Conformity assessment. Requirements for bodies providing audit and certification of management systems

ФЕДЕРАЛЬНОЕ АГЕНТСТВО
ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

НАЦИОНАЛЬНЫЙ
стандарт
РОССИЙСКОЙ
ФЕДЕРАЦИИ

ГОСТ Р ИСО/МЭК
17021-
2012

Оценка соответствия

ТРЕБОВАНИЯ К ОРГАНАМ,
ПРОВОДЯЩИМ АУДИТ И СЕРТИФИКАЦИЮ
СИСТЕМ МЕНЕДЖМЕНТА

ISO/IEC 17021:2011
Conformity assessment - Requirements for bodies providing audit
and certification of management systems
(IDT)

Москва

Стандартинформ

2013

Предисловие

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании», а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 «Стандартизация в Российской Федерации. Основные положения»

Сведения о стандарте

1 ПОДГОТОВЛЕН Открытым акционерным обществом «Всероссийский научно-исследовательский институт сертификации» (ОАО «ВНИИС») на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в пункте 4

2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 10 июля 2012 г. № 157-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 17021:2011 «Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента» (ISO/IEC 17021:2011 «Conformity assessment - Requirements for bodies providing audit and certification of management systems»).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА

5 ВЗАМЕН ГОСТ Р ИСО/МЭК 17021-2008

Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе «Национальные стандарты», а текст изменений и поправок - в ежемесячно издаваемых информационных указателях «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответствующая информация, уведомления и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

Содержание

1 Область применения. 5

2 Нормативные ссылки. 5

3 Термины и определения. 6

4 Принципы.. 7

4.1 Общие положения. 7

4.2 Беспристрастность. 7

4.3 Компетентность. 8

4.4 Ответственность. 8

4.5 Открытость. 8

4.6 Конфиденциальность. 8

4.7 Реагирование на жалобы.. 8

5 Общие требования. 8

5.1 Особенности, связанные с законодательством и договорами. 8

5.2 Управление беспристрастностью.. 9

5.3 Материальная ответственность и финансирование. 11

6 Требования к структуре. 11

6.1 Организационная структура и высшее руководство. 11

6.2 Комитет по обеспечению беспристрастности. 11

7 Требования к ресурсам.. 12

7.1 Компетентность руководства и персонала. 12

7.2 Персонал, участвующий в деятельности по сертификации. 13

7.3 Привлечение внешних аудиторов и технических экспертов. 15

7.4 Записи о персонале. 15

7.5 Привлечение соисполнителей (аутсорсинг) 15

8 Требования к информации. 16

8.1 Информация, находящаяся в открытом доступе. 16

8.2 Сертификационные документы.. 16

8.3 Реестр сертифицированных заказчиков. 16

8.4 Ссылка на сертификат и использование знаков соответствия. 17

8.5 Конфиденциальность. 18

8.6 Обмен информацией между органом по сертификации и заказчиками. 18

9 Требования к процессу. 19

9.1 Общие требования. 19

9.2 Первичный аудит и сертификация. 27

9.3 Деятельность по инспекционному контролю.. 29

9.4 Ресертификация. 30

9.5 Специальные аудиты.. 31

9.6 Приостановление, отмена действия сертификата или сужение области сертификации. 32

9.7 Апелляции. 32

9.8 Жалобы.. 33

9.9 Записи о заявителях и заказчиках. 34

10 Требования к системе менеджмента для органов по сертификации. 34

10.1 Варианты.. 34

10.2 Вариант 1: Требования к системе менеджмента в соответствии с ИСО 9001 [1] 34

10.3 Вариант 2: Общие требования к системе менеджмента. 35

Приложение А (обязательное) Требуемые знания и навыки. 38

Приложение В (справочное) Возможные методы оценки. 39

Приложение С (справочное) Пример блок-схемы процесса для определения и поддержания компетентности. 40

Приложение D (справочное) Необходимые личные качества. 41

Приложение Е (справочное) Процесс аудита третьей стороной и сертификации. 42

Приложение F (справочное) Рассмотрение программы, области или плана аудита. 43

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов ссылочным национальным стандартам Российской Федерации (и действующим в этом качестве межгосударственным стандартам) 44

Библиография. 45

 

Введение

ИСО (Международная организация по стандартизации) и МЭК (Международная электротехническая комиссия) образуют специализированную систему всемирной стандартизации. Национальные органы, являющиеся членами ИСО или МЭК, участвуют в разработке международных стандартов через технические комитеты, созданные соответствующей организацией для работы в конкретных областях технической деятельности. Технические комитеты ИСО и МЭК сотрудничают в областях, представляющих взаимный интерес. Другие международные организации, правительственные и негосударственные, взаимодействующие с ИСО и МЭК, также принимают участие в работе. В области оценки соответствия ответственность за разработку международных стандартов и руководящих указаний несет Комитет ИСО по оценке соответствия (КАСКО).

Международные стандарты разрабатываются в соответствии с правилами, приведенными в Директивах ИСО/МЭК, часть 2.

Проекты международных стандартов рассылаются национальным органам на голосование. Их опубликование в качестве международных стандартов требует одобрения по меньшей мере 75 % комитетов-членов, принимавших участие в голосовании.

Следует иметь в виду, что некоторые элементы международного стандарта могут быть объектом патентных прав. ИСО не берет на себя ответственность за идентификацию какого-либо или всех таких патентных прав.

Международный стандарт ИСО/МЭК 17021:2011 был подготовлен Комитетом ИСО по оценке соответствия (КАСКО).

Стандарт был разослан на голосование национальным органам - членам ИСО и МЭК и одобрен обеими организациями.

Второе издание международного стандарта ИСО/МЭК 17021:2011 отменяет и заменяет первое издание (ИСО/МЭК 17021:2006), которое было пересмотрено на предмет расширения области его применения.

Настоящий международный стандарт был также опубликован в виде неофициального варианта с пометками, указывающими на изменения по сравнению с предыдущим изданием.

Сертификация системы менеджмента организации, такой как система менеджмента качества или система экологического менеджмента, является одним из средств подтверждения того, что организация внедрила систему управления соответствующими аспектами своей деятельности согласно принятой ею политике.

Настоящий стандарт устанавливает требования к органам по сертификации. Выполнение этих требований позволяет гарантировать, что органы по сертификации осуществляют сертификацию систем менеджмента компетентным, последовательным и беспристрастным образом, тем самым способствуя признанию самих органов и выданных ими сертификатов на национальном и международном уровнях. Настоящий стандарт является базой для признания результатов сертификации систем менеджмента в интересах международной торговли.

Сертификация системы менеджмента обеспечивает независимое свидетельство того, что система менеджмента организации:

a) соответствует установленным требованиям;

b) способствует последовательной реализации принятой политики и целей;

c) результативно внедрена.

Тем самым оценка соответствия, такая как сертификация системы менеджмента, придает ценность организации перед ее потребителями и заинтересованными сторонами.

Раздел 4 настоящего стандарта содержит принципы, которые лежат в основе заслуживающей доверие сертификации, помогают понять природу сертификации и являются необходимым введением к разделам 5 - 10. Принципы образуют фундамент для всех требований настоящего стандарта, но сами по себе не являются предметом аудита. В разделе 10 представлены два альтернативных пути поддержания и демонстрации постоянного выполнения требований настоящего стандарта посредством создания системы менеджмента в органе по сертификации.

Настоящий стандарт предназначен для использования органами, осуществляющими аудит и сертификацию систем менеджмента. Стандарт содержит общие требования к органам по сертификации, проводящим аудит и сертификацию систем менеджмента качества, экологического менеджмента и других систем менеджмента. Для облегчения понимания такие органы в тексте называются «органами по сертификации». Это обозначение не должно быть препятствием при использовании настоящего стандарта органами, носящими иное название, которые осуществляют деятельность, определяемую настоящим стандартом.

Деятельность по сертификации включает в себя аудит системы менеджмента организации. Формой подтверждения соответствия системы менеджмента организации определенному стандарту, устанавливающему требования к системе менеджмента, или другим нормативным требованиям, обычно является сертификационный документ или сертификат.

Настоящий стандарт содержит текст ИСО/МЭК 17021:2006, включая поправки, связанные с исключением соответствующих ссылок на стандарт ИСО 19011 [4], а также новый текст с конкретными требованиями к проведению сертификационного аудита третьей стороной и управлению компетентностью персонала, участвующего в процессе сертификации.

Были определены конкретные потребности рынка, связанные с отсутствием определенных и признанных требований к аудиторам третьей стороны, осуществляющим проверки систем менеджмента, таких как системы менеджмента качества, системы экологического менеджмента или системы менеджмента безопасности пищевых продуктов. В качестве одного из недостатков основные заинтересованные стороны, включая представителей промышленности, указали на отсутствие требований к компетентности аудиторов и порядок управления такими аудиторами и их использования.

Настоящий стандарт содержит ряд требований к проведению аудитов систем менеджмента, направленных на достоверное определение соответствия установленным требованиям к сертификации, проводимой компетентной аудиторской группой, с выделением соответствующих ресурсов и соблюдением последовательного процесса, а также с согласованным порядком предоставления результатов.

Настоящий стандарт может быть использован при проведении аудита и сертификации любой системы менеджмента. Некоторые требования и особенно те, которые относятся к компетентности аудиторов, могут быть расширены дополнительными критериями для удовлетворения ожиданий заинтересованных сторон.

ГОСТ Р ИСО/МЭК 17021-2012

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Оценка соответствия

ТРЕБОВАНИЯ К ОРГАНАМ, ПРОВОДЯЩИМ АУДИТ
И СЕРТИФИКАЦИЮ СИСТЕМ МЕНЕДЖМЕНТА

Conformity assessment.
Requirements for bodies providing audit and certification of management systems

Дата введения - 2013-02-01

1 Область применения

Настоящий стандарт устанавливает принципы и требования к компетентности, последовательности и беспристрастности аудита и сертификации систем менеджмента всех видов (например, систем менеджмента качества или систем экологического менеджмента), а также требования к органам, осуществляющим эти виды деятельности. Органы по сертификации, осуществляющие свою деятельность в соответствии с требованиями настоящего стандарта, не обязаны заниматься сертификацией систем менеджмента всех видов.

Сертификация систем менеджмента (далее - сертификация) - это деятельность по оценке третьей стороной (см. ИСО/МЭК 17000:2004, подраздел 5.5). Органы, осуществляющие такую деятельность, являются органами по оценке соответствия третьей стороной (далее - орган по сертификации/ органы).

Примечание 1 - Иногда сертификацию систем менеджмента называют также «регистрацией», а органы по сертификации - «регистраторами».

Примечание 2 - Орган по сертификации может быть как неправительственной, так и правительственной организацией (имеющей или не имеющей регулирующих полномочий).

Примечание 3 - Настоящий стандарт может использоваться в качестве документа, содержащего критерии для аккредитации, взаимной оценки или других процессов аудита.

2 Нормативные ссылки

Следующие ссылочные стандарты обязательны при применении настоящего стандарта. Если стандарт датирован, следует использовать только указанное издание. Если стандарт не датирован, применяют последнее издание ссылочного стандарта (включая все изменения).

ИСО 9000:2005 Системы менеджмента качества. Основные положения и словарь

ИСО/МЭК 17000:2004 Оценка соответствия. Словарь и общие принципы

3 Термины и определения

В настоящем стандарте применены термины по ИСО 9000, ИСО/МЭК 17000, а также следующие термины с соответствующими определениями:

3.1 сертифицированный заказчик (certified client): Организация, имеющая сертифицированную систему менеджмента.

3.2 беспристрастность (impartiality): Фактическое и воспринимаемое наличие объективности.

Примечание 1 - Объективность означает, что конфликтов интересов не существует или они разрешаются так, что не оказывают негативного влияния на последующую деятельность органа по сертификации.

Примечание 2 - Другими терминами, которые могут быть полезны для передачи сути беспристрастности, являются объективность, независимость, свобода от конфликта интересов, свобода от предвзятости, отсутствие предубеждений, нейтралитет, справедливость, открытость, равное отношение, отстраненность, уравновешенность.

3.3 консультирование по системе менеджмента (management system consultancy): Участие в разработке, внедрении и поддерживании в рабочем состоянии системы менеджмента.

Примеры

a) Подготовка или предоставление руководств или процедур.

b) Выдача конкретных советов, инструкций или решений, связанных с разработкой и внедрением системы менеджмента.

Примечание - Проведение обучения и участие в качестве обучающего не рассматривается как консультирование, если курс обучения относится к системам менеджмента или проведению аудита, но ограничивается предоставлением информации общего характера, находящейся в открытом доступе, т. е. обучающий не должен предоставлять компании конкретные решения.

3.4 сертификационный аудит, проводимый третьей стороной (third-party certification audit): Аудит, проводимый проверяющей организацией, независимой от заказчика и пользователя, с целью сертификации системы менеджмента заказчика.

Примечание 1 - В нижеприведенных определениях термин «аудит» используется для упрощения ссылок на сертификационный аудит, проводимый третьей стороной.

Примечание 2 - Сертификационный аудит, проводимый третьей стороной, включает в себя первичный, инспекционный и ресертификационный аудиты, а также может включать в себя специальные аудиты.

Примечание 3 - Сертификационные аудиты, проводимые третьей стороной, как правило, осуществляются аудиторскими группами тех органов, которые проводят сертификацию соответствия требованиям стандартов на системы менеджмента.

Примечание 4 - Совместный аудит подразумевает проверку одного заказчика двумя или более проверяющими организациями.

Примечание 5 - Комбинированный аудит подразумевает проверку заказчика, проводимую одновременно на соответствие требованиям двух или более стандартов на системы менеджмента.

Примечание 6 - Интегрированный аудит подразумевает проверку заказчика на соответствие требованиям более чем одного стандарта, когда заказчик применяет требования двух или более стандартов на системы менеджмента в единой интегрированной системе менеджмента.

3.5 заказчик (client): Организация, чья система менеджмента проверяется с целью сертификации.

3.6 аудитор (auditor): Лицо, проводящее аудит.

3.7 компетентность (competence): Способность применять знания и навыки для достижения ожидаемых результатов.

3.8 сопровождающий (guide): Лицо, назначаемое заказчиком для содействия аудиторской группе.

3.9 наблюдатель (observer): Лицо, сопровождающее аудиторскую группу, но не проводящее аудит.

3.10 техническая область (technical area): Область, характеризуемая общностью процессов, относящихся к конкретному виду системы менеджмента.

4 Принципы

4.1 Общие положения

4.1.1 Принципы, приведенные в настоящем разделе, являются основой для изложенных в стандарте функциональных и описательных требований. Настоящий стандарт не содержит конкретных требований для всех возможных ситуаций. Эти принципы следует применять как руководящие указания при принятии решений, которые могут потребоваться в непредвиденных ситуациях. Принципы не являются требованиями.

4.1.2 Общая цель сертификации заключается в обеспечении доверия всех сторон к тому, что система менеджмента удовлетворяет установленным требованиям. Ценность сертификации заключается в уровне доверия общественности, которое устанавливается беспристрастной и компетентной оценкой третьей стороны. К сторонам, заинтересованным в сертификации, относятся, но не ограничиваются ими:

a) заказчики органов по сертификации;

b) клиенты организаций, системы менеджмента которых были сертифицированы;

c) правительственные органы;

d) неправительственные организации;

e) потребители и другие члены общества.

4.1.3 Принципы, обеспечивающие доверие, включают в себя:

- беспристрастность;

- компетентность;

- ответственность;

- открытость;

- конфиденциальность;

- реагирование на жалобы.

4.2 Беспристрастность

4.2.1 Чтобы проводить сертификацию, заслуживающую доверия, орган по сертификации должен быть и восприниматься как беспристрастный.

4.2.2 Общепризнанно, что источником дохода органа по сертификации является его заказчик, который платит за сертификацию, и что при этом существует потенциальная угроза беспристрастности.

4.2.3 Для достижения и поддержания доверия необходимо, чтобы решения органа по сертификации основывались на объективных свидетельствах соответствия (или несоответствия), полученных органом по сертификации, и чтобы на его решения не влияли другие интересы или другие стороны.

4.2.4 Угрозами нарушения беспристрастности могут быть:

a) собственная выгода: угроза возникает в случае, когда человек или орган действуют в личных интересах. В случае сертификации угрозой беспристрастности является финансовый интерес;

b) анализ собственной деятельности: угроза возникает при анализе собственной работы человеком или органом. Аудит систем менеджмента заказчика, которому орган по сертификации предоставлял консультационные услуги, может стать угрозой, вытекающей из анализа собственной деятельности;

c) близкие отношения (или доверительность): угроза может возникнуть в случае, если человек или орган находится в очень близких отношениях или слишком доверяет другому лицу вместо поиска свидетельств аудита;

d) запугивание: угроза возникает, когда у человека или органа возникает ощущение, что ему открыто или скрытым образом угрожают, например, увольнением или жалобой в надзирающую инстанцию.

4.3 Компетентность

Компетентность персонала, поддерживаемая системой менеджмента органа по сертификации, необходима для проведения сертификации, заслуживающей доверия.

4.4 Ответственность

4.4.1 Ответственность за соответствие требованиям к сертификации несет организация-заказчик, а не орган по сертификации.

4.4.2 Орган по сертификации несет ответственность за оценку достаточности объективных свидетельств, на основании которых принимается решение о сертификации. На основе заключения по результатам аудита орган по сертификации выносит решение о выдаче сертификата при наличии достаточных свидетельств соответствия или невыдаче, если достаточные свидетельства отсутствуют.

Примечание - Любой аудит основан на выборке из всей системы менеджмента, поэтому стопроцентная гарантия соответствия требованиям отсутствует.

4.5 Открытость

4.5.1 Орган по сертификации должен обеспечивать открытый доступ или своевременно раскрывать соответствующую информацию в отношении процесса проведения аудита и сертификации, а также статуса сертификации (например, выдачи, подтверждения, обновления, приостановления сертификата, расширения, сужения области применения или отмены сертификата) любой организации с целью обеспечения уверенности в полноте и достоверности сертификации. Открытость - это принцип доступности или раскрытия соответствующей информации.

4.5.2 Для обеспечения или поддерживания доверия к сертификации орган по сертификации должен предоставлять соответствующий доступ или раскрывать неконфиденциальную информацию о результатах специальных аудитов (например, аудитов в ответ на жалобы) определенным заинтересованным сторонам.

4.6 Конфиденциальность

Для обеспечения преимущественного доступа к информации, требуемой органу по сертификации для адекватной оценки соответствия требованиям, необходимо, чтобы орган по сертификации обеспечивал конфиденциальность частных сведений о заказчике.

4.7 Реагирование на жалобы

Стороны, которые, полагаясь на сертификацию, ожидают, что их жалобы будут рассмотрены, должны быть уверены в том, что в случае признания жалоб обоснованными, они будут соответствующим образом учтены, и будут приложены надлежащие усилия для их разрешения. Результативное реагирование на жалобы - важное средство защиты органа по сертификации, его заказчиков и других пользователей сертификации от ошибок, упущений или ненадлежащего поведения. Доверие к деятельности по сертификации обеспечивается в том случае, если проводится соответствующая работа с жалобами.

Примечание - Требуемый баланс между принципами открытости и конфиденциальности, включая реагирование на жалобы, необходим для демонстрации полноты и достоверности всем пользователям сертификации.

5 Общие требования

5.1 Особенности, связанные с законодательством и договорами

5.1.1 Правовая ответственность

Орган по сертификации должен быть юридическим лицом или определенной частью юридического лица, чтобы нести правовую ответственность за все свои действия в области сертификации. Правительственный орган по сертификации считается законным лицом вследствие его правительственного статуса.

5.1.2 Договор на сертификацию

Орган по сертификации должен заключить имеющий юридическую силу договор об оказании заказчику услуг по сертификации. Помимо этого, при наличии нескольких офисов у органа по сертификации или нескольких производственных площадок у заказчика, орган по сертификации должен обеспечить наличие имеющего юридическую силу договора между органом, проводящим сертификацию и выдающим сертификат, и всеми производственными площадками, входящими в область сертификации.

5.1.3 Ответственность за решения о сертификации

Орган по сертификации должен нести ответственность и сохранять свои полномочия относительно своих решений в области сертификации, включая выдачу, подтверждение, обновление сертификата, расширение, сужение области сертификации, приостановление и отмену действия сертификата.

5.2 Управление беспристрастностью

5.2.1 Высшее руководство органа по сертификации должно принять на себя обязательства по обеспечению беспристрастности сертификации систем менеджмента. Орган по сертификации должен сделать публично доступное заявление о том, что он понимает важность беспристрастности при проведении работ по сертификации системы менеджмента, управляет конфликтами интересов и гарантирует объективность своих действий по сертификации системы менеджмента.

5.2.2 Орган по сертификации должен определять, анализировать и документировать возможные конфликты интересов, возникающие при проведении сертификации, включая конфликты, вытекающие из его взаимоотношений. Наличие взаимоотношений необязательно вовлекает орган по сертификации в конфликт интересов. Однако если взаимоотношения создают угрозу для обеспечения беспристрастности, орган по сертификации должен документально оформить и суметь продемонстрировать, как он устраняет или минимизирует такие угрозы. Данная информация должна быть доступной комитету, указанному в 6.2. Демонстрация должна охватывать все выявленные потенциальные источники конфликта интересов как в рамках органа по сертификации, так и в деятельности других лиц, органов или организаций.

Примечание - Взаимоотношения, представляющие угрозу для обеспечения беспристрастности органа по сертификации, могут исходить из прав собственности, подчиненности, управления, персонала, совместно используемых ресурсов, финансов, договоров, маркетинга и из оплаты комиссионных с продаж или прочего поощрения за привлечение новых заказчиков и т. д.

5.2.3 Если взаимоотношения становятся недопустимой угрозой для обеспечения беспристрастности (например, запрос на проведение сертификации поступает от дочерней компании органа по сертификации), сертификация не допускается.

Примечание - См. примечание к 5.2.2.

5.2.4 Орган по сертификации не должен сертифицировать другой орган по сертификации систем менеджмента в отношении его деятельности по сертификации систем менеджмента.

Примечание - См. примечание к 5.2.2.

5.2.5 Орган по сертификации, а также любая часть того же юридического лица, не должны предлагать или проводить консультации по системам менеджмента. Это также применимо к той части правительственной структуры, которая определена как орган по сертификации.

5.2.6 Орган по сертификации, а также любая часть того же юридического лица не должны предлагать или проводить внутренние аудиты у сертифицированных ими заказчиков. Орган по сертификации не должен сертифицировать систему менеджмента, внутренние аудиты которой он проводил, в течение двух лет после завершения внутренних аудитов. Это также применимо к той части правительственной структуры, которая определена как орган по сертификации.

Примечание - См. примечание к 5.2.2.

5.2.7 Орган по сертификации не должен сертифицировать систему менеджмента, в отношении которой заказчику была оказана консультация или проведены внутренние аудиты, если взаимоотношения между организацией, оказавшей консультации, и органом по сертификации представляют недопустимую угрозу для обеспечения беспристрастности последнего.

Примечание 1 - Наличие двухлетнего минимального периода с момента завершения консультаций по системе менеджмента является одним из способов снижения до приемлемого уровня угрозы обеспечению беспристрастности.

Примечание 2 - См. примечание к 5.2.2.

5.2.8 Орган по сертификации не должен передавать право проведения аудитов организациям, консультирующим по системе менеджмента, поскольку это представляет недопустимую угрозу для обеспечения беспристрастности органа по сертификации (см. 7.5). Это правило не распространяется на лиц, привлеченных в качестве аудиторов по договору (см. 7.3).

5.2.9 Деятельность органа по сертификации не должна представляться или предлагаться как связанная с деятельностью организации, занимающейся консультированием по системам менеджмента. Орган по сертификации должен предпринимать действия по корректированию неуместных заявлений любой организации, оказывающей консультации и заявляющей или подразумевающей, что сертификация будет более простой, легкой, быстрой или более дешевой при привлечении этого органа по сертификации. Орган по сертификации не должен заявлять или подразумевать, что сертификация будет более простой, легкой, быстрой или менее дорогой при привлечении определенной консультирующей организации.

5.2.10 Чтобы обеспечить отсутствие конфликта интересов, работники, оказывавшие консультационные услуги по системе менеджмента, включая действовавших в пределах управленческих полномочий, не должны привлекаться органом по сертификации к участию в аудите или другой деятельности по сертификации конкретного заказчика в течение двух лет после завершения консультаций данного заказчика.

5.2.11 Орган по сертификации должен предпринимать ответные действия в отношении любых угроз для обеспечения беспристрастности, вытекающих из деятельности других лиц, органов или организаций.

5.2.12 Весь персонал органа по сертификации, как внутренний, так и внешний, или комитеты, которые могут оказывать влияние на деятельность по сертификации, должны действовать беспристрастно и не допускать коммерческого, финансового или другого давления, компрометирующего их беспристрастность.

5.2.13 Органы по сертификации должны требовать от персонала, как внутреннего, так и внешнего, сообщать о ситуациях, о которых работники знают и которые могут вовлечь их или орган по сертификации в конфликт интересов. Органы по сертификации должны использовать данную информацию в качестве входных данных при определении угроз для обеспечения беспристрастности вследствие деятельности таких работников или организаций, принявших их на работу, и не должны привлекать такой персонал, как внутренний, так и внешний, пока эти работники не продемонстрируют отсутствие конфликта интересов.

5.3 Материальная ответственность и финансирование

5.3.1 Орган по сертификации должен быть способен продемонстрировать, что он оценивает риски, связанные с его деятельностью по сертификации, и что имеются надлежащие условия (например, страхование или наличие резервов) для выполнения обязательств, возникающих в ходе его работ по сертификации в каждой области деятельности и географических зонах, в которых он функционирует.

5.3.2 Орган по сертификации должен оценивать свои финансы и источники дохода и демонстрировать комитету, указанному в 6.2, что на начальном этапе и в дальнейшем коммерческое, финансовое или другое давление не поставит под угрозу его беспристрастность.

6 Требования к структуре

6.1 Организационная структура и высшее руководство

6.1.1 Орган по сертификации должен документировать свою организационную структуру с указанием обязанностей, ответственности и полномочий руководства и другого персонала, занимающегося сертификацией, а также комитетов. Если орган по сертификации является частью юридического лица, его организационная структура должна отражать распределение полномочий и взаимодействие с другими частями этого юридического лица.

6.1.2 Орган по сертификации должен определить высшее руководство (совет, группу лиц или лицо), обладающее всеми полномочиями и несущее полную ответственность за:

a) разработку политик, относящихся к функционированию органа;

b) надзор за внедрением политик и процедур;

c) надзор за финансами органа;

d) разработку услуг и схем действий по сертификации систем менеджмента;

e) проведение аудитов и сертификации, а также за реагирование на жалобы;

f) принятие решений по сертификации;

g) делегирование полномочий комитетам или лицам для осуществления, если требуется, определенных действий от своего имени;

h) условия заключаемых договоров;

i) обеспечение деятельности по сертификации соответствующими ресурсами.

6.1.3 Орган по сертификации должен иметь официальные правила по назначению, кругу полномочий и функционированию любых комитетов, вовлеченных в работу по сертификации.

6.2 Комитет по обеспечению беспристрастности

6.2.1 Структура органа по сертификации должна обеспечивать беспристрастность его деятельности в области сертификации и предоставлять комитету возможность:

a) принимать участие в разработке политики в отношении беспристрастности деятельности органа по сертификации;

b) противодействовать любым тенденциям со стороны органа по сертификации по коммерческим или другим соображениям препятствовать последовательному и объективному выполнению работ по сертификации;

c) давать рекомендации по вопросам, затрагивающим доверие к сертификации, включая открытость и восприятие общественностью;

d) проводить по крайней мере ежегодно анализ беспристрастности процессов аудита, сертификации и принятия решений органом по сертификации.

Другие задачи или обязанности могут быть вменены в обязанности комитета с условием, чтобы эти дополнительные задачи или обязанности не препятствовали выполнению его основной роли по обеспечению беспристрастности.

6.2.2 Состав, направления деятельности, обязанности, полномочия, компетентность членов, ответственность комитета должны быть официально документированы и утверждены высшим руководством органа по сертификации, чтобы обеспечить:

а) наличие баланса интересов, такого как отсутствие преобладания какого-либо одного интереса (внутренний или внешний персонал органа по сертификации, рассматриваемый как имеющий единый интерес, не должен преобладать в составе комитета);

b) доступ ко всей информации, необходимой для выполнения функций комитета (см. 5.2.2 и 5.3.2);

c) если высшее руководство органа по сертификации не следует рекомендациям комитета, комитет должен иметь право предпринять самостоятельное действие (например, информировать органы власти, органы по аккредитации, заинтересованные стороны). Предпринимая самостоятельные действия, комитеты должны учитывать требования к конфиденциальности, изложенные в 8.5, по отношению к заказчику и органу по сертификации.

6.2.3 Хотя комитет не может представлять интересы всех сторон, органу по сертификации следует определить и учесть ключевые интересы. Такие интересы могут включать в себя интересы следующих сторон: заказчиков органа по сертификации, потребителей - организаций, система менеджмента которых была сертифицирована, представителей торгово-промышленных ассоциаций, представителей правительственных органов управления или других правительственных служб, или представителей неправительственных организаций, включая организации потребителей.

7 Требования к ресурсам

7.1 Компетентность руководства и персонала

7.1.1 Общие положения

Орган по сертификации должен установить процессы для гарантии того, что персонал обладает необходимыми знаниями по видам систем менеджмента, которыми орган занимается, и географическим зонам, в которых он функционирует.

Орган по сертификации должен определить требуемый уровень компетентности для каждой технической области (соответствующей конкретной схеме сертификации) и для каждой функции в деятельности по сертификации.

Орган по сертификации должен установить средства для демонстрации компетентности до выполнения конкретных функций.

7.1.2 Определение критериев компетентности

Орган по сертификации должен иметь документированный процесс определения критериев компетентности персонала, участвующего в управлении и проведении аудитов и сертификации. Критерии компетентности должны определяться с учетом требований каждого вида стандартов или технических условий на системы менеджмента для каждой технической области и для каждой функции процесса сертификации. Выходом процесса должны быть документированные критерии требуемых знаний и навыков, необходимых для результативного выполнения аудитов и сертификации с целью достижения запланированных результатов. Знания и навыки устанавливаются органом по сертификации для конкретных функций в соответствии с приложением А. В случае, когда были установлены дополнительные критерии компетентности для конкретной схемы сертификации (например, ИСО/ТУ 22003 [7] для систем менеджмента безопасности пищевых продуктов), должны применяться эти критерии.

Примечание - Термин «техническая область» может применяться по-разному в зависимости от рассматриваемого стандарта на системы менеджмента. Для любой системы менеджмента данный термин относится к продукции и процессам с точки зрения области применения стандарта на системы менеджмента. Техническая область может быть определена конкретной схемой сертификации (например, ИСО/ТУ 22003 [7]) или может быть установлена органом по сертификации. Ниже приведены примеры применения термина «техническая область» для различных видов систем менеджмента:

- для стандарта на системы менеджмента качества термин «техническая область» относится к процессам, требуемым для удовлетворения ожиданий потребителей и выполнения действующих законодательных и нормативных требований к продукции и услугам организации;

- для стандарта на системы экологического менеджмента термин «техническая область» относится к видам деятельности, продукции и услуг, связанных с экологическими аспектами, которые оказывают влияние на воздух, воду, землю, природные ресурсы, флору, фауну и людей;

- для стандарта на системы менеджмента безопасности цепочки поставок термин «техническая область» относится к процессам, которые могут представлять угрозу безопасности поставок, таким как транспортировка, хранение и информационное обеспечение;

- для стандарта на системы менеджмента информационной безопасности термин «техническая область» относится, в частности, к категориям технологий информационной безопасности и практическим методам, информационно-коммуникационной технологии и деловой деятельности, связанным с выбором адекватных и пропорциональных средств управления безопасностью, защищающих информационные ресурсы.

7.1.3 Процессы оценки

Орган по сертификации должен иметь документированные процессы для первоначальной оценки компетентности и постоянного мониторинга компетентности и деятельности персонала, участвующего в управлении и проведении аудитов и сертификации, с использованием установленных критериев компетентности. Орган по сертификации должен демонстрировать результативность своих методов оценки. Выходом этих процессов должно быть выявление персонала, который продемонстрировал уровень компетентности, требуемый для выполнения различных функций аудита и процесса сертификации.

Примечание - Возможные методы оценки, которые могут использоваться для оценивания знаний и навыков, приведены в приложении В.

7.1.4 Дополнительные требования

7.1.4.1 При определении требований к компетентности своего персонала, осуществляющего сертификацию, орган по сертификации должен учитывать функции руководства и административного персонала, а также тех, кто непосредственно проводит аудит и работы по сертификации.

7.1.4.2 Орган по сертификации должен иметь возможность обратиться за соответствующей технической экспертизой для получения рекомендаций по вопросам, имеющим непосредственное отношение к сертификации, с точки зрения технических областей, типов систем менеджмента и географических зон, в которых действует орган по сертификации. Такие рекомендации могут быть получены либо со стороны, либо от персонала органа по сертификации.

7.2 Персонал, участвующий в деятельности по сертификации

7.2.1 В состав персонала органа по сертификации должны входить специалисты, обладающие достаточной компетентностью для управления различными по типу и объему программами аудита и выполнения других работ по сертификации.

7.2.2 Орган по сертификации должен привлекать к работе по сертификации достаточное число аудиторов, включая руководителей аудиторских групп и технических экспертов, для охвата всей области своей деятельности и выполнения объема работ по аудиту.

7.2.3 Орган по сертификации должен четко разъяснять каждому сотруднику его обязанности, ответственность и полномочия.

7.2.4 Орган по сертификации должен установить процессы отбора, подготовки, официального наделения полномочиями аудиторов, а также отбора технических экспертов, привлекаемых к работам по сертификации. Первоначальная оценка уровня компетентности аудитора должна охватывать способность применять требуемые знания и навыки при проведении аудитов, что определяется компетентным оценщиком, наблюдающим за аудитором, проводящим аудит.

Примечание - В ходе вышеуказанного процесса отбора и подготовки могут приниматься во внимание требуемые личные характеристики. Это показатели, влияющие на способность человека выполнять конкретные функции. Поэтому знания, касающиеся личных качеств сотрудников, позволяют органу по сертификации воспользоваться их сильными сторонами и свести к минимуму влияние их слабых сторон. Требуемые личные качества, которые важны для персонала, участвующего в сертификации, рассмотрены в приложении D.

7.2.5 Орган по сертификации должен установить процесс для достижения и демонстрации результативного проведения аудита, включая привлечение аудиторов и руководителей аудиторских групп, обладающих как общими навыками и знаниями в области аудита, так и навыками и знаниями, необходимыми для проведения аудита в конкретных технических областях.

7.2.6 Орган по сертификации должен обеспечить, чтобы аудиторы (и, при необходимости, технические эксперты) были осведомлены о процессе проведения аудита, требованиях к сертификации и других требованиях, относящихся к сертификации. Орган по сертификации должен предоставить аудиторам и техническим экспертам доступ к действующим документированным процедурам, содержащим инструкции по проведению аудита и всю другую информацию, относящуюся к деятельности по сертификации.

7.2.7 Орган по сертификации должен привлекать аудиторов и технических экспертов для выполнения только той деятельности по сертификации, в которой они продемонстрировали свою компетентность.

Примечание - Назначение аудиторов и технических экспертов в группы для проведения конкретных аудитов проводят в соответствии с 9.1.3.

7.2.8 Орган по сертификации должен выявлять потребности в обучении и предлагать или делать доступной соответствующую подготовку, чтобы гарантировать, что аудиторы, технические эксперты и другой персонал, вовлеченный в деятельность по сертификации, компетентны в пределах выполняемых ими функций.

7.2.9 Группа или лицо, принимающие решение о выдаче, подтверждении, обновлении, приостановлении действия сертификата, расширении, сужении, области сертификации или отмене сертификата, должны знать положения применяемого стандарта, требования к сертификации и должны продемонстрировать компетентность в оценке процессов аудита и соответствующих рекомендаций аудиторской группы.

7.2.10 Орган по сертификации должен обеспечить надежную работу всего персонала, вовлеченного в деятельность по аудиту и сертификации. Должны быть разработаны документированные процедуры и критерии для мониторинга и измерения характеристик деятельности всех задействованных работников, основанные на частоте их привлечения к работам и уровне риска, связанного с их действиями. В особенности, орган по сертификации должен проводить анализ компетентности своих работников в рамках выполняемых ими работ с целью определения потребностей в обучении.

7.2.11 Документированные процедуры мониторинга аудиторов должны включать в себя наблюдения за работой на месте (т.е. непосредственно на территории заказчика), анализ отчетов по результатам аудита, учет сигналов обратной связи от заказчиков или рынка и должны быть основаны на документированных требованиях. Данный мониторинг должен быть разработан таким образом, чтобы минимизировать вмешательство в нормальное протекание процесса сертификации, особенно с точки зрения заказчика.

7.2.12 Орган по сертификации должен периодически проводить наблюдение за работой каждого аудитора на месте. Частота наблюдений на месте должна обосновываться необходимостью, определяемой на основании всей имеющейся информации по мониторингу.

7.3 Привлечение внешних аудиторов и технических экспертов

Орган по сертификации должен требовать от внешних аудиторов и технических экспертов заключения письменного соглашения с обязательствами по соблюдению применимой политики и процедур, установленных органом по сертификации. Соглашение должно предусматривать аспекты, связанные с конфиденциальностью и отсутствием коммерческого и других интересов, а также требовать от внешних аудиторов и технических экспертов уведомления о любых существующих или имевшихся ранее связей с организацией, для проведения аудита в которой они могут быть назначены.

Примечание - Привлечение отдельных аудиторов и технических экспертов по таким договорам не является привлечением соисполнителей (аутсорсингом), как это описано в 7.5.

7.4 Записи о персонале

Орган по сертификации должен поддерживать в актуализированном состоянии записи о работниках, включая их квалификацию, обучение, опыт работы, принадлежность к различным организациям, профессиональный статус, компетентность и информацию о любых консультационных услугах, которые могли быть оказаны. Данное требование относится также к руководящему и административному персоналу помимо персонала, непосредственно выполняющего работы по сертификации.

7.5 Привлечение соисполнителей (аутсорсинг)

7.5.1 Орган по сертификации должен разработать процесс, в котором должны быть установлены условия аутсорсинга (для выполнения части работ по сертификации другой организацией на условиях субподряда от имени органа по сертификации). Орган по сертификации должен соответствующим образом документально оформить юридически значимое соглашение, предусматривающее организацию деятельности, в том числе в отношении соблюдения конфиденциальности и отсутствия конфликта интересов с каждым органом, оказывающим аутсорсинговые услуги.

Примечание 1 - Данное положение относится также к привлечению сторонних органов по сертификации. Привлечение на договорной основе аудиторов и технических экспертов описано в 7.3.

Примечание 2 - В настоящем стандарте термины «аутсорсинг» и «выполнение работ на условиях субподряда» являются синонимами.

7.5.2 Сторонние организации не имеют права принимать решения о выдаче, подтверждении, обновлении, приостановлении действия сертификата, расширении, сужении области сертификации или отмене сертификата.

7.5.3 Орган по сертификации должен:

а) нести полную ответственность за работу, переданную на аутсорсинг;

b) обеспечивать, чтобы орган, предоставляющий услуги по аутсорсингу, и привлеченные им лица соответствовали требованиям органа по сертификации и выполняли положения настоящего стандарта, в том числе в отношении компетентности, беспристрастности и конфиденциальности;

c) обеспечивать, чтобы орган, предоставляющий услуги по аутсорсингу, и привлеченные им лица не были связаны непосредственно или через другого нанимателя с проверяемой организацией таким образом, чтобы это могло повлиять на их беспристрастность.

7.5.4 Орган по сертификации должен установить документированные процедуры по оценке квалификации и мониторинга всех органов, оказывающих услуги аутсорсинга для выполнения деятельности по сертификации, и обеспечить, чтобы записи о компетентности аудиторов и технических экспертов поддерживались в рабочем состоянии.

8 Требования к информации

8.1 Информация, находящаяся в открытом доступе

8.1.1 Орган по сертификации должен поддерживать и делать общественно доступной или предоставлять по запросу информацию, описывающую его процессы аудита и сертификации, связанные с выдачей, подтверждением, обновлением, приостановлением сертификата, расширением, сужением области сертификации или отменой сертификата, а также информацию о работах по сертификации, видах систем менеджмента и географических зонах, в пределах которых данный орган осуществляет свою деятельность.

8.1.2 Информация, предоставляемая органом по сертификации заказчикам или рынку, включая рекламу, должна быть точной и не должна вводить в заблуждение.

8.1.3 Орган по сертификации должен обеспечить свободный доступ к информации о выданных, приостановленных или отмененных сертификатах.

8.1.4 По запросу любой стороны орган по сертификации должен предоставить возможность для подтверждения законности проведенной сертификации.

Примечание 1 - Если общий объем информации содержится в нескольких источниках (например, в бумажном или электронном виде), может быть внедрена система обеспечения прослеживаемости и отсутствия двусмысленности между источниками (например, уникальная система нумерации или гиперссылки в сети Интернет).

Примечание 2 - В исключительных случаях доступ к определенной информации может быть ограничен по просьбе заказчика (например, по соображениям безопасности).

8.2 Сертификационные документы

8.2.1 Орган по сертификации должен выдать сертификационные документы сертифицированному клиенту любым выбранным им способом.

8.2.2 Дата вступления в силу сертификационного документа (сертификата соответствия) не должна быть более ранней, чем дата принятия решения о сертификации.

8.2.3 В сертификационном документе должно быть определено следующее:

a) наименование и географическое местоположение каждого заказчика, система менеджмента которого была сертифицирована (или географическое местоположение главного офиса и производственных площадок, входящих в область сертификации организации со многими производственными площадками);

b) даты выдачи сертификата, расширения области или обновления действия сертификата;

c) срок действия сертификата или дата проведения ресертификации, в соответствии с циклом прохождения ресертификации;

d) уникальный идентификационный номер;

e) обозначение стандарта и/или другого нормативного документа, включая номер действующей и/или пересмотренной версии, используемого для аудита сертифицированного заказчика;

f) область сертификации в отношении продукции (включая услуги), процесса и т. д., относящихся к каждой производственной площадке;

g) наименование, адрес и знак органа по сертификации; другие знаки (например, символ аккредитации) могут использоваться способом, не вводящим в заблуждение или не допускающим неопределенное толкование;

h) любая информация, требуемая стандартом и/или другим нормативным документом, используемым при сертификации;

i) в случае выпуска любых пересмотренных сертификационных документов, должны быть предусмотрены средства для того, чтобы отличать их от устаревших.

8.3 Реестр сертифицированных заказчиков

Орган по сертификации должен поддерживать в рабочем состоянии и предоставлять свободный или по запросу доступ с использованием любых средств, которые он выберет, к реестру действующих сертификатов. В реестре, как минимум, должно приводиться наименование, соответствующий нормативный документ, область сертификации и географическое местоположение (например, город и страна) каждого сертифицированного заказчика (или географическое положение главного офиса и каждой производственной площадки при сертификации организации со многими производственными площадками).

Примечание - Реестр остается в единоличной собственности органа по сертификации.

8.4 Ссылка на сертификат и использование знаков соответствия

8.4.1 Орган по сертификации должен установить политику управления знаками соответствия, разрешенными для использования сертифицированными заказчиками. Среди прочего должна обеспечиваться их прослеживаемость со стороны органа по сертификации. В знаке или сопроводительном тексте не должно быть неоднозначности относительно предмета сертификации и органа по сертификации, выдавшего сертификат. Данный знак не должен использоваться на продукции или ее упаковке, которую видит потребитель, или любым другим путем, который может интерпретироваться как обозначение соответствия продукции.

Примечание - Требования к использованию знаков соответствия третьей стороны приводятся в ИСО/МЭК 17030 [5].

8.4.2 Орган по сертификации не должен допускать использования своих знаков соответствия в отчетах о лабораторных испытаниях, отчетах по калибровке или инспекциях, поскольку в данном случае такие отчеты считаются продукцией.

8.4.3 Орган по сертификации должен требовать, чтобы организация-заказчик:

a) выполняла требования органа по сертификации при ссылках на свой сертифицированный статус в средствах массовой информации, таких как сеть Интернет, брошюры, реклама или другие документы;

b) не делала и не допускала никаких вводящих в заблуждение высказываний относительно своего сертификата;

c) не использовала и не допускала использования сертификата или любой его части каким-либо образом, вводящим в заблуждение;

d) при приостановлении или отмене действия сертификата перестала ссылаться на него в рекламных целях, как это установлено органом по сертификации (см. 9.6.3 и 9.6.6);

e) внесла коррективы в рекламу при сужении области применения сертификата;

f) не допускала, чтобы ссылки на ее сертификат на систему менеджмента использовались каким-либо образом, позволяющим предположить, что орган по сертификации сертифицировал продукцию (включая услугу) или процесс;

g) не подразумевала, что действие сертификата распространяется и на деятельность, не охваченную областью сертификации;

h) не использовала свой сертификат таким образом, который может негативно сказаться на репутации органа по сертификации и/или системы сертификации и привести к потере доверия общественности.

8.4.4 Орган по сертификации должен надлежащим образом осуществлять контроль за правом владения и предпринимать соответствующие действия в ответ на некорректные ссылки на статус сертификации или вводящее в заблуждение использование сертификационных документов, знаков соответствия или отчетов по результатам аудита.

Примечание - Данные действия могут включать в себя требования по проведению коррекций и корректирующих действий, приостановление, отмену действия сертификата, публикацию информации о нарушении и, при необходимости, предъявление судебного иска.

8.5 Конфиденциальность

8.5.1 Орган по сертификации должен иметь политику и условия, отвечающие законодательству, для обеспечения конфиденциальности информации, полученной или созданной входе его деятельности по сертификации, на всех уровнях его структуры, включая комитеты и внешние органы или лиц, действующих от его имени.

8.5.2 Орган по сертификации должен заблаговременно уведомить заказчика о том, какую информацию он предполагает сделать публичной. Любая другая информация, кроме той, которая делается общедоступной самим заказчиком, должна рассматриваться как конфиденциальная.

8.5.3 За исключением тех случаев, которые описаны в настоящем стандарте и регулируются его требованиями, информация о конкретном заказчике или частном лице не должна раскрываться третьей стороне без получения письменного согласия заказчика или частного лица. Если закон требует от органа по сертификации раскрытия конфиденциальной информации третьей стороне, то заказчик или частное лицо должны быть заблаговременно уведомлены о раскрытии информации, если иное не предусмотрено законом.

8.5.4 Информация о заказчике, полученная из других источников (например, жалобы, информация от надзорных органов), должна рассматриваться как конфиденциальная в соответствии с политикой органа по сертификации.

8.5.5 Персонал, включая членов любого комитета, подрядчики, персонал внешних органов или лица, действующие от имени органа по сертификации, должен сохранять конфиденциальность всей информации, полученной или созданной данным органом в ходе его деятельности по сертификации.

8.5.6 Орган по сертификации должен иметь и использовать оборудование и средства, обеспечивающие безопасность хранения конфиденциальной информации (например, документов, записей).

8.5.7 Если конфиденциальная информация предоставляется другим органам (например, органу по аккредитации, группе соглашения в схеме взаимной оценки), орган по сертификации должен уведомить об этом заказчика.

8.6 Обмен информацией между органом по сертификации и заказчиками

8.6.1 Информация о деятельности по сертификации и требованиях

Орган по сертификации должен для своих заказчиков предоставлять и обновлять:

a) подробное описание деятельности по сертификации в начальном и последующем периодах, включая подачу заявки, первичный аудит, инспекционный контроль, а также процессы выдачи, подтверждения, приостановления действия сертификата, сужения, расширения области сертификации, отмены действия сертификата и ресертификации;

b) нормативные требования к сертификации;

c) информацию о стоимости подачи заявки, первичной и последующей сертификации;

d) следующие требования органа по сертификации к будущим заказчикам:

1) о соответствии требованиям к сертификации;

2) о выполнении всех условий, необходимых для проведения аудитов, включая предоставление документации для проверки и доступ ко всем процессам и участкам, записям и персоналу для проведения первичной сертификации, инспекционного контроля и ресертификации, анализа жалоб;

3) об обеспечении, при необходимости, присутствия наблюдателей (например, аудиторов по аккредитации или аудиторов-стажеров);

e) документы, в которых описаны права и обязанности сертифицированных заказчиков, включая требования о том, что при любых видах обмена информацией ссылки на сертифицированный статус должны осуществляться согласно 8.4;

f) информацию о процедурах рассмотрения жалоб и апелляций.

8.6.2 Информирование об изменениях со стороны органа по сертификации

Орган по сертификации должен своевременно уведомлять сертифицированных заказчиков обо всех изменениях своих требований к сертификации, а также убедиться, что каждый сертифицированный заказчик соответствует новым требованиям.

Примечание - Для обеспечения выполнения указанных требований они должны быть включены в условия договора с сертифицированным заказчиком. Модель лицензионного соглашения1) о применении сертификата, включая аспекты, связанные с уведомлением об изменениях, насколько это применимо, приведена в приложении Е Руководства ИСО/МЭК 28:2004 [6].

1) В соответствии с действующим законодательством Российской Федерации лицензионное соглашение об использовании сертификата не применяется.

8.6.3 Уведомление об изменениях со стороны заказчика

Орган по сертификации должен установить юридически значимые меры для обеспечения того, чтобы сертифицированный заказчик немедленно информировал орган по сертификации обо всех вопросах, которые могут оказать влияние на способность системы менеджмента продолжать соответствовать требованиям стандарта, на соответствие которому проводилась сертификация. Данное требование относится к изменениям, связанным, например, со следующими случаями:

a) юридическим, коммерческим, организационным статусом или формой собственности;

b) организацией и управлением (например, с ключевым управленческим персоналом, лицами, принимающими решения, или техническими специалистами);

c) контактным адресом и месторасположением;

d) областью деятельности в рамках сертифицированной системы менеджмента;

e) важными изменениями в системе менеджмента или процессах.

Примечание - Модель лицензионного соглашения1) о применении сертификата, включая аспекты, связанные с уведомлением об изменениях, насколько это применимо, приведена в приложении Е Руководства ИСО/МЭК 28:2004 [6].

1) В соответствии с действующим законодательством Российской Федерации лицензионное соглашение об использовании сертификата не применяется.

 

9 Требования к процессу

9.1 Общие требования

9.1.1 Программа аудита

9.1.1.1 Программа аудита, охватывающая весь цикл сертификации, должна быть разработана для четкого определения деятельности по аудиту, требуемой для демонстрации того, что система менеджмента заказчика отвечает требованиям к сертификации по выбранному стандарту или другому нормативному документу.

9.1.1.2 Программа аудита должна включать в себя проведение двухэтапного первичного аудита, инспекционных контролей в течение первого и второго года и ресертификационного аудита в течение третьего года, до истечения срока действия сертификата. Трехлетний цикл сертификации начинается с принятия решения о сертификации или ресертификации. При определении программы аудита и внесении в нее каких-либо изменений должны быть учтены размеры организации-заказчика, область применения и сложность ее системы менеджмента, продукция и процессы, а также продемонстрированный уровень результативности системы менеджмента и результаты предыдущих аудитов.

Примечание 1 - В приложении Е содержится типичная блок-схема процесса проведения аудита и сертификации третьей стороной.

Примечание 2 - В приложении F перечислены дополнительные вопросы, подлежащие рассмотрению при разработке или пересмотре программы аудита.

9.1.1.3 Если орган по сертификации учитывает уже проведенный у заказчика сертификационный или другой аудит, он должен собрать достаточную и доступную для проверки информацию для обоснования любых изменений в программе аудита и зарегистрировать это.

9.1.2 План аудита

9.1.2.1 Общие положения

Орган по сертификации должен обеспечить составление плана для каждого аудита, установленного в соответствии с программой аудита, чтобы предоставить основу для соглашения о проведении аудита и графике действий по аудиту. План аудита должен быть основан на документированных требованиях органа по сертификации.

9.1.2.2 Определение целей, области и критериев аудита

9.1.2.2.1 Цели аудита определяются органом по сертификации. Область и критерии аудита, включая любые изменения, устанавливаются органом по сертификации после обсуждения с заказчиком.

9.1.2.2.2 Цели аудита должны указывать на то, что подлежит выполнению входе аудита, и должны включать в себя:

a) установление соответствия системы менеджмента заказчика или отдельных ее частей критериям аудита;

b) оценку способности системы менеджмента обеспечивать выполнение организацией заказчика установленных законодательных, нормативных и контрактных требований;

Примечание - Сертификационный аудит системы менеджмента не является проверкой соблюдения правовых норм.

c) оценку результативности системы менеджмента для обеспечения постоянного достижения поставленных целей организацией заказчика;

d) в случае необходимости выявление возможностей улучшения системы менеджмента.

9.1.2.2.3 Область аудита должна устанавливать объем и границы аудита, такие как фактическое местонахождение объектов, организационные подразделения, виды деятельности и процессы, подлежащие проверке. В том случае, когда первоначальная сертификация или ресертификация предполагает проведение нескольких аудитов (например, для охвата объектов, расположенных по различным адресам), область отдельного аудита может не охватывать всей области сертификации, однако все аудиты вместе взятые должны соответствовать области, определенной в сертификационном документе (сертификате соответствия).

Примечание - В приложении F перечислены дополнительные вопросы, требующие рассмотрения при разработке или пересмотре области аудита.

9.1.2.2.4 Критерии аудита должны использоваться в качестве основы для определения соответствия и должны включать в себя:

- требования определенного нормативного документа по системам менеджмента;

- определенные процессы и документы системы менеджмента, разработанные заказчиком.

9.1.2.3 Подготовка плана аудита

План аудита должен соответствовать целям и области аудита. План аудита должен, по крайней мере, включать или ссылаться на:

a) цели аудита;

b) критерии аудита;

c) область аудита, включая идентификацию организационных и функциональных подразделений или процессов, подлежащих аудиту;

d) даты и места проведения аудитов, включая посещения временных объектов в случае необходимости;

e) предполагаемое время и продолжительность аудитов на территории заказчика;

f) функции и обязанности членов аудиторской группы и сопровождающих лиц.

Примечание 1 - Информация о плане аудита может содержаться в нескольких документах.

Примечание 2 - В приложении F перечислены дополнительные вопросы, требующие рассмотрения при разработке или пересмотре плана аудита.

9.1.3 Назначение членов аудиторской группы и закрепление за ними обязанностей

9.1.3.1 Орган по сертификации должен установить процесс отбора и назначения аудиторской группы, включая ее руководителя, принимая во внимание компетентность, необходимую для достижения целей аудита. Если аудит проводит один аудитор, он должен обладать компетентностью, достаточной для выполнения обязанностей руководителя аудиторской группы применительно к данному аудиту.

9.1.3.2 При определении размеров и состава аудиторской группы следует принимать во внимание:

a) цели, область, критерии и расчетные сроки проведения аудита;

b) является ли аудит комбинированным, комплексным или совместным;

c) общую компетентность членов аудиторской группы, необходимую для достижения целей аудита;

d) сертификационные требования (включая применимые законодательные, нормативные или контрактные требования);

e) языки культуру;

f) участвовали ли ранее члены аудиторской группы в проверках системы менеджмента заказчика.

9.1.3.3 Необходимые знания и опыт руководителя и членов аудиторской группы могут быть дополнены знаниями и опытом технических экспертов, переводчиков или интерпретаторов, которые действуют соответственно указаниям аудитора. При использовании услуг переводчиков или интерпретаторов их следует выбирать таким образом, чтобы они не оказывали ненадлежащего влияния на проведение аудита.

Примечание - Критерии отбора технических экспертов устанавливаются индивидуально в каждом конкретном случае и зависят от потребностей аудиторской группы и области аудита.

9.1.3.4 В аудиторскую группу в качестве участников могут быть включены аудиторы-стажеры при условии, что один из аудиторов будет назначен оценщиком их деятельности. Оценщик должен быть достаточно компетентным для того, чтобы принять на себя обязанности и нести окончательную ответственность за деятельность и выводы аудиторов-стажеров.

9.1.3.5 По согласованию с членами аудиторской группы руководитель аудиторской группы должен закреплять за каждым членом группы обязанности по проверке конкретных процессов, функций, объектов, участков и работ. При этом следует принимать во внимание необходимую компетентность, результативность и эффективность использования возможностей аудиторской группы, а также различные функции и обязанности аудиторов, аудиторов-стажеров и технических экспертов. Изменения в рабочие задания могут вноситься походу проверки, чтобы обеспечить достижение целей аудита.

9.1.4 Определение продолжительности аудита

9.1.4.1 Орган по сертификации должен установить документированные процедуры по определению продолжительности аудита. Для каждого заказчика орган по сертификации должен установить период времени, необходимый для планирования, а также для полного и результативного завершения аудита системы менеджмента заказчика. Продолжительность аудита, установленная органом по сертификации, и ее обоснование, должны быть зарегистрированы. При установлении продолжительности аудита орган по сертификации должен помимо прочего учитывать следующее:

a) требования соответствующего стандарта на систему менеджмента;

b) размер и сложность;

c) технологические и законодательные особенности;

d) аутсорсинг для любой деятельности, охватываемой системой менеджмента;

e) результаты любых предыдущих аудитов;

f) число производственных площадок, а также соображения, связанные с проведением аудита на нескольких производственных площадках;

g) риски, связанные с продукцией, процессами или деятельностью организации;

h) являются ли аудиты комбинированными, совместными или комплексными. В случае, когда установлены конкретные критерии для специальных схем сертификации, например ИСО/ТУ 22003 [7] или ИСО/МЭК 27006 [8], эти критерии должны применяться.

9.1.4.2 Время, затраченное на аудит любым членом группы, который не является аудитором (т. е. техническим экспертом, переводчиком, интерпретатором, наблюдателем и аудитором-стажером), не должно учитываться при расчете продолжительности аудита.

Примечание - Использование услуг переводчиков, интерпретаторов может увеличить продолжительность аудита.

9.1.5 Выборочные проверки производственных площадок

Если входе аудита выборочно проверяются производственные площадки, находящиеся в различных местах и осуществляющие аналогичную деятельность, охватываемую системой менеджмента заказчика, орган по сертификации должен разработать программу выборки, чтобы обеспечить надлежащее проведение аудита системы менеджмента. Обоснование плана проведения выборки для каждого заказчика должно быть документировано.

9.1.6 Предоставление информации о задачах аудиторской группы

Задачи, поставленные перед аудиторской группой, должны быть определены и сообщены организации-заказчику, при этом аудиторская группа должна:

a) оценить и проверить структуру, политику, процессы, процедуры, записи и другие документы организации-заказчика, относящиеся к системе менеджмента;

b) определить, удовлетворяет ли перечисленное выше всем требованиям в отношении предполагаемой области сертификации;

c) удостовериться, что процессы и процедуры были разработаны, внедрены и поддерживаются в рабочем состоянии с целью обеспечения доверия к системе менеджмента заказчика;

d) сообщить заказчику для принятия им соответствующих мер о любых противоречиях между политикой, целями и задачами заказчика (в соответствии с ожиданиями в соответствующем стандарте на систему менеджмента или другом нормативном документе) и результатами.

9.1.7 Предоставление информации о членах аудиторской группы

Орган по сертификации должен своевременно назвать организации-заказчику фамилии и по запросу предоставить информацию о каждом члене аудиторской группы, чтобы заказчик мог выразить свое несогласие с назначением какого-либо аудитора или технического эксперта, а орган по сертификации имел возможность переформировать группу при наличии для этого объективных причин.

9.1.8 Предоставление информации о плане аудита

План и дата проведения аудита должны быть сообщены заказчику заранее и согласованы с ним.

9.1.9 Проведение аудитов на местах

9.1.9.1 Общие положения

Орган по сертификации должен разработать процесс проведения аудитов на местах. Этот процесс должен включать в себя предварительное совещание в начале аудита и заключительное совещание при завершении аудита.

Примечание - Термин «на месте» помимо посещения физического местоположения (например, завода) подразумевает также и удаленный доступ к веб-сайту(ам), содержащему(им) информацию, имеющую отношение к аудиту системы менеджмента.

9.1.9.2 Проведение предварительного совещания

Официальное предварительное совещание, участники которого подлежат регистрации, должно проводиться с руководством заказчика и, когда это целесообразно, с лицами, ответственными за функции или процессы, подлежащие проверке. Целью предварительного совещания, которое обычно проводится руководителем аудиторской группы, является предоставление кратких разъяснений по поводу того, как будет организована деятельность по аудиту. Ниже приведены основные вопросы, рассматриваемые на предварительном совещании. Степень детализации зависит от осведомленности заказчика о процессе, включающей в себя:

a) представление участников, в том числе их роль в аудите;

b) подтверждение области сертификации;

c) подтверждение плана аудита (включая вид и область аудита, его цели и критерии), любых изменений и других соответствующих договоренностей с заказчиком, таких как дата и время проведения заключительного совещания, а также промежуточных совещаний между аудиторской группой и руководством заказчика;

d) подтверждение официальных каналов обмена информацией между аудиторской группой и заказчиком;

e) подтверждение наличия ресурсов и средств, требуемых аудиторской группе;

f) подтверждение конфиденциальности;

g) подтверждение мер техники безопасности, порядка действия в чрезвычайных ситуациях и процедур обеспечения безопасности для аудиторской группы;

h) подтверждение наличия, функций и личностей любых сопровождающих и наблюдателей;

i) порядок представления отчетов, включая классификацию выводов аудита;

j) информацию об условиях, при которых аудит может быть досрочно прекращен;

k) подтверждение того, что руководитель и члены аудиторской группы, представляющие орган по сертификации, несут ответственность за аудит и осуществляют контроль за выполнением плана аудита, в том числе деятельность по аудиту и аудиторские заключения;

l) подтверждение статуса выводов предыдущих анализов или аудитов, если применимо;

m) методы и процедуры, используемые для проведения аудита на основе выборочных исследований;

n) подтверждение языка, используемого при проведении аудита;

о) подтверждение того, что заказчик будет информироваться о ходе аудита и любых проблемах, требующих решения;

р) возможность задать вопросы, предоставляемая заказчику.

9.1.9.3 Обмен информацией в ходе аудита

9.1.9.3.1 В ходе аудита члены аудиторской группы должны периодически оценивать полученные результаты и обмениваться информацией. Руководитель аудиторской группы должен, по мере необходимости, перераспределять обязанности среди членов аудиторской группы и периодически сообщать заказчику о достигнутых результатах и любых проблемах.

9.1.9.3.2 В тех случаях, когда имеющиеся данные аудита свидетельствуют о недостижимости целей аудита или предполагают наличие непосредственного серьезного риска (например, угрозу безопасности), руководитель аудиторской группы должен сообщить об этом заказчику и по возможности в орган по сертификации для принятия решения о соответствующих действиях. К таким действиям могут относиться переутверждение или корректировка плана аудита, внесение изменений в цели или область аудита или прекращение аудита. Руководитель аудиторской группы должен сообщать о результатах принятых мер в орган по сертификации.

9.1.9.3.3 Руководитель аудиторской группы должен рассматривать совместно с заказчиком необходимость внесения изменений в область аудита, которая становится очевидной по мере выполнения работ по аудиту на месте, и должен доводить это до сведения органа по сертификации.

9.1.9.4 Наблюдатели и сопровождающие

9.1.9.4.1 Наблюдатели

Присутствие и обоснованность участия наблюдателей в аудите должны согласовываться органом по сертификации и заказчиком до проведения аудита. Аудиторская группа должна обеспечивать, чтобы наблюдатели не влияли на процесс или результаты аудита и не вмешивались в аудиторскую деятельность.

Примечание - Наблюдателями могут быть сотрудники организации-заказчика, консультанты, персонал органа по аккредитации, представители регулятивных органов или другие лица, чье присутствие обосновано.

9.1.9.4.2 Сопровождающие

У каждого аудитора должен быть сопровождающий, если нет иной договоренности между руководителем аудиторской группы и заказчиком. Сопровождающие назначаются для содействия аудиторской группе в проведении аудита. Аудиторская группа должна обеспечивать, чтобы сопровождающие не влияли на процесс или результаты аудита и не вмешивались в аудиторскую деятельность.

Примечание - В обязанности сопровождающих может входить:

a) обеспечение контактов и назначение времени встреч и бесед;

b) организация посещений конкретных участков или подразделений организации;

c) обеспечение того, чтобы правила и процедуры по безопасности были известны членам аудиторской группы и соблюдались ими;

d) засвидетельствование порядка проведения аудита от лица заказчика;

e) предоставление разъяснений или информации по требованию аудитора.

9.1.9.5 Сбор и проверка информации

9.1.9.5.1 В ходе аудита информация, касающаяся целей, области и критериев аудита (включая информацию, относящуюся к взаимосвязям между функциями, деятельностью и процессами), должна собираться на основе соответствующих выборочных методов и проверяться, чтобы стать свидетельством аудита.

9.1.9.5.2 Методы сбора информации включают, но не ограничиваются следующими действиями:

a) беседы и опросы;

b) наблюдения за процессами и деятельностью;

c) анализ документации и записей.

9.1.9.6 Идентификация и регистрация выводов аудита

9.1.9.6.1 Выводы аудита, обобщающие соответствия и детализирующие несоответствия, а также подкрепляющие их свидетельства аудита, должны регистрироваться и доводиться до сведения заинтересованных лиц, чтобы получить возможность вынести взвешенное решение о сертификации или подтвердить сертификацию.

9.1.9.6.2 Возможности для улучшения могут быть идентифицированы и зарегистрированы, если этому не препятствуют требования схемы сертификации системы менеджмента. Однако выводы аудита, свидетельствующие о несоответствиях согласно перечислениям b) и с), не должны регистрироваться как возможности для улучшения.

9.1.9.6.3 Выявленное несоответствие должно регистрироваться со ссылкой на конкретное требование критерия аудита, содержать четкую формулировку несоответствия и детализировать объективное свидетельство, на котором основано несоответствие. Несоответствия должны рассматриваться совместно с заказчиком для обеспечения точности свидетельств и правильного понимания несоответствий. Однако аудитор должен воздержаться от указания на причину несоответствий или пути их устранения.

Примечание - Несоответствия, предусмотренные требованиями перечисления b) 9.1.15, могут быть отнесены к значительным, тогда как остальные несоответствия [перечисления с) 9.1.15] могут быть отнесены к малозначительным.

9.1.9.6.4 Руководитель аудиторской группы должен прилагать усилия по устранению разногласий между аудиторской группой и заказчиком в отношении свидетельств или выводов аудита, а нерешенные проблемы должны протоколироваться.

9.1.9.7 Подготовка заключений аудита

До проведения заключительного совещания аудиторская группа должна:

a) проанализировать выводы аудита и любую другую соответствующую информацию, собранную входе аудита, относительно целей аудита;

b) согласовать заключения аудита с учетом неопределенности, присущей процессу аудита;

c) определить любые необходимые последующие действия;

d) подтвердить соответствие программы аудита или определить любые требуемые изменения (например, в отношении области аудита, продолжительности или сроков проведения аудита, периодичности инспекционного контроля, компетентности).

9.1.9.8 Проведение заключительного совещания

9.1.9.8.1 Официальное заключительное совещание, участники которого подлежат регистрации, должно проводиться совместно с руководством заказчика и, когда это целесообразно, с лицами, ответственными за проверенные функции или процессы. Целью заключительного совещания, которое, как правило, проводится руководителем аудиторской группы, является представление заключений аудита, включая рекомендации относительно сертификации. Любые несоответствия должны быть представлены таким образом, чтобы обеспечить их понимание, и должны быть согласованы сроки реагирования на них.

Примечание - «Понимание» необязательно означает, что заказчик согласен с выявленными несоответствиями.

9.1.9.8.2 На заключительном совещании также рассматриваются следующие вопросы. Степень детализации зависит от знакомства заказчика с процессом аудита:

a) доведение до сведения заказчика, что собранные свидетельства аудита основаны на выборочной информации, что тем самым привносит элемент неопределенности;

b) методы составления и сроки представления отчета, включая правила классификации наблюдений аудита;

c) процесс рассмотрения несоответствий органом по сертификации, включая любые последствия, связанные со статусом сертификации заказчика;

d) сроки представления заказчиком плана коррекций и корректирующих действий для несоответствий, выявленных в ходе аудита;

e) действия, осуществляемые органом по сертификации после аудита;

f) информация о процессах рассмотрения жалоб и апелляции.

9.1.9.8.3 Заказчику должна предоставляться возможность задавать вопросы. Любые разногласия относительно наблюдений или заключений аудита между аудиторской группой и заказчиком должны быть рассмотрены и устранены по мере возможности. Любые неустраненные разногласия должны быть зафиксированы и доведены до сведения органа по сертификации.

9.1.10 Отчет по аудиту

9.1.10.1 Орган по сертификации должен предусматривать подготовку письменного отчета по каждому аудиту. Аудиторская группа может определить возможности для улучшения, но не имеет права рекомендовать конкретные решения. Право собственности на аудиторский отчет должен сохранять за собой орган по сертификации.

9.1.10.2 Руководитель аудиторской группы отвечает за подготовку аудиторского отчета и несет ответственность за его содержание. Отчет по аудиту должен содержать точную, сжатую и четкую запись аудита, чтобы обеспечить возможность принятия взвешенного решения о сертификации, и должен содержать или ссылаться на следующие моменты:

a) идентификацию органа по сертификации;

b) наименование и адрес заказчика и представителя руководства заказчика;

c) вид аудита (например, первоначальный, инспекционный контроль или ресертификация);

d) критерии аудита;

e) цели аудита;

f) область аудита, в частности идентификация организационных или функциональных подразделений или процессов, подлежащих проверке, и сроки аудита;

g) идентификация руководителя аудиторской группы, членов аудиторской группы и любых сопровождающих лиц;

h) даты и места проведения аудита (на месте или дистанционно);

i) наблюдения, свидетельства и заключения аудита в соответствии с требованиями к данному виду аудита;

j) любые нерешенные вопросы, если таковые имеются.

9.1.11 Анализ причин несоответствий

Орган по сертификации должен требовать от заказчика проведения в установленные сроки анализа причин несоответствий и определения, какие коррекции и корректирующие действия предприняты или планируются для устранения выявленных несоответствий в установленные сроки.

9.1.12 Результативность коррекций и корректирующих действий

Орган по сертификации должен анализировать предложенные заказчиком коррекции, выявленные причины и корректирующие действия для определения их приемлемости. Орган по сертификации должен проверять результативность любых предпринятых коррекций и корректирующих действий. Должны регистрироваться свидетельства, подтверждающие устранение несоответствий. Заказчик должен быть проинформирован о результатах анализа и проверки.

Примечание - Проверка результативности коррекций и корректирующих действий может осуществляться на основе анализа документации, полученной от заказчика, или, в случае необходимости, на основе проверок на месте.

9.1.13 Дополнительные аудиты

Заказчик должен быть информирован о том, какой дополнительный полный или сокращенный аудит или предоставление документальных свидетельств (подлежащих подтверждению входе будущего инспекционного контроля) может потребоваться для подтверждения результативности коррекций и корректирующих действий.

9.1.14 Решение о сертификации

Орган по сертификации должен обеспечить, чтобы лица или члены комитетов, которые принимают решения о сертификации или ресертификации, не принимали участия в аудитах.

9.1.15 Действия, осуществляемые до принятия решения

До принятия решения орган по сертификации должен подтвердить следующие факты:

a) информация, предоставленная аудиторской группой, является достаточной в отношении требований к сертификации и области сертификации;

b) он проанализировал, признал и проверил результативность коррекций и корректирующих действий в отношении всех несоответствий, которые представляют собой:

1) невыполнение одного или более требований стандарта на системы менеджмента,

2) наличие ситуации, которая ставит под значительное сомнение способность системы менеджмента заказчика достигать намеченных результатов;

c) он проанализировал и принял запланированные заказчиком коррекции и корректирующие действия в отношении всех других несоответствий.

9.2 Первичный аудит и сертификация

9.2.1 Подача заявки

Орган по сертификации должен затребовать у уполномоченного представителя организации, подавшей заявку, предоставление необходимой информации, чтобы установить:

a) планируемую область сертификации;

b) основные характеристики организации, подавшей заявку, включая ее наименование и физический(е) адрес(а), важнейшие аспекты ее процессов и операций, а также соответствующие обязательства, вытекающие из законодательства;

c) сведения общего характера, относящиеся к заявленной области сертификации и касающиеся организации, подавшей заявку, ее деятельности, человеческих и технических ресурсов, функций и отношений в рамках корпорации, при наличии таковой;

d) сведения обо всех процессах, влияющих на соответствие требованиям, которые переданы организацией для выполнения сторонним организациям;

e) стандарты или другие требования, по которым организация, подавшая заявку, намерена сертифицироваться;

f) информацию относительно полученных консультаций по системе менеджмента.

9.2.2 Анализ заявки

9.2.2.1 До проведения аудита орган по сертификации должен проанализировать заявку и дополнительную информацию, имеющую отношение к сертификации, с целью удостовериться в следующих фактах:

a) информация об организации, подавшей заявку, и ее системе менеджмента является достаточной для проведения аудита;

b) требования к сертификации были четко определены, документированы и предоставлены организации, подавшей заявку;

c) любые известные разногласия в понимании требований между органом по сертификации и организацией, подавшей заявку, были устранены;

d) орган по сертификации обладает компетентностью и возможностями для осуществления деятельности по сертификации;

e) были приняты во внимание желаемая область сертификации, место(а) осуществления деятельности организации, подавшей заявку, период времени, необходимый для проведения аудита, и любые другие аспекты, влияющие на деятельность по сертификации (язык, условия безопасности, угрозы беспристрастности, и т. д.);

f) записи об обосновании принятия решения о проведении аудита поддерживаются в рабочем состоянии.

9.2.2.2 После анализа заявки орган по сертификации должен либо принять, либо отклонить заявку на проведение сертификации. В том случае, когда орган по сертификации отклоняет заявку в результате ее анализа, причины отклонения заявки должны быть документированы и разъяснены заказчику.

Примечание - При отклонении заявки на проведение сертификации орган по сертификации должен проявлять особое внимание, чтобы не вступить в противоречие с принципами, установленными в разделе 4.

9.2.2.3 На основе анализа заявки орган по сертификации должен определить уровень компетентности, необходимый для формирования аудиторской группы и для принятия решения о сертификации.

9.2.2.4 Аудиторская группа должна назначаться и формироваться из числа аудиторов (и технических экспертов, при необходимости), которые в совокупности обладают компетентностью, идентифицированной органом по сертификации, как установлено в 9.2.2.3 для сертификации организации, подавшей заявку. Подбор членов группы должен проводиться на основе уровня компетентности аудиторов и технических экспертов согласно 7.2.5, при этом могут привлекаться как внутренние, так и внешние человеческие ресурсы.

9.2.2.5 Лицо(а), которое(ые) буде(у)т принимать решение о сертификации должно(ы) назначаться с учетом наличия соответствующей компетентности (см. 7.2.9).

9.2.3 Первичный сертификационный аудит

Первичный сертификационный аудит системы менеджмента должен проводиться в два этапа: этап 1 и этап 2.

9.2.3.1 Проведение первого этапа (этап 1) аудита

9.2.3.1.1 Этап 1 аудита должен проводиться с целью:

a) проверки документации системы менеджмента заказчика;

b) оценки местоположения заказчика и специфических условий размещения производственных площадок, а также с целью обсуждения с персоналом заказчика готовности ко второму этапу аудита;

c) анализа состояния заказчика и понимания им требований стандарта, в частности тех, которые относятся к идентификации ключевых видов деятельности или значимых аспектов, процессов, целей, а также к функционированию системы менеджмента;

d) сбора необходимой информации относительно области применения системы менеджмента, процессов и местоположения заказчика, а также соответствующих нормативных и законодательных требований и соответствия им (например, в области качества, охраны окружающей среды, правовых аспектов деятельности заказчика, связанных рисков и т. д.);

e) анализа распределения ресурсов для проведения второго этапа аудита и согласования с заказчиком деталей второго этапа аудита (этап 2);

f) обеспечения правильной расстановки акцентов при планировании второго этапа аудита на основе достижения четкого понимания системы менеджмента заказчика и функционирования производственных площадок в контексте возможных значимых аспектов;

g) оценки того, были ли спланированы и проведены внутренние аудиты и анализ со стороны руководства, и того, что уровень внедрения системы менеджмента является достаточным для признания готовности заказчика к проведению второго этапа аудита.

Для большинства систем менеджмента рекомендуется, чтобы для достижения указанных выше целей по крайней мере часть аудита на первом этапе проводилась на территории заказчика.

9.2.3.1.2 Наблюдения, полученные на первом этапе аудита, должны быть документированы и сообщены заказчику, включая указание на проблемные области, которые могут быть классифицированы как несоответствия в ходе второго этапа аудита.

9.2.3.1.3 При установлении промежутка времени между проведением этапа 1 и этапа 2 должны быть рассмотрены потребности заказчика, связанные с устранением проблемных областей, выявленных в ходе первого этапа аудита. Органу по сертификации также может потребоваться время на корректировку мероприятий по подготовке ко второму этапу аудита.

9.2.3.2 Проведение второго этапа (этап 2) аудита

Целью проведения второго этапа аудита является оценка внедрения, включая результативность, системы менеджмента заказчика. Второй этап аудита должен проводиться непосредственно у заказчика. Он должен включать в себя, по крайней мере, следующее:

a) информацию и свидетельства соответствия всем требованиям применяемого стандарта на систему менеджмента или другого нормативного документа;

b) мониторинг, измерение, регистрацию и анализ функционирования по ключевым показателям целей и задач (согласующихся с ожиданиями применяемого стандарта на систему менеджмента или другого нормативного документа);

c) соответствие системы менеджмента и деятельности заказчика законодательству;

d) управление заказчиком своими процессами;

e) проведение внутренних аудитов и анализа со стороны руководства;

f) ответственность руководства за политику заказчика;

g) взаимосвязь между нормативными требованиями, политикой, целями функционирования и задачами (согласующимися с ожиданиями применяемого стандарта на систему менеджмента или другого нормативного документа), всеми применимыми требованиями законодательства, ответственностью, компетентностью персонала, операциями, процедурами, показателями функционирования и выводами внутренних аудитов и заключениями по ним.

9.2.4 Заключения по итогам первичного сертификационного аудита

Аудиторская группа должна рассмотреть всю информацию и свидетельства аудита, полученные на этапе 1 и этапе 2, чтобы на основе анализа выводов аудита прийти к соглашению относительно заключений по аудиту.

9.2.5 Информация, необходимая для принятия решения по первичной сертификации

9.2.5.1 Информация, предоставляемая аудиторской группой в орган по сертификации для принятия решения, должна, как минимум, включать в себя:

a) отчеты по аудиту;

b) комментарии по несоответствиям и, где применимо, коррекциям и корректирующим действиям, предпринятых заказчиком;

c) подтверждение информации, представленной органу по сертификации и использованной при анализе заявки (см. 9.2.2);

d) рекомендации относительно выдачи или отказе в выдаче сертификата со всеми условиями и замечаниями.

9.2.5.2 Орган по сертификации должен принять решение о сертификации на основе оценки аудиторских наблюдений и заключения по результатам аудита, а также по любой другой относящейся к этому вопросу информации (например, общедоступной информации, комментариев к отчету по аудиту со стороны заказчика).

9.3 Деятельность по инспекционному контролю

9.3.1 Общие положения

9.3.1.1 Орган по сертификации должен разработать мероприятия по инспекционному контролю, чтобы на постоянной основе осуществлять мониторинг представительных областей и функций, охваченных системой менеджмента, а также учитывать изменения, относящиеся к сертифицированному заказчику и его системе менеджмента.

9.3.1.2 Мероприятия по инспекционному контролю должны включать в себя проведение аудитов на месте с целью оценки соответствия сертифицированной системы менеджмента заказчика определенным требованиям стандарта, на соответствие которому выдан сертификат. Другие мероприятия по инспекционному контролю могут включать в себя:

a) запросы органа по сертификации сертифицированному заказчику по аспектам сертификации;

b) анализ заявлений заказчика, касающихся его деятельности (например, рекламных материалов, веб-сайта);

c) запросы заказчику по предоставлению документов и записей (на бумаге или электронных носителях);

d) другие способы мониторинга деятельности сертифицированного заказчика.

9.3.2 Инспекционный контроль

9.3.2.1 Инспекционный контроль - это аудит, проводимый на местах, но он необязательно подразумевает полный аудит системы и должен планироваться вместе с другими инспекционными мероприятиями таким образом, чтобы позволить органу по сертификации сохранять уверенность в том, что сертифицированная система менеджмента продолжает соответствовать требованиям в периоды между ресертификационными аудитами. Программа инспекционного контроля должна предусматривать, по крайней мере, следующее:

a) внутренние аудиты и анализ со стороны руководства;

b) анализ действий, предпринятых в отношении несоответствий, выявленных в ходе предыдущего аудита;

c) обращение с жалобами;

d) результативность системы менеджмента в части достижения целей, установленных сертифицированным заказчиком;

e) прогресс в реализации запланированных мероприятий, нацеленных на постоянное улучшение;

f) непрерывное управление операциями; д) анализ изменений;

h) использование знаков соответствия и/или любых других ссылок на сертификацию.

9.3.2.2 Инспекционный контроль должен проводиться по крайней мере один раз в год. Проведение первого инспекционного контроля с момента первоначальной сертификации должно быть не позже, чем через 12 мес после последнего дня второго этапа аудита.

9.3.3 Подтверждение сертификации

Орган по сертификации должен подтверждать сертификацию на основе демонстрации того, что заказчик продолжает выполнять требования стандарта на систему менеджмента. Орган по сертификации может подтверждать сертификацию заказчика, руководствуясь положительным заключением руководителя аудиторской группы, без проведения последующего независимого анализа, при условии, что:

a) в органе по сертификации действует система, согласно которой при выявлении любого несоответствия или другой ситуации, которая может привести к приостановлению или отмене сертификации (сертификата соответствия), руководитель аудиторской группы сообщает в орган по сертификации о необходимости проведения анализа персоналом, имеющим соответствующий уровень компетентности (см. 7.2.9) и не принимавшим участие в аудите с целью определения возможности подтверждения сертификации;

b) компетентный персонал органа по сертификации осуществляет мониторинг деятельности по инспекционному контролю, включая мониторинг отчетности аудиторов, с целью подтверждения того, что деятельность по сертификации осуществляется результативно.

9.4 Ресертификация

9.4.1 Планирование ресертификационного аудита

9.4.1.1 Ресертификационный аудит планируют и проводят с целью оценивания постоянного выполнения всехтребований соответствующего стандарта на систему менеджмента или другого нормативного документа. Целью ресертификационного аудита является подтверждение постоянства соответствия и результативности системы менеджмента в целом, а также ее постоянной пригодности в рамках области сертификации.

9.4.1.2 При ресертификационном аудите должно рассматриваться функционирование системы менеджмента в течение периода действия сертификата, включая анализ отчетов о предыдущих инспекционных контролях.

9.4.1.3 В ходе ресертификационного аудита может потребоваться проведение первого этапа аудита, в случаях, если произошли значительные изменения в системе менеджмента у заказчика или в условиях функционирования системы менеджмента (например, изменения в законодательстве).

9.4.1.4 При большом числе производственных площадок или при сертификации по нескольким стандартам на системы менеджмента, при планировании аудита орган по сертификации должен обеспечить адекватность выбранных для аудита производственных площадок с целью обеспечения доверия к сертификации.

9.4.2 Ресертификационный аудит

9.4.2.1 Ресертификационный аудит должен включать в себя аудит на месте, в ходе которого рассматривают следующее:

a) результативность системы менеджмента в целом с учетом внутренних и внешних изменений, а также постоянство ее соответствия и применимости относительно области сертификации;

b) демонстрацию выполнения обязательства по поддерживанию результативности и совершенствованию системы менеджмента с целью улучшения деятельности в целом;

c) способствует ли функционирование сертифицированной системы менеджмента реализации принятой политики и достижению целей организации.

9.4.2.2 Если входе ресертификационного аудита фиксируются несоответствия или отсутствуют достаточные свидетельства соответствия, орган по сертификации должен установить время за которое должны быть выполнены коррекции и корректирующие действия до истечения срока действия сертификата.

9.4.3 Информация, используемая для выдачи нового сертификата

Решение об обновлении сертификата орган по сертификации должен принимать на основе результатов ресертификационного аудита и анализа функционирования системы за период действия сертификата, а также рассмотрения жалоб, полученных от пользователей результатов сертификации.

9.5 Специальные аудиты

9.5.1 Расширение области сертификации

На основании заявки о расширении области действия ранее выданного сертификата орган по сертификации должен провести анализ заявки и определить действия по аудиту, необходимые для принятия соответствующего решения. Это можно осуществить в рамках инспекционного контроля.

9.5.2 Внеплановые аудиты

Органу по сертификации может потребоваться провести внеплановый аудит сертифицированного заказчика для расследования жалоб (см. 9.8), в ответ на изменения (см. 8.6.3) или для контроля вследствие приостановления действия сертификата заказчика (см. 9.6), когда имеется небольшой период времени для уведомления заказчика о предстоящем аудите. В таких случаях:

a) орган по сертификации должен заранее описать и в письменном виде уведомить сертифицированного заказчика (например, в документах, указанных в 8.6.1) об условиях, на которых будут осуществляться внеплановые визиты с уведомлением в короткий срок;

b) орган по сертификации должен очень тщательно рассмотреть состав аудиторской группы по причине отсутствия у заказчика возможности опротестовать членов аудиторской группы.

9.6 Приостановление, отмена действия сертификата или сужение области сертификации

9.6.1 Орган по сертификации должен установить политику и документированные процедуры по приостановлению, отмене действия сертификата или сужению области сертификации и указать на последующие за этим действия органа по сертификации.

9.6.2 Орган по сертификации должен приостановить действие сертификата в случаях, если, например:

- сертифицированная система менеджмента заказчика постоянно или в значительной мере не может выполнить сертификационные требования, включая требования к результативности системы менеджмента;

- сертифицированный заказчик не позволяет проводить инспекционные контроли или ресертификационные аудиты с требуемой периодичностью;

- сертифицированный заказчик добровольно сделал запрос о приостановлении действия сертификата.

9.6.3 После приостановления действия сертификат на систему менеджмента заказчика становится временно недействительным. Орган по сертификации должен иметь юридически значимое соглашение с заказчиком, позволяющее гарантировать, что в случае приостановления действия сертификата заказчик воздержится от дальнейших ссылок на наличие сертификата. Орган по сертификации должен сделать информацию о приостановлении сертификата (см. 8.1.3) общественно доступной и предпринять любые другие меры, которые сочтет нужными.

9.6.4 Неспособность разрешить проблемы, из-за которых было приостановлено действие сертификата, установленные органом по сертификации, приводит к отмене действия сертификата или сужению области сертификации.

Примечание - В большинстве случаев период приостановления действия сертификата должен быть не более 6 мес.

9.6.5 Орган по сертификации должен сузить область сертификации заказчика, чтобы исключить области, не удовлетворяющие требованиям, если заказчик постоянно или в значительной степени не может выполнить сертификационные требования применительно к этим областям. Любое сужение области сертификации должно осуществляться в соответствии с требованиями стандарта, используемого при сертификации.

9.6.6 Орган по сертификации должен иметь юридически значимое соглашение с сертифицированным заказчиком относительно условий отмены действия сертификата [см. перечисление d) 8.4.3], обеспечивающее, что после получения уведомления об отмене действия сертификата заказчик прекращает использовать в каких-либо рекламных целях ссылку на свой сертифицированный статус.

9.6.7 По запросу любой стороны орган по сертификации должен предоставлять точные сведения относительно статуса сертификации системы менеджмента заказчика: приостановлено, отменено действие сертификата или сужена область сертификации.

9.7 Апелляции

9.7.1 Орган по сертификации должен иметь документированный процесс получения, оценки и принятия решений по апелляциям.

9.7.2 Описание процесса рассмотрения апелляций должно быть общественно доступным.

9.7.3 Орган по сертификации должен нести ответственность за все решения, принятые на всех уровнях, задействованных в процессе рассмотрения апелляций. Орган по сертификации должен обеспечивать, чтобы лица, вовлеченные в процесс рассмотрения апелляций, не участвовали в соответствующих аудитах и не принимали решения по сертификации.

9.7.4 Деятельность по подаче, исследованию и принятию решений, связанных с апелляциями, не должна носить какой-либо дискриминационный характер по отношению к предъявителю апелляции.

9.7.5 Процесс рассмотрения апелляций должен включать в себя, по крайней мере, следующие элементы и методы:

a) схему процесса получения, признания обоснованности и исследования апелляции, а также принятия решения о том, какие ответные действия должны быть предприняты с учетом результатов предыдущих подобных апелляций;

b) сопровождение и регистрацию действий, предпринимаемых для решения по апелляциям;

c) обеспечение, чтобы были выполнены соответствующие коррекции и корректирующие действия.

9.7.6 Орган по сертификации должен подтвердить получение апелляции и предоставлять ее предъявителю отчеты о ходе ее рассмотрения и сообщать о результатах.

9.7.7 Решение, которое должно быть сообщено предъявителю апелляции, должно быть принято или проанализировано и подтверждено лицом (лицами), ранее не имевшим(и) отношения к предмету апелляции.

9.7.8 Орган по сертификации должен официально уведомить предъявителя апелляции об окончании процесса рассмотрения апелляций.

9.8 Жалобы

9.8.1 Описание процесса рассмотрения жалоб должно быть общественно доступным.

9.8.2 При получении жалобы орган по сертификации должен убедиться, относится ли она к деятельности по сертификации, за которую данный орган несет ответственность, и если это так, то рассмотреть жалобу. Если жалоба имеет отношение к сертифицированному заказчику, то при ее исследовании внимание должно быть направлено на результативность сертифицированной системы менеджмента.

9.8.3 Орган по сертификации должен в установленный срок передать сертифицированному заказчику относящуюся к нему жалобу.

9.8.4 Орган по сертификации должен иметь документированный процесс получения, оценки и принятия решений, связанных с жалобами. К данному процессу должны применяться требования конфиденциальности в части, относящейся к предъявителю жалобы и ее предмету.

9.8.5 Процесс рассмотрения жалоб должен включать в себя, по крайней мере, следующие элементы и методы:

a) схему процесса получения, признания обоснованности, расследования жалобы, а также принятия решения о том, какие ответные действия должны быть предприняты;

b) сопровождение и регистрация жалоб, включая действия, предпринимаемые для их удовлетворения;

c) обеспечение того, чтобы были выполнены соответствующие коррекции и корректирующие действия.

Примечание - Руководство по управлению жалобами приведено в ИСО 10002 [2].

9.8.6 При получении жалобы орган по сертификации должен нести ответственность за сбор и проверку всей информации, необходимой для оценки обоснованности жалобы.

9.8.7 При возможности орган по сертификации должен подтвердить получение жалобы и предоставлять ее предъявителю отчеты о ходе рассмотрения жалобы и сообщать о результатах.

9.8.8 Решение, которое должно быть сообщено предъявителю жалобы, должно быть принято или проанализировано и подтверждено лицом (лицами), не имевшим(и) отношения к предмету жалобы.

9.8.9 По возможности орган по сертификации должен официально уведомить предъявителя жалобы об окончании процесса ее рассмотрения.

9.8.10 Орган по сертификации совместно с заказчиком и предъявителем жалобы должен определить, необходимо ли, и если да, то в какой степени, разглашать предмет жалобы и сделанное по ней заключение.

9.9 Записи о заявителях и заказчиках

9.9.1 Орган по сертификации должен поддерживать в рабочем состоянии записи об аудите и другой деятельности по всем заказчикам, включая все организации, подавшие заявки, прошедшие аудит, сертифицированные, а также организации, действие сертификатов которых было приостановлено или отменено.

9.9.2 Записи о сертифицированных заказчиках должны включать в себя:

a) информацию о заявке и отчеты о первичном аудите, инспекционном контроле и ресертификационном аудите;

b) договор на сертификацию;

c) обоснование методологии, используемой для выборки;

d) обоснование продолжительности аудита (см. 9.1.4);

e) верификацию коррекций и корректирующих действий;

f) записи о жалобах и апелляциях, а также последующих коррекциях и корректирующих действиях;

g) протоколы и решения комитета, если применимо;

h) документацию по принятию решений о сертификации;

i) сертификационные документы, содержащие область сертификации в отношении продукции, процесса или услуги, в зависимости от применимости;

j) связанные записи, необходимые для обеспечения доверия к сертификации, такие как свидетельства компетентности аудиторов и технических экспертов.

Примечание - Методология выборочного исследования включает в себя определение выборки, применяемой для оценки конкретной системы менеджмента и/или выбор производственных площадок при оценке организаций со многими производственными площадками.

9.9.3 Орган по сертификации должен обеспечивать защиту записей о заявителях и заказчиках, гарантируя при этом соблюдение конфиденциальности информации. Транспортирование, пересылка или передача записей должны осуществляться способом, обеспечивающим сохранение их конфиденциальности.

9.9.4 Орган по сертификации должен иметь документированную политику и документированные процедуры хранения записей. Записи должны сохраняться на протяжении текущего цикла сертификации и еще одного полного цикла.

Примечание - В некоторых странах законодательством установлен более длительный срок хранения записей.

10 Требования к системе менеджмента для органов по сертификации

10.1 Варианты

Орган по сертификации должен разработать и поддерживать в рабочем состоянии систему менеджмента, способную обеспечивать и демонстрировать устойчивое выполнение требований настоящего стандарта. В дополнение к требованиям, изложенным в разделах 5 - 9, орган по сертификации должен внедрить систему менеджмента согласно:

a) требованиям к системе менеджмента, установленным в ИСО 9001 [1] (см. 10.2), или

b) общим требованиям, предъявляемым к системам менеджмента (см. 10.3).

10.2 Вариант 1: Требования к системе менеджмента в соответствии с ИСО 9001 [1]

10.2.1 Общие положения

Орган по сертификации должен разработать и поддерживать в рабочем состоянии систему менеджмента, соответствующую требованиям ИСО 9001 [1], способную обеспечивать и демонстрировать постоянное выполнение требований 10.2.2 - 10.2.5 настоящего стандарта.

10.2.2 Область применения

Для применения требований ИСО 9001 [1] область системы менеджмента органа по сертификации должна включать в себя требования к проектированию и разработке услуг по сертификации.

10.2.3 Ориентация на потребителя

Для применения требований ИСО 9001 [1] при разработке системы менеджмента орган по сертификации должен обеспечить доверие к сертификации и учесть потребности всех заинтересованных сторон (см. 4.1.2), которые полагаются на услуги по аудиту и сертификации, а не только своих заказчиков.

10.2.4 Анализ со стороны руководства

Для применения требований ИСО 9001 [1] орган по сертификации должен использовать информацию об апелляциях и жалобах пользователей услуг по сертификации как входные данные анализа со стороны руководства.

10.3 Вариант 2: Общие требования к системе менеджмента

10.3.1 Общие положения

Орган по сертификации должен разработать, документировать, внедрить и поддерживать в рабочем состоянии систему менеджмента, способную поддерживать и демонстрировать устойчивое выполнение требований настоящего стандарта.

Высшее руководство органа по сертификации должно установить и документировать политику и цели деятельности органа. Высшее руководство должно обеспечивать наличие свидетельств своей приверженности разработке и внедрению системы менеджмента в соответствии с требованиями настоящего стандарта. Высшее руководство должно обеспечить, чтобы политика была понята, внедрена и поддерживалась в рабочем состоянии на всех уровнях органа по сертификации.

Высшее руководство органа по сертификации должно назначить представителя из состава руководства, который независимо от других обязанностей должен нести ответственность и иметь полномочия, распространяющиеся на следующие действия:

a) обеспечение того, что процессы и процедуры, необходимые для системы менеджмента, разработаны, внедрены и поддерживаются в рабочем состоянии;

b) представление отчетов высшему руководству о функционировании системы менеджмента и необходимости ее улучшения.

10.3.2 Руководство по системе менеджмента

Все применимые требования настоящего стандарта должны быть представлены либо в руководстве по системе менеджмента, либо в связанных с ним документах. Орган по сертификации должен обеспечивать, чтобы руководство по системе менеджмента и связанные с ним документы были доступны для соответствующего персонала.

10.3.3 Управление документами

Орган по сертификации должен разработать процедуры для управления документами (внутреннего и внешнего происхождения), относящиеся к соблюдению требований настоящего стандарта. Данные процедуры должны предусматривать использование средств управления, необходимых для:

a) проверки документов на адекватность до их выпуска;

b) анализа и актуализации документов по мере необходимости и их переутверждения;

c) обеспечения идентификации изменений и статуса пересмотра документов;

d) обеспечения наличия действующих версий документов в местах их применения;

e) обеспечения сохранения документов четкими и легко идентифицируемыми;

f) обеспечения идентификации документов внешнего происхождения и управления их рассылкой;

g) предотвращения непреднамеренного использования устаревших документов и применения соответствующей идентификации таких документов, оставленных для каких-либо целей.

Примечание - Документация может быть выполнена в любой форме или представлена на любом типе носителя.

10.3.4 Управление записями

Орган по сертификации должен разработать процедуры по определению средств управления, требуемых при идентификации, хранении, защите, восстановлении, определении сроков хранения и изъятии записей, связанных с выполнением требований настоящего стандарта.

Орган по сертификации должен разработать процедуры для обеспечения сохранности записей в течение периода времени, установленного в договорах и законодательных актах. Доступ к этим записям должен соответствовать условиям конфиденциальности.

Примечание - Требования к записям о сертифицированных заказчиках приведены также в 9.9.26

10.3.5 Анализ со стороны руководства

10.3.5.1 Общие положения

Высшее руководство органа по сертификации должно установить процедуры по проведению анализа системы менеджмента органа через запланированные промежутки времени с целью обеспечения ее постоянной пригодности, адекватности и результативности, включая политику и цели, связанные с выполнением требований настоящего стандарта. Такой анализ должен проводиться не реже чем один раз в год.

10.3.5.2 Входные данные для анализа

Входные данные для анализа со стороны руководства должны включать в себя следующую информацию:

a) результаты внутренних и внешних аудитов;

b) данные обратной связи с заказчиками и заинтересованными сторонами, относящиеся к выполнению требований настоящего стандарта;

c) данные обратной связи с комитетом по обеспечению беспристрастности;

d) статус предупреждающих и корректирующих действий;

e) предпринятые действия, вытекающие из предыдущего анализа со стороны руководства;

f) информацию о достижении целей;

g) изменения, которые могут повлиять на систему менеджмента;

h) апелляции и жалобы.

10.3.5.3 Выходные данные анализа

Выходные данные анализа со стороны руководства должны включать в себя все решения и необходимые действия в отношении:

a) повышения результативности системы менеджмента и ее процессов;

b) улучшения услуг по сертификации согласно требованиям настоящего стандарта;

c) потребности в ресурсах.

10.3.6 Внутренние аудиты

10.3.6.1 Орган по сертификации должен разработать процедуры по проведению внутренних аудитов с целью проверки того, что он соответствует требованиям настоящего стандарта, и что система менеджмента функционирует результативно и поддерживается в рабочем состоянии.

Примечание - Руководство по проведению внутренних аудитов приведено в ИСО 19011 [4].

10.3.6.2 Программа аудитов должна планироваться с учетом важности процессов и областей, подлежащих аудиту, а также результатов предыдущих аудитов.

10.3.6.3 Внутренние аудиты должны проводиться по крайней мере один раз каждые 12 мес. Периодичность проведения внутренних аудитов может быть сокращена, если орган по сертификации может продемонстрировать, что его система менеджмента продолжает оставаться результативной, внедрена в соответствии с требованиями настоящего стандарта и стабильна.

10.3.6.4 Орган по сертификации должен обеспечивать, чтобы выполнялись следующие требования:

a) внутренние аудиты проводятся квалифицированным персоналом, обладающим необходимыми знаниями в области сертификации, проведения аудитов, а также требований настоящего стандарта;

b) аудиторы не проверяют свою собственную работу;

c) персонал, ответственный за область аудита, информируется о результатах аудита;

d) любые действия, предпринимаемые по итогам внутренних аудитов, выполняются своевременно и надлежащим образом;

е) определяются все возможности для улучшения.

10.3.7 Корректирующие действия

Орган по сертификации должен разработать процедуры по определению и управлению несоответствиями своей деятельности. При необходимости орган по сертификации должен предпринимать действия по устранению причин несоответствий для предупреждения их повторного возникновения. Корректирующие действия должны быть адекватными последствиям выявленных несоответствий. В процедурах должны быть определены следующие требования:

a) к определению несоответствий (например, по жалобам или результатам внутренних аудитов);

b) установлению причин несоответствий;

c) коррекции несоответствий;

d) оцениванию необходимости действий, чтобы избежать повторения несоответствий;

e) определению и своевременному осуществлению необходимых действий;

f) записям результатов предпринятых действий;

g) анализу результативности предпринятых корректирующих действий.

10.3.8 Предупреждающие действия

Орган по сертификации должен разработать процедуры по осуществлению предупреждающих действий с целью устранения причин потенциальных несоответствий. Предупреждающие действия должны соответствовать возможным последствиям потенциальных проблем. В процедурах по осуществлению предупреждающих действий должны быть определены следующие требования:

a) к установлению потенциальных несоответствий и их причин;

b) оцениванию необходимости предупреждающих действий с целью предотвращения появления несоответствий;

c) определению и осуществлению необходимых действий;

d) записям результатов предпринятых действий;

е) анализу результативности предпринятых предупреждающих действий.

Примечание - Процедуры осуществления корректирующих и предупреждающих действий необязательно должны быть раздельными.

Приложение А
(обязательное)

Требуемые знания и навыки

В следующей таблице приводятся те знания и навыки, которые орган по сертификации должен определить для выполнения определенных функций при сертификации. «X» означает, что орган по сертификации должен определить критерии и глубину знаний и навыков. «X +» указывает на необходимость в более углубленных знаниях и навыках.

Таблица А.1 - Знания и навыки

Знания и навыки

Выполняемая функция при сертификации*

Проведение анализа заявки для установления требуемой компетентности аудиторской группы, подбора членов аудиторской группы, расчета продолжительности аудита

Анализ отчетов по аудиту и принятие решений о результатах сертификации

Проведение аудита

Руководство аудиторской группой

Знание практики ведения бизнеса

 

 

X

X

Знание принципов, практики методик проведения аудита

 

X

Х+

Х+

Знание определенных стандартов по системам менеджмента/нормативных документов

X

X

Х+

Х+

Знание процессов проведения сертификации, установленных в органе

X

X

X

X

Знание сектора бизнеса заказчика

X

X

Х+

Х+

Знание продукции, процессов и структуры заказчика

X

 

X

X

Языковые навыки, соответствующие всем уровням структуры заказчика

 

 

X

X

Навыки ведения записей и написания отчетов

 

 

X

X

Навыки проведения презентации

 

 

X

Х+

Навыки проведения собеседования

 

 

X

X

Навыки проведения аудита по системам менеджмента

 

 

X

Х+

* Для знакомства с продукцией, процессами и структурой заказчика там, где аудиторская группа выполняет поставленную задачу, необходимо наличие специальных знаний в рамках этой группы или возможно присутствие технического эксперта. В том случае, если аудит проводится группой, то уровень требуемых навыков должен поддерживаться в целом, а не по каждому отдельному члену группы.

Руководитель группы при проведении комбинированного или интегрированного аудита должен иметь углубленные знания по крайней мере одного из стандартов и должен иметь понимание других стандартов, применяемых для данной конкретной аудиторской проверки.

Примечание - Также необходимо принимать во внимание риск и сложность при определении уровня компетентности, необходимого для любой из этих функций.

Приложение В
(справочное)

Возможные методы оценки

ВАЖНО - Данное приложение справочное и не предназначено для применения в качестве требований.

B.1 Общие положения

В данном приложении приведены примеры методов оценки для помощи органам по сертификации.

Методы оценки компетентности сотрудников могут быть сгруппированы в пять основных категорий: анализ записей, обратная связь, собеседования, наблюдения и экзамены. В дальнейшем они могут быть подразделены. Ниже приводится краткое описание каждого метода, его польза и недостатки для оценки знаний и навыков. Вряд ли какой-либо метод сам по себе подтверждает компетентность.

Методы (см. ниже) с В.2 по В.6 могут предоставить полезную информацию о знаниях и навыках; они более эффективны, когда они предназначены для использования с заданными критериями при определении компетентности, указанными в 7.1.2 и 7.1.3.

В приложении С приведен пример процесса для определения и поддержания компетентности.

B.2 Анализ записей

Некоторые записи являются показателями знаний, например, резюме или биография показывают опыт работы, проведения аудита, образование и обучение.

Некоторые записи являются показателями навыков, например, аудиторские отчеты, записи об опыте работы, опыт проведения аудита, образование и обучение.

Вряд ли данные записи сами по себе будут достаточным свидетельством компетентности.

Остальные записи являются прямым свидетельством компетентности, например, отчет о проведении аттестации (оценке компетентности) аудитора, проводящего аудит.

B.3 Обратная связь

Данные обратной связи непосредственно от предыдущих работодателей могут быть показателем знаний и навыков, но важно отметить, что иногда работодатели специально не указывают отрицательную информацию.

Личные характеристики могут быть показателем знаний и навыков. Маловероятно, что кандидат представит характеристику, в которой будет отражена отрицательная информация.

Данные обратной связи от коллег могут быть показателем знаний и навыков. Взаимоотношения между коллегами могут влиять на обратную связь.

Данные обратной связи от заказчиков могут быть показателем знаний и навыков. Что касается аудитора, результаты аудита могут влиять на обратную связь.

Обратная связь сама по себе является недостаточным свидетельством компетентности.

B.4 Собеседования

Собеседования могут дать полезную информацию о знаниях и навыках.

Собеседования при приеме на работу помогают уточнить сведения, содержащиеся в резюме и записях о трудовой деятельности, в отношении знаний и навыков. Собеседования как часть анализа характеристик могут содержать конкретную информацию о знаниях и навыках.

Собеседование с аудиторской группой для последующего анализа аудита может предоставить полезную информацию о знаниях и навыках аудитора. Оно дает возможность понять, почему аудитор принял конкретные решения, выбрал определенные свидетельства аудита и прочее. Данный способ может быть использован после проведенного надзорного аудита, позднее - при рассмотрении письменного отчета по аудиту. Данный метод может быть особенно полезен при определении компетентности по отношению к конкретной технической области.

Прямое свидетельство демонстрации компетентности можно получить путем структурированного интервью с соответствующими записями в отношении определенных критериев компетентности.

Собеседования могут использоваться для оценки знаний языка, навыков коммуникативного и межличностного общения.

B.5 Наблюдения

Наблюдение за лицом, выполняющим задание, может представить наглядное свидетельство компетентности, о чем свидетельствуют применяемые знания и навыки для достижения желаемого результата. Данный метод оценки полезен для всех функций административных и управленческих кадров, как для аудиторов, так и для лиц, принимающих решения о сертификации. Одним из недостатков наблюдения за аудитором, проводящим аудит, является степень сложности, связанная с конкретным аудитом.

Периодическое наблюдение за сотрудником полезно для подтверждения непрерывного повышения компетентности.

В.6 Экзамены

Письменные экзамены - это хороший способ предоставления подтверждения знаний в документальном виде, а в зависимости от методов - и навыков.

Устный экзамен может обеспечить достоверные свидетельства знаний (в зависимости от компетентности экзаменатора), но ограниченные выводы о навыках.

Практические экзамены могут дать сбалансированное представление о знаниях и навыках, в зависимости от экзаменационного процесса и компетентности экзаменатора. Методы могут включать, например, ролевые игры, тематические задачи, моделирование стрессовых ситуаций и ситуаций на рабочем месте.

Приложение С
(справочное)

Пример блок-схемы процесса для определения и поддержания компетентности

ВАЖНО - Данное приложение справочное и не предназначено для применения в качестве требований.

В данном приложении блок-схема процесса показывает один из способов определения компетентности персонала путем определения конкретных задач, которые должны быть выполнены; определения конкретных знаний и навыков, необходимых для достижения намеченного результата. В схеме указаны методы, перечисленные в приложении В.

Рисунок С.1 - Пример блок-схемы процесса для определения и поддержания компетентности

Приложение D
(справочное)

Необходимые личные качества

ВАЖНО - Данное приложение справочное и не предназначено для применения в качестве требований. Примеры личных качеств, которые важны для сотрудников, участвующих в деятельности по сертификации любого типа системы менеджмента, охарактеризованы следующим образом:

a) нравственность, т. е. справедливость, правдивость, искренность, честность и сдержанность;

b) открытость, т. е. готовность рассмотреть альтернативные идеи или точки зрения;

c) дипломатичность, т. е. тактичность в общении с людьми;

d) способность совместно работать, т. е. эффективно взаимодействовать с другими;

e) наблюдательность, т. е. активное осознание того, что происходит вокруг;

f) проницательность, т. е. инстинктивно понимать и разбираться в ситуациях;

g) разносторонность, т. е. способность адаптироваться к различным ситуациям;

h) настойчивость, т. е. стойкость и ориентированность на достижение цели;

i) решительность, т. е. принятие своевременных решений, основанных на рассуждениях и анализе;

j) самостоятельность, т. е. способность действовать и работать независимо;

k) профессионализм, т. е. вежливость, добросовестность, деловое поведение на рабочем месте;

l) смелость, т. е. готовность действовать ответственно и этично, даже если эти действия могут быть непопулярными и иногда могут привести к разногласиям и конфликтам;

m) организованность, т. е. эффективное управление временем, расстановка приоритетов, планирование и результативность.

Определение личных качеств носит ситуационный характер, и слабые места могут проявляться только в определенном контексте.

Органу по сертификации следует принять надлежащие меры для любого выявленного слабого места, которое отрицательно сказывается на деятельности по сертификации.

Приложение Е
(справочное)

Процесс аудита третьей стороной и сертификации

ВАЖНО - Данное приложение справочное и не предназначено для применения в качестве требований.

Рисунок Е.1 представляет типичную блок-схему процесса. Могут проводиться другие действия по аудиту, например анализ документации и специальные аудиты. Для усвоения разницы между циклом аудита и циклом сертификации см. 9.1.1.2 и 9.3.2.2.

Рисунок Е.1 -Типичная блок-схема процесса аудита третьей стороной и сертификации

Приложение F
(справочное)

Рассмотрение программы, области или плана аудита

ВАЖНО - Данное приложение справочное и не предназначено для применения в качестве требований.

F.1 Общее

Данное приложение включает в себя перечень пунктов, которые орган по сертификации может принять во внимание при разработке и анализе программы, области или плана аудита.

F.2 Перечень пунктов для рассмотрения

Перечень включает в себя следующее:

a) объем и сложность системы менеджмента заказчика;

b) продукцию и процессы (в том числе услуги);

c) размер организации заказчика;

d) площадки, подлежащие аудиту;

e) язык организации заказчика и разговорный и письменный языки;

f) требования отрасли или системы регулирования;

g) заказчик и требования и ожидания его клиентов;

h) число и продолжительность смен;

i) время на аудит, требуемое для каждой аудиторской деятельности;

j) компетентность каждого члена аудиторской группы;

k) необходимость проведения аудита временных площадок;

l) результаты этапа 1 аудита или любых других предыдущих проверок;

m) результаты других инспекционных мероприятий;

n) продемонстрированный уровень результативности системы менеджмента;

о) право на выборочную проверку; р) жалобы клиентов;

q) жалобы, поступившие в орган по сертификации на заказчиков;

r) комбинированные, интегрированные или совместные аудиты;

s) изменения в структуре, продукции, процессах или системе менеджмента заказчика;

t) изменения в требованиях сертификации;

u) изменения в правовых требованиях;

v) изменения в требованиях аккредитации;

w) риски сложность;

х) данные об организационной деятельности (например, уровень дефектов, ключевые показатели эффективности данных (KPI) и т. д.);

у) участие заинтересованных сторон;

z) информация, полученная в ходе предыдущих аудитов.

Приложение ДА
(справочное)

Сведения о соответствии ссылочных международных стандартов
ссылочным национальным стандартам Российской Федерации
(и действующим в этом качестве межгосударственным стандартам)

Таблица ДА.1

Обозначение ссылочного
международного стандарта

Степень
соответствия

Обозначение и наименование соответствующего
национального стандарта

ИСО 9000:2005

IDT

ГОСТ Р ИСО 9000-2008 «Системы менеджмента качества. Основные положения и словарь»

ИСО/МЭК 17000:2004

-

*

* Соответствующий национальный стандарт отсутствует. До его утверждения рекомендуется использовать перевод на русский язык данного международного стандарта. Перевод данного международного стандарта находится в Федеральном информационном фонде технических регламентов и стандартов.

Примечание - В настоящей таблице использовано следующее условное обозначение степени соответствия стандартов:

- IDT - идентичные стандарты.

Библиография

[1]

ISO 9001

Quality management systems - Requirements (ИСО 9001 Системы менеджмента качества. Требования)*

[2]

ISO 10002

Quality management - Customer satisfaction - Guidelines for complaints handling in organizations (ИСО 10002 Менеджмент качества. Удовлетворенность потребителей. Руководство по работе с претензиями в организациях)*

[3]

ISO 14001

Environmental management systems - Requirements with guidance for use (ИСО 14001 Системы экологического менеджмента. Требования и руководство по применению)*

[4]

ISO 19011

Guidelines for quality and/or environmental management systems auditing (ИСО 19011 Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента)*

[5]

ISO/IEC 17030

Conformity assessment - General requirements for third-party marks of conformity (ИСО/МЭК 17030 Оценка соответствия. Общие требования к знакам соответствия третьей стороны)*

[6]

ISO/IEC Guide 28:2004

Conformity assessment - Guidance on a third-party certification system for products (ИСО/МЭК 28:2004 Оценка соответствия. Руководство по системе сертификации продукции третьей стороной)*

[7]

ISO/TS 22003

Food safety management systems - Requirements for bodies providing audit and certification of food safety management systems

[8]

ISO/IEC 27006

Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems

* Официальный перевод этого стандарта находится в Федеральном информационном фонде технических регламентов и стандартов.

 

Ключевые слова: оценка соответствия, требования, аудит, сертификация, орган по сертификации, система менеджмента