления, утверждающие или подразумевающие, что выполнение сертификации будет проще, легче, быстрее или дешевле при привлечении определенной консалтинговой организации.
5.2.10 Чтобы исключить конфликт интересов, работники, оказывающие консультационные услуги по системам менеджмента, включая сотрудников на руководящих позициях, не должны привлекаться органом по сертификации к участию в аудите или других работах по сертификации в течение двух лет после завершения консультирования данного заказчика.
5.2.11 Орган по сертификации должен предпринять ответные действия в отношении любых угроз для обеспечения беспристрастности, возникающих в связи с действиями других лиц, органов или организаций.
5.2.12 Весь персонал органа по сертификации как внутренний, так и внешний, или комитеты, которые могут оказывать влияние на работы в области сертификации, должны действовать беспристрастно и не должны допускать коммерческого, финансового или другого давления, компрометирующего их беспристрастность.
5.2.13 Органы по сертификации должны требовать от персонала как внутреннего, так и внешнего, предоставлять информацию о любых известных им ситуациях, которые могут вовлечь их или орган по сертификации в конфликт интересов. Органы по сертификации должны использовать данную информацию в качестве исходных данных при определении угроз для обеспечения беспристрастности вследствие деятельности таких работников или организаций, принявших их на работу, и не должны привлекать такой персонал как внутренний, так и внешний, пока работники не смогут продемонстрировать отсутствия конфликта интересов.
5.3 Обязательства и финансирование
5.3.1 Орган по сертификации должен быть способен продемонстрировать, что он оценивает риски, связанные с его деятельностью по сертификации, и что он располагает достаточными средствами (например, страхование или наличие резервов) для выполнения обязательств, возникающих в ходе его работ по сертификации в каждой области деятельности и географической зоне, в которой он осуществляет свою деятельность.
5.3.2 Орган по сертификации должен оценивать свои финансовые возможности и источники дохода, а также демонстрировать, что на начальном этапе и в дальнейшем коммерческое, финансовое или другое давление не могут поставить под сомнение его беспристрастность.
6 Требования к структуре
6.1 Организационная структура и высшее руководство
6.1.1 Орган по сертификации должен документировать свою организационную структуру, обязанности, ответственность и полномочия руководства и другого персонала, занимающегося сертификацией, а также любых комитетов. Если орган по сертификации является частью юридического лица, его организационная структура должна отражать распределение полномочий и взаимодействие с другими частями этого юридического лица.
6.1.2 Структура и управление органа по сертификации должна обеспечивать беспристрастность его деятельности по сертификации.
6.1.3 Орган по сертификации должен определить высшее руководство (совет, группу лиц или лицо), обладающее всеми полномочиями и несущее полную ответственность за:
a) разработку политик и создание процессов и процедур, связанных с его деятельностью;
b) контроль выполнения политик, процессов и процедур;
c) обеспечение беспристрастности;
d) надзор за финансами органа;
e) разработку услуг и схем по сертификации систем менеджмента;
f) выполнение аудитов и сертификации, а также реагирование на жалобы;
g) принятие решений о сертификации;
h) делегирование полномочий комитетам или лицам для осуществления, если требуется, определенных действий от своего имени;
i) условия заключаемых договоров;
j) выделение необходимых ресурсов для выполнения работ по сертификации.
6.1.4 Орган по сертификации должен иметь официальные правила назначения, определения области компетенции и обеспечения функционирования всех комитетов, вовлеченных в работу по сертификации.
6.2 Управление деятельностью по сертификации
6.2.1 Орган по сертификации должен иметь процесс для эффективного управления работами по сертификации, проводимыми представительствами на местах, компаниями, агентами, получателями франшизы и т.д. независимо от их правового статуса, отношения или местонахождения. Орган по сертификации должен рассматривать риски, связанные с выполнением этих работ, в отношении компетентности, состоятельности и беспристрастности органа по сертификации.
6.2.2 Орган по сертификации должен рассматривать надлежащий уровень и способ управления деятельностью по сертификации, включая осуществляемые процессы, технические области работ органа, компетентность персонала, каналы управления руководством, предоставление отчетности и выполнение операций на удаленном расстоянии, включая управление записями.
7 Требования к ресурсам
7.1 Компетентность персонала
7.1.1 Общие положения
Орган по сертификации должен определить порядок получения персоналом необходимых знаний и навыков по типам систем менеджмента (например, системы экологического менеджмента, системы менеджмента качества, системы менеджмента информационной безопасности), которыми он занимается, и географическим зонам, в которых он осуществляет свою деятельность.
7.1.2 Определение критериев компетентности
Орган по сертификации должен иметь документированную процедуру определения критериев компетентности персонала, участвующего в организации и проведении аудитов и сертификации. Критерии компетентности должны определяться с учетом требований стандарта или технических условий для каждого типа систем менеджмента, для каждой технической области и для каждой функции процесса сертификации. Выходными данными такого процесса должны быть документально оформленные критерии требуемых знаний и навыков, необходимых для эффективного выполнения задач аудита и сертификации с целью достижения запланированных результатов. В приложении А оговорены знания и навыки, которые орган по сертификации должен определить для выполнения конкретных функций. В случае установления дополнительных критериев компетентности для той или иной схемы сертификации (например, в ИСО/МЭК 17021-2, ИСО/МЭК 17021-3 или ИСО/ТУ 22003) должны применяться эти критерии.
Примечание - Термин "техническая область" может применяться по-разному в зависимости от рассматриваемого стандарта на системы менеджмента. Что касается любой системы менеджмента, этот термин относится к продукции и процессам с учетом области применения стандарта на системы менеджмента. Техническая область может быть определена конкретной схемой сертификации (например, ИСО/ТУ 22003) или может быть установлена органом по сертификации. Этот термин применяют, чтобы охватить ряд других терминов, таких как "области", "категории", "сектора" и т.д., которые традиционно используют для различных типов систем менеджмента.
7.1.3 Процессы оценивания
Орган по сертификации должен иметь документированные процессы для первоначального оценивания компетентности и осуществлять постоянный мониторинг компетентности и результативности деятельности всего персонала, участвующего в организации и проведении аудитов и сертификации, с использованием установленных критериев компетентности. Орган по сертификации должен демонстрировать результативность своих методов оценивания. Выход этих процессов должен быть связан с выявлением персонала, который продемонстрировал уровень компетентности, требуемый для выполнения различных функций аудита и процесса сертификации. Компетентность сотрудника должна быть подтверждена до того, как на него будет возложена ответственность за надлежащее исполнение работ, проводимых органом по сертификации.
Примечания
1 В приложении В описан ряд методов оценивания, которые допускается использовать для оценивания компетентности.
2 В приложении С приведен пример последовательности операций для определения и поддержания компетентности.
7.1.4 Дополнительные требования
Орган по сертификации должен иметь возможность обратиться к соответствующим техническим специалистам для получения рекомендаций по вопросам, имеющим непосредственное отношение к сертификации, применительно к техническим областям, типам систем менеджмента и географическим зонам, в которых работает орган по сертификации. Такие рекомендации могут быть получены либо со стороны, либо от персонала органа по сертификации.
7.2 Персонал, участвующий в работах по сертификации
7.2.1 Орган по сертификации должен иметь в своем штате персонал, обладающий достаточной компетентностью для осуществления различных программ аудита и выполнения других работ по сертификации.
7.2.2 Орган по сертификации должен иметь возможность привлекать к работе по сертификации достаточное число аудиторов, включая руководителей аудиторских групп и технических экспертов, для охвата всей сферы своей деятельности и выполнения всего объема работ по аудиту.
7.2.3 Орган по сертификации должен четко разъяснять каждому работнику его обязанности, область ответственности и полномочия.
7.2.4 Орган по сертификации должен установить процессы отбора, подготовки, официального наделения полномочиями аудиторов, а также отбора технических экспертов, привлекаемых к работам по сертификации. Первоначальное оценивание уровня компетентности аудитора должно охватывать его умение применять требуемые знания и навыки при проведении аудитов; такое оценивание должен проводить компетентный оценщик, наблюдающий за тем, как аудитор проводит проверку.
Примечание - В ходе вышеуказанного процесса отбора и подготовки принимают во внимание требуемые личностные характеристики. Это показатели, влияющие на способность сотрудника выполнять конкретные функции. Поэтому знания, касающиеся личностных характеристик сотрудников, позволяют органу по сертификации воспользоваться их сильными сторонами и свести к минимуму влияние их слабых сторон. Требуемые личностные характеристики, имеющие важное значение для персонала, участвующего в работах по сертификации, рассмотрены в приложении D.
7.2.5 Орган по сертификации должен обеспечить наличие процесса достижения и демонстрации результативного проведения аудита, включая привлечение аудиторов и руководителей аудиторских групп, обладающих как общими знаниями и навыками в области аудита, так и навыками и знаниями, необходимыми для проведения аудита в конкретных технических областях.
7.2.6 Орган по сертификации должен предусмотреть, чтобы аудиторы (и, когда необходимо, технические эксперты) были осведомлены о процессе проведения аудита, требованиях к сертификации и других необходимых требованиях. Орган по сертификации должен предоставлять аудиторам и техническим экспертам доступ к действующим документированным процедурам, содержащим инструкции по проведению аудита и всю необходимую информацию в области сертификации.
7.2.7 Орган по сертификации должен выявлять потребности в обучении и предлагать или делать доступной специальную подготовку, чтобы гарантировать, что его аудиторы, технические эксперты и другой персонал, участвующий в работах по сертификации, компетентны в пределах выполняемых ими функций.
7.2.8 Группа или лицо, принимающие решение о выдаче, отказе в выдаче, подтверждении, возобновлении, приостановлении действия или отмене сертификата, расширении или сужении области сертификации, должны знать положения применяемого стандарта и требования к сертификации и подтвердить свою компетентность в области оценки результатов процессов аудита, включая соответствующие рекомендации аудиторской группы.
7.2.9 Орган по сертификации должен обеспечивать надежную работу всего персонала, участвующего в работах по аудиту и сертификации. Должны быть разработаны документированные процедуры и критерии для мониторинга компетентности и характеристик деятельности всего участвующего в работах персонала, основанные на частоте их привлечения к работам и уровне риска, связанного с их действиями. В частности, орган по сертификации должен проводить анализ и регистрацию компетентности своих работников в связи с выполняемыми ими работами с целью определения потребностей в обучении.
7.2.10 Орган по сертификации должен осуществлять постоянный контроль работы каждого аудитора, рассматривая каждый тип систем менеджмента, в области которых аудитор считается компетентным. Документированные процедуры мониторинга деятельности аудиторов должны включать в себя комбинацию наблюдения и оценивание работы аудитора на месте, анализ отчетов по результатам аудита и информации от заказчиков или ответной реакции рынка. Такой мониторинг должен быть разработан таким образом, чтобы свести к минимуму вмешательство в нормальное протекание процессов сертификации, особенно сточки зрения заказчика.
7.2.11 Орган по сертификации должен периодически проводить наблюдение за работой каждого аудитора на рабочем месте. Периодичность наблюдений на месте должна быть обоснована необходимостью, определяемой на основании всех имеющихся данных по мониторингу.
7.3 Привлечение внешних аудиторов и внешних технических экспертов
Орган по сертификации должен требовать от внешних аудиторов и внешних технических экспертов заключения письменного соглашения с обязательствами по соблюдению применяемых политик и процедур, установленных органом по сертификации. Соглашение должно касаться вопросов соблюдения конфиденциальности и беспристрастности, а также требовать от внешних аудиторов и технических экспертов уведомления органа по сертификации о любых существующих или имевшихся ранее связях с любой организацией, для проведения аудита в которой они могут быть назначены.
Примечание - Привлечение отдельных аудиторов и технических экспертов в соответствии с такими соглашениями не считается аутсорсингом.
7.4 Кадровый учет
Орган по сертификации должен вести актуализированные записи о работниках, включая необходимые данные о квалификации, подготовке, опыте, принадлежности к другим организациям, профессиональном статусе и компетентности. Помимо сотрудников, выполняющих работы по сертификации, эти требования относятся к руководящему и административному персоналу.
7.5 Привлечение соисполнителей (аутсорсинг)
7.5.1 Орган по сертификации должен иметь процесс, устанавливающий условия привлечения сторонних организаций (на основе субподряда, когда часть работ по сертификации выполняется другой организацией от имени органа по сертификации). Орган по сертификации должен заключать юридически действительное соглашение, касающееся организации данной деятельности, с каждым органом, оказывающим подобного рода услуги, в том числе в отношении соблюдения конфиденциальности и отсутствия конфликта интересов.
7.5.2 Привлекаемые сторонние организации не имеют права принимать решения о выдаче, отказе в выдаче, подтверждении, возобновлении, приостановлении действия или отмене сертификата, а также о расширении или сужении области сертификации.
7.5.3 Орган по сертификации должен:
a) нести ответственность за работу, переданную другим организациям на условиях аутсорсинга;
b) убедиться в том, что организация, оказывающая услуги на условиях аутсорсинга, и привлеченные ею лица соответствуют требованиям органа по сертификации и выполняют положения настоящего стандарта, в том числе в отношении компетентности, беспристрастности и конфиденциальности;
c) убедиться в том, что организация, предоставляющая услуги на условиях аутсорсинга, и привлеченные ею лица не связаны непосредственно или через другого работодателя с проверяемой организацией таким образом, чтобы это могло повлиять на их беспристрастность.
7.5.4 Орган по сертификации должен иметь процедуры по одобрению и мониторингу всех организаций, оказывающих услуги на условиях аутсорсинга, которые привлекаются для работ по сертификации, и обеспечивать ведение записей о компетентности всех лиц, участвующих в работах по сертификации.
Примечания
1 Применительно к 7.5.1-7.5.4 привлечение органом по сертификации на договорной основе отдельных лиц или работников другой организации к выполняемым им работам по сертификации в качестве аудиторов или технических экспертов не считается аутсорсингом (7.3).
2 Применительно к 7.5.1-7.5.4 термины "аутсорсинг" и "выполнение работ по субподрядам" являются синонимами.
8 Требования к информации
8.1 Общедоступная информация
8.1.1 Орган по сертификации должен обеспечивать ведение (используя печатные, электронные или другие средства) и делать общедоступной во всех географических зонах, в которых данный орган работает, информацию:
a) о процессах аудита;
b) о процессах, связанных с принятием решения о сертификации, включающих выдачу, отказ в выдаче, подтверждение, возобновление, приостановление действия или отмену сертификата, а также расширение или сужение области сертификации;
c) о типах систем менеджмента, проверяемых органом, и применяемых схемах сертификации;
d) о праве использовать название органа по сертификации и сертификационный знак или логотип;
e) о процессах работы с запросами на получение информации, жалобами и апелляциями;
f) о политике в области обеспечения беспристрастности.
8.1.2 По запросу от любой заинтересованной стороны орган по сертификации должен предоставить информацию:
a) о регионах, в которых данный орган осуществляет свою деятельность;
b) о статусе выданных сертификатов;
c) о названии и адресе (город и страна) сертифицированного заказчика, нормативном документе, области применения выданного сертификата.
Примечания
1 В исключительных случаях доступ к определенной информации может быть ограничен по просьбе заказчика (например, по соображениям безопасности).
2 Орган по сертификации может также и при отсутствии запросов сделать общедоступной информацию, указанную в 8.1.2, любым предпочтительным для него способом, например, на своем сайте в Интернете.
8.1.3 Информация, предоставляемая органом по сертификации тому или иному заказчику или поставляемая на рынок, в том числе реклама, должна быть точной и не должна вводить в заблуждение.
8.2 Сертификационные документы
8.2.1 Орган по сертификации должен выдавать сертификационные документы сертифицированному заказчику любым предпочтительным для него способом.
8.2.2 Сертификационный документ (документы) должен (должны) содержать следующее:
a) наименование и географическое местоположение каждого заказчика, система менеджмента которого была сертифицирована (или географическое местоположение его главного офиса и всех производственных площадок, входящих в область сертификации организации с несколькими производственными площадками);
b) дату выдачи, расширения или сужения области применения, возобновления действия сертификата, которая не должна предшествовать дате принятия решения о сертификации.
Примечание - Орган по сертификации может по истечении срока действия сертификата сохранять указанную в сертификате первоначальную дату выдачи при условии, что:
- даты начала и окончания текущего цикла сертификации четко обозначены;
- дата окончания заключительного цикла сертификации указана наряду с датой ресертификационного аудита;
c) срок действия сертификата или дату проведения ресертификации в соответствии с циклом ресертификации;
d) единый идентификационный номер;
e) обозначение стандарта и/или другого нормативного документа, включая указание статуса издания (например, номер выпуска и/или дата пересмотра), используемого в ходе аудита сертифицированного заказчика;
f) область сертификации, касающаяся вида работ, продукции и услуг относительно каждой производственной площадки;
g) наименование, адрес и сертификационный знак органа по сертификации; другие знаки (например, символ аккредитации, логотип заказчика) допускается использовать таким образом, чтобы не вводить в заблуждение или не допускать неоднозначного толкования;
h) любая другая информация, требуемая стандартом и/или другим нормативным документом, используемым при сертификации;
i) в случае выпуска любых пересмотренных сертификационных документов должны быть предусмотрены средства их отличения от устаревших документов.
8.3 Ссылка на сертификат и использование знаков соответствия
8.3.1 Орган по сертификации должен выработать правила управления любыми знаками соответствия систем менеджмента, разрешенных для использования сертифицированными заказчиками. Среди прочего должна обеспечиваться их прослеживаемость со стороны органа по сертификации. В знаке или в его сопроводительном тексте не должно быть неоднозначности относительно предмета сертификации и органа по сертификации, выдавшего сертификат. Данный знак не допускается использовать на продукции или ее упаковке, которую видит потребитель, или любым другим способом, если он может ошибочно истолковываться как указание на соответствие продукции.
Примечание - ИСО/МЭК 17030 содержит требования к истолкованию знаков соответствия третьих сторон.
8.3.2 Орган по сертификации не должен разрешать, чтобы сертифицированные заказчики использовали его знаки соответствия в отчетах о лабораторных испытаниях, протоколах калибровки или инспекционного контроля или в своих сертификатах.
8.3.3 Орган по сертификации должен выработать правила, регулирующие использование любых заявлений на упаковке продукции или в сопроводительной информации о том, что сертифицированный заказчик имеет сертифицированную систему менеджмента. Упаковкой продукта считается то, что можно снять без нарушения целостности продукта или без его повреждения. Сопроводительной информацией принято считать то, что можно использовать в отдельности или легко отделить. Этикетки или заводские таблички с основными характеристиками изделия считают частью продукта. Такое заявление не должно подразумевать, что продукт, процесс или услуга таким образом сертифицированы. Заявление должно содержать ссылку:
- на идентификацию (фабричная марка или наименование) сертифицированного заказчика;
- тип системы менеджмента (например, менеджмент качества, экологический менеджмент) и применяемый стандарт;
- орган по сертификации, выдавший сертификат.
8.3.4 Орган по сертификации должен на основе юридически действительных соглашений требовать, чтобы сертифицированный заказчик:
a) выполнял требования органа по сертификации при ссылках на свой статус сертификации в средствах массовой информации, таких как Интернет, брошюры, реклама или другие материалы;
b) не делал или не допускал никаких вводящих в заблуждение заявлений относительно своей сертификации;
c) не использовал или не разрешал использовать документ о сертификации или какую-либо его часть каким-либо образом, вводящим в заблуждение;
d) при приостановлении или отмене действия сертификата прекращал ссылаться на него в рекламных целях, как предписано органом по сертификации (9.6.5);
e) вносил коррективы во все рекламные материалы при сужении области сертификации;
f) не допускал использования ссылок на сертификацию своей системы менеджмента каким-либо образом, позволяющим предположить, что орган по сертификации сертифицировал продукцию (включая услугу) или процесс;
g) не давал понять, что действие сертификата распространяется и на деятельность, не охваченную областью сертификации;
h) не использовал свой сертификат таким образом, что это может негативно сказаться на репутации органа по сертификации и/или системы сертификации и привести к потере доверия общественности.
8.3.5 Орган по сертификации должен надлежащим образом осуществлять контроль за правом владения и предпринимать соответствующие действия в ответ на некорректные ссылки на статус сертификации или вводящее в заблуждение использование сертификационных документов, знаков соответствия или отчетов по результатам аудита.
Примечание - Такие действия могут включать в себя требования к внесению исправлений и проведению корректирующих действий, приостановление, отмену действия сертификации, публикацию информации о нарушениях и, если это необходимо, предъявление судебного иска.
8.4 Конфиденциальность
8.4.1 Орган по сертификации должен на основе юридически действительных соглашений нести ответственность за управление всей информацией, полученной или сформированной в ходе выполнения работ по сертификации на всех уровнях своей структуры, включая комитеты и внешние органы или лиц, действующих от его имени.
8.4.2 Орган по сертификации должен заблаговременно уведомить заказчика о том, какую информацию он предполагает сделать общедоступной. Любая другая информация, кроме той, которая была предана огласке заказчиком, должна рассматриваться как конфиденциальная.
8.4.3 За исключением тех случаев, которые описаны в настоящем стандарте и регулируются его требованиями, информация о конкретном сертифицированном заказчике или частном лице не должна раскрываться третьей стороне без получения письменного согласия данного заказчика или частного лица.
8.4.4 В тех случаях, когда орган по сертификации должен в соответствии с законами предоставить конфиденциальную информацию третьей стороне, заказчик или частное лицо должны быть заранее извещены о предоставлении информации за исключением случаев, оговоренных в законодательстве.
8.4.5 Информация о заказчике, полученная не от самого заказчика (например, от предъявителя жалобы, от регулятивных органов), должна рассматриваться как конфиденциальная в соответствии с политикой органа по сертификации.
8.4.6 Персонал, включая членов любого комитета, подрядные организации, персонал внешних органов или лиц, действующих от имени органов по сертификации, должен сохранять конфиденциальность всей информации, полученной или сформированной данным органом по сертификации в ходе его деятельности по сертификации, за исключением тех случаев, которые регулируются требованиями законодательства.
8.4.7 Орган по сертификации должен иметь процедуры и, где это применимо, оборудование и средства, обеспечивающие безопасное обращение с конфиденциальной информацией.
8.5 Обмен информацией между органом по сертификации и заказчиками
8.5.1 Информация о деятельности по сертификации и требованиях
Орган по сертификации должен предоставлять заказчикам следующую актуализированную информацию:
a) подробное описание работ по сертификации на начальном и последующем этапах, включая подачу заявки, первоначальные аудиты, надзорные аудиты, а также о порядке выдачи, отказа в выдаче, подтверждения сертификата, расширения или сужения области сертификации, возобновления, приостановления или отмены действия сертификата;
b) нормативные требования к сертификации;
c) информацию о стоимости подачи заявки, первоначальной и последующей сертификации;
d) требования органа по сертификации к заказчикам, а именно:
1) отвечать сертификационным требованиям;
2) принимать все необходимые меры для проведения аудитов, включая предоставление экзаменационной документации и доступ ко всем процессам и участкам, записям и персоналу для проведения первоначальной сертификации, надзорного аудита, ресертификации и анализа жалоб;
3) обеспечивать при необходимости присутствие наблюдателей (например, аудиторов по аккредитации или аудиторов-стажеров);
e) документы, в которых описаны права и обязанности сертифицированных заказчиков, включая требования о том, что в рамках любого информационного взаимодействия ссылки на свой статус сертификации должны соответствовать требованиям 8.3;
f) информацию о процедурах рассмотрения жалоб и апелляций.
8.5.2 Уведомление об изменениях со стороны органа по сертификации
Орган по сертификации должен своевременно уведомлять сертифицированных заказчиков о любых изменениях своих требований к сертификации. Орган по сертификации должен проверить, что каждый сертифицированный заказчик соблюдает новые требования.
8.5.3 Уведомление об изменениях со стороны заказчика
Орган по сертификации должен принимать юридически обоснованные меры для обеспечения того, чтобы сертифицированный заказчик незамедлительно информировал орган по сертификации обо всех вопросах, которые могут повлиять на способность системы менеджмента продолжать соответствовать требованиям стандарта, на соответствие которому проводилась сертификация. Это относится, в частности, к изменениям, касающимся:
a) юридического, коммерческого, организационного статуса или прав собственности;
b) организации и руководства (например, основного управленческого персонала, лиц, принимающих решения, или технических специалистов);
c) контактного адреса и местоположения производственных площадок;
d) области деятельности в рамках сертифицированной системы менеджмента;
e) важных изменений в системе менеджмента и процессах.
При необходимости орган по сертификации должен предпринимать надлежащие меры.
9 Требования к процессу
9.1 Действия перед сертификацией
9.1.1 Подача заявки
Орган по сертификации должен затребовать у уполномоченного представителя организации, подавшей заявку, предоставления необходимой информации, чтобы установить:
a) предполагаемую область сертификации;
b) сведения о подавшей заявку организации, требуемые согласно схеме сертификации, включая ее наименование и адрес (адреса) расположения ее производственных площадок, ее процессы и операции, людские и технические ресурсы, функции, связи в рамках организационной структуры и любые другие имеющие значение юридические обязательства;
c) сведения об аутсорсинговых процессах, используемых организацией и способных оказать влияние на соответствие требованиям;
d) стандарты или другие требования, на соответствие которым подавшая заявку организация намерена сертифицироваться;
e) информацию относительно использования консультативных услуг по системе менеджмента, подлежащей сертификации.
9.1.2 Анализ заявки
9.1.2.1 До проведения аудита орган по сертификации должен проанализировать заявку и дополнительную информацию, имеющую отношение к сертификации, чтобы удостовериться в том, что:
a) информация об организации, подавшей заявку, и ее системе менеджмента является достаточной для проведения аудита;
b) любые известные различия в понимании требований между органом по сертификации и подавшей заявку организацией были урегулированы;
c) орган по сертификации обладает компетентностью и возможностями для выполнения работ по сертификации;
d) приняты во внимание предполагаемая область сертификации, место(а) осуществления деятельности подавшей заявку организации, время, необходимое для проведения аудита, и любые другие обстоятельства, оказывающие влияние на работы по сертификации (язык, условия безопасности, угрозы для обеспечения беспристрастности и т.д.);
9.1.2.2 После анализа заявки орган по сертификации должен либо принять, либо отклонить заявку на проведение сертификации. Если орган сертификации отклоняет заявку в результате ее анализа, причины отклонения заявки должны быть документированы и разъяснены заказчику.
9.1.2.3 На основании данного анализа орган по сертификации должен определить уровень компетенции, необходимый для формирования аудиторской группы и принятия решения о сертификации.
9.1.3 Программа аудита
9.1.3.1 В отношении всего цикла сертификации должна быть разработана программа аудита для четкого определения аудиторской деятельности, требуемой для демонстрации того, что система менеджмента заказчика отвечает требованиям к сертификации по выбранному стандарту(ам) или другому нормативному документу(ам). Программой аудита, разработанной в отношении всего цикла сертификации, должны охватываться все требования, предъявляемые к системе менеджмента.
9.1.3.2 Программа аудита должна включать в себя проведение двухэтапного первоначального аудита, надзорных аудитов в течение первого и второго года после выдачи сертификата и ресертификационного аудита на третий год до истечения срока действия сертификата. Трехлетний цикл сертификации начинается с принятия решения о сертификации. Последующие циклы начинаются с принятия решения о ресертификации (9.6.3.2.3). При определении программы аудита и внесении в нее каких-либо поправок должны быть учтены размеры организации-заказчика, область применения и сложность ее системы менеджмента, продукции и процессов, а также продемонстрированный уровень результативности системы менеджмента и результаты предыдущих аудитов.
Примечания
1 Приложение Е содержит блок-схему типичного процесса проведения аудита и сертификации третьей стороной.
2 В приведенном ниже перечне перечислены дополнительные вопросы, которые могут рассматриваться при разработке или пересмотре программы аудита, а также при определении области аудиторской проверки и при разработке плана аудита:
- жалобы в отношении заказчика, полученные органом по сертификации;
- комбинированный, комплексный или совместный аудит;
- изменения в сертификационных требованиях;
- изменения в законодательных требованиях;
- изменения в аккредитационных требованиях;
- данные о деятельности организации (например, уровень дефектности, данные об основных производственных показателях);
- опасения заинтересованных сторон.
3 Цикл сертификации может отличаться от трехгодичного, если это установлено определенной схемой сертификации, применяемой в конкретной отрасли экономической деятельности.
9.1.3.3 Надзорные аудиты должны проводиться не реже одного раза в год, кроме тех лет, когда проводятся ресертификационные аудиты.
Примечание - Может потребоваться скорректировать периодичность надзорных аудитов с учетом сезонных факторов или сертификации систем менеджмента, рассчитанных на использование в пределах ограниченного периода времени (например, для временной строительной площадки).
9.1.3.4 Если орган по сертификации учитывает уже проведенный у заказчика сертификационный аудит или аудиты, выполненные другим органом по сертификации, он должен собрать и сохранять достаточные свидетельства, такие как отчеты и документы по корректирующим действиям в отношении любого несоответствия. Эта документация должна подтверждать выполнение требований настоящего стандарта. Орган по сертификации на основе полученной информации должен обосновывать и регистрировать любые корректировки в имеющуюся программу аудита и предпринимать корректирующие действия в отношении ранее выявленных несоответствий.
9.1.3.5 Если заказчик работает по сменному графику, то при разработке программы и планов аудита должны рассматриваться аспекты, связанные с проведением работ в рабочие часы смен.
9.1.4 Определение трудоемкости аудита
9.1.4.1 Орган по сертификации должен иметь документированные процедуры по определению трудоемкости аудита. Для каждого заказчика орган по сертификации должен установить время, необходимое для планирования и полного выполнения результативного аудита системы менеджмента заказчика.
9.1.4.2 При установлении трудоемкости аудита орган по сертификации должен, помимо прочего, учитывать следующее:
a) требования соответствующего стандарта на систему менеджмента;
b) размер и сложность организации заказчика и его системы менеджмента;
c) технологические особенности и законодательное регулирование;
d) привлечение соисполнителей (аутсорсинг) для любой деятельности, охватываемой системой менеджмента;
e) результаты любых предыдущих аудитов;
f) число и размеры производственных площадок с учетом их местоположения и особенностей, связанных с проведением на них аудита;
g) риски, связанные с продукцией, процессами или видами деятельности организации;
h) являются ли аудиты комбинированными, совместными или комплексными.
Примечания
1 Время, занимаемое на то, чтобы добраться до мест проведения аудита и обратно, не учитывают при расчете числа аудито-дней для проверки системы менеджмента.
2 Орган по сертификации может использовать руководящие указания, установленные в ИСО/МЭК ТУ 17023, для определения трудоемкости аудита при документировании этих процедур.
Если были установлены определенные критерии для конкретной схемы сертификации, например, согласно ИСО/ТУ 22003 или ИСО/МЭК 27006, они должны применяться.
9.1.4.3 Трудоемкость аудита, установленная органом по сертификации, и ее обоснование должны быть зарегистрированы.
9.1.4.4 Трудозатраты любого члена группы, который не является аудитором (т.е. технические эксперты, письменные и устные переводчики, наблюдатели и аудиторы-стажеры), не должны учитываться при расчете трудоемкости аудита.
Примечание - Использование устных и письменных переводчиков может увеличивать время аудита.
9.1.5 Выборочные проверки производственных площадок
Если в ходе аудита выборочно проверяются производственные площадки, находящиеся в различных местах, и на которых осуществляется аналогичная деятельность, охватываемая системой менеджмента заказчика, орган по сертификации должен разработать программу выборочного контроля, чтобы обеспечить надлежащее проведение аудита системы менеджмента. Обоснование плана проведения выборки для каждого заказчика должно быть документировано. Для некоторых схем сертификации не разрешается проведение выборочных проверок, и в тех случаях, когда были установлены определенные критерии для конкретной схемы сертификации, например согласно ИСО/ТУ 22003 или ИСО/МЭК 27006, они должны применяться.
Примечание - Выборочные проверки не могут применяться на тех производственных площадках, на которых не осуществляется аналогичная производственная деятельность.
9.1.6 Стандарты на комплексные системы менеджмента
При оказании услуг по сертификации комплексных систем на соответствие требованиям нескольких стандартов планирование аудитов должно обеспечивать достаточный объем мероприятий аудита на местах осуществления деятельности в целях обеспечения доверия к результатам сертификации.
9.2 Планирование аудитов
9.2.1 Определение целей, области и критериев аудита
9.2.1.1 Цели аудита должны быть определены органом по сертификации. Область и критерии аудита, включая любые изменения, устанавливают органы по сертификации после обсуждения с заказчиком.
9.2.1.2 Цели аудита должны указывать на то, что должно быть сделано в процессе аудита, и включают следующее:
a) установление соответствия системы менеджмента заказчика или отдельных ее частей критериям аудита;
b) оценивание способности системы менеджмента обеспечивать выполнение организацией заказчика применяемых законодательных, нормативных и контрактных требований.
Примечание - Сертификационный аудит системы менеджмента не является проверкой соблюдения законов и правовых норм;
c) оценивание результативности системы менеджмента для обеспечения постоянного достижения поставленных целей организацией заказчика;
d) в случае необходимости определение областей для возможного улучшения системы менеджмента.
9.2.1.3 Область аудита должна устанавливать объем и границы аудита, например производственные площадки, организационные подразделения, виды деятельности и процессы, подлежащие проверке. Когда первоначальная сертификация или ресертификация включает в себя несколько аудитов (например, на различных объектах), область отдельного аудита может не охватывать всей области сертификации, однако все аудиты вместе взятые должны соответствовать области, определенной в сертификационном документе.
9.2.1.4 Критерии аудита должны использоваться в качестве основы для определения соответствия и включать в себя:
- требования определенного нормативного документа по системам менеджмента;
- определенные процессы и документацию системы менеджмента, разрабатываемые заказчиком.
9.2.2 Отбор членов аудиторской группы и закрепление за ними соответствующих обязанностей
9.2.2.1 Общие положения
9.2.2.1.1 Орган по сертификации должен установить порядок отбора и назначения членов аудиторской группы, включая ее руководителя, с учетом компетентности, необходимой для достижения целей аудита. Если аудит проводится одним человеком, он должен обладать компетентностью, необходимой для выполнения обязанностей руководителя аудиторской группы применительно к данному аудиту. Члены аудиторской группы должны обладать суммарной компетентностью, устанавливаемой органом по сертификации в соответствии с 9.1.2.3.
9.2.2.1.2 При принятии решения о размере и составе аудиторской группы необходимо учитывать следующее:
a) цели аудита, область, критерии и расчетные сроки проведения аудита;
b) является ли аудит комбинированным, совместным или комплексным;
c) суммарную компетентность членов аудиторской группы, необходимую для достижения поставленных целей аудита [см. таблицу А.1 (приложение А)];
d) сертификационные требования (включая любые применяемые законодательные, нормативные или контрактные требования);
e) язык и культуру.
Примечание - Желательно, чтобы руководитель аудиторской группы, сформированной для проведения комбинированного или комплексного аудита, имел глубокие познания в области применения по меньшей мере одного из используемых стандартов и хорошо знал другие стандарты, используемые при проведении конкретного аудита.
9.2.2.1.3 Необходимые знания и навыки руководителя аудиторской группы и аудиторов могут быть дополнены знаниями и опытом технических экспертов, письменных и устных переводчиков, которые должны работать под руководством аудитора. Если используются письменные и устные переводчики, они должны выбираться таким образом, чтобы не оказывать ненадлежащего влияния на проведение аудита.
Примечание - Критерии выбора технических экспертов устанавливаются индивидуально в каждом конкретном случае исходя из потребностей аудиторской группы и области аудита.
9.2.2.1.4 Аудиторы-стажеры могут участвовать в проведении аудита при условии, что будет назначен аудитор для проверки их работы. Проверяющий должен быть достаточно компетентным для того, чтобы принять на себя обязанности и нести ответственность за деятельность и выводы аудитора-стажера.
9.2.2.1.5 По согласованию с членами аудиторской группы ее руководитель должен закрепить за каждым членом группы обязанности по проверке конкретных процессов, функций, объектов, участков или работ. При этом необходимо учитывать требуемую компетентность, а также результативность и эффективность использования возможностей аудиторской группы, а также различные функции и обязанности аудиторов, аудиторов-стажеров и технических экспертов. Изменения в рабочие задания могут вноситься по ходу проверки, чтобы обеспечить достижение целей аудита.
9.2.2.2 Наблюдатели, технические эксперты и сопровождающие
9.2.2.2.1 Наблюдатели
Присутствие и обоснованность участия наблюдателей в аудите должны согласовываться органом по сертификации и заказчиком до проведения аудита. Аудиторская группа должна позаботиться о том, чтобы наблюдатели не оказывали влияния или не вмешивались в аудиторскую деятельность и не влияли на результаты аудита.
Примечание - Наблюдателями могут быть сотрудники организации заказчика, консультанты, персонал органа по аккредитации, взаимодействующего с органом по сертификации, представители регулятивных органов или другие правомерные лица.
9.2.2.2.2 Технические эксперты
Роль технических экспертов в аудите должна согласовываться органом по сертификации и заказчиком до проведения аудита. Технический эксперт не должен исполнять функции аудитора в аудиторской группе. Технические эксперты должны работать вместе с аудиторами.
Примечание - Технические эксперты могут давать членам аудиторской группы рекомендации по подготовке, планированию и проведению мероприятий аудита.
9.2.2.2.3 Сопровождающие
У каждого аудитора должен быть сопровождающий, если нет иной договоренности между руководителем аудиторской группы и заказчиком. Сопровождающие прикрепляются к аудиторской группе для содействия в проведении аудита. Аудиторская группа должна позаботиться о том, чтобы наблюдатели не оказывали влияния или не вмешивались в аудиторскую деятельность и не влияли на результаты аудита.
Примечания
1 В обязанности сопровождающего может входить:
a) установление контактов и определения сроков проведения встреч и бесед;
b) организация посещений конкретных участков или подразделений организации;
c) принятие мер по доведению до сведения членов аудиторской группы правил и процедур обеспечения безопасности на объекте и выполнению этих правил и процедур членами аудиторской группы;
d) засвидетельствование порядка проведения аудита от лица заказчика;
e) предоставление разъяснений или информации по требованию аудитора.
2 Там, где это применимо, лицо, работа которого проверяется, может выполнять функции сопровождающего.
9.2.3 План аудита
9.2.3.1 Общие положения
Орган по сертификации должен обеспечивать составление плана для каждого аудита, указанного в программе аудита, чтобы создавать основу для соглашения о проведении аудита и графике работ по аудиту.
Примечание - Органу по сертификации не обязательно разрабатывать план аудита для каждого аудита одновременно с программой аудита.
9.2.3.2 Разработка плана аудита
План аудита должен соответствовать целям и области аудита. План аудита должен, по крайней мере, включать в себя или иметь ссылки на следующее:
a) цели аудита;
b) критерии аудита;
c) область аудита, включая установление организационных и функциональных подразделений или процессов, подлежащих аудиту;
d) сроки проведения аудитов и объекты, подлежащие проверке, включая посещение временных производственных площадок и работы, проводимые без посещения объектов, если это целесообразно;
e) предполагаемые сроки и продолжительность выездных аудитов;
f) функции и обязанности членов аудиторской группы и сопровождающих лиц.
Примечание - Информация о плане аудита может содержаться в нескольких документах.
9.2.3.3 Предоставление информации о задачах аудиторской группы
Должны быть определены задачи, поставленные перед аудиторской группой. При этом аудиторская группа должна:
a) оценивать и проверять на соответствие требованиям структуру, политики, процессы, процедуры, записи и другие документы организации заказчика, относящиеся к системе менеджмента;
b) определять, удовлетворяют ли процессы всем требованиям в отношении к предполагаемой области сертификации;
c) удостовериться, что процессы и процедуры были разработаны, внедрены и поддерживаются в рабочем состоянии с целью обеспечения доверия к системе менеджмента заказчика;
d) сообщать заказчику для принятия им соответствующих мер о любых противоречиях между политикой, целями и задачами заказчика.
9.2.3.4 Предоставление информации о плане аудита
Информация о плане аудита должна своевременно предоставляться заказчику, и сроки выполнения работ должны быть с ним заблаговременно согласованы.
9.2.3.5 Предоставление информации о членах аудиторской группы
Орган по сертификации должен указать заказчику фамилию и по запросу предоставить общую информацию о каждом члене аудиторской группы таким образом, чтобы у заказчика было время на то, чтобы ознакомиться с предоставленной информацией и в случае возражений выразить свое несогласие с назначением какого-либо члена аудиторской группы, а у органа по сертификации - на то, чтобы переформировать группу при наличии для этого объективных причин.
9.3 Первоначальная сертификация
9.3.1 Аудит первоначальной сертификации
9.3.1.1 Общие положения
Аудит первоначальной сертификации системы менеджмента должен выполняться в два этапа: этап 1 и этап 2.
9.3.1.2 Проведение первого этапа аудита
9.3.1.2.1 Планирование должно обеспечивать достижение целей первого этапа и заказчик должен быть своевременно проинформирован обо всех работах, которые планируется проводить в ходе первого этапа на его территории.
Примечание - Для первого этапа не требуется разрабатывать и утверждать отдельного плана аудита (см. 9.2.3).
9.3.1.2.2 Первый этап аудита должен проводиться с целью:
a) анализа документации системы менеджмента заказчика;
b) оценки специфических условий размещения производственных площадок, а также с целью обсуждения с персоналом заказчика готовности ко второму этапу аудита;
c) анализа состояния заказчика и понимания им требований стандарта, в частности, тех, которые относятся к идентификации ключевых работ, или значимых аспектов, процессов, целей, а также к функционированию системы менеджмента;
d) сбора необходимой информации относительно области применения системы менеджмента, включая:
- местоположение (производственные площадки) заказчика,
- используемые процессы и оборудование,
- установленные уровни управления (особенно для случаев с несколькими производственными площадками),
- применяемые законодательные и нормативные требования;
e) анализа распределения ресурсов для проведения второго этапа аудита и согласования с заказчиком деталей второго этапа аудита;
f) обеспечения правильной расстановки акцентов при планировании второго этапа аудита на основе четкого понимания системы менеджмента заказчика и функционирования производственных площадок в связи со стандартом на системы менеджмента или другим нормативным документом;
g) оценки того, были ли спланированы и проведены внутренние аудиты и анализы со стороны руководства, и что уровень внедрения системы менеджмента является достаточным для признания готовности заказчика к проведению второго этапа аудита.
Примечание - Для достижения указанных выше целей рекомендуется, чтобы, по крайней мере, часть аудита на первом этапе проводилась на территории заказчика.
9.3.1.2.3 Документированные заключения в отношении первого этапа и готовность к проведению второго этапа аудита должны быть сообщены заказчику, включая указание на проблемные области, которые могли быть классифицированы как несоответствия в ходе второго этапа аудита.
Примечание - Необязательно, чтобы заключение по результатам первого этапа соответствовало всем требованиям к отчету (см. 9.4.8).
9.3.1.2.4 При установлении промежутка времени между проведением первого и второго этапов аудита должны быть рассмотрены потребности заказчика, связанные с устранением проблемных областей, выявленных в ходе первого этапа аудита. Органу по сертификации также может потребоваться скорректировать мероприятия по подготовке второго этапа аудита. В случае внесения серьезных изменений, способных повлиять на функционирование системы менеджмента, органу по сертификации следует рассмотреть вопрос о необходимости повторного проведения части или всех мероприятий первого этапа аудита. Заказчик должен быть проинформирован о том, что результаты, полученные в ходе первого этапа аудита, могут привести к отсрочке или отмене проведения второго этапа аудита.
9.3.1.3 Проведение второго этапа аудита
Целью второго этапа аудита является оценка внедрения системы менеджмента клиента, в том числе ее результативности. Второй этап аудита должен проводиться на территории заказчика. Он должен включать следующее:
a) информацию и свидетельства соответствия всем требованиям применяемого стандарта на системы менеджмента или других нормативных документов;
b) мониторинг, измерение, регистрацию и анализ функционирования по ключевым показателям целей и задач (согласующихся с ожиданиями в применяемом стандарте на системы менеджмента или другом нормативном документе);
c) оценку соответствия системы менеджмента и деятельности заказчика законодательным, нормативным и контрактным требованиям;
d) оценку управления заказчиком своими процессами;
e) проведение внутренних аудитов и анализа со стороны руководства;
f) ответственность руководства за политику организации-заказчика.
9.3.1.4 Заключения первоначального сертификационного аудита
Аудиторская группа должна проанализировать всю информацию и свидетельства аудита, полученные на первом и втором этапах аудита, чтобы на основе результатов аудита прийти к соглашению относительно заключений аудита.
9.4 Проведение аудитов на местах
9.4.1 Общие положения
Орган по сертификации должен разработать порядок проведения аудитов на местах. Они должны начинаться с проведения предварительного совещания и завершаться проведением заключительного совещания.
Если какая-либо часть аудита или проверка объекта проводится на удаленном расстоянии с использованием соответствующих электронных средств, орган по сертификации должен обеспечить гарантии того, что такие работы проводятся персоналом, имеющим соответствующий уровень компетентности. Свидетельства, полученные в ходе проведения такого рода аудита, должны быть достаточно убедительными для того, чтобы аудитор мог судить и принимать решение о соответствии рассматриваемому требованию.
Примечание - Аудиты "на местах" могут включать удаленный доступ к электронным сайтам, содержащим информацию, имеющую отношение к аудиту системы менеджмента. Может также рассматриваться использование электронных средств для проведения аудитов.
9.4.2 Проведение предварительного совещания
Следует проводить официальное предварительное совещание с участием руководства заказчика и, когда это целесообразно, с лицами, ответственными за функции или процессы, которые будут проверяться. Целью вводного совещания, которое, как правило, проводится руководителем аудиторской группы, является предоставление кратких разъяснений по поводу того, как будет организована проверочная деятельность. Степень детализации зависит от осведомленности заказчика с процессом аудита, и она должна включать в себя следующее:
a) представление участников, включая описание их роль в аудите;
b) подтверждение области сертификации;
c) подтверждение плана аудита (включая вид и область аудита, его цели и критерии), любых изменений и других соответствующих договоренностей с заказчиком, таких как дата и время проведения заключительного совещания, а также промежуточных совещаний аудиторской группы с руководством заказчика;
d) подтверждение официальных каналов обмена информацией между аудиторской группой и заказчиком;
e) подтверждение наличия ресурсов и средств, требуемых аудиторской группе;
f) подтверждение мер, касающихся соблюдения конфиденциальности;
g) подтверждение мер безопасности, порядка действия в чрезвычайных ситуациях и процедур обеспечения безопасности, связанных с работой аудиторской группы;
h) подтверждение наличия, ролей и идентификационных данных любых сопровождающих и наблюдателей;
i) порядок предоставления отчетов, включая классификацию выводов аудита;
j) информация об условиях, при которых аудит может быть досрочно прекращен;
k) подтверждение, что руководитель и члены аудиторской группы, представляющие орган по сертификации, несут ответственность за аудит и осуществляют контроль за выполнением плана аудита, включая проверочную деятельность и аудиторские заключения;
l) в случае необходимости подтверждение результатов предыдущего анализа или аудита;
m) методы и процедуры, используемые при проведении аудита на основе выборочного контроля;
n) подтверждение языка, используемого при проведении аудита;
o) подтверждение того, что в ходе аудита заказчик будет информироваться о выполненной работе и любых проблемах, требующих решения;
p) возможность задавать вопросы, предоставляемая заказчику.
9.4.3 Обмен информацией в ходе аудита
9.4.3.1 В ходе аудита члены аудиторской группы должны периодически оценивать полученные результаты и обмениваться информацией. Руководитель аудиторской группы должен по мере необходимости перераспределять обязанности среди членов аудиторской группы и периодически сообщать заказчику о достигнутых результатах и любых проблемах.
9.4.3.2 В тех случаях, когда имеющиеся данные аудита свидетельствуют о недостижимости целей аудита или предполагают наличие непосредственного серьезного риска (например, угрозы безопасности), руководитель аудиторской группы должен сообщить об этом заказчику и по возможности органу по сертификации для принятия решения о соответствующих действиях. К таким действиям могут относиться повторное подтверждение или корректирование плана аудита, изменение целей или области аудита или прекращение аудита. Руководитель аудиторской группы должен сообщать о результатах принятых мер органу по сертификации.
9.4.3.3 Руководитель аудиторской группы должен рассматривать совместно с заказчиком необходимость внесения изменений в область аудита, которая становится очевидной по мере выполнения проверочных работ на местах, и должен сообщать об этом органу по сертификации.
9.4.4 Сбор и проверка информации
9.4.4.1 В ходе аудита информация, касающаяся целей, области и критериев аудита (включая информацию, относящуюся к взаимосвязям между функциями, операциями и процессами), должна собираться на основе подходящих выборочных методов и проверяться таким образом, чтобы превратиться в свидетельства аудита.
9.4.4.2 К способам сбора информации, в частности, относятся:
a) беседы и опросы;
b) наблюдение за процессами и операциями;
c) анализ документации и записей.
9.4.5 Идентификация и регистрация выводов аудита
9.4.5.1 Выводы аудита, обобщающие соответствия и детализирующие несоответствия, должны быть идентифицированы, классифицированы и зарегистрированы, чтобы имелась возможность вынести обоснованное решение о сертификации или подтвердить сертификацию.
9.4.5.2 Может осуществляться выявление и регистрация возможностей для совершенствования, если этому не препятствуют требования схемы сертификации системы менеджмента. Однако выводы аудита, свидетельствующие о несоответствиях, не должны регистрироваться как возможности для улучшения.
9.4.5.3 Выявленное несоответствие должно регистрироваться со ссылкой на конкретное требование, и данные о несоответствии должны содержать четкую формулировку несоответствия и детализировать объективные свидетельства, на которых основано несоответствие. Несоответствия должны рассматриваться совместно с заказчиком для обеспечения точности свидетельств и правильного понимания несоответствий. Однако аудитор должен воздержаться от указания на причину несоответствий или пути их устранения.
9.4.5.4 Руководитель аудиторской группы должен прилагать усилия по устранению разногласий между аудиторской группой и заказчиком в отношении свидетельств или выводов аудита, и нерешенные проблемы должны быть зарегистрированы.
9.4.6 Подготовка заключений аудита
Руководитель аудиторской группы должен обеспечить, чтобы до проведения заключительного совещания аудиторская группа:
a) проанализировала выводы аудита и любую другую подходящую информацию, собранную в ходе аудита, относительно целей аудита;
b) согласовала заключения аудита с учетом неопределенности, присущей процессу аудита;
c) определила любые необходимые последующие действия;
d) подтвердила правомерность программы аудита или определила любые требуемые изменения (например, в отношении области сертификации, трудоемкости или сроков проведения аудита, периодичности инспекционного контроля, компетентности аудиторской группы).
9.4.7 Проведение заключительного совещания
9.4.7.1 Следует проводить официальное заключительное совещание с участием руководства заказчика и, когда это целесообразно, с лицами, ответственными за функции или процессы, подлежащие проверке. Целью заключительного совещания, которое обычно проводится руководителем аудиторской группы, является предоставление заключений аудита, включая рекомендации относительно сертификации. Все обнаруженные несоответствия должны быть представлены таким образом, чтобы обеспечить их понимание, и должны быть согласованы сроки реагирования на них.
Примечание - "Понимание" не обязательно означает, что заказчик согласен с выявленными несоответствиями.
9.4.7.2 На заключительном совещании должны также рассматриваться следующие вопросы. Степень детализации зависит от знакомства заказчика с процессом аудита:
a) доведение до сведения заказчика, что собранные свидетельства аудита основаны на выборочной информации, что тем самым создают элемент неопределенности;
b) способ и сроки предоставления отчета, включая классификацию данных аудита;
c) процесс рассмотрения несоответствий органом по сертификации, включая любые последствия, связанные со статусом сертификации заказчика;
d) сроки предоставления заказчиком плана корректирующих действий и устранения любых несоответствий, выявленных в ходе аудита;
e) действия, осуществляемые органом по сертификации после аудита;
f) информация о процессах рассмотрения жалоб и апелляций.
9.4.7.3 Заказчику должна предоставляться возможность задавать вопросы. Любые разногласия относительно данных и заключений аудита между аудиторской группой и заказчиком должны быть рассмотрены и устранены по мере возможности. Любые неустраненные разногласия должны быть зафиксированы и доведены до сведения органа по сертификации.
9.4.8 Отчет по аудиту
9.4.8.1 Орган по сертификации должен предоставлять письменный отчет по каждому аудиту. Аудиторская группа может определить возможности для совершенствования, но она не должна рекомендовать конкретные решения. Право собственности на аудиторский отчет должен сохранять за собой орган по сертификации.
9.4.8.2 Руководитель аудиторской группы должен позаботиться о подготовке аудиторского отчета и должен нести ответственность за его содержание. Аудиторский отчет должен содержать точную, сжатую и четкую запись аудита, чтобы обеспечить возможность принятия взвешенного решения о сертификации, и должен содержать или ссылаться на:
a) идентификацию органа по сертификации;
b) наименование и адрес заказчика и представителя руководства заказчика;
c) тип аудита (например, первоначальный, инспекционный или ресертификационный или специальный);
d) критерии аудита;
e) цели аудита;
f) область аудита, в частности, идентификация организационных или функциональных подразделений или процессов, подлежащих аудиту, и сроки аудита;
g) любые отклонения от плана аудита и их причины;
h) любые существенные аспекты, влияющие на программу аудита;
i) идентификацию руководителя аудиторской группы, членов аудиторской группы и любых сопровождающих лиц;
j) сроки и места проведения аудиторской деятельности (на месте или за пределами объектов, на постоянных или временных производственных площадках);
k) выводы аудита (см. 9.4.5), ссылки на свидетельства и заключения аудита в соответствии с требованиями к данному типу аудита;
l) идентификацию изменений в случае значительных изменений, влияющих на систему менеджмента заказчика со времени проведения последнего аудита;
m) любые неразрешенные вопросы, если таковые имеются;
n) является ли проведенный аудит комбинированным, совместным или комплексным, если это применимо;
o) сообщение о том, что аудит проводился на основе выборочного контроля имеющейся в распоряжении информации;
p) рекомендации по улучшению от аудиторской группы;
q) подтверждение того, что заказчиком эффективным образом контролируется использование сертификационных документов и знаков, где это применимо;
r) верификацию результативности предпринятых коррекций и корректирующих действий в отношении ранее выявленных несоответствий, если это применимо.
9.4.8.3 Аудиторский отчет должен также содержать:
a) заявление относительно соответствия и результативности системы менеджмента с кратким изложением свидетельств, относящихся:
- к способности системы менеджмента отвечать применяемым требованиям и достигать запланированных результатов,
- проведению внутренних аудитов и анализа со стороны руководства;
b) заключение о правомерности области сертификации;
c) заключение относительно достижения целей аудита.
9.4.9 Анализ причин несоответствий
Орган по сертификации должен потребовать от заказчика проведения анализа причин несоответствий и определения того, какие коррекции и корректирующие действия предприняты или планируются для устранения выявленных несоответствий в установленные сроки.
9.4.10 Результативность коррекций и корректирующих действий
Орган по сертификации должен анализировать предложенные заказчиком коррекции, выявленные причины несоответствий и корректирующие действия для определения их приемлемости. Орган по сертификации должен проверять результативность любых исправлений и корректирующих действий. Данные, подтверждающие обоснованность устранения несоответствий, следует регистрировать. Заказчик должен быть проинформирован о результатах анализа и проверки. Если понадобится провести дополнительный полный или частичный аудит или предоставить документально оформленные свидетельства (подлежащие проверке в ходе последующих аудитов) для проверки результативности коррекций и корректирующих действий, то об этом также необходимо проинформировать заказчика.
Примечание - Проверка результативности коррекций и корректирующих действий может осуществляться на основе анализа документации, полученной от заказчика, или в случае необходимости путем проверки на местах. Как правило, эта работа проводится членом аудиторской группы.
9.5 Решение о сертификации
9.5.1 Общие положения
9.5.1.1 Орган по сертификации должен обеспечить, чтобы лица или члены комитетов, принимающие решения о выдаче или отказе в выдаче сертификата, расширении или сужении области действия сертификата, приостановлении действия или отзыве сертификата, а также решения о ресертификации не принимали участия в аудитах. Лица, принимающие решение о сертификации, должны иметь соответствующий уровень компетентности.
9.5.1.2 Лица(о) [кроме членов комитетов (см. 6.1.4)], принимающие(ее) решения о сертификации, должны(о) быть штатными(ым) сотрудниками(ом) органа по сертификации или привлекаться к работе на основе юридически действительных соглашений либо с органом или с юридическим лицом под организационным управлением данного органа по сертификации. Организационное управление со стороны органа по сертификации должно обеспечиваться посредством:
a) монопольного или контрольного владения органа по сертификации другим юридическим лицом;
b) мажоритарного участия со стороны органа по сертификации в совете директоров другого юридического лица;
c) властных полномочий органа по сертификации в отношении другого юридического лица, входящего в группу организаций (в которую входит орган по сертификации), связанных между собой системой владения или управлением советом директоров.
Примечание - Для органов по сертификации, находящихся под госуправлением, другие органы госуправления можно рассматривать как составляющие одной и той же структуры госуправления, в которую входит данный орган по сертификации.
9.5.1.3 Лица, являющиеся штатными сотрудниками или привлекаемые к работе юридическими лицами, находящимися под организационным управлением органа по сертификации, должны выполнять те же самые требования настоящего стандарта, что и лица, работающие или привлекаемые к работе органом по сертификации.
9.5.1.4 Орган по сертификации должен регистрировать каждое решение о сертификации, включая любые дополняющие его сведения или разъяснения, поступающие от членов аудиторской группы или других источников информации.
9.5.2 Действия, осуществляемые до принятия решения
Орган по сертификации должен иметь процесс для проведения эффективного анализа, предшествующего принятию решения о выдаче или отказе в выдаче сертификата, расширении или сужении области действия сертификата, возобновлении, приостановлении действия или отмене сертификата, включая то, что
a) информация, предоставленная аудиторской группой, в достаточной степени охватывает требования к сертификации и область сертификации;
b) органом были проанализированы, одобрены и проверены коррекции и корректирующие действия в отношении всех значительных несоответствий;
c) органом был проанализирован и одобрен план действий заказчика по коррекциям и корректирующим действиям в отношении всех других несоответствий.
9.5.3 Информация, необходимая для признания действительными результатов первоначальной сертификации
9.5.3.1 Информация, предоставляемая аудиторской группой в орган по сертификации для принятия решения о сертификации должна, как минимум, включать:
a) аудиторский отчет;
b) комментарии по несоответствиям и, где применимо, коррекциям и корректирующим действиям, предпринимаемым заказчиком,
c) подтверждение информации, предоставленной органу по сертификации и использованной при анализе заявки (см. 9.1.2);
d) подтверждение того, что цели аудита были достигнуты;
e) рекомендации относительно выдачи или отказа в выдаче сертификата со всеми условиями осуществления этого или замечаниями аудитора.
9.5.3.2 Если орган по сертификации не сможет проверить выполнение коррекций и корректирующих действий в отношении какого-либо значительного несоответствия в течение 6 мес после завершения второго этапа, он должен снова провести второй этап аудита перед тем, как принимать решение о выдаче сертификата.
9.5.3.3 Когда вопрос о выдаче сертификата передается одним органом по сертификации на рассмотрение другого органа, последний должен иметь процедуру для получения всей необходимой ему информации для принятия решения о сертификации.
Примечание - Схемами сертификации могут предусматриваться специальные правила, касающиеся передачи сертификации.
9.5.4 Информация, необходимая для признания действительными результатов ресертификации
Орган по сертификации должен принять решение о возобновлении действия сертификата на основе результатов ресертификационного аудита, а также анализа функционирования системы за период действия сертификата и жалоб, полученных от пользователей результатов сертификации.
9.6 Подтверждение сертификации
9.6.1 Общие положения
Орган по сертификации должен подтверждать сертификацию на основе демонстрации того, что заказчик продолжает выполнять требования стандарта на системы менеджмента. Орган по сертификации может подтверждать сертификацию заказчика, руководствуясь положительным заключением руководителя аудиторской группы, без проведения последующего независимого анализа и вынесения соответствующего решения, при условии, что
a) в органе по сертификации действует система, согласно которой при выявлении любого несоответствия или другой ситуации, которая может привести к приостановлению или отмене сертификации, руководитель аудиторской группы сообщает органу по сертификации о необходимости проведения анализа этого факта персоналом, имеющим соответствующий уровень компетентности (см. 7.2.8) и не принимавшим участие в аудите с целью определения возможности подтверждения сертификации;
b) компетентный персонал органа по сертификации осуществляет мониторинг деятельности по инспекционному контролю, включая мониторинг отчетности аудиторов, с целью подтверждения того, что деятельность по сертификации осуществляется результативно.
9.6.2 Деятельность по инспекционному контролю
9.6.2.1 Общие положения
9.6.2.1.1 Орган по сертификации должен организовать свои работы по инспекционному контролю таким образом, чтобы регулярно проводился мониторинг типичных областей и функций, охваченных системой менеджмента, с учетом изменений, относящихся к сертифицированному заказчику и его системе менеджмента.
9.6.2.1.2 Деятельность по инспекционному контролю должна включать в себя проведение аудитов на месте с целью оценки соответствия сертифицированной системы менеджмента заказчика определенным требованиям стандарта, на соответствие которому выдан сертификат. Другие действия по надзору могут включать в себя:
a) запросы органа по сертификации сертифицированному заказчику по аспектам сертификации;
b) анализ любых заявлений сертифицированного заказчика, касающихся его деятельности (например, в рекламных материалах, на веб-сайте);
c) обращения к сертифицированному заказчику для получения документированной информации (на бумажных или электронных носителях);
d) другие способы мониторинга деятельности сертифицированного заказчика.
9.6.2.2 Инспекционный контроль
Инспекционный контроль - это аудит, проводимый на месте, но он не обязательно подразумевает аудит всей системы и должен планироваться вместе с другими инспекционными мероприятиями таким образом, чтобы позволить органу по сертификации сохранять уверенность в том, что сертифицированная система менеджмента заказчика продолжает соответствовать требованиям в периоды между ресертификационными аудитами. Программа инспекционного контроля должна включать в себя следующее:
a) внутренние аудиты и анализ со стороны руководства;
b) анализ действий, предпринятых в отношении несоответствий, выявленных в ходе предыдущего аудита;
c) обращение с жалобами;
d) результативность системы менеджмента в части достижения целей и результатов функционирования соответствующей системы (систем), запланированных сертифицированным заказчиком;
Нумерация подпунктов приводится в соответствии с источником
i) ход реализации запланированных мероприятий, нацеленных на постоянное улучшение;
f) непрерывное управление операциями;
g) анализ всех изменений;
h) использование знаков соответствия и/или любых других ссылок на сертификацию.
9.6.3 Ресертификация
9.6.3.1 Планирование ресертификационного аудита
9.6.3.1.1 Целью ресертификационного аудита является подтверждение постоянства соответствия и результативности системы менеджмента в целом, а также ее постоянной пригодности в рамках области сертификации. Ресертификационный аудит планируют и проводят с целью оценивания постоянного выполнения всех требований соответствующего стандарта на систему менеджмента или другого нормативного документа. Он должен планироваться и проводиться в надлежащие сроки с тем, чтобы обеспечить своевременное возобновление сертификации до истечения сроков действия выданного сертификата.
9.6.3.1.2 Деятельность по ресертификации должна включать в себя анализ отчетов о предыдущих инспекционных аудитах, и также должно рассматриваться функционирование системы менеджмента в течение последнего цикла сертификации.
9.6.3.1.3 В ходе ресертификационного аудита может потребоваться проведение первого этапа аудита в случаях, если произошли значительные изменения в системе менеджмента, организации или условиях функционирования системы менеджмента (например, изменения в законодательстве).
Примечание - Такие изменения могут происходить в любой момент на протяжении всего цикла сертификации, и органу по сертификации может понадобиться провести специальный аудит (см. 9.6.4), который может включать в себя два этапа.
9.6.3.2 Ресертификационный аудит
9.6.3.2.1 Ресертификационный аудит должен включать в себя проводимый на местах аудит, касающийся следующего:
a) результативность системы менеджмента в целом с учетом внутренних и внешних изменений, а также постоянство ее соответствия и применимости в области сертификации;
b) демонстрации выполнения обязательства по поддерживанию результативности и совершенствованию системы менеджмента с целью улучшения деятельности организации в целом;
c) результативности системы менеджмента в части достижения Политики и целей функционирования соответствующей(их) системы(ем), запланированной(ых) сертифицированным заказчиком;
9.6.3.2.2 Если в ходе ресертификационного аудита фиксируются значительные несоответствия, орган по сертификации должен установить время, за которое должны быть выполнены коррекции и корректирующие действия. Они должны быть выполнены и проверены до истечения срока действия сертификата.
9.6.3.2.3 Если работы по ресертификации будут успешно завершены до истечения срока действия выданного сертификата, срок действия нового сертификата может устанавливаться на основе срока действия имеющегося сертификата. Новый сертификат должен датироваться либо днем принятия решения о ресертификации, либо более поздней датой.
9.6.3.2.4 Если мероприятия ресертификационного аудита не были полностью завершены органом по сертификации до истечения срока действия сертификата или если до этого срока органом не было верифицировано выполнение коррекций и корректирующих действий в отношении любого значительного несоответствия (см. 9.5.2.1), то решение о ресертификации не должно приниматься и сроки действия сертификата не должны продлеваться. Заказчик должен быть об этом проинформирован с разъяснением вытекающих из этого факта последствий.
9.6.3.2.5 По истечении срока действия выданного сертификата орган по сертификации может возобновить действие сертификата в течение 6 мес при условии, что остающиеся невыполненными мероприятия по ресертификации будут полностью завершены, в противном случае, по крайней мере должен проводиться второй этап аудита. В таком случае сертификат должен датироваться либо днем принятия решения о ресертификации или более поздней датой, а срок истечения действия сертификата должен устанавливаться на основе предыдущего цикла сертификации.
9.6.4 Специальные аудиты
9.6.4.1 Расширение области сертификации
На основании заявки о расширении области действия ранее выданного сертификата орган по сертификации должен провести анализ заявки и определить проверочные мероприятия, необходимые для принятия соответствующего решения. Их проведение можно совместить с проведением мероприятий инспекционного контроля.
9.6.4.2 Внеплановые аудиты
Органу по сертификации может потребоваться проведение внепланового аудита сертифицированного заказчика для расследования жалоб или в ответ на произошедшие изменения или же для контроля в случае приостановления действия сертификата заказчика. В таких случаях:
a) орган по сертификации должен обосновать и заранее известить сертифицированных заказчиков (например, в документах, указанных в 8.5.1) об условиях, на которых будут осуществляться такие аудиты;
b) орган по сертификации должен очень тщательно рассмотреть состав аудиторской группы по причине отсутствия у заказчика возможности опротестовать участников аудиторской группы.
9.6.5 Приостановление, отмена действия сертификата или сужение области сертификации
9.6.5.1 Орган по сертификации должен разработать политику и документированную процедуру(ы) по приостановлению, отмене действия сертификата или сужению области сертификации и определить последующие действия, осуществляемые органом по сертификации.
9.6.5.2 Орган по сертификации должен приостанавливать действие сертификата в тех случаях, когда, например,
- сертифицированная система менеджмента заказчика постоянно или в значительной мере не может выполнять сертификационные требования, включая требования к результативности системы менеджмента;
- сертифицированный заказчик не позволяет проводить инспекционные или ресертификационные аудиты с требуемой периодичностью;
- сертифицированный заказчик добровольно делает запрос о приостановлении действия сертификата.
9.6.5.3 После приостановления действия сертификат на систему менеджмента заказчика становится временно недействительным.
9.6.5.4 Орган по сертификации должен возобновить действие сертификата, которое было приостановлено, в том случае, если проблема, вызвавшая приостановление действия сертификата, была решена. Неспособность решить проблемы, из-за которых было приостановлено действие сертификата, в сроки, установленные органом по сертификации, приводит к отмене действия сертификата или сужению области сертификации.
Примечание - В большинстве случаев период приостановления действия сертификата не превышает 6 мес.
9.6.5.5 Орган по сертификации должен сузить область сертификации, чтобы исключить области, не удовлетворяющие требованиям, если заказчик постоянно или в значительной степени не может выполнить сертификационные требования применительно к этим областям. Любое сужение области сертификации должно осуществляться в соответствии с требованиями стандарта, используемого при сертификации.
9.7 Апелляции
9.7.1 Орган по сертификации должен иметь документированный порядок получения, оценки и принятия решений по апелляциям.
9.7.2 Орган по сертификации должен нести ответственность за все решения, принятые на всех уровнях, задействованных в процессе рассмотрения апелляций. Орган по сертификации должен обеспечивать, чтобы лица, вовлеченные в процесс рассмотрения апелляций, не участвовали в соответствующих аудитах и не принимали решения по сертификации.
9.7.3 Процессы подачи, рассмотрения и принятия решений по апелляциям не должны носить какого-либо дискриминационного характера по отношению к подателю апелляции.
9.7.4 Процесс рассмотрения апелляций должен включать в себя, по крайней мере, следующие элементы и методы:
a) схема процесса получения, признания обоснованности и исследования апелляции, а также принятия решения о том, какие ответные действия должны быть предприняты с учетом результатов предыдущих подобных апелляций;
b) сопровождение и регистрация апелляций, включая действия, предпринимаемые для принятия решений по апелляциям;
c) обеспечение выполнения соответствующих коррекций и корректирующих действий.
9.7.5 При получении апелляции орган по сертификации должен нести ответственность за сбор и проверку всей информации, необходимой для признания обоснованности поданной апелляции.
9.7.6 Орган по сертификации должен подтвердить получение апелляции и предоставить подателю апелляции подробные сведения о ходе ее рассмотрения и сообщать о результатах.
9.7.7 Решение, которое должно быть сообщено подателю апелляции, должно быть принято или проанализировано и утверждено лицом (лицами), ранее не имевшим(ими) отношения к предмету апелляции.
9.7.8 Орган по сертификации должен официально уведомить подателя апелляции об окончании ее рассмотрения.
9.8 Жалобы
9.8.1 Орган по сертификации должен нести ответственность за все решения, принятые на всех уровнях, задействованных в процессе рассмотрения жалоб.
9.8.2 Процессы подачи, рассмотрения и принятия решений по жалобам не должны носить какого-либо дискриминационного характера по отношению к подателю жалобы.
9.8.3 При получении жалобы орган по сертификации должен подтвердить, относится ли она к деятельности по сертификации, за которую данный орган несет ответственность, и, если это так, он должен ее рассмотреть. Если жалоба имеет отношение к сертифицированному заказчику, то при ее исследовании основное внимание должно уделяться результативности сертифицированной системы менеджмента.
9.8.4 Орган по сертификации также должен в установленный срок передать сертифицированному заказчику относящуюся к нему жалобу.
9.8.5 Орган по сертификации должен документировать порядок получения, оценки и принятия решений по жалобам. Этот процесс должен соответствовать требованиям конфиденциальности в части, относящейся к предъявителю жалобы и ее предмету.
9.8.6 Процесс рассмотрения жалоб должен включать в себя, по меньшей мере, следующие элементы и методы:
a) схема процесса получения, признания обоснованности и расследования жалобы, а также принятия решения о том, какие ответные действия должны быть предприняты;
b) сопровождение и регистрация жалоб, включая действия, предпринимаемые для их удовлетворения;
c) обеспечение выполнения соответствующих коррекций и корректирующих действий.
Примечание - ISO 10002 содержит руководство по работе с жалобами.
9.8.7 При получении жалобы орган по сертификации должен нести ответственность за сбор и проверку всей информации, необходимой для признания обоснованности поданной жалобы.
9.8.8 Во всех случаях, когда это возможно, орган по сертификации должен подтвердить получение жалобы и предоставлять ее предъявителю подробные сведения о ходе рассмотрения жалобы и сообщать о результатах.
9.8.9 Решение, которое должно быть сообщено предъявителю жалобы, должно быть принято или проанализировано и утверждено лицом(ами), ранее не имевшим(ими) отношения к предмету жалобы.
9.8.10 Во всех случаях, когда это возможно, орган по сертификации должен официально уведомлять предъявителя жалобы об окончании процесса ее рассмотрения.
9.8.11 Орган по сертификации совместно с заказчиком и предъявителем жалобы должен определить, необходимо ли и если да, то в какой степени, разглашать предмет жалобы и сделанное по ней заключение.
9.9 Записи о заказчиках
9.9.1 Орган по сертификации должен вести записи об аудите и других работах по всем заказчикам, включая все организации, подавшие заявки, прошедшие аудит, сертифицированные, а также организации, действие сертификатов которых было приостановлено или отменено.
9.9.2 Записи о сертифицированных заказчиках должны включать в себя следующее:
a) информацию о заявке и отчеты о первоначальном, инспекционном и ресертификационном аудитах;
b) договор о проведении сертификации;
c) обоснование методологии, используемой для выборочного исследования.
Примечание - Методология выборочного исследования включает в себя определение выборки, используемой для оценки конкретной системы менеджмента, и/или выбор производственных площадок для оценки организаций с многочисленными производственными площадками;
d) обоснование трудоемкости аудита (см. 9.1.4);
e) проверку коррекций и корректирующих действий;
f) записи о жалобах и апелляциях, а также обо всех последующих коррекциях или корректирующих действиях;
g) протоколы и решения комитетов, если это применимо;
h) документацию по принятию решений о сертификации;
i) сертификационные документы, содержащие область сертификации в отношении продукции, процесса или услуги, в зависимости от применимости;
j) соответствующие записи, необходимые для обеспечения доверия к сертификации, такие как свидетельства компетентности аудиторов и технических экспертов;
k) программы аудита.
9.9.3 Орган по сертификации должен обеспечивать защиту записей о заявителях и заказчиках, гарантируя при этом соблюдение конфиденциальности информации. Транспортировка, пересылка или передача записей должны осуществляться способом, обеспечивающим сохранение их конфиденциальности.
9.9.4 Орган по сертификации должен иметь документированную политику и процедуры хранения записей. Записи о сертифицированных заказчиках должны сохраняться на протяжении текущего цикла сертификации и еще одного полного цикла.
Примечание - В некоторых странах законодательством установлен более длительный срок хранения записей.
10 Требования к системам менеджмента органов по сертификации
10.1 Варианты
Орган по сертификации должен разработать и поддерживать в рабочем состоянии систему менеджмента, способную обеспечивать и демонстрировать последовательное выполнение требований настоящего стандарта. В дополнение к требованиям разделов 5-9 орган по сертификации должен внедрять систему менеджмента согласно либо:
a) общим требованиям, предъявляемым к системам менеджмента (см. 10.2), или
b) требованиям к системам менеджмента, установленным в ИСО 9001 (см. 10.3).
10.2 Вариант А. Общие требования к системам менеджмента
10.2.1 Общие положения
Орган по сертификации должен разработать, документально оформить, внедрить и поддерживать в рабочем состоянии систему менеджмента, способную обеспечивать и демонстрировать последовательное выполнение требований настоящего стандарта.
Высшее руководство органа по сертификации должно разрабатывать и документировать политику и цели деятельности органа, а также обеспечивать наличие свидетельств своей приверженности разрабатывать и внедрять систему менеджмента в соответствии с требованиями настоящего стандарта. Высшее руководство должно обеспечивать, чтобы политика была понятна, внедрена и поддерживалась в рабочем состоянии на всех уровнях органа по сертификации.
Высшее руководство органа по сертификации должно назначать представителя из состава руководства, который независимо от других обязанностей должен нести ответственность и иметь полномочия, распространяющиеся на:
a) обеспечение разработки, внедрения и поддержания в рабочем состоянии процессов и процедур, требуемых системой менеджмента;
b) предоставление отчетов высшему руководству о функционировании системы менеджмента и необходимости ее улучшения.
10.2.2 Руководство по системе менеджмента
Все применимые требования настоящего стандарта должны быть представлены либо в руководстве по системе менеджмента, либо в связанных с ним документах. Орган по сертификации должен обеспечивать, чтобы руководство по системе менеджмента и связанные с ним документы были доступны для соответствующего персонала.
10.2.3 Управление документами
Орган по сертификации должен разрабатывать процедуры для управления документами (внутреннего и внешнего происхождения), относящиеся к соблюдению требований настоящего стандарта. Эти процедуры должны предусматривать использование средств управления, необходимых для:
a) проверки документов на адекватность до их выпуска;
b) анализа и актуализации документов по мере необходимости и их повторного утверждения;
c) обеспечения идентификации изменений и статуса пересмотра документов;
d) обеспечения наличия действующих версий применяемых документов в местах их применения;
e) обеспечения сохранения документов четкими и легко идентифицируемыми;
f) обеспечения идентификации документов внешнего происхождения и управления их рассылкой;
g) предотвращения непреднамеренного использования устаревших документов и применения соответствующей идентификации таких документов, оставленных для каких-либо целей.
Примечание - Документация может быть выполнена в любой форме или представлена на любом типе носителя.
10.2.4 Управление записями
Орган по сертификации должен разрабатывать процедуры по определению средств управления, требуемых при идентификации, хранении, защите, восстановлении, определении сроков хранения и изъятии записей, связанных с выполнением требований настоящего стандарта.
Орган по сертификации должен разрабатывать процедуры для обеспечения сохранности записей в течение периода времени, установленного в договорах и законодательных актах. Доступ к этим записям должен соответствовать условиям конфиденциальности.
Примечание - Требования к записям о сертифицированных заказчиках приведены также в 9.9.
10.2.5 Анализ со стороны руководства
10.2.5.1 Общие положения
Высшее руководство органа по сертификации должно разрабатывать процедуры по проведению анализа своей системы менеджмента через запланированные интервалы времени с целью обеспечения ее постоянной пригодности, адекватности и результативности, включая политику и цели, связанные с выполнением требований настоящего стандарта. Такие анализы должны проводиться не реже одного раза в год.
10.2.5.2 Входные данные для анализа
Входные данные для анализа со стороны руководства должны включать в себя информацию, касающуюся:
a) результатов внутренних и внешних аудитов;
b) данных, полученных от заказчиков и заинтересованных сторон;
c) обеспечения беспристрастности;
d) статуса корректирующих действий;
e) статуса действий в отношении рисков;
f) предпринятых действий, вытекающих из предыдущего анализа со стороны руководства;
g) достижения целей;
h) изменений, которые могут повлиять на систему менеджмента;
i) апелляций и жалоб.
10.2.5.3 Выходные данные анализа
Выходные данные анализа со стороны руководства должны включать в себя решения и действия в отношении:
a) повышения результативности системы менеджмента и ее процессов;
b) улучшения услуг по сертификации согласно требованиям настоящего стандарта;
c) потребности в ресурсах;
d) пересмотра политики и целей органа.
10.2.6 Внутренние аудиты
10.2.6.1 Орган по сертификации должен разрабатывать процедуры по проведению внутренних аудитов с целью проверки того, что он выполняет требования настоящего стандарта и что его система менеджмента функционирует результативно и поддерживается в рабочем состоянии.
Примечание - ИСО 19011 содержит руководящие указания по проведению внутренних аудитов.
10.2.6.2 Программа аудитов должна планироваться с учетом важности процессов и областей, подлежащих аудиту, а также результатов предыдущих аудитов.
10.2.6.3 Внутренние аудиты должны выполнять не реже одного раза в год. Периодичность проведения внутренних аудитов может быть сокращена, если орган по сертификации может продемонстрировать, что его система менеджмента продолжает результативно функционировать в соответствии с требованиями настоящего стандарта, а также предъявить доказательства в отношении ее стабильности.
10.2.6.4 Орган по сертификации должен обеспечивать, чтобы:
a) внутренние аудиты проводились квалифицированным персоналом, обладающим необходимыми знаниями в области сертификации, проведения аудитов и требований настоящего стандарта;
b) аудиторы не проверяли свою собственную работу;
c) персонал, ответственный за область аудита, был проинформирован о результатах аудита;
d) любые действия, предпринимаемые по итогам внутренних аудитов, выполнялись своевременно и надлежащим образом;
e) были определены все возможности для улучшения.
10.2.7 Корректирующие действия
Орган по сертификации должен разрабатывать процедуры по определению и управлению несоответствиями в своей деятельности. При необходимости орган по сертификации должен также предпринимать действия по устранению причин несоответствий для предупреждения их повторного возникновения. Корректирующие действия должны быть адекватными последствиям выявленных несоответствий. Данные процедуры должны устанавливать требования к:
a) выявлению несоответствий (например, согласно жалобам или результатам внутренних аудитов);
b) установлению причин несоответствий;
c) устранению несоответствий;
d) оцениванию необходимости предпринимаемых действий, чтобы избежать повторения несоответствий;
e) определению и своевременному выполнению необходимых действий;
f) регистрации результатов предпринятых действий;
g) анализу результативности предпринятых корректирующих действий.
10.3 Вариант В. Требования к системам менеджмента, установленные в ИСО 9001
10.3.1 Общие положения
Орган по сертификации должен разработать и поддерживать в рабочем состоянии систему менеджмента, соответствующую требованиям ИСО 9001, способную обеспечивать и демонстрировать последовательное выполнение требований 10.3.2-10.3.4.
10.3.2 Область применения
Для обеспечения выполнения требований ИСО 9001 область применения системы менеджмента органа по сертификации должна включать в себя требования к проектированию и разработке услуг по сертификации.
10.3.3 Ориентация на потребителя
Для обеспечения выполнения требований ИСО 9001 при разработке своей системы менеджмента орган по сертификации должен обеспечивать доверие к сертификации и учитывать потребности всех заинтересованных сторон (согласно указаниям в 4.1.2), которые полагаются на его услуги по аудиту и сертификации, а не только на своих заказчиков.
10.3.4 Анализ со стороны руководства
Для обеспечения выполнения требований ИСО 9001 орган по сертификации должен использовать информацию об апелляциях и жалобах пользователей услуг по сертификации, а также анализ обеспечения беспристрастности как входные данные для анализа со стороны руководства.
Библиография
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Национальный стандарт РФ ГОСТ Р ИСО/МЭК 17021-1-2017 "Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 1. Требования" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 4 июля 2017 г. N 640-ст)
Текст ГОСТа приводится по официальному изданию Стандартинформ, Москва, 2017 г.
Дата введения - 1 апреля 2018 г.