Гост iso iec 17021

Процесс аудита и сертификации

На рисунке Е.1 показана типичная блок-схема процесса. Может проводиться и другая проверочная деятельность, например анализ документов и специальные аудиты. Разница между циклом аудита и циклом сертификации разъясняется в 9.2 и 9.3.

Рисунок Е.1 – Типичная последовательность операций процесса аудита и сертификации

Приложение ДА

(справочное)

5 Анализ со стороны руководства

10.2.5.1 Общие положения

Высшее руководство органа по сертификации должно разрабатывать процедуры по проведению анализа своей системы менеджмента через запланированные интервалы времени с целью обеспечения ее постоянной пригодности, адекватности и результативности, включая политику и цели, связанные с выполнением требований настоящего стандарта. Такие анализы должны проводиться не реже одного раза в год.

10.2.5.2 Входные данные для анализа

Входные данные для анализа со стороны руководства должны включать в себя информацию, касающуюся:

a) результатов внутренних и внешних аудитов;

b) данных, полученных от заказчиков и заинтересованных сторон;

c) обеспечения беспристрастности;

d) статуса корректирующих действий;

e) статуса действий в отношении рисков;

f) предпринятых действий, вытекающих из предыдущего анализа со стороны руководства;

g) достижения целей;

h) изменений, которые могут повлиять на систему менеджмента;

i) апелляций и жалоб.

10.2.5.3 Выходные данные анализа

Выходные данные анализа со стороны руководства должны включать в себя решения и действия в отношении:

a) повышения результативности системы менеджмента и ее процессов;

b) улучшения услуг по сертификации согласно требованиям настоящего стандарта;

c) потребности в ресурсах;

d) пересмотра политики и целей органа.

7 Апелляции

9.7.1 Орган по сертификации должен иметь документированный порядок получения, оценки и принятия решений по апелляциям.

9.7.2 Орган по сертификации должен нести ответственность за все решения, принятые на всех уровнях, задействованных в процессе рассмотрения апелляций. Орган по сертификации должен обеспечивать, чтобы лица, вовлеченные в процесс рассмотрения апелляций, не участвовали в соответствующих аудитах и не принимали решения по сертификации.

9.7.3 Процессы подачи, рассмотрения и принятия решений по апелляциям не должны носить какого-либо дискриминационного характера по отношению к подателю апелляции.

9.7.4 Процесс рассмотрения апелляций должен включать в себя, по крайней мере, следующие элементы и методы:

a) схема процесса получения, признания обоснованности и исследования апелляции, а также принятия решения о том, какие ответные действия должны быть предприняты с учетом результатов предыдущих подобных апелляций;

b) сопровождение и регистрация апелляций, включая действия, предпринимаемые для принятия решений по апелляциям;

c) обеспечение выполнения соответствующих коррекций и корректирующих действий.

9.7.5 При получении апелляции орган по сертификации должен нести ответственность за сбор и проверку всей информации, необходимой для признания обоснованности поданной апелляции.

9.7.6 Орган по сертификации должен подтвердить получение апелляции и предоставить подателю апелляции подробные сведения о ходе ее рассмотрения и сообщать о результатах.

9.7.7 Решение, которое должно быть сообщено подателю апелляции, должно быть принято или проанализировано и утверждено лицом (лицами), ранее не имевшим(ими) отношения к предмету апелляции.

9.7.8 Орган по сертификации должен официально уведомить подателя апелляции об окончании ее рассмотрения.

1 Определение целей, области и критериев аудита

9.2.1.1 Цели аудита должны быть определены органом по сертификации. Область и критерии аудита, включая любые изменения, устанавливают органы по сертификации после обсуждения с заказчиком.

9.2.1.2 Цели аудита должны указывать на то, что должно быть сделано в процессе аудита, и включают следующее:

a) установление соответствия системы менеджмента заказчика или отдельных ее частей критериям аудита;

b) оценивание способности системы менеджмента обеспечивать выполнение организацией заказчика применяемых законодательных, нормативных и контрактных требований.

Примечание – Сертификационный аудит системы менеджмента не является проверкой соблюдения законов и правовых норм;

c) оценивание результативности системы менеджмента для обеспечения постоянного достижения поставленных целей организацией заказчика;

d) в случае необходимости определение областей для возможного улучшения системы менеджмента.

9.2.1.3 Область аудита должна устанавливать объем и границы аудита, например производственные площадки, организационные подразделения, виды деятельности и процессы, подлежащие проверке. Когда первоначальная сертификация или ресертификация включает в себя несколько аудитов (например, на различных объектах), область отдельного аудита может не охватывать всей области сертификации, однако все аудиты вместе взятые должны соответствовать области, определенной в сертификационном документе.

9.2.1.4 Критерии аудита должны использоваться в качестве основы для определения соответствия и включать в себя:

– требования определенного нормативного документа по системам менеджмента;

– определенные процессы и документацию системы менеджмента, разрабатываемые заказчиком.

2 Руководство по системе менеджмента

Все применимые требования настоящего стандарта должны быть представлены либо в руководстве по системе менеджмента, либо в связанных с ним документах. Орган по сертификации должен обеспечивать, чтобы руководство по системе менеджмента и связанные с ним документы были доступны для соответствующего персонала.

4 Конфиденциальность

8.4.1 Орган по сертификации должен на основе юридически действительных соглашений нести ответственность за управление всей информацией, полученной или сформированной в ходе выполнения работ по сертификации на всех уровнях своей структуры, включая комитеты и внешние органы или лиц, действующих от его имени.

8.4.2 Орган по сертификации должен заблаговременно уведомить заказчика о том, какую информацию он предполагает сделать общедоступной. Любая другая информация, кроме той, которая была предана огласке заказчиком, должна рассматриваться как конфиденциальная.

8.4.3 За исключением тех случаев, которые описаны в настоящем стандарте и регулируются его требованиями, информация о конкретном сертифицированном заказчике или частном лице не должна раскрываться третьей стороне без получения письменного согласия данного заказчика или частного лица.

8.4.4 В тех случаях, когда орган по сертификации должен в соответствии с законами предоставить конфиденциальную информацию третьей стороне, заказчик или частное лицо должны быть заранее извещены о предоставлении информации за исключением случаев, оговоренных в законодательстве.

8.4.5 Информация о заказчике, полученная не от самого заказчика (например, от предъявителя жалобы, от регулятивных органов), должна рассматриваться как конфиденциальная в соответствии с политикой органа по сертификации.

8.4.6 Персонал, включая членов любого комитета, подрядные организации, персонал внешних органов или лиц, действующих от имени органов по сертификации, должен сохранять конфиденциальность всей информации, полученной или сформированной данным органом по сертификации в ходе его деятельности по сертификации, за исключением тех случаев, которые регулируются требованиями законодательства.

8.4.7 Орган по сертификации должен иметь процедуры и, где это применимо, оборудование и средства, обеспечивающие безопасное обращение с конфиденциальной информацией.

6 Требования к компетентности остального персонала

Остальные сотрудники должны знать и понимать продукцию, услуги и виды активов, характерные для отрасли деятельности заказчика.

Примечание – Остальной персонал – это сотрудники, проводящие анализ заявки, чтобы определить требуемую компетентность для группы по аудиту, состав данной группы и время, необходимое для проведения аудита.

2 Управление деятельностью по сертификации

6.2.1 Орган по сертификации должен иметь процесс для эффективного управления работами по сертификации, проводимыми представительствами на местах, компаниями, агентами, получателями франшизы и т.д. независимо от их правового статуса, отношения или местонахождения. Орган по сертификации должен рассматривать риски, связанные с выполнением этих работ, в отношении компетентности, состоятельности и беспристрастности органа по сертификации.

6.2.2 Орган по сертификации должен рассматривать надлежащий уровень и способ управления деятельностью по сертификации, включая осуществляемые процессы, технические области работ органа, компетентность персонала, каналы управления руководством, предоставление отчетности и выполнение операций на удаленном расстоянии, включая управление записями.

Пример последовательности операций для определения и поддержания компетентности

Блок-схема процесса, представленная на рисунке С.1, показывает один из способов определения компетентности персонала путем постановки конкретных задач, которые должны быть выполнены; определения специальных знаний и навыков, необходимых для достижения намеченного результата. В блок-схеме использованы методы, описанные в приложении В.

Рисунок С.1 – Пример последовательности операций для определения и поддержания компетентности

Приложение D

(справочное)

7 Корректирующие действия

Орган по сертификации должен разрабатывать процедуры по определению и управлению несоответствиями в своей деятельности. При необходимости орган по сертификации должен также предпринимать действия по устранению причин несоответствий для предупреждения их повторного возникновения. Корректирующие действия должны быть адекватными последствиям выявленных несоответствий. Данные процедуры должны устанавливать требования к:

a) выявлению несоответствий (например, согласно жалобам или результатам внутренних аудитов);

b) установлению причин несоответствий;

c) устранению несоответствий;

d) оцениванию необходимости предпринимаемых действий, чтобы избежать повторения несоответствий;

e) определению и своевременному выполнению необходимых действий;

f) регистрации результатов предпринятых действий;

g) анализу результативности предпринятых корректирующих действий.

Знания для проведения аудита и сертификации СМК

Таблица А.1 содержит сводные данные о знаниях, необходимых для аудита и сертификации СМК, но носит информационный характер, поскольку в ней указаны только области знаний для выполнения конкретных функций сертификации.

Требования к компетентности для выполнения каждой функции установлены в разделах 4-6 и таблице А.1 настоящего стандарта, которая содержит ссылки на конкретные требования.

Таблица А. 1 – Знания для проведения аудита и сертификации СМК

4.3.1 Компетентность персонала органа по сертификации во всех работах, связанных с процессом сертификации, необходима для проведения сертификации, заслуживающей доверие.

4.3.2 Также необходимо, чтобы сертификация поддерживалась системой менеджмента органа по сертификации.

4.3.3 Важнейшая задача для руководства органа по сертификации состоит в обеспечении внедрения процесса для установления критериев компетентности персонала, участвующего в проведении аудита и других работах по сертификации, и чтобы компетентность персонала оценивалась согласно данным критериям.

2 Нормативные ссылки

Стандарты, на которые сделаны ссылки в данном тексте, применяются таким образом, что частично или полностью их содержание является требованиями настоящего стандарта. Для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных – последнее издание (включая все изменения).

ISO 9000, Quality management systems – Fundamentals and vocabulary (Системы менеджмента качества. Основные положения и словарь)

ISO/IEC 17021-1:2015, Conformity assessment – Requirements for bodies providing audit and certification of management systems – Part 1: Requirements (Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 1. Требования)

2 Уведомление об изменениях со стороны органа по сертификации

Орган по сертификации должен своевременно уведомлять сертифицированных заказчиков о любых изменениях своих требований к сертификации. Орган по сертификации должен проверить, что каждый сертифицированный заказчик соблюдает новые требования.

Необходимые личностные качества

Примерами личностных качеств, которые важны для персонала, участвующего в работах по сертификации любой системы менеджмента, являются:

a) этические качества, т.е. беспристрастность, правдивость, искренность, честность и сдержанность;

b) непредубежденность, т.е. готовность рассматривать альтернативные идеи или точки зрения;

c) дипломатичность, т.е. тактичность в отношениях с людьми;

d) готовность к сотрудничеству, т.е. эффективное взаимодействие с другими людьми;

e) наблюдательность, т.е. активное осознание того, что происходит вокруг;

f) восприимчивость, т.е. инстинктивное осознание и способность понимать ситуации;

g) адаптивность, т.е. способность адаптироваться к различным ситуациям;

h) настойчивость, т.е. упорство и целеустремленность в достижении целей;

i) решительность, т.е. способность делать своевременные выводы на основе логического мышления и анализа;

j) уверенность в себе, т.е. способность действовать самостоятельно;

k) профессионализм, т.е. демонстрирование учтивого, ответственного и делового поведения на рабочем месте;

l) мужественность в нравственном отношении, т.е. готовность действовать ответственно и этично даже тогда, когда такие действия не являются популярными и могут иногда приводить к разногласиям или конфронтации;

m) организованность, т.е. проявление умения эффективно распоряжаться своим временем, устанавливать очередность задач, планировать и эффективно выполнять свои действия.

Определение личностных свойств зависит от конкретной ситуации, и недостатки могут стать очевидными только в конкретных условиях. Орган по сертификации должен предпринять необходимые действия в отношении любого выявленного недостатка, отрицательно влияющего на деятельность по сертификации.

Приложение Е

(справочное)

4 Кадровый учет

Орган по сертификации должен вести актуализированные записи о работниках, включая необходимые данные о квалификации, подготовке, опыте, принадлежности к другим организациям, профессиональном статусе и компетентности. Помимо сотрудников, выполняющих работы по сертификации, эти требования относятся к руководящему и административному персоналу.

4 Анализ со стороны руководства

Для обеспечения выполнения требований ИСО 9001 орган по сертификации должен использовать информацию об апелляциях и жалобах пользователей услуг по сертификации, а также анализ обеспечения беспристрастности как входные данные для анализа со стороны руководства.

Приложение А

(обязательное)

2 Отбор членов аудиторской группы и закрепление за ними соответствующих обязанностей

9.2.2.1 Общие положения

9.2.2.1.1 Орган по сертификации должен установить порядок отбора и назначения членов аудиторской группы, включая ее руководителя, с учетом компетентности, необходимой для достижения целей аудита. Если аудит проводится одним человеком, он должен обладать компетентностью, необходимой для выполнения обязанностей руководителя аудиторской группы применительно к данному аудиту. Члены аудиторской группы должны обладать суммарной компетентностью, устанавливаемой органом по сертификации в соответствии с 9.1.2.3.

9.2.2.1.2 При принятии решения о размере и составе аудиторской группы необходимо учитывать следующее:

a) цели аудита, область, критерии и расчетные сроки проведения аудита;

b) является ли аудит комбинированным, совместным или комплексным;

d) сертификационные требования (включая любые применяемые законодательные, нормативные или контрактные требования);

e) язык и культуру.

Примечание – Желательно, чтобы руководитель аудиторской группы, сформированной для проведения комбинированного или комплексного аудита, имел глубокие познания в области применения по меньшей мере одного из используемых стандартов и хорошо знал другие стандарты, используемые при проведении конкретного аудита.

9.2.2.1.3 Необходимые знания и навыки руководителя аудиторской группы и аудиторов могут быть дополнены знаниями и опытом технических экспертов, письменных и устных переводчиков, которые должны работать под руководством аудитора. Если используются письменные и устные переводчики, они должны выбираться таким образом, чтобы не оказывать ненадлежащего влияния на проведение аудита.

Примечание – Критерии выбора технических экспертов устанавливаются индивидуально в каждом конкретном случае исходя из потребностей аудиторской группы и области аудита.

9.2.2.1.4 Аудиторы-стажеры могут участвовать в проведении аудита при условии, что будет назначен аудитор для проверки их работы. Проверяющий должен быть достаточно компетентным для того, чтобы принять на себя обязанности и нести ответственность за деятельность и выводы аудитора-стажера.

9.2.2.1.5 По согласованию с членами аудиторской группы ее руководитель должен закрепить за каждым членом группы обязанности по проверке конкретных процессов, функций, объектов, участков или работ. При этом необходимо учитывать требуемую компетентность, а также результативность и эффективность использования возможностей аудиторской группы, а также различные функции и обязанности аудиторов, аудиторов-стажеров и технических экспертов. Изменения в рабочие задания могут вноситься по ходу проверки, чтобы обеспечить достижение целей аудита.

9.2.2.2 Наблюдатели, технические эксперты и сопровождающие

Присутствие и обоснованность участия наблюдателей в аудите должны согласовываться органом по сертификации и заказчиком до проведения аудита. Аудиторская группа должна позаботиться о том, чтобы наблюдатели не оказывали влияния или не вмешивались в аудиторскую деятельность и не влияли на результаты аудита.

Примечание – Наблюдателями могут быть сотрудники организации заказчика, консультанты, персонал органа по аккредитации, взаимодействующего с органом по сертификации, представители регулятивных органов или другие правомерные лица.

9.2.2.2.2 Технические эксперты

Роль технических экспертов в аудите должна согласовываться органом по сертификации и заказчиком до проведения аудита. Технический эксперт не должен исполнять функции аудитора в аудиторской группе. Технические эксперты должны работать вместе с аудиторами.

Примечание – Технические эксперты могут давать членам аудиторской группы рекомендации по подготовке, планированию и проведению мероприятий аудита.

У каждого аудитора должен быть сопровождающий, если нет иной договоренности между руководителем аудиторской группы и заказчиком. Сопровождающие прикрепляются к аудиторской группе для содействия в проведении аудита. Аудиторская группа должна позаботиться о том, чтобы наблюдатели не оказывали влияния или не вмешивались в аудиторскую деятельность и не влияли на результаты аудита.

1 В обязанности сопровождающего может входить:

a) установление контактов и определения сроков проведения встреч и бесед;

b) организация посещений конкретных участков или подразделений организации;

c) принятие мер по доведению до сведения членов аудиторской группы правил и процедур обеспечения безопасности на объекте и выполнению этих правил и процедур членами аудиторской группы;

d) засвидетельствование порядка проведения аудита от лица заказчика;

e) предоставление разъяснений или информации по требованию аудитора.

2 Там, где это применимо, лицо, работа которого проверяется, может выполнять функции сопровождающего.

Следующие ссылочные стандарты обязательны при применении настоящего стандарта. Если стандарт датирован, следует использовать только указанное издание. Если стандарт не датирован, применяют последнее издание ссылочного стандарта (включая все изменения).

ИСО/МЭК 17000 Оценка соответствия. Словарь и общие принципы (ISO/IEC 17000, Conformity assessment – Vocabulary and general principles)

ИСО/МЭК 17021:2011 Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента (ISO/IEC 17021:2011 Conformity assessment – Requirements for bodies providing audit and certification of management systems)

ИСО 55000 Менеджмент активов. Общее представление, принципы и терминология (ISO 55000:2014 Asset management – Overview, principles and terminology)

ИСО 55001 Менеджмент активов. Системы менеджмента. Требования (ISO 55001:2014 Asset management – Management systems – Requirements)

ИСО 55002 Менеджмент активов. Системы менеджмента. Руководящие указания по применению ИСО 55001 (ISO 55002:2014 Asset management – Management systems – Guidelines for the application of ISO 55001)

4 Определение трудоемкости аудита

9.1.4.1 Орган по сертификации должен иметь документированные процедуры по определению трудоемкости аудита. Для каждого заказчика орган по сертификации должен установить время, необходимое для планирования и полного выполнения результативного аудита системы менеджмента заказчика.

9.1.4.2 При установлении трудоемкости аудита орган по сертификации должен, помимо прочего, учитывать следующее:

a) требования соответствующего стандарта на систему менеджмента;

b) размер и сложность организации заказчика и его системы менеджмента;

c) технологические особенности и законодательное регулирование;

d) привлечение соисполнителей (аутсорсинг) для любой деятельности, охватываемой системой менеджмента;

e) результаты любых предыдущих аудитов;

f) число и размеры производственных площадок с учетом их местоположения и особенностей, связанных с проведением на них аудита;

g) риски, связанные с продукцией, процессами или видами деятельности организации;

h) являются ли аудиты комбинированными, совместными или комплексными.

1 Время, занимаемое на то, чтобы добраться до мест проведения аудита и обратно, не учитывают при расчете числа аудито-дней для проверки системы менеджмента.

2 Орган по сертификации может использовать руководящие указания, установленные в ИСО/МЭК ТУ 17023, для определения трудоемкости аудита при документировании этих процедур.

Если были установлены определенные критерии для конкретной схемы сертификации, например, согласно ИСО/ТУ 22003 или ИСО/МЭК 27006, они должны применяться.

9.1.4.3 Трудоемкость аудита, установленная органом по сертификации, и ее обоснование должны быть зарегистрированы.

9.1.4.4 Трудозатраты любого члена группы, который не является аудитором (т.е. технические эксперты, письменные и устные переводчики, наблюдатели и аудиторы-стажеры), не должны учитываться при расчете трудоемкости аудита.

Примечание – Использование устных и письменных переводчиков может увеличивать время аудита.

7 Проведение заключительного совещания

9.4.7.1 Следует проводить официальное заключительное совещание с участием руководства заказчика и, когда это целесообразно, с лицами, ответственными за функции или процессы, подлежащие проверке. Целью заключительного совещания, которое обычно проводится руководителем аудиторской группы, является предоставление заключений аудита, включая рекомендации относительно сертификации. Все обнаруженные несоответствия должны быть представлены таким образом, чтобы обеспечить их понимание, и должны быть согласованы сроки реагирования на них.

Примечание – “Понимание” не обязательно означает, что заказчик согласен с выявленными несоответствиями.

9.4.7.2 На заключительном совещании должны также рассматриваться следующие вопросы. Степень детализации зависит от знакомства заказчика с процессом аудита:

a) доведение до сведения заказчика, что собранные свидетельства аудита основаны на выборочной информации, что тем самым создают элемент неопределенности;

b) способ и сроки предоставления отчета, включая классификацию данных аудита;

c) процесс рассмотрения несоответствий органом по сертификации, включая любые последствия, связанные со статусом сертификации заказчика;

d) сроки предоставления заказчиком плана корректирующих действий и устранения любых несоответствий, выявленных в ходе аудита;

e) действия, осуществляемые органом по сертификации после аудита;

f) информация о процессах рассмотрения жалоб и апелляций.

9.4.7.3 Заказчику должна предоставляться возможность задавать вопросы. Любые разногласия относительно данных и заключений аудита между аудиторской группой и заказчиком должны быть рассмотрены и устранены по мере возможности. Любые неустраненные разногласия должны быть зафиксированы и доведены до сведения органа по сертификации.

3 Термины и определения

В настоящем стандарте применяют термины по ИСО 9000, ИСО/МЭК 17000, а также следующие термины.

3.1 сертифицированный заказчик (certified client): Организация, система менеджмента которой была сертифицирована.

3.2 беспристрастность (impartiality): Наличие объективности.

1 Объективность означает, что конфликтов интересов не существует или они разрешены таким образом, что не оказывают отрицательного влияния на последующие действия органа по сертификации.

2 Другими терминами, которые могут быть полезны для передачи сути беспристрастности, являются “независимость”, “отсутствие конфликта интересов”, “отсутствие предвзятости”, “отсутствие предубеждений”, “нейтралитет”, “справедливость”, “непредубежденность”, “объективность”, “отстраненность”, “уравновешенность”.

3.3 консультирование по системе менеджмента (management system consultancy): Участие в разработке, внедрении или поддержании в рабочем состоянии системы менеджмента.

1 Подготовка или разработка руководств или процедур.

2 Предоставление конкретных рекомендаций, инструкций или решений по разработке и внедрению системы менеджмента.

1 Организация обучения или участие в качестве обучающего не рассматриваются как консультирование при условии, если курс обучения, относящийся к системам менеджмента или проведению аудита, ограничивается предоставлением общей информации, находящейся в открытом доступе, т.е. обучающий не должен предоставлять заказчику конкретные решения.

2 Предоставление общей информации, а не конкретных решений по улучшению процессов или систем заказчика, не рассматривается как консультирование. Такая информация может включать в себя:

– объяснение значения и сути критериев сертификации;

– идентификацию возможностей для улучшения;

– объяснение соответствующих теорий, методологий, технических приемов или методов;

– сообщение неконфиденциальной информации о наилучших практиках;

– другие аспекты менеджмента, не охватываемые проверяемой системой менеджмента.

3.4 сертификационный аудит (certification audit): Аудит, выполняемый проверяющей организацией, независимой от заказчика или заинтересованных сторон, с целью сертификации системы менеджмента заказчика.

1 В приведенных ниже определениях термин “аудит” использован для упрощения ссылок на сертификационный аудит, проводимый третьей стороной.

2 Сертификационные аудиты включают в себя первоначальные, надзорные (инспекционные), ресертификационные аудиты, а также могут включать специальные аудиты.

3 Сертификационные аудиты обычно проводят группы аудиторов тех органов, которые проводят сертификацию соответствия требованиям стандартов на системы менеджмента.

4 Совместный аудит подразумевает проверку одного заказчика с не менее чем двумя проверяющими организациями.

5 Комбинированный аудит подразумевает проверку заказчика одновременно на соответствие требованиям не менее чем двух стандартов на системы менеджмента.

6 Комплексный аудит подразумевает проверку заказчика на соответствие требованиям более чем одного стандарта, когда заказчик применяет требования не менее чем двух стандартов на системы менеджмента в единой интегрированной системе менеджмента.

3.5 заказчик (client): Организация, систему менеджмента которой проверяют с целью сертификации.

3.6 аудитор (auditor): Лицо, проводящее аудит.

3.7 компетентность (competence): Способность применять знания и навыки для достижения намеченных результатов.

3.8 сопровождающий (guide): Лицо, назначенное заказчиком для содействия аудиторской группе.

3.9 наблюдатель (observer): Лицо, сопровождающее аудиторскую группу, но не участвующее в аудите.

3.10 техническая область (technical area): Область, характеризуемая общностью процессов, относящихся к конкретному типу системы менеджмента и ее предполагаемым результатам.

3.11 несоответствие (nonconformity): Невыполнение требования.

3.12 значительное несоответствие (major nonconformity): Несоответствие (3.11), влияющее на способность системы менеджмента достигать намеченных результатов.

Примечание – Несоответствия могли бы быть классифицированы как значительные в следующих случаях:

– если приходится сомневаться в наличии результативного управления процессами или в том, что продукты или услуги будут отвечать установленным требованиям;

– при наличии серии незначительных несоответствий, связанных с одним и тем же требованием или аспектом, когда это может свидетельствовать о системной ошибке и таким образом образовывать значительное несоответствие.

3.13 незначительное несоответствие (minor nonconformity): Несоответствие (3.11), не влияющее на способность системы менеджмента достигать намеченных результатов.

3.14 технический эксперт (technical expert): Лицо, предоставляющее аудиторской группе свои знания или опыт по специальному вопросу.

Примечание – Знание или опыт по специальному вопросу могут быть отнесены к проверяемой организации, процессу или деятельности.

3.15 схема сертификации (certification scheme): Система оценки соответствия, относящаяся к системам менеджмента, применительно к которым установлены одинаковые требования, правила и процедуры.

3.16 общая продолжительность/трудоемкость аудита (audit time): Время, необходимое для планирования и результативного выполнения аудита системы менеджмента организации-заказчика.

3.17 продолжительность сертификационных аудитов системы менеджмента (duration of management system certification audit): Часть времени от общей продолжительности/трудоемкости аудита (3.16), необходимого на проведение мероприятий аудита, начиная с вводного совещания и заканчивая заключительным совещанием.

Примечание – Обычно мероприятия аудита включают в себя:

– проведение вводного совещания;

– выполнение анализа документации по ходу аудита;

– обмен информацией в ходе аудита;

– закрепление за сопровождающими и наблюдателями соответствующих функций и обязанностей;

– сбор и проверку информации;

– идентификацию выводов аудита;

– подготовку заключений аудита;

– проведение заключительного совещания.

3 Ответственность за решения о сертификации

Орган по сертификации должен нести ответственность и иметь полномочия для принятия решений в области сертификации, включая выдачу, отказ в выдаче, подтверждение, возобновление сертификата, расширение или сужение области действия сертификата, приостановку и прекращение действия сертификата.

8 Отчет по аудиту

9.4.8.1 Орган по сертификации должен предоставлять письменный отчет по каждому аудиту. Аудиторская группа может определить возможности для совершенствования, но она не должна рекомендовать конкретные решения. Право собственности на аудиторский отчет должен сохранять за собой орган по сертификации.

9.4.8.2 Руководитель аудиторской группы должен позаботиться о подготовке аудиторского отчета и должен нести ответственность за его содержание. Аудиторский отчет должен содержать точную, сжатую и четкую запись аудита, чтобы обеспечить возможность принятия взвешенного решения о сертификации, и должен содержать или ссылаться на:

a) идентификацию органа по сертификации;

b) наименование и адрес заказчика и представителя руководства заказчика;

c) тип аудита (например, первоначальный, инспекционный или ресертификационный или специальный);

d) критерии аудита;

e) цели аудита;

f) область аудита, в частности, идентификация организационных или функциональных подразделений или процессов, подлежащих аудиту, и сроки аудита;

g) любые отклонения от плана аудита и их причины;

h) любые существенные аспекты, влияющие на программу аудита;

i) идентификацию руководителя аудиторской группы, членов аудиторской группы и любых сопровождающих лиц;

j) сроки и места проведения аудиторской деятельности (на месте или за пределами объектов, на постоянных или временных производственных площадках);

k) выводы аудита (см. 9.4.5), ссылки на свидетельства и заключения аудита в соответствии с требованиями к данному типу аудита;

l) идентификацию изменений в случае значительных изменений, влияющих на систему менеджмента заказчика со времени проведения последнего аудита;

m) любые неразрешенные вопросы, если таковые имеются;

n) является ли проведенный аудит комбинированным, совместным или комплексным, если это применимо;

o) сообщение о том, что аудит проводился на основе выборочного контроля имеющейся в распоряжении информации;

p) рекомендации по улучшению от аудиторской группы;

q) подтверждение того, что заказчиком эффективным образом контролируется использование сертификационных документов и знаков, где это применимо;

r) верификацию результативности предпринятых коррекций и корректирующих действий в отношении ранее выявленных несоответствий, если это применимо.

9.4.8.3 Аудиторский отчет должен также содержать:

a) заявление относительно соответствия и результативности системы менеджмента с кратким изложением свидетельств, относящихся:

– к способности системы менеджмента отвечать применяемым требованиям и достигать запланированных результатов,

– проведению внутренних аудитов и анализа со стороны руководства;

b) заключение о правомерности области сертификации;

c) заключение относительно достижения целей аудита.

1 Юридическая ответственность

Орган по сертификации должен быть юридическим лицом или определенной частью юридического лица, чтобы нести юридическую ответственность за все свои действия в области сертификации. Правительственный орган по сертификации рассматривается как юридическое лицо вследствие его правительственного статуса.

4 Продукция, услуги, процессы и организация заказчика

Аудиторская группа должна обладать знаниями:

a) терминологии и технологии, которые относятся к конкретной технической области;

b) законодательных или других обязательных требований, применяемых к продукции или услугам в конкретной технической области.

Примечание – Законодательные или другие обязательные требования могут быть выражены в качестве правовых требований;

c) характеристик продукции, услуги и процессов конкретной технической области;

d) инфраструктуры и среды функционирования процессов, влияющих на качество продукции и услуг;

e) обеспечения поставленными извне процессами, продукцией и услугами;

f) влияния типа, величины, руководства, структуры, функций и взаимосвязей на развитие и внедрение СМК, ее документированную информацию и деятельность по сертификации.

2 Сертификационные документы

8.2.1 Орган по сертификации должен выдавать сертификационные документы сертифицированному заказчику любым предпочтительным для него способом.

8.2.2 Сертификационный документ (документы) должен (должны) содержать следующее:

a) наименование и географическое местоположение каждого заказчика, система менеджмента которого была сертифицирована (или географическое местоположение его главного офиса и всех производственных площадок, входящих в область сертификации организации с несколькими производственными площадками);

b) дату выдачи, расширения или сужения области применения, возобновления действия сертификата, которая не должна предшествовать дате принятия решения о сертификации.

Примечание – Орган по сертификации может по истечении срока действия сертификата сохранять указанную в сертификате первоначальную дату выдачи при условии, что:

– даты начала и окончания текущего цикла сертификации четко обозначены;

– дата окончания заключительного цикла сертификации указана наряду с датой ресертификационного аудита;

c) срок действия сертификата или дату проведения ресертификации в соответствии с циклом ресертификации;

d) единый идентификационный номер;

e) обозначение стандарта и/или другого нормативного документа, включая указание статуса издания (например, номер выпуска и/или дата пересмотра), используемого в ходе аудита сертифицированного заказчика;

f) область сертификации, касающаяся вида работ, продукции и услуг относительно каждой производственной площадки;

g) наименование, адрес и сертификационный знак органа по сертификации; другие знаки (например, символ аккредитации, логотип заказчика) допускается использовать таким образом, чтобы не вводить в заблуждение или не допускать неоднозначного толкования;

h) любая другая информация, требуемая стандартом и/или другим нормативным документом, используемым при сертификации;

i) в случае выпуска любых пересмотренных сертификационных документов должны быть предусмотрены средства их отличения от устаревших документов.

2 Действия, осуществляемые до принятия решения

Орган по сертификации должен иметь процесс для проведения эффективного анализа, предшествующего принятию решения о выдаче или отказе в выдаче сертификата, расширении или сужении области действия сертификата, возобновлении, приостановлении действия или отмене сертификата, включая то, что

a) информация, предоставленная аудиторской группой, в достаточной степени охватывает требования к сертификации и область сертификации;

b) органом были проанализированы, одобрены и проверены коррекции и корректирующие действия в отношении всех значительных несоответствий;

c) органом был проанализирован и одобрен план действий заказчика по коррекциям и корректирующим действиям в отношении всех других несоответствий.

3 План аудита

9.2.3.1 Общие положения

Орган по сертификации должен обеспечивать составление плана для каждого аудита, указанного в программе аудита, чтобы создавать основу для соглашения о проведении аудита и графике работ по аудиту.

Примечание – Органу по сертификации не обязательно разрабатывать план аудита для каждого аудита одновременно с программой аудита.

9.2.3.2 Разработка плана аудита

План аудита должен соответствовать целям и области аудита. План аудита должен, по крайней мере, включать в себя или иметь ссылки на следующее:

a) цели аудита;

b) критерии аудита;

c) область аудита, включая установление организационных и функциональных подразделений или процессов, подлежащих аудиту;

d) сроки проведения аудитов и объекты, подлежащие проверке, включая посещение временных производственных площадок и работы, проводимые без посещения объектов, если это целесообразно;

e) предполагаемые сроки и продолжительность выездных аудитов;

f) функции и обязанности членов аудиторской группы и сопровождающих лиц.

Примечание – Информация о плане аудита может содержаться в нескольких документах.

9.2.3.3 Предоставление информации о задачах аудиторской группы

Должны быть определены задачи, поставленные перед аудиторской группой. При этом аудиторская группа должна:

a) оценивать и проверять на соответствие требованиям структуру, политики, процессы, процедуры, записи и другие документы организации заказчика, относящиеся к системе менеджмента;

b) определять, удовлетворяют ли процессы всем требованиям в отношении к предполагаемой области сертификации;

c) удостовериться, что процессы и процедуры были разработаны, внедрены и поддерживаются в рабочем состоянии с целью обеспечения доверия к системе менеджмента заказчика;

d) сообщать заказчику для принятия им соответствующих мер о любых противоречиях между политикой, целями и задачами заказчика.

9.2.3.4 Предоставление информации о плане аудита

Информация о плане аудита должна своевременно предоставляться заказчику, и сроки выполнения работ должны быть с ним заблаговременно согласованы.

9.2.3.5 Предоставление информации о членах аудиторской группы

Орган по сертификации должен указать заказчику фамилию и по запросу предоставить общую информацию о каждом члене аудиторской группы таким образом, чтобы у заказчика было время на то, чтобы ознакомиться с предоставленной информацией и в случае возражений выразить свое несогласие с назначением какого-либо члена аудиторской группы, а у органа по сертификации – на то, чтобы переформировать группу при наличии для этого объективных причин.

3 Процессы оценивания

Орган по сертификации должен иметь документированные процессы для первоначального оценивания компетентности и осуществлять постоянный мониторинг компетентности и результативности деятельности всего персонала, участвующего в организации и проведении аудитов и сертификации, с использованием установленных критериев компетентности. Орган по сертификации должен демонстрировать результативность своих методов оценивания. Выход этих процессов должен быть связан с выявлением персонала, который продемонстрировал уровень компетентности, требуемый для выполнения различных функций аудита и процесса сертификации. Компетентность сотрудника должна быть подтверждена до того, как на него будет возложена ответственность за надлежащее исполнение работ, проводимых органом по сертификации.

1 В приложении В описан ряд методов оценивания, которые допускается использовать для оценивания компетентности.

2 В приложении С приведен пример последовательности операций для определения и поддержания компетентности.

6 Конфиденциальность

Для получения преимущественного доступа к информации, требуемой органом по сертификации для адекватной оценки соответствия требованиям, необходимо, чтобы орган по сертификации не раскрывал конфиденциальной информации.

5 Открытость

4.5.1 Орган по сертификации должен обеспечивать открытый доступ или своевременно раскрывать соответствующую информацию о процессе аудита и сертификации, а также о статусе сертификации (например, о выдаче, подтверждении сертификата, расширении или сужении области действия сертификата, об обновлении, о приостановлении действия или отмене сертификата) любой организации с целью обеспечения уверенности в добросовестности и достоверности сертификации. Открытость – это принцип доступности или раскрытия соответствующей информации.

4.5.2 Для обеспечения или поддерживания доверия к сертификации орган по сертификации должен предоставлять необходимый доступ или раскрывать неконфиденциальную информацию о результатах конкретных аудитов (например, аудитов в ответ на жалобы) определенным заинтересованным сторонам.

3 Управление документами

Орган по сертификации должен разрабатывать процедуры для управления документами (внутреннего и внешнего происхождения), относящиеся к соблюдению требований настоящего стандарта. Эти процедуры должны предусматривать использование средств управления, необходимых для:

a) проверки документов на адекватность до их выпуска;

b) анализа и актуализации документов по мере необходимости и их повторного утверждения;

c) обеспечения идентификации изменений и статуса пересмотра документов;

d) обеспечения наличия действующих версий применяемых документов в местах их применения;

e) обеспечения сохранения документов четкими и легко идентифицируемыми;

f) обеспечения идентификации документов внешнего происхождения и управления их рассылкой;

g) предотвращения непреднамеренного использования устаревших документов и применения соответствующей идентификации таких документов, оставленных для каких-либо целей.

Примечание – Документация может быть выполнена в любой форме или представлена на любом типе носителя.

3 Обязательства и финансирование

5.3.1 Орган по сертификации должен быть способен продемонстрировать, что он оценивает риски, связанные с его деятельностью по сертификации, и что он располагает достаточными средствами (например, страхование или наличие резервов) для выполнения обязательств, возникающих в ходе его работ по сертификации в каждой области деятельности и географической зоне, в которой он осуществляет свою деятельность.

5.3.2 Орган по сертификации должен оценивать свои финансовые возможности и источники дохода, а также демонстрировать, что на начальном этапе и в дальнейшем коммерческое, финансовое или другое давление не могут поставить под сомнение его беспристрастность.

9 Записи о заказчиках

9.9.1 Орган по сертификации должен вести записи об аудите и других работах по всем заказчикам, включая все организации, подавшие заявки, прошедшие аудит, сертифицированные, а также организации, действие сертификатов которых было приостановлено или отменено.

9.9.2 Записи о сертифицированных заказчиках должны включать в себя следующее:

a) информацию о заявке и отчеты о первоначальном, инспекционном и ресертификационном аудитах;

b) договор о проведении сертификации;

c) обоснование методологии, используемой для выборочного исследования.

Примечание – Методология выборочного исследования включает в себя определение выборки, используемой для оценки конкретной системы менеджмента, и/или выбор производственных площадок для оценки организаций с многочисленными производственными площадками;

d) обоснование трудоемкости аудита (см. 9.1.4);

e) проверку коррекций и корректирующих действий;

f) записи о жалобах и апелляциях, а также обо всех последующих коррекциях или корректирующих действиях;

g) протоколы и решения комитетов, если это применимо;

h) документацию по принятию решений о сертификации;

i) сертификационные документы, содержащие область сертификации в отношении продукции, процесса или услуги, в зависимости от применимости;

j) соответствующие записи, необходимые для обеспечения доверия к сертификации, такие как свидетельства компетентности аудиторов и технических экспертов;

k) программы аудита.

9.9.3 Орган по сертификации должен обеспечивать защиту записей о заявителях и заказчиках, гарантируя при этом соблюдение конфиденциальности информации. Транспортировка, пересылка или передача записей должны осуществляться способом, обеспечивающим сохранение их конфиденциальности.

9.9.4 Орган по сертификации должен иметь документированную политику и процедуры хранения записей. Записи о сертифицированных заказчиках должны сохраняться на протяжении текущего цикла сертификации и еще одного полного цикла.

Примечание – В некоторых странах законодательством установлен более длительный срок хранения записей.

4 Управление записями

Орган по сертификации должен разрабатывать процедуры по определению средств управления, требуемых при идентификации, хранении, защите, восстановлении, определении сроков хранения и изъятии записей, связанных с выполнением требований настоящего стандарта.

Орган по сертификации должен разрабатывать процедуры для обеспечения сохранности записей в течение периода времени, установленного в договорах и законодательных актах. Доступ к этим записям должен соответствовать условиям конфиденциальности.

3 Среда организации

Аудиторская группа должна обладать знаниями в деловом секторе для определения того, правильно ли организация определила:

a) внешние и внутренние факторы, имеющие отношение к цели и стратегическому направлению деятельности организации и влияющие на ее способность достигать предполагаемого(ых) результата (о в) своей СМК;

b) потребности и ожидания заинтересованных сторон, имеющие отношение к СМК организации, в том числе требования к продуктам и услугам организации;

c) границы и применяемость СМК, чтобы установить ее область применения.

Примечание – Под деловым сектором понимается экономическая деятельность, охватывающая широкий круг аспектов, относящихся к техническим областям.

2 Персонал, участвующий в работах по сертификации

7.2.1 Орган по сертификации должен иметь в своем штате персонал, обладающий достаточной компетентностью для осуществления различных программ аудита и выполнения других работ по сертификации.

7.2.2 Орган по сертификации должен иметь возможность привлекать к работе по сертификации достаточное число аудиторов, включая руководителей аудиторских групп и технических экспертов, для охвата всей сферы своей деятельности и выполнения всего объема работ по аудиту.

7.2.3 Орган по сертификации должен четко разъяснять каждому работнику его обязанности, область ответственности и полномочия.

7.2.4 Орган по сертификации должен установить процессы отбора, подготовки, официального наделения полномочиями аудиторов, а также отбора технических экспертов, привлекаемых к работам по сертификации. Первоначальное оценивание уровня компетентности аудитора должно охватывать его умение применять требуемые знания и навыки при проведении аудитов; такое оценивание должен проводить компетентный оценщик, наблюдающий за тем, как аудитор проводит проверку.

Примечание – В ходе вышеуказанного процесса отбора и подготовки принимают во внимание требуемые личностные характеристики. Это показатели, влияющие на способность сотрудника выполнять конкретные функции. Поэтому знания, касающиеся личностных характеристик сотрудников, позволяют органу по сертификации воспользоваться их сильными сторонами и свести к минимуму влияние их слабых сторон. Требуемые личностные характеристики, имеющие важное значение для персонала, участвующего в работах по сертификации, рассмотрены в приложении D.

7.2.5 Орган по сертификации должен обеспечить наличие процесса достижения и демонстрации результативного проведения аудита, включая привлечение аудиторов и руководителей аудиторских групп, обладающих как общими знаниями и навыками в области аудита, так и навыками и знаниями, необходимыми для проведения аудита в конкретных технических областях.

7.2.6 Орган по сертификации должен предусмотреть, чтобы аудиторы (и, когда необходимо, технические эксперты) были осведомлены о процессе проведения аудита, требованиях к сертификации и других необходимых требованиях. Орган по сертификации должен предоставлять аудиторам и техническим экспертам доступ к действующим документированным процедурам, содержащим инструкции по проведению аудита и всю необходимую информацию в области сертификации.

7.2.7 Орган по сертификации должен выявлять потребности в обучении и предлагать или делать доступной специальную подготовку, чтобы гарантировать, что его аудиторы, технические эксперты и другой персонал, участвующий в работах по сертификации, компетентны в пределах выполняемых ими функций.

7.2.8 Группа или лицо, принимающие решение о выдаче, отказе в выдаче, подтверждении, возобновлении, приостановлении действия или отмене сертификата, расширении или сужении области сертификации, должны знать положения применяемого стандарта и требования к сертификации и подтвердить свою компетентность в области оценки результатов процессов аудита, включая соответствующие рекомендации аудиторской группы.

7.2.9 Орган по сертификации должен обеспечивать надежную работу всего персонала, участвующего в работах по аудиту и сертификации. Должны быть разработаны документированные процедуры и критерии для мониторинга компетентности и характеристик деятельности всего участвующего в работах персонала, основанные на частоте их привлечения к работам и уровне риска, связанного с их действиями. В частности, орган по сертификации должен проводить анализ и регистрацию компетентности своих работников в связи с выполняемыми ими работами с целью определения потребностей в обучении.

7.2.10 Орган по сертификации должен осуществлять постоянный контроль работы каждого аудитора, рассматривая каждый тип систем менеджмента, в области которых аудитор считается компетентным. Документированные процедуры мониторинга деятельности аудиторов должны включать в себя комбинацию наблюдения и оценивание работы аудитора на месте, анализ отчетов по результатам аудита и информации от заказчиков или ответной реакции рынка. Такой мониторинг должен быть разработан таким образом, чтобы свести к минимуму вмешательство в нормальное протекание процессов сертификации, особенно сточки зрения заказчика.

7.2.11 Орган по сертификации должен периодически проводить наблюдение за работой каждого аудитора на рабочем месте. Периодичность наблюдений на месте должна быть обоснована необходимостью, определяемой на основании всех имеющихся данных по мониторингу.