Утвержден и введен в
действие
Приказом Федерального
агентства по техническому
регулированию и
метрологии
от 30 октября 2008
г. N 274-ст
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ОЦЕНКА СООТВЕТСТВИЯ
ТРЕБОВАНИЯ К ОРГАНАМ, ПРОВОДЯЩИМ АУДИТ
И СЕРТИФИКАЦИЮ СИСТЕМ МЕНЕДЖМЕНТА
Conformity assessment. Requirements for
bodies providing
audit and certification
of management systems
ISO/IEC 17021:2006
Conformity assessment -
Requirements for bodies providing
audit and certification
of management systems
(IDT)
ГОСТ Р ИСО/МЭК 17021-2008
Группа Т59
ОКС 03.100;
ОКСТУ 0025
Дата введения
15 декабря 2008
года
Предисловие
Цели и принципы
стандартизации в Российской Федерации установлены Федеральным законом от 27
декабря 2002 г. N 184-ФЗ "О техническом регулировании" и Федеральным
законом от 1 мая 2007 г. N 65-ФЗ "О внесении изменений в Федеральный закон
"О техническом регулировании", а правила применения национальных
стандартов Российской Федерации - ГОСТ Р 1.0-2004
"Стандартизация в Российской Федерации. Основные положения".
Сведения о
стандарте
1. Подготовлен
Открытым акционерным обществом "Всероссийский научно-исследовательский
институт сертификации" (ОАО "ВНИИС") на основе собственного
аутентичного перевода стандарта, указанного в пункте 4.
2. Внесен Управлением развития, информационного обеспечения и
аккредитации Федерального агентства по техническому регулированию и метрологии.
3. Утвержден и
введен в действие Приказом Федерального агентства по техническому регулированию
и метрологии от 30 октября 2008 г. N 274-ст.
4. Настоящий
стандарт идентичен международному стандарту ИСО/МЭК 17021:2006 "Оценка
соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента" (ISO/IEC
17021:2006 "Conformity assessment - Requirements for bodies providing
audit and certification of management systems").
При применении
настоящего стандарта рекомендуется использовать вместо ссылочных международных
стандартов соответствующие им национальные стандарты, сведения о которых
приведены в дополнительном Приложении А.
Информация об
изменениях к настоящему стандарту публикуется в ежегодно издаваемом
информационном указателе "Национальные стандарты", а текст изменений
и поправок - в ежемесячно издаваемых информационных указателях
"Национальные стандарты". В случае пересмотра (замены) или отмены настоящего
стандарта соответствующее уведомление будет опубликовано в ежемесячно
издаваемом информационном указателе "Национальные стандарты".
Соответствующая информация, уведомления и тексты размещаются также в
информационной системе общего пользования - на официальном сайте Федерального
агентства по техническому регулированию и метрологии в сети Интернет.
Введение
ИСО (Международная
организация по стандартизации) и МЭК (Международная электротехническая
комиссия) образуют специализированную систему стандартизации в мировом сообществе.
Национальные органы, являющиеся членами ИСО или МЭК, участвуют в разработке
международных стандартов через технические комитеты, созданные соответствующей
организацией для работы в конкретных областях деятельности. Технические
комитеты ИСО и МЭК сотрудничают в областях, представляющих взаимный интерес.
Другие международные организации, правительственные и негосударственные,
взаимодействующие с ИСО и МЭК, также принимают участие в работе. В области
оценки соответствия ответственность за разработку международных стандартов и
руководящих указаний несет Комитет ИСО по оценке соответствия (КАСКО).
Международные
стандарты разрабатываются в соответствии с правилами, приведенными в Директивах
ИСО/МЭК, часть 2.
Проекты
международных стандартов рассылаются национальным органам на голосование. Их
опубликование в качестве международных стандартов требует одобрения, по меньшей
мере, 75% комитетов-членов, принимавших участие в голосовании.
Следует иметь в
виду, что некоторые элементы настоящего международного стандарта могут быть
объектом патентных прав. ИСО не берет на себя ответственность за идентификацию
какого-либо или всех таких патентных прав.
Настоящий
международный стандарт был подготовлен Комитетом ИСО по оценке соответствия
(КАСКО).
Стандарт был
разослан на голосование национальным органам - членам ИСО и МЭК и одобрен
обеими организациями.
Первое издание
настоящего международного стандарта отменяет и заменяет Руководство ISO/IEC
62:1996 и Руководство ISO/IEC 66:1999, которые были объединены и пересмотрены в
техническом отношении.
Сертификация
системы менеджмента организации, такой как система менеджмента качества или
система экологического менеджмента, является одним из средств подтверждения
того, что организация внедрила систему управления аспектами своей деятельности
в соответствии с принятой ею политикой.
Настоящий
национальный стандарт устанавливает требования к органам по сертификации.
Выполнение этих требований позволяет гарантировать, что органы по сертификации
осуществляют сертификацию систем менеджмента компетентным, последовательным и
беспристрастным образом, тем самым способствуя признанию выданных ими
сертификатов на национальном и международном уровне. Настоящий стандарт
является базой для признания результатов сертификации систем менеджмента в интересах
международной торговли.
Сертификация
системы менеджмента обеспечивает независимое свидетельство того, что система
менеджмента организации:
a) соответствует
установленным требованиям;
b) способствует
последовательной реализации принятой политики и целей;
c) результативно
внедрена.
Оценка
соответствия, такая как сертификация системы менеджмента, придает ценность
организации для ее потребителей и заинтересованных сторон.
Раздел 4 настоящего
стандарта содержит принципы, которые лежат в основе надежной сертификации,
помогают понять природу сертификации и являются необходимым введением к
разделам 5 - 10. Принципы образуют фундамент для всех требований настоящего
стандарта, но не являются основанием для проведения аудита по каждому из
указанных принципов. В разделе 10 представлены два альтернативных пути
поддерживания и демонстрации постоянного выполнения требований настоящего
стандарта посредством создания системы менеджмента в органе по сертификации.
Настоящий стандарт
предназначен для использования органами, осуществляющими аудит и сертификацию
систем менеджмента. Стандарт содержит общие требования к органам по
сертификации, проводящим аудит и сертификацию систем менеджмента качества,
экологического менеджмента и других систем менеджмента. Для облегчения понимания
такие органы в тексте называются "органами по сертификации". Это
обозначение не должно быть препятствием при использовании настоящего стандарта
органами других назначений, которые осуществляют деятельность, определяемую
настоящим стандартом.
Деятельность по
сертификации включает в себя аудит системы менеджмента организации. Формой подтверждения соответствия системы менеджмента организации
определенному стандарту на систему менеджмента или другим нормативным
требованиям обычно является сертификационный документ или сертификат.
1. Область
применения
Настоящий стандарт
устанавливает принципы и требования к компетентности, последовательности и
беспристрастности аудита и сертификации систем менеджмента всех видов
(например, систем менеджмента качества или систем экологического менеджмента),
а также требования к органам, осуществляющим эти виды деятельности. Органы по
сертификации, осуществляющие свою деятельность в соответствии с требованиями
настоящего стандарта, не обязаны заниматься сертификацией систем менеджмента
всех видов.
Сертификация систем
менеджмента (далее - сертификация) - это деятельность по оценке третьей стороны
(см. ИСО/МЭК 17000:2004, 5.5). Органы, осуществляющие такую деятельность, являются
органами по оценке соответствия третьей стороны (далее - орган/органы по
сертификации).
Примечание 1.
Иногда сертификацию систем менеджмента называют также "регистрацией",
а органы по сертификации - "регистраторами".
Примечание 2. Орган
по сертификации может быть как неправительственной, так и правительственной
организацией (имеющей или не имеющей регулирующих функций).
Примечание 3.
Настоящий стандарт может использоваться в качестве документа, содержащего
критерии для аккредитации, взаимной оценки или других процессов аудита.
2.
Нормативные ссылки
Следующие ссылочные
стандарты обязательны при применении настоящего стандарта. Если стандарт
датирован, следует использовать только указанное издание. Если стандарт не
датирован, применяют последнее издание ссылочного стандарта (включая все
изменения).
ИСО 9000:2005.
Системы менеджмента качества. Основные положения и словарь
ИСО 19011:2002.
Руководящие указания по аудиту систем менеджмента качества и/или систем
экологического менеджмента <1>
--------------------------------
<1> Ссылки в
настоящем документе соответствуют положениям ИСО 19011, применимым к аудиту
всех видов систем менеджмента.
ИСО/МЭК 17000:2004.
Оценка соответствия. Словарь и общие принципы.
3. Термины
и определения
В настоящем
стандарте применяют термины и определения, приведенные в ИСО 9000, ИСО/МЭК
17000, а также следующие.
3.1.
Сертифицированный заказчик: организация, имеющая сертифицированную систему
менеджмента.
3.2.
Беспристрастность: фактическое и воспринимаемое наличие объективности.
Примечание 1.
Объективность означает, что конфликтов интересов не существует или они
разрешаются так, что не оказывают негативного влияния на последующую
деятельность органа по сертификации.
Примечание 2. Другими терминами, которые могут быть полезны при интерпретации
беспристрастности, являются объективность, независимость, свобода от конфликта
интересов, свобода от предвзятости, отсутствие предубеждений, нейтралитет,
справедливость, восприимчивость, равное отношение, отстраненность,
уравновешенность.
3.3.
Консультирование по системе менеджмента: участие в разработке, внедрении и
поддерживании в рабочем состоянии системы менеджмента.
Примеры:
a) подготовка или
выпуск руководств или процедур, а также
b) выдача
конкретных советов, инструкций или готовых решений, связанных с разработкой и
внедрением системы менеджмента.
Примечание.
Проведение обучения и участие в качестве обучающего не рассматривается как
консультирование, если курс обучения относится к системам менеджмента или
проведению аудита, но ограничивается предоставлением информации общего
характера, находящейся в открытом доступе, т.е. обучающий не должен
предоставлять компании конкретные решения.
4. Принципы
4.1. Общие
положения
4.1.1. Принципы,
приведенные в настоящем разделе, являются основой для изложенных в стандарте
функциональных и описательных требований. Настоящий стандарт не содержит
конкретных требований для всех возможных ситуаций. Эти принципы следует
применять как руководящие указания при принятии решений, которые могут потребоваться
в непредвиденных ситуациях. Принципы не являются требованиями.
4.1.2.
Глобальная цель сертификации заключается в обеспечении доверия всех сторон к
тому, что система менеджмента удовлетворяет установленным требованиям. Ценность
сертификации заключается в уровне доверия общественности, которое было
установлено посредством беспристрастной и компетентной оценки третьей стороной.
Стороны, заинтересованные в сертификации, могут не ограничиваться перечисленными ниже:
a) заказчики
(клиенты) органов по сертификации;
b) потребители
организаций, системы менеджмента которых были сертифицированы;
c)
правительственные органы;
d)
неправительственные организации;
e) потребители и
другие члены общества.
4.1.3. Принципы,
обеспечивающие доверие, включают в себя:
-
беспристрастность;
- компетентность;
- ответственность;
- открытость;
-
конфиденциальность;
- реагирование на
жалобы.
4.2.
Беспристрастность
4.2.1. Чтобы
проводить сертификацию, заслуживающую доверия, орган по сертификации должен
быть и восприниматься как беспристрастный.
4.2.2.
Общепризнанно, что источником дохода органа по сертификации является его
заказчик, который платит за сертификацию, однако при этом существует
потенциальная угроза беспристрастности.
4.2.3. Для достижения
и поддерживания доверия необходимо, чтобы решения органа по сертификации
основывались на объективных свидетельствах соответствия (или несоответствия),
полученных органом по сертификации, а также на его решения не влияют другие
интересы или другие стороны.
4.2.4. Угрозами
нарушения беспристрастности могут быть:
a) Собственная
выгода: угроза возникает в случае, когда человек или орган действуют в личных
интересах. В случае сертификации угрозой беспристрастности является финансовый
интерес.
b) Анализ
собственной деятельности (самоанализ): угроза возникает при анализе собственной
работы человека или органа. Аудит систем менеджмента заказчика, которому орган
по сертификации предоставлял консультационные услуги, может стать такой
угрозой, вытекающей из самоанализа.
c) Близкие
отношения (или доверительность): угроза может возникнуть в случае, если человек
или орган находятся в очень близких отношениях или слишком доверяют другому
лицу вместо поиска свидетельств аудита.
d) Запугивание:
угроза возникает, когда у человека или органа возникает ощущение, что им
открыто или скрытым образом угрожают, например, увольнением или жалобой в
надзирающую инстанцию.
4.3.
Компетентность
Компетентность
персонала, поддерживаемая системой менеджмента органа по сертификации, необходима
для проведения сертификации, заслуживающей доверия. Компетентность - это
демонстрация способности применять на практике свои знания и опыт.
4.4.
Ответственность
4.4.1.
Ответственность за соответствие требованиям к сертификации несет организация-заказчик,
а не орган по сертификации.
4.4.2. Орган по
сертификации несет ответственность за оценку достаточности объективных
свидетельств, являющихся основанием для принятия решения о сертификации. На
основе заключения по результатам аудита орган по сертификации выносит решение о
выдаче сертификата при наличии достаточных свидетельств соответствия или
невыдаче, если достаточные свидетельства отсутствуют.
Примечание. Любой
аудит основан на выборке из всей системы менеджмента, поэтому стопроцентная
гарантия соответствия требованиям отсутствует.
4.5.
Открытость
4.5.1. Орган по
сертификации должен обеспечивать открытый доступ или своевременно раскрывать
соответствующую информацию в отношении процесса проведения аудита и
сертификации, а также статуса сертификации (например, выдачи, подтверждения,
обновления, приостановления сертификата, расширения, сужения области применения
или отмены сертификата) любой организации с целью обеспечения уверенности в
беспристрастности и надежности сертификации. Открытость - это принцип
доступности или раскрытия соответствующей информации.
4.5.2. Для
обеспечения или поддерживания доверия к сертификации орган по сертификации
должен предоставлять соответствующий доступ или раскрывать неконфиденциальную
информацию о результатах конкретных аудитов (например, аудитов в ответ на
жалобы) определенным заинтересованным сторонам.
4.6.
Конфиденциальность
Для обеспечения
преимущественного доступа к информации, требуемой органу по сертификации для
адекватной оценки соответствия требованиям, необходимо, чтобы орган по
сертификации обеспечивал конфиденциальность частных сведений о заказчике.
4.7.
Реагирование на жалобы
Стороны, которые,
полагаясь на сертификацию, ожидают, что их жалобы будут рассмотрены, должны
быть уверены в том, что в случае признания их обоснованными жалобы будут
соответствующим образом учтены и будут приложены надлежащие усилия для их
разрешения. Результативное реагирование на жалобы - важное средство защиты
органа по сертификации, его заказчиков и других пользователей сертификации от
ошибок, упущений или ненадлежащего поведения. Доверие к деятельности по
сертификации обеспечивается в том случае, если проводится соответствующая
работа с жалобами.
Примечание.
Требуемый баланс между принципами открытости и конфиденциальности, включая
реагирование на жалобы, необходим всем пользователям сертификации для
демонстрации целостности и надежности.
5. Общие требования
5.1.
Особенности, связанные с законодательством и договорами
5.1.1. Юридическая
ответственность
Орган по
сертификации должен быть юридическим лицом или определенной частью юридического
лица, чтобы нести юридическую ответственность за все свои действия в области
сертификации. Правительственный орган по сертификации является юридическим
лицом вследствие его правительственного статуса.
5.1.2. Договор на
сертификацию
Орган по
сертификации должен заключить имеющий юридическую силу договор об оказании
заказчику услуг по сертификации. Помимо этого, при наличии нескольких офисов у
органа по сертификации или нескольких производственных площадок у заказчика
орган по сертификации должен обеспечить наличие имеющего юридическую силу
договора между органом, проводящим сертификацию и выдающим сертификат, и всеми
производственными площадками, входящими в область сертификации.
5.1.3.
Ответственность за решения о сертификации
Орган по
сертификации должен нести ответственность и сохранять свои позиции относительно
принимаемых решений в области сертификации, включая выдачу, приостановление,
подтверждение, обновление сертификата, расширение, сужение области сертификации
и отмену действия сертификата.
5.2.
Управление беспристрастностью
5.2.1. Высшее
руководство органа по сертификации должно принять на себя обязательства по
обеспечению беспристрастности сертификации систем менеджмента. Орган по
сертификации должен иметь публично доступное заявление о том, что, понимая
важность беспристрастности при проведении работ по сертификации системы
менеджмента, он управляет конфликтами интересов и гарантирует объективность
своих действий по сертификации системы менеджмента.
5.2.2.
Орган по сертификации должен определять, анализировать и документировать
возможные конфликты интересов, возникающие при проведении сертификации, включая
конфликты, вытекающие из его взаимоотношений. Наличие взаимоотношений не
обязательно вовлекает орган по сертификации в конфликт интересов. Однако если
взаимоотношения создают угрозу для обеспечения беспристрастности, орган по сертификации
должен документально оформлять и уметь продемонстрировать то, как он устраняет
или минимизирует такие угрозы. Данная информация должна быть доступной комитету
(совету), указанному в 6.2. Демонстрация должна охватывать все выявленные
потенциальные источники конфликта интересов как в рамках органа по
сертификации, так и в деятельности других лиц, органов или организаций.
Примечание.
Взаимоотношения, представляющие угрозу для обеспечения беспристрастности органа
по сертификации, могут исходить из прав собственности, властных полномочий,
управления, персонала, совместно используемых ресурсов, финансов, договоров
(контрактов), маркетинга и из оплаты комиссионных с продаж или прочего
поощрения за привлечение новых заказчиков и т.д.
5.2.3. Если взаимоотношения
становятся недопустимой угрозой для обеспечения беспристрастности (такой как,
например, запрос на проведение сертификации поступает от дочерней компании
органа по сертификации, находящейся в полном его владении), сертификация не
допускается.
Примечание. См.
примечание к 5.2.2.
5.2.4. Орган по
сертификации не должен сертифицировать деятельность по сертификации систем
менеджмента другого органа по сертификации.
Примечание. См.
примечание к 5.2.2.
5.2.5. Орган по
сертификации, а также любая часть того же юридического лица не должны
предлагать или проводить консультации по системам менеджмента. Это также
применимо к той части правительственной структуры, которая идентифицирована как
орган по сертификации.
5.2.6. Орган по
сертификации, а также любая часть того же юридического лица не должны
предлагать или проводить внутренние аудиты у сертифицированных им заказчиков.
Орган по сертификации не должен сертифицировать систему менеджмента, внутренние
аудиты которой он проводил, в течение двух лет после завершения внутренних
аудитов. Это также применимо к правительственной структуре, идентифицированной
как орган по сертификации.
Примечание. См.
примечание к 5.2.2.
5.2.7. Орган по
сертификации не должен сертифицировать систему менеджмента, в отношении которой
заказчику была оказана консультация или проведены внутренние аудиты, если
взаимоотношения между организацией, оказавшей консультации, и органом по
сертификации представляют недопустимую угрозу для обеспечения беспристрастности
последнего.
Примечание 1.
Наличие допустимого двухлетнего минимального периода с момента завершения
консультаций по системе менеджмента является единственным путем снижения до
приемлемого уровня угрозы обеспечению беспристрастности.
Примечание 2. См.
примечание к 5.2.2.
5.2.8. Орган по
сертификации не должен передавать право проведения аудитов организациям,
консультировавшим по системе менеджмента, поскольку это представляет
недопустимую угрозу для обеспечения беспристрастности органа по сертификации
(7.5). Это правило не распространяется на лиц, привлеченных в качестве
аудиторов по договору (7.3).
5.2.9. Деятельность
органа по сертификации не должна представляться на рынке или предлагаться как
связанная с деятельностью организации, занимающейся консультированием по
системам менеджмента. Орган по сертификации должен предпринимать действия по
корректированию неуместных заявлений любой организации, оказывающей
консультации и заявляющей или подразумевающей, что сертификация будет более простой,
легкой, быстрой или более дешевой при привлечении этого органа по сертификации.
Орган по сертификации не должен заявлять или подразумевать, что сертификация
будет более простой, легкой, быстрой или менее дорогой при привлечении
определенной консультирующей организации.
5.2.10. Чтобы
обеспечить отсутствие конфликта интересов, работники, оказывавшие
консультационные услуги по системе менеджмента, включая действовавших в
пределах управленческих полномочий, не должны привлекаться органом по
сертификации к участию в аудите или другой деятельности по сертификации
конкретного заказчика в течение двух лет после завершения консультаций данного
заказчика.
5.2.11. Орган по
сертификации должен предпринимать ответные действия в отношении любых угроз для
обеспечения беспристрастности, вытекающих из деятельности других лиц, органов
или организаций.
5.2.12. Весь
персонал органа по сертификации как внутренний, так и внешний, а также комитеты
(советы), которые могут оказывать влияние на деятельность по сертификации, должны
действовать беспристрастно и не допускать коммерческого, финансового или
другого давления, компрометирующего их беспристрастность.
5.2.13. Органы по
сертификации должны требовать от персонала, как внутреннего, так и внешнего,
сообщать о ситуациях, о которых работники знают и которые могут вовлечь их или
орган по сертификации в конфликт интересов. Органы по сертификации должны
использовать данную информацию в качестве входных данных при определении угроз
для обеспечения беспристрастности вследствие деятельности таких работников или
организаций, принявших их на работу, и не должны привлекать такой персонал, как
внутренний, так и внешний, пока работники не продемонстрируют отсутствие
конфликта интересов.
5.3.
Материальная ответственность и финансирование
5.3.1. Орган по
сертификации должен быть способен продемонстрировать, что он оценивает риски,
связанные с его деятельностью по сертификации, и что имеются надлежащие условия
(например, страхование или наличие резервов) для выполнения обязательств,
возникающих в ходе его работ по сертификации в каждой области деятельности и
географической зоне, в которой он функционирует.
5.3.2.
Орган по сертификации должен оценивать свои финансы и источники дохода и
демонстрировать комитету (совету), определенному в 6.2, что на начальном этапе
и в дальнейшем коммерческое, финансовое или другое давление не поставит под
угрозу его беспристрастность.
6.
Требования к структуре
6.1.
Организационная структура и высшее руководство
6.1.1. Орган по
сертификации должен документировать свою организационную структуру с указанием
обязанностей, ответственности и полномочий руководства и другого персонала,
занимающегося сертификацией, а также комитетов (советов). Если орган по
сертификации является частью юридического лица, его организационная структура
должна отражать распределение полномочий и взаимодействие с другими частями
этого юридического лица.
6.1.2. Орган по
сертификации должен определить высшее руководство (совет, группу лиц или лицо),
обладающее всеми полномочиями и несущее полную ответственность за:
a) разработку
политики, относящейся к функционированию органа;
b) надзор за
внедрением политики и процедур;
c) надзор за
финансами органа;
d) разработку услуг
и схем действий по сертификации систем менеджмента;
e) проведение
аудитов и сертификации, а также реагирование на жалобы;
f) принятие решений
о сертификации;
g) делегирование
полномочий комитетам или лицам для осуществления, если требуется, определенных
действий от своего имени;
h) условия
заключаемых договоров;
i) обеспечение
деятельности по сертификации соответствующими ресурсами.
6.1.3. Орган по
сертификации должен иметь официальные правила по назначению, кругу полномочий и
функционированию комитетов (советов), вовлеченных в работу по сертификации.
6.2. Комитет (совет) по обеспечению беспристрастности
6.2.1. Структура
органа по сертификации должна обеспечивать беспристрастность его деятельности в
области сертификации и предоставлять комитету (совету) возможность:
a) принимать
участие в разработке политики в отношении беспристрастности деятельности органа
по сертификации;
b)
противодействовать любым тенденциям части органа по сертификации по
коммерческим или другим соображениям препятствовать последовательному и
объективному выполнению работ по сертификации;
c) давать
рекомендации по вопросам, затрагивающим доверие к сертификации, включая
открытость и восприятие общественностью;
d) проводить, по
крайней мере, ежегодно анализ беспристрастности процессов аудита, сертификации
и принятия решений органом по сертификации.
Другие задачи или
обязанности могут быть вменены в обязанности комитета (совета) с условием,
чтобы эти дополнительные задачи или обязанности не препятствовали выполнению
его основной роли по обеспечению беспристрастности.
6.2.2. Состав,
направления деятельности, обязанности, полномочия, компетентность членов,
ответственность комитета (совета) должны быть официально документированы и
утверждены высшим руководством органа по сертификации, чтобы обеспечить:
a) наличие баланса
интересов, такого как отсутствие преобладания какого-либо одного интереса
(внутренний или внешний персонал органа по сертификации, рассматриваемый как имеющий
свои интересы, не должен преобладать в составе комитета (совета));
b) доступ ко всей
информации, необходимой для выполнения функций комитета (совета) (см. также
5.2.2 и 5.3.2);
c) если высшее
руководство органа по сертификации не следует рекомендациям комитета (совета),
комитет (совет) должен иметь право предпринять самостоятельное действие
(например, информировать органы власти, органы по аккредитации,
заинтересованные стороны). Предпринимая самостоятельные действия, комитеты
(советы) должны учитывать требования к конфиденциальности, изложенные в 8.5, по
отношению к заказчику и органу по сертификации.
6.2.3. Хотя комитет
(совет) не может представлять интересы всех сторон, органу по сертификации
следует определить и учесть ключевые интересы. Такие интересы могут включать в
себя интересы следующих сторон: заказчиков органа по сертификации, потребителей
организаций, система менеджмента которых была сертифицирована, представителей
торгово-промышленных ассоциаций, представителей правительственных органов управления
или других правительственных служб, или представителей неправительственных
организаций, включая организации потребителей.
7.
Требования к ресурсам
7.1.
Компетентность руководства и персонала
7.1.1. Орган по
сертификации должен установить процессы получения персоналом необходимых знаний
по видам систем менеджмента, которыми орган занимается, и географическим зонам,
в которых он функционирует.
Орган по
сертификации должен определить требуемый уровень компетентности для каждой
технической области (относящейся к конкретной схеме сертификации) и для каждой
функции в деятельности по сертификации.
Орган по
сертификации должен установить средства для демонстрации компетентности до
выполнения конкретных функций.
7.1.2. При
определении требований к компетентности своего персонала, осуществляющего
сертификацию, орган по сертификации должен учитывать функции руководства и
административного персонала, а также тех, кто непосредственно проводит аудит и
работы по сертификации.
7.1.3. Орган по
сертификации должен иметь возможность выполнить необходимую техническую
экспертизу для получения рекомендаций по вопросам, имеющим непосредственное
отношение к сертификации в технических областях, по видам систем менеджмента и
географическим зонам, в которых функционирует орган по сертификации. Такие
рекомендации могут быть предоставлены либо извне, либо персоналом органа по
сертификации.
7.2.
Персонал, вовлеченный в деятельность по сертификации
7.2.1. В состав
персонала органа по сертификации должны входить специалисты, обладающие
достаточной компетентностью для управления типом и диапазоном программ аудита и
выполнения других работ по сертификации.
7.2.2. Орган по
сертификации должен иметь возможность привлекать к работе по сертификации
достаточное число аудиторов, включая руководителей аудиторских групп и
технических экспертов, для охвата всей области своей деятельности и выполнения
объема работ по аудиту.
7.2.3. Орган по
сертификации должен четко разъяснять каждому человеку его обязанности,
ответственность и полномочия.
7.2.4. Орган по
сертификации должен установить процессы отбора, подготовки, официального
наделения полномочиями аудиторов, а также отбора технических экспертов,
привлекаемых к работам по сертификации. Первоначальная оценка уровня
компетентности аудитора должна включать в себя демонстрацию им соответствующих
личных качеств и способности применять требуемые знания и навыки при проведении аудитов; проводить такую работу должен компетентный
оценщик, наблюдающий за аудитором, проводящим аудит.
7.2.5.
Орган по сертификации должен установить процесс для достижения и демонстрации
результативного проведения аудита, включая привлечение аудиторов и
руководителей аудиторских групп, обладающих как общими навыками и знаниями в
области аудита, так и навыками и знаниями, необходимыми для проведения аудита в
конкретных технических областях. Этот процесс должен основываться на
документированных требованиях, разработанных в соответствии с руководящими
указаниями, приведенными в ИСО 19011.
7.2.6. Орган по
сертификации должен обеспечить, чтобы аудиторы (и, при необходимости,
технические эксперты) были осведомлены о процессе проведения аудита,
требованиях к сертификации и других требованиях органа по сертификации. Орган по
сертификации должен предоставить аудиторам и техническим экспертам доступ к
действующим документированным процедурам, содержащим инструкции по проведению
аудита и всю другую информацию, относящуюся к деятельности по сертификации.
7.2.7. Орган по
сертификации должен привлекать аудиторов и технических экспертов для выполнения
только той деятельности по сертификации, в которой они продемонстрировали свою
компетентность.
Примечание.
Назначение аудиторов и технических экспертов в группы для проведения конкретных
аудитов проводят в соответствии с 9.1.3.
7.2.8. Орган по
сертификации должен выявлять потребности в обучении и предлагать или делать
доступной проблемно-ориентированную подготовку, чтобы гарантировать, что
аудиторы, технические эксперты и другой персонал данного органа, вовлеченный в
деятельность по сертификации, компетентны в пределах выполняемых ими функций.
7.2.9.
Группа или лицо, принимающие решение о выдаче, подтверждении, обновлении,
приостановлении действия сертификата, расширении, сужении области сертификации
или отмене сертификата, должны знать положения применяемого стандарта,
требования к сертификации и должны уметь продемонстрировать свою компетентность
в оценке процессов аудита и соответствующих рекомендаций аудиторской группы.
7.2.10. Орган по
сертификации должен обеспечить надежную работу всего персонала, вовлеченного в
деятельность по аудиту и сертификации. Должны быть разработаны
документированные процедуры и критерии для мониторинга и определения
характеристик деятельности всех задействованных работников, основанные на
частоте их привлечения к работам и уровне риска, связанного с их действиями. В
частности, орган по сертификации должен проводить анализ компетентности своих
работников в рамках выполняемых ими работ с целью определения потребностей в
обучении.
7.2.11.
Документированные процедуры мониторинга аудиторов должны включать в себя
наблюдения за работой на месте, анализ отчетов по результатам аудита, учет
сигналов обратной связи от заказчиков или рынка и должны быть основаны на
документированных требованиях, разработанных в соответствии с руководящими
указаниями, приведенными в ИСО 19011. Данный мониторинг должен быть разработан
таким образом, чтобы минимизировать вмешательство в нормальное течение процесса
сертификации, особенно с точки зрения заказчика.
7.2.12. Орган по
сертификации должен периодически проводить наблюдение за работой каждого
аудитора на месте. Частота наблюдений на месте должна обосновываться необходимостью,
определяемой по всей имеющейся информации по мониторингу.
7.3. Привлечение внешних аудиторов и технических экспертов
Орган по
сертификации должен требовать от внешних аудиторов и технических экспертов
заключения письменного соглашения с обязательствами по соблюдению применяемой
политики и процедур, установленных органом по сертификации. Соглашение
должно предусматривать аспекты, связанные с конфиденциальностью и отсутствием
коммерческого и других интересов, а также требовать от внешних аудиторов и
технических экспертов уведомления о любых существующих или имевшихся ранее
связей с организацией, для проведения аудита в которой они могут быть
назначены.
Примечание.
Привлечение отдельных аудиторов и технических экспертов по таким договорам не
является привлечением соисполнителей (аутсорсингом), как это описано в 7.5.
7.4. Записи
о персонале
Орган по
сертификации должен поддерживать в актуализированном состоянии текущие записи о
работниках, включая их квалификацию, обучение, опыт работы, стаж работы в
организации, профессиональный статус, компетентность и любые консультационные
услуги, которые могут быть ими оказаны. Данное требование относится также к
руководящему и административному персоналу, помимо персонала, непосредственно
выполняющего работы по сертификации.
7.5. Привлечение соисполнителей (аутсорсинг)
7.5.1. Орган по
сертификации должен разработать процесс, в котором должны быть установлены
условия привлечения сторонних организаций (на условиях субподряда, для
выполнения части работ по сертификации от имени органа по сертификации). Орган
по сертификации должен соответствующим образом документально оформлять
юридически значимые соглашения, предусматривающие организацию деятельности, в
том числе в отношении соблюдения конфиденциальности и отсутствия конфликта
интересов с каждым органом, оказывающим подобного рода (аутсорсинговые)
услуги.
Примечание 1.
Данное положение относится также к привлечению сторонних органов по
сертификации. Привлечение на договорной основе аудиторов и технических
экспертов описано в 7.3.
Примечание 2. В
настоящем стандарте термины "аутсорсинг" и "выполнение работ на
условиях субподряда" являются синонимами.
7.5.2. Сторонние
организации не имеют права принимать решения о выдаче, подтверждении, обновлении,
приостановлении действия сертификата, расширении, сужении области сертификации
или отмене сертификата.
7.5.3. Орган по
сертификации должен:
a) нести полную
ответственность за работу, выполненную привлеченным сторонним органом;
b) убедиться, что
орган, работающий по договору субподряда, и привлеченные им лица соответствуют
требованиям органа по сертификации и выполняют положения настоящего стандарта,
в том числе в отношении компетентности, беспристрастности и конфиденциальности;
c) убедиться, что
орган, работающий по договору субподряда, и привлеченные им лица не связаны
непосредственно или через другого нанимателя с проверяемой организацией таким
образом, что это может повлиять на их беспристрастность.
7.5.4. Орган по
сертификации должен установить документированные процедуры по оценке
квалификации и мониторинга всех органов, оказывающих услуги по сертификации на
условиях аутсорсинга (субподряда), и обеспечить, чтобы записи о компетентности
аудиторов и технических экспертов поддерживались в рабочем состоянии.
8.
Требования к информации
8.1.
Информация, находящаяся в открытом доступе
8.1.1. Орган по сертификации должен делать общественно доступной или
предоставлять по запросу информацию, описывающую процессы аудита и
сертификации, связанные с выдачей, подтверждением, обновлением,
приостановлением сертификата, расширением, сужением области сертификации или
отменой сертификата, а также информацию о работах по сертификации, видах систем
менеджмента и географических зонах, в пределах которых данный орган
осуществляет свою деятельность.
8.1.2. Информация,
предоставляемая органом по сертификации заказчикам или рынку, включая рекламу,
должна быть точной и не должна вводить в заблуждение.
8.1.3.
Орган по сертификации должен обеспечить свободный доступ к информации о
выданных, приостановленных или отмененных сертификатах.
8.1.4. По запросу
любой стороны орган по сертификации должен предоставить свидетельства
законности проведенной сертификации.
Примечание 1. Если
общий объем информации содержится в нескольких источниках (например, в бумажном
или электронном виде), может быть внедрена система обеспечения прослеживаемости и отсутствия двусмысленности между
источниками (например, уникальная система нумерации или гиперссылки в сети
Интернет).
Примечание 2. В
исключительных случаях доступ к определенной информации может быть ограничен по
просьбе заказчика (например, по соображениям безопасности).
8.2.
Сертификационные документы
8.2.1. Орган по
сертификации должен выдавать сертификационные документы сертифицированному
клиенту любым выбранным им способом.
8.2.2. Дата
вступления в силу сертификационного документа (сертификата) не должна быть
более ранней, чем дата принятия решения о сертификации.
8.2.3. В
сертификационном документе должно быть определено следующее:
a) наименование и
географическое местоположение каждого заказчика, система менеджмента которого
была сертифицирована (или географическое местоположение его главного офиса и
производственных площадок, входящих в область сертификации организации со
многими производственными площадками);
b) даты выдачи
сертификата, расширения области применения или возобновления действия
сертификата;
c) срок действия
сертификата или дата проведения ресертификации в
соответствии с циклом прохождения ресертификации;
d) уникальный
идентификационный номер;
e) обозначение
стандарта и/или другого нормативного документа, включая обозначение действующей
и/или пересмотренной версии, используемого в ходе аудита сертифицированного
заказчика;
f) область
сертификации в отношении продукции (включая услуги), процесса и т.д., относящихся к каждой производственной площадке;
g) наименование,
адрес и знак органа по сертификации; другие знаки (например, символ
аккредитации) могут использоваться способом, не вводящим в заблуждение или не
допускающим неопределенного толкования;
h) любая
информация, требуемая стандартом и/или другим нормативным документом,
используемым при сертификации;
i) в случае выпуска
любых пересмотренных сертификационных документов должно предусматриваться их
отделение от устаревших.
8.3. Реестр
сертифицированных заказчиков (клиентов)
Орган по
сертификации должен поддерживать в рабочем состоянии и предоставлять свободный
или по запросу доступ с использованием любых средств, которые он выберет к
реестру действующих сертификатов. В реестре, как минимум, должно приводиться
наименование, соответствующий нормативный документ, область деятельности и
географическое местоположение (например, город или страна) каждого
сертифицированного заказчика (или географическое положение его главного офиса и
каждой производственной площадки при сертификации организации со многими производственными
площадками).
Примечание. Реестр
остается в единоличной собственности органа по сертификации.
8.4. Ссылка на сертификат и использование знаков соответствия
8.4.1. Орган по
сертификации должен установить политику управления знаками соответствия,
разрешенными для использования сертифицированными заказчиками. Среди прочего
должна обеспечиваться их прослеживаемость со стороны
органа по сертификации. В знаке или содержащемся в нем тексте не должно быть
неоднозначности относительно предмета сертификации и органа по сертификации,
выдавшего сертификат. Данный знак не должен использоваться на продукции или ее
упаковке, которую видит потребитель, или любым другим путем, который может
интерпретироваться как обозначение соответствия продукции.
Примечание.
Требования к использованию знаков соответствия третьей стороны приведены в
ИСО/МЭК 17030 [4].
8.4.2. Орган по
сертификации не должен допускать использования своих знаков соответствия в
отчетах о лабораторных испытаниях, о калибровке или инспекции, поскольку в
данном случае такие отчеты считаются продукцией.
8.4.3. Орган по
сертификации должен требовать, чтобы организация-заказчик:
a) выполняла
требования органа по сертификации при ссылках на свой сертифицированный статус
в средствах массовой информации, таких как сеть
Интернет, брошюры, реклама или другие документы;
b) не делала и не
допускала никаких вводящих в заблуждение высказываний относительно своего
сертификата;
c) не использовала
и не допускала использования сертификата или любой его части каким-либо
образом, вводящим в заблуждение;
d) при
приостановлении или отмене действия сертификата перестала ссылаться на него в
рекламных целях, как это установлено органом по сертификации (9.6.3 и 9.6.6);
e) внесла
коррективы в рекламу при сужении области применения сертификата;
f) не допускала,
чтобы ссылки на сертификат на систему менеджмента использовались каким-либо
образом, позволяющим предположить, что орган по сертификации сертифицировал
продукцию (включая услугу) или процесс;
g) не считала, что
действие сертификата распространяется и на деятельность, не охваченную областью
сертификации;
h) не использовала сертификат таким образом, который может негативно сказаться
на репутации органа по сертификации и/или сертифицированной системы и привести
к потере доверия общественности.
8.4.4. Орган по
сертификации должен надлежащим образом осуществлять контроль за правом владения
и предпринимать соответствующие действия в ответ на некорректные ссылки на
статус сертификации или вводящее в заблуждение использование сертификационных
документов, знаков соответствия или отчетов по результатам аудита.
Примечание. Данные
действия могут включать в себя требования по проведению коррекций и
корректирующих действий, приостановление, отмену действия сертификата,
публикацию информации о нарушении и, при необходимости, предъявление судебного
иска.
8.5. Конфиденциальность
8.5.1. Орган по сертификации должен сформулировать политику и условия,
отвечающие действующему законодательству, для обеспечения конфиденциальности
информации, полученной или созданной в ходе его деятельности по сертификации,
на всех уровнях своей структуры, включая комитеты (советы) и внешние органы или
лиц, действующих от его имени.
8.5.2. Орган по
сертификации должен заблаговременно уведомить заказчика о том, какую информацию
он предполагает сделать публичной. Любая другая информация, кроме той, которая
была раскрыта заказчиком, должна рассматриваться как конфиденциальная.
8.5.3. За
исключением тех случаев, которые описаны в настоящем стандарте и регулируются
его требованиями, информация о конкретном заказчике или частном лице не должна
раскрываться третьей стороне без получения письменного согласия заказчика или
частного лица. Если закон требует от органа по сертификации раскрытия
конфиденциальной информации третьей стороне, то заказчик или частное лицо
должны быть заблаговременно уведомлены о раскрытии информации в соответствии с
требованиями законодательства.
8.5.4. Информация о
заказчике, полученная из других источников (например, жалобы, информация от
надзорных органов), должна рассматриваться как конфиденциальная в соответствии
с политикой органа по сертификации.
8.5.5. Персонал,
включая членов любого комитета (совета), подрядчиков, персонал внешних органов
или лица, действующие от имени органа по сертификации, должны сохранять
конфиденциальность всей информации, полученной или созданной данным органом в
ходе его деятельности по сертификации.
8.5.6. Орган по
сертификации должен иметь и использовать оборудование и средства,
обеспечивающие безопасность хранения конфиденциальной информации (например,
документов, записей).
8.5.7. Если
конфиденциальная информация предоставляется другим органам (например, органу по
аккредитации, группе соглашения в схеме взаимной оценки), орган по сертификации
должен уведомить об этом заказчика (клиента).
8.6. Обмен
информацией между органом по сертификации и заказчиками
8.6.1.
Информация о деятельности по сертификации и требованиях
Орган по
сертификации должен обеспечивать, обновлять и снабжать заказчиков:
a) подробным
описанием деятельности по сертификации в начальном и
последующих периодах, включая подачу заявки, первичный аудит, надзорные аудиты
(инспекционный контроль), а также процессы выдачи, подтверждения,
приостановления действия сертификата, сужения, расширения области сертификации,
отмены действия сертификата и ресертификации;
b) нормативными
требованиями к сертификации;
c) информацией о
стоимости подачи заявки, первичной и последующей сертификации;
d) следующими
требованиями органа по сертификации к будущим заказчикам:
1) соответствовать
требованиям к сертификации;
2) выполнять все
условия, необходимые для проведения аудитов, включая предоставление
документации для проверки и доступ ко всем процессам и участкам, записям и
персоналу для проведения первичной сертификации, надзорного аудита
(инспекционного контроля) и ресертификации, а также
анализа жалоб;
3) обеспечивать,
при необходимости, присутствие наблюдателей (например, аудиторов по
аккредитации или аудиторов-стажеров);
e) документами, в
которых описаны права и обязанности сертифицированных заказчиков, включая
требования о том, что при коммуникациях любого вида ссылки на свой
сертифицированный статус должны осуществлять согласно требованиям 8.4;
f) информацией о
процедурах рассмотрения жалоб и апелляций.
8.6.2.
Информирование об изменениях со стороны органа по сертификации
Орган по
сертификации должен своевременно уведомлять сертифицированных заказчиков обо
всех изменениях своих требований к сертификации, а также убедиться, что каждый
сертифицированный заказчик соблюдает новые требования.
Примечание. Данные
требования должны быть в обязательном порядке включены в условия договора с
сертифицированным заказчиком. Модель лицензионного соглашения об использовании
сертификата <1>, включая аспекты, связанные с уведомлением об изменениях,
насколько это применимо, приведена в приложении Е
Руководства ИСО/МЭК 28 [5].
8.6.3.
Уведомление об изменениях со стороны заказчика
Орган по
сертификации должен установить юридически обоснованные требования для
обеспечения того, чтобы сертифицированный заказчик немедленно информировал
орган по сертификации обо всех вопросах, которые могут оказать влияние на
способность системы менеджмента соответствовать требованиям стандарта, на
соответствие которому проводилась сертификация. Данное требование относится
также к изменениям, связанным, например, с:
a) юридическим,
коммерческим, организационным статусом или формой собственности;
b) структурой
организации и менеджментом (например, с ведущим управленческим персоналом,
принимающим решения, или техническим персоналом);
c) контактным
адресом и производственными площадками;
d) областью
деятельности в рамках сертифицированной системы менеджмента;
e) важными
изменениями в системе менеджмента или процессах.
Примечание. Модель
лицензионного соглашения об использовании сертификата <1>, включая
аспекты, связанные с уведомлением об изменениях, насколько это применимо,
приведена в приложении Е Руководства ИСО/МЭК 28 [5].
--------------------------------
<1> В соответствии с действующим законодательством
Российской Федерации лицензионное соглашение об использовании сертификата не
применяется.
9. Требования к процессу
9.1. Общие
требования
9.1.1. Программа
аудита должна включать в себя проведение двухэтапного первичного аудита,
надзорных аудитов (инспекционного контроля) в течение первого и второго года и ресертификационного аудита - в течение третьего года до
истечения срока действия сертификата. Трехлетний цикл сертификации начинается с
принятия решения о сертификации или ресертификации.
При определении программы аудита и внесении в нее каких-либо изменений должны
быть учтены размеры организации-заказчика, область применения и сложность ее
системы менеджмента, продукция и процессы, а также продемонстрированный уровень
результативности системы менеджмента и результаты предыдущих аудитов. Если
орган по сертификации учитывает уже проведенный у заказчика сертификационный
или другой аудит, он должен собрать достаточную доступную для проверки информацию
для обоснования любых изменений в программе аудита и зарегистрировать это.
9.1.2. Орган по
сертификации должен обеспечить составление плана для каждого аудита, чтобы
предоставить основу для соглашения о проведении аудита
и графика действий по аудиту. План аудита должен быть основан на
документированных требованиях органа по сертификации, разработанных в
соответствии с руководящими указаниями, приведенными в ИСО 19011.
9.1.3.
Орган по сертификации должен установить процесс отбора и назначения аудиторской
группы, включая ее руководителя, принимая во внимание компетентность,
необходимую для достижения целей аудита. Этот процесс должен быть основан на
документированных требованиях, разработанных в соответствии с руководящими
указаниями, приведенными в ИСО 19011.
9.1.4.
Орган по сертификации должен установить документированные процедуры по
определению трудоемкости аудита. Для каждого заказчика орган по сертификации
должен установить время, необходимое для планирования, а также для полного и
результативного завершения аудита системы менеджмента заказчика. Трудоемкость
аудита, установленная органом по сертификации, и ее обоснование должны быть
зарегистрированы. При установлении трудоемкости аудита орган по сертификации
должен, помимо прочего, учитывать следующее:
a) требования
соответствующего стандарта на систему менеджмента;
b) размер и
сложность (организации);
c) технологические
особенности, законодательное регулирование;
d) привлечение
соисполнителей (аутсорсинг) для любой деятельности, охватываемой системой
менеджмента;
e) результаты любых
предыдущих аудитов;
f) число
производственных площадок и вопросы, связанные с проведением на них аудита.
9.1.5. Если в ходе
аудита выборочно проверяются производственные площадки, находящиеся в различных
местах и осуществляющие аналогичную деятельность, охватываемую системой
менеджмента заказчика, орган по сертификации должен разработать программу
выборки, чтобы обеспечить надлежащее проведение аудита системы менеджмента.
Обоснование плана проведения выборки для каждого заказчика должно быть
документировано.
9.1.6. Задачи,
поставленные перед аудиторской группой, должны быть определены и сообщены
организации-заказчику; при этом аудиторская группа должна:
a) оценить и
проверить на соответствие требованиям структуру, политику, процессы, процедуры,
записи и другие документы организации-заказчика, относящиеся к системе
менеджмента;
b) определить,
удовлетворяют ли процессы всем требованиям в отношении предполагаемой области
сертификации;
c) удостовериться,
что процессы и процедуры были разработаны, внедрены и поддерживаются в рабочем
состоянии с целью обеспечения доверия к системе менеджмента заказчика;
d) сообщить
заказчику о возможных действиях при возникновении противоречий между политикой,
целями и задачами заказчика (согласующимися с ожиданиями в соответствующем
стандарте на систему менеджмента или другом нормативном документе) и
результатами.
9.1.7. Орган по
сертификации должен своевременно назвать организации-заказчику фамилии и, по запросу,
предоставить любую информацию о каждом члене аудиторской группы, чтобы заказчик
мог выразить свое несогласие с назначением какого-либо аудитора или
технического эксперта, а орган по сертификации имел возможность переформировать
группу при наличии для этого объективных причин.
9.1.8. План и дата
проведения аудита должны быть сообщены и согласованы с организацией-заказчиком
заранее.
9.1.9. Орган по
сертификации должен разработать и документировать требования к процессу
проведения аудитов на местах в соответствии с руководящими указаниями,
приведенными в ИСО 19011.
Примечание 1.
Термин "на месте", помимо посещения физического местоположения
(например, завода), может включать в себя удаленный доступ к веб-сайту(ам), содержащему(им) информацию,
имеющую отношение к аудиту системы менеджмента.
Примечание 2.
Термин "проверяемая организация", используемый в ИСО 19011, означает
организацию, в которой проводится аудит.
9.1.10. Орган по
сертификации должен предусматривать подготовку письменного отчета по каждому
аудиту. Отчет должен быть составлен в соответствии с руководящими указаниями,
приведенными в ИСО 19011. Аудиторская группа может определить возможности для
улучшения, но не имеет права рекомендовать конкретные решения. Право
собственности на отчет по аудиту должен сохранять за собой орган по
сертификации.
9.1.11. Орган по
сертификации должен требовать от заказчика проведения в установленные сроки
анализа причин и определения, какие коррекции и корректирующие действия были
предприняты или планируются для устранения выявленных несоответствий.
9.1.12. Орган по
сертификации должен проанализировать предложенные заказчиком коррекции и
корректирующие действия для определения их приемлемости.
9.1.13. Проверяемая
организация должна быть уведомлена о том, какой дополнительный полный или
сокращенный аудит или документированные свидетельства (подлежащие проверке в
ходе будущих надзорных аудитов (инспекционного контроля)) могут потребоваться
для подтверждения результативности коррекций и корректирующих действий.
9.1.14. Орган по
сертификации должен обеспечить, чтобы лица или члены комитетов (советов),
которые принимали решения о сертификации или ресертификации,
не принимали участия в аудитах.
9.1.15. До принятия
решения орган по сертификации должен подтвердить, что:
a) информация,
предоставленная аудиторской группой, в достаточной степени охватывает
требования к сертификации и область сертификации;
b) он
проанализировал, признал и проверил результативность коррекций и корректирующих
действий в отношении всех несоответствий, которые представляют собой:
1) невыполнение
одного или более требований стандарта на систему менеджмента;
2) наличие
ситуации, которая ставит под существенное сомнение способность системы
менеджмента заказчика достигнуть намеченных результатов;
c) он проанализировал
и принял запланированные коррекции и корректирующие действия в отношении всех
других несоответствий.
9.2.
Первичный аудит и сертификация
9.2.1. Подача
заявки
Орган по
сертификации должен затребовать у уполномоченного представителя организации,
подавшей заявку, предоставления необходимой информации, чтобы установить:
a) планируемую
область сертификации;
b) основные
характеристики организации, подавшей заявку, включая ее наименование и
физический(е) адрес(а), важнейшие аспекты ее
деятельности и процессов, а также соответствующие обязательства, вытекающие из
законодательства;
c) сведения общего
характера, относящиеся к сфере, охватываемой сертификацией, в отношении
деятельности организации, подавшей заявку, человеческих и технических ресурсов,
функций и отношений в рамках корпорации, при ее наличии;
d) сведения обо
всех процессах, переданных организацией, подавшей заявку, сторонним
организациям, которые могут влиять на соответствие требованиям;
e) стандарты или
другие требования, по которым организация, подавшая заявку, намерена
сертифицироваться;
f) информацию
относительно использования консультирования по системе менеджмента.
9.2.2.
Анализ заявки
9.2.2.1. До
проведения аудита орган по сертификации должен проанализировать заявку и
дополнительную информацию, имеющую отношение к сертификации, с целью
удостовериться в том, что:
a) информация об
организации, подавшей заявку, и ее системе менеджмента является достаточной для
проведения аудита;
b) требования к
сертификации четко определены, документированы и предоставлены организации,
подавшей заявку;
c) любые известные
разногласия в понимании требований между органом по сертификации и
организацией, подавшей заявку, были устранены;
d) орган по
сертификации обладает компетентностью и возможностями для осуществления
деятельности по сертификации;
e) были приняты во
внимание желаемая область сертификации, место(а)
осуществления деятельности организации, подавшей заявку, период времени,
необходимый для проведения аудита, и любые другие аспекты, влияющие на
деятельность по сертификации (язык, условия безопасности, угрозы беспристрастности
и т.д.);
f) записи об
обосновании принятия решения о проведении аудита
поддерживаются в рабочем состоянии.
9.2.2.2. На
основе данного анализа орган по сертификации должен определить уровень
компетентности, необходимый для формирования аудиторской группы и для принятия
решения о сертификации.
9.2.2.3.
Аудиторская группа должна назначаться и формироваться из числа аудиторов (и
технических экспертов, при необходимости), которые в совокупности обладают
компетентностью, идентифицированной органом по сертификации, как установлено в
9.2.2.2 для сертификации организации, подавшей заявку. Подбор членов группы
должен проводиться на основе требуемого уровня компетентности аудиторов и
технических экспертов, определенного в 7.2.5, при этом могут привлекаться как
внутренние, так и внешние человеческие ресурсы.
9.2.2.4. Лицо(а), которое(ые) будет(ут) принимать решение о сертификации должно(ы) назначаться
с учетом наличия соответствующей компетентности (см. 7.2.9 и 9.2.2.2).
9.2.3. Первичный
сертификационный аудит
Первичный
сертификационный аудит системы менеджмента должен проводиться в два этапа.
9.2.3.1. Проведение
первого этапа аудита
9.2.3.1.1. Первый
этап аудита должен проводиться с целью:
a) проверки
документации системы менеджмента заказчика;
b) оценки
местоположения заказчика и специфических условий размещения производственных
площадок, а также с целью обсуждения с персоналом заказчика готовности ко
второму этапу аудита;
c) анализа
состояния заказчика и понимания им требований стандарта, в частности тех,
которые относятся к идентификации ключевых видов деятельности, или значимых
аспектов, процессов, целей, а также к функционированию системы менеджмента;
d) сбора
необходимой информации относительно области применения системы менеджмента,
процессов и местоположения заказчика, а также соответствующих нормативных и
законодательных требований и соответствия им (например, в отношении
деятельности заказчика в области качества, охраны окружающей среды, правовых
аспектов деятельности заказчика, связанных рисков и т.д.);
e) анализа
распределения ресурсов для проведения второго этапа аудита и согласования с
заказчиком деталей второго этапа аудита;
f) обеспечения
правильной расстановки акцентов при планировании второго этапа аудита на основе
достижения четкого понимания системы менеджмента заказчика
и функционирования производственных площадок в контексте возможных значимых
аспектов;
g) оценки того,
были ли спланированы и проведены внутренние аудиты и анализ со стороны
руководства, и что уровень внедрения системы менеджмента является достаточным
для признания готовности заказчика к проведению второго этапа аудита.
Для большинства
систем менеджмента рекомендуется, чтобы для достижения указанных выше целей, по
крайней мере, часть аудита на первом этапе проводилась на территории заказчика.
9.2.3.1.2.
Наблюдения, полученные на первом этапе аудита, должны быть документированы и
сообщены заказчику, включая указание на проблемные области, которые могут быть
классифицированы как несоответствия в ходе второго этапа аудита.
9.2.3.1.3. При
установлении промежутка времени между проведением первого и второго этапов
аудита должны быть рассмотрены потребности заказчика, связанные с устранением
проблемных областей, выявленных в ходе первого этапа аудита. Органу по
сертификации также может потребоваться время на корректировку мероприятий по
подготовке ко второму этапу аудита.
9.2.3.2. Проведение
второго этапа аудита
Целью проведения
второго этапа аудита является оценка внедрения, включая результативность,
системы менеджмента заказчика. Второй этап аудита должен проводиться
непосредственно у заказчика. Он должен включать в себя, по крайней мере, анализ
следующего:
a) информация и
свидетельства соответствия всем требованиям применяемого стандарта на систему
менеджмента или другого нормативного документа;
b) мониторинг,
измерение, регистрацию и анализ функционирования по ключевым показателям целей
и задач (согласующихся с ожиданиями в применяемом стандарте на систему
менеджмента или другом нормативном документе);
c) соответствие
системы менеджмента и деятельности заказчика законодательству;
d) управление
заказчиком своими процессами;
e) проведение
внутренних аудитов и анализа со стороны руководства;
f) ответственность
руководства за политику заказчика;
g) взаимосвязь
между нормативными требованиями, политикой, целями функционирования и задачами
(с точки зрения их соответствия ожиданиям применяемого стандарта на систему
менеджмента или другого нормативного документа), всеми применимыми требованиями
законодательства, ответственностью, компетентностью персонала, операциями,
процедурами, показателями функционирования с одной стороны и результатами
внутренних аудитов и заключениями по ним с другой.
9.2.4. Заключения
по итогам первичного сертификационного аудита
Аудиторская группа
должна рассмотреть всю информацию и свидетельства аудита, полученные на первом
и втором этапах аудита, чтобы на основе анализа результатов аудита прийти к
соглашению относительно заключения по аудиту.
9.2.5. Информация,
необходимая для признания первичной сертификации
9.2.5.1.
Информация, предоставляемая аудиторской группой в орган по сертификации для
принятия решения, должна, как минимум, включать в себя:
a) отчеты по
аудиту;
b) комментарии по
несоответствиям и, где применимо, коррекциям и корректирующим действиям, предпринимаемым
заказчиком;
c) подтверждение
информации, предоставленной органу по сертификации и использованной при анализе
заявки (9.2.2);
d) рекомендации
относительно выдачи или отказа в выдаче сертификата со всеми условиями
осуществления этого и замечаниями аудиторов.
9.2.5.2. Орган по
сертификации должен принять решение о сертификации на основе оценки аудиторских
наблюдений и заключения по результатам аудита, а также любой другой относящейся
к этому вопросу информации (например, общедоступной информации, комментариев к
отчету по аудиту со стороны заказчика).
9.3.
Деятельность по надзору (инспекционному контролю)
9.3.1. Общие
положения
9.3.1.1. Орган по
сертификации должен разработать мероприятия по надзору (инспекционному
контролю), чтобы на постоянной основе осуществлять мониторинг представительных
областей и функций, охваченных системой менеджмента, а также учитывать
изменения, относящиеся к сертифицированному заказчику и его системе
менеджмента.
9.3.1.2.
Деятельность по надзору (инспекционному контролю) должна включать в себя
проведение аудитов на месте с целью оценки соответствия
сертифицированной системы менеджмента заказчика определенным требованиям
стандарта, на соответствие которому выдан сертификат. Другие действия по
надзору (инспекционному контролю) могут включать в себя:
a) запросы органа
по сертификации сертифицированному заказчику по аспектам сертификации;
b) анализ заявлений
заказчика, касающихся его деятельности (например, рекламных материалов,
веб-сайта);
c) запросы
заказчику по предоставлению документов и записей (на бумаге или электронных
носителях);
d) другие способы
мониторинга деятельности сертифицированного заказчика.
9.3.2. Надзорный
аудит (инспекционный контроль)
9.3.2.1. Надзорные
аудиты (инспекционный контроль) - это аудиты, проводимые на местах, но они
необязательно подразумевают полный аудит системы и должны планироваться вместе
с другими мероприятиями по надзору таким образом, чтобы позволить органу по
сертификации сохранять уверенность в том, что сертифицированная система
менеджмента продолжает соответствовать требованиям в периоды между ресертификационными аудитами. Программа надзорных аудитов
(инспекционного контроля) должна предусматривать, по крайней мере, следующее:
a) внутренние
аудиты и анализ со стороны руководства;
b) анализ действий,
предпринятых в отношении несоответствий, выявленных в ходе предыдущего аудита;
c) обращение с
жалобами;
d) результативность
системы менеджмента в части достижения целей, установленных сертифицированным
заказчиком;
e) прогрессе реализации запланированных мероприятий, нацеленных
на постоянное улучшение;
f) непрерывное
управление операциями;
g) анализ
изменений, а также
h) использование
знаков соответствия и/или любых других ссылок на сертификацию.
9.3.2.2. Надзорные
аудиты (инспекционный контроль) должны проводиться, по крайней мере, один раз в
год. Проведение первого надзорного аудита (инспекционного контроля) с момента
первоначальной сертификации должно быть не позже чем через 12 мес после последнего дня второго
этапа аудита.
9.3.3.
Подтверждение сертификации
Орган по
сертификации должен подтверждать сертификацию на основе демонстрации того, что
заказчик продолжает выполнять требования стандарта на систему менеджмента.
Орган по сертификации может подтверждать сертификацию заказчика, руководствуясь
положительным заключением руководителя аудиторской группы, без проведения
последующего независимого анализа, при условии, что:
a) в органе
по сертификации действует система, согласно которой при выявлении любого несоответствия
или другой ситуации, которая может привести к приостановлению или отмене
сертификации, руководитель аудиторской группы сообщает органу по сертификации о
необходимости проведения анализа этого факта персоналом, имеющим
соответствующий уровень компетентности (7.2.9) и не принимавшим участие в
аудите с целью определения возможности подтверждения сертификации;
b) компетентный
персонал органа по сертификации осуществляет мониторинг деятельности по надзору
(инспекционному контролю), включая мониторинг отчетности аудиторов, с целью
подтверждения того, что деятельность по сертификации осуществляется
результативно.
9.4. Ресертификация
9.4.1. Планирование
ресертификационного аудита
9.4.1.1. Ресертификационный аудит планируют и проводят с целью
оценивания постоянного выполнения всех требований соответствующего стандарта на
систему менеджмента или другого нормативного документа. Целью ресертификационного аудита является подтверждение
постоянства соответствия и результативности системы менеджмента в целом, а также
ее постоянной пригодности в рамках области сертификации.
9.4.1.2. При ресертификационном аудите должно рассматриваться
функционирование системы менеджмента в течение периода действия сертификата,
включая анализ отчетов о предыдущих надзорных аудитах (инспекционных
контролях).
9.4.1.3. В ходе ресертификационного аудита может потребоваться проведение
первого этапа аудита в случаях, если произошли значительные изменения в системе
менеджмента у заказчика или в условиях функционирования системы менеджмента (например,
изменения в законодательстве).
9.4.1.4. При
большом числе производственных площадок или сертификации по нескольким
стандартам на системы менеджмента при планировании аудита
орган по сертификации должен обеспечить адекватность выбранных для аудита
производственных площадок в отношении обеспечения доверия к сертификации.
9.4.2. Ресертификационный аудит
9.4.2.1. Ресертификационный аудит должен включать в себя аудит, в
ходе которого анализируют следующее:
a) результативность
системы менеджмента в целом с учетом внутренних и внешних изменений, а также
постоянство ее соответствия и применимости в области сертификации;
b) демонстрацию
выполнения обязательства по поддерживанию результативности и совершенствованию
системы менеджмента с целью улучшения деятельности организации-заказчика в
целом;
c) способствует ли
функционирование сертифицированной системы менеджмента реализации принятой
политики и достижению целей организации.
9.4.2.2. Если в
ходе ресертификационного аудита фиксируются
несоответствия или отсутствуют достаточные свидетельства соответствия, орган по
сертификации должен установить время, за которое должны быть выполнены
коррекции и корректирующие действия до истечения срока действия сертификата.
9.4.3. Информация,
используемая для выдачи нового сертификата
Решение о выдаче
нового сертификата орган по сертификации должен принимать на основе результатов
ресертификационного аудита и анализа функционирования
системы за период действия сертификата, а также рассмотрения жалоб, полученных
от сторон, использовавших факт предыдущей сертификации.
9.5.
Специальные аудиты
9.5.1. Расширение
области сертификации
На основании заявки
о расширении области действия ранее выданного сертификата орган по сертификации
должен провести анализ заявки и определить действия по аудиту, необходимые для
принятия соответствующего решения. Это можно осуществить в сочетании с
надзорным аудитом (инспекционным контролем).
9.5.2. Внеплановые
аудиты
Органу по
сертификации может потребоваться проведение внепланового аудита
сертифицированного заказчика. При рассмотрении жалоб (9.8), наличии изменений
(8.6.3) или вследствие приостановления действия сертификата заказчика (9.6)
органу по сертификации может потребоваться проведение внепланового аудита, при
этом:
a) орган по
сертификации должен обосновать и заранее в письменном виде уведомить
сертифицированного заказчика (например, в документах, указанных в 8.6.1) об
условиях, на которых будут осуществляться внеплановые визиты, а также
b) орган по
сертификации должен очень тщательно рассмотреть состав аудиторской группы по
причине отсутствия у заказчика возможности опротестовать участников аудиторской
группы.
9.6. Приостановление, отмена действия сертификата или сужение области
сертификации
9.6.1. Орган по
сертификации должен установить политику и документированные процедуры по
приостановлению, отмене действия сертификата или сужению области сертификации и
указать последующие за этим действия органа по сертификации.
9.6.2. Орган по
сертификации должен приостановить действие сертификата в случаях, если,
например:
- сертифицированная
система менеджмента заказчика постоянно или в значительной мере не может
выполнить сертификационные требования, включая требования к результативности
системы менеджмента;
- сертифицированный
заказчик не позволяет проводить надзорные (инспекционный контроль) или ресертификационные аудиты с требуемой периодичностью;
- сертифицированный
заказчик добровольно сделал запрос о приостановлении действия сертификата.
9.6.3.
После приостановления действия сертификат на систему менеджмента заказчика
становится временно недействительным. Орган по сертификации должен иметь
юридически значимое соглашение с заказчиком, позволяющее гарантировать, что в
случае приостановления действия сертификата заказчик воздержится от дальнейших
рекламных действий, ссылающихся на наличие сертификата. Орган по сертификации
должен сделать общественно доступной информацию относительно статуса
приостановленного сертификата (8.1.3) и предпринять любые другие меры, которые
сочтет нужными.
9.6.4.
Неспособность разрешить проблемы, из-за которых было приостановлено действие
сертификата, установленные органом по сертификации, приводит к отмене действия
сертификата или сужению области сертификации.
Примечание. В
большинстве случаев период приостановления действия сертификата должен быть не
более 6 мес.
9.6.5. Орган по
сертификации должен сузить область сертификации заказчика, чтобы исключить
области, не удовлетворяющие требованиям, если заказчик постоянно или в
значительной степени не может выполнить сертификационные требования
применительно к этим областям. Любое сужение области сертификации должно
осуществляться в соответствии с требованиями стандарта, используемого при
сертификации.
9.6.6.
Орган по сертификации должен иметь юридически значимое соглашение с
сертифицированным заказчиком относительно условий отмены действия сертификата
(8.4.3, d)), обеспечивающее, что после получения уведомления об отмене действия
сертификата заказчик прекратит использовать в каких-либо рекламных целях ссылку
на свой сертифицированный статус.
9.6.7. По запросу
любой стороны орган по сертификации должен предоставлять точные сведения
относительно статуса сертификации системы менеджмента заказчика: приостановлено,
отменено действие сертификата или сужена область сертификации.
9.7.
Апелляции
9.7.1. Орган по
сертификации должен иметь документированный процесс получения, оценки и
принятия решений, связанных с апелляциями.
9.7.2. Описание
процесса рассмотрения апелляций должно быть общественно доступным.
9.7.3. Орган по
сертификации должен нести ответственность за все решения, принятые на всех
уровнях, задействованных в процессе рассмотрения апелляций. Орган по
сертификации должен обеспечивать, чтобы лица, вовлеченные в процесс
рассмотрения апелляций, не участвовали в соответствующих аудитах и не принимали
решения по сертификации.
9.7.4. Деятельность
по подаче, исследованию и принятию решений, связанных с апелляциями, не должна
носить какой-либо дискриминационный характер по отношению к предъявителю
апелляции.
9.7.5. Процесс
рассмотрения апелляций должен включать в себя, по крайней мере, следующие
элементы и методы:
a) схему процесса
получения, признания обоснованности и исследования апелляции, а также принятия
решения о том, какие ответные действия должны быть предприняты с учетом
результатов предыдущих подобных апелляций;
b) сопровождение и
регистрацию действий, предпринимаемых для решения по апелляциям;
c) обеспечение,
чтобы были выполнены соответствующие коррекции и корректирующие действия.
9.7.6. Орган по
сертификации должен подтвердить получение апелляции и предоставлять
ее предъявителю отчеты о ходе ее рассмотрения и сообщать о результатах.
9.7.7. Решение,
которое должно быть сообщено предъявителю апелляции, должно быть принято или
проанализировано и подтверждено лицом (лицами), ранее не имевшими отношения к
предмету апелляции.
9.7.8. Орган по
сертификации должен официально уведомить предъявителя апелляции об окончании
процесса рассмотрения апелляций.
9.8. Жалобы
9.8.1. Описание
процесса рассмотрения жалоб должно быть общедоступным.
9.8.2. При
получении жалобы орган по сертификации должен убедиться, относится ли она к
деятельности по сертификации, за которую данный орган несет ответственность, и
если это так, то рассмотреть жалобу. Если жалоба имеет отношение к
сертифицированному заказчику, то при ее исследовании основное внимание должно
быть направлено на результативность сертифицированной системы менеджмента.
9.8.3. Орган по
сертификации должен в установленный срок передать сертифицированному заказчику
относящуюся к нему жалобу.
9.8.4. Орган по
сертификации должен документировать процесс получения, оценки и принятия
решений, связанных с жалобами. К данному процессу должны применяться требования
конфиденциальности в части, относящейся к предъявителю жалобы и ее предмету.
9.8.5. Процесс
рассмотрения жалоб должен включать в себя, по крайней мере, следующие элементы
и методы:
a) схему процесса
получения, признания обоснованности, расследования жалобы, а также принятия
решения о том, какие ответные действия должны быть предприняты;
b) сопровождение и
регистрацию жалоб, включая действия, предпринимаемые для их удовлетворения;
c) обеспечение,
чтобы были выполнены соответствующие коррекции и корректирующие действия.
Примечание.
Руководство по управлению жалобами приведено в ИСО 10002 [2].
9.8.6. При
получении жалобы орган по сертификации должен нести ответственность за сбор и
проверку всей информации, необходимой для оценки обоснованности жалобы.
9.8.7. Всякий раз,
при возможности, орган по сертификации должен подтвердить получение жалобы и предоставлять ее предъявителю отчеты о ходе рассмотрения
жалобы и сообщать о результатах.
9.8.8. Решение,
которое должно быть сообщено предъявителю жалобы, должно быть принято или
проанализировано и подтверждено лицом (лицами), не имевшим(и)
отношения к предмету жалобы.
9.8.9. Всякий раз,
при возможности, орган по сертификации должен официально уведомить предъявителя
жалобы об окончании процесса ее рассмотрения.
9.8.10. Орган по
сертификации совместно с заказчиком и предъявителем жалобы должны определить,
необходимо ли, и если да, то в какой степени, разглашать предмет жалобы и
сделанное по ней заключение.
9.9. Записи о заявителях и заказчиках
9.9.1. Орган по
сертификации должен поддерживать в рабочем состоянии записи об аудите и другой
деятельности по всем заказчикам, включая все организации, подавшие заявки,
прошедшие аудит, сертифицированные, а также организации, действие сертификатов
которых было приостановлено или отменено.
9.9.2. Записи о
сертифицированных заказчиках должны включать в себя:
a) информацию о
заявке и отчеты о первичном, надзорном (инспекционном
контроле) и ресертификационном аудите;
b) договор на
сертификацию;
c) обоснование
метода, используемого для выборки;
d) обоснование
трудоемкости аудита (9.1.4);
e) результаты
верификации коррекций и корректирующих действий;
f) записи о жалобах
и апелляциях, а также последующих коррекциях и корректирующих действиях;
g) протоколы и
решения комитета (совета), если применимо;
h) документацию по
принятию решений о сертификации;
i) сертификационные
документы, содержащие область сертификации в отношении продукции, процесса или
услуги, в зависимости от обстоятельств;
j) связанные
записи, необходимые для обеспечения доверия к сертификации, такие как
свидетельства компетентности аудиторов и технических экспертов.
Примечание. Метод
выборочного исследования включает в себя определение выборки, используемой для
оценки конкретной системы менеджмента, и/или выбор производственных площадок
при оценке организаций со многими производственными площадками.
9.9.3. Орган по
сертификации должен обеспечивать защиту записей о заявителях и заказчиках,
гарантируя при этом соблюдение конфиденциальности информации.
Транспортирование, пересылка или передача записей должна осуществляться
способом, обеспечивающим сохранение их конфиденциальности.
9.9.4. Орган по
сертификации должен иметь документированную политику и документированные
процедуры хранения записей. Записи должны храниться на протяжении текущего
цикла сертификации и еще одного полного цикла.
Примечание. В некоторых
странах законодательством установлен более длительный срок хранения записей.
10. Требования к системе менеджмента
органов по
сертификации
10.1.
Варианты
Орган по
сертификации должен разработать и поддерживать в рабочем состоянии систему
менеджмента, способную обеспечивать и демонстрировать устойчивое выполнение
требований настоящего стандарта. В дополнение к требованиям, изложенным в
разделах 5 - 9, орган по сертификации должен внедрить систему менеджмента
согласно:
a) требованиям к
системе менеджмента, установленным в ИСО 9001 [1] (10.2), или
b) общим
требованиям, предъявляемым к системам менеджмента (10.3).
10.2. Вариант 1. Требования к системе менеджмента, установленные в ИСО
9001 [1]
10.2.1. Общие
положения
Орган по сертификации
должен разработать и поддерживать в рабочем состоянии систему менеджмента,
соответствующую требованиям ИСО 9001, способную обеспечивать и демонстрировать
постоянное выполнение требований 10.2.2 - 10.2.5 настоящего стандарта.
10.2.2. Область
применения
Для обеспечения
выполнения требований ИСО 9001 [1] область применения системы менеджмента
органа по сертификации должна включать в себя требования к проектированию и
разработке услуг по сертификации.
10.2.3. Ориентация
на потребителя
Для того, чтобы система менеджмента соответствовала требованиям ИСО
9001 [1], орган по сертификации должен обеспечить доверие к сертификации и
учесть потребности всех заинтересованных сторон (4.1.2), которые полагаются на
услуги по аудиту и сертификации, а не только своих заказчиков.
10.2.4. Анализ со
стороны руководства
Для того чтобы
система менеджмента соответствовала требованиям ИСО 9001 [1], орган по
сертификации должен использовать информацию об апелляциях и жалобах
пользователей услуг по сертификации как входные данные анализа со стороны
руководства.
10.2.5.
Проектирование и разработка
При разработке
новой или адаптации к изменившимся обстоятельствам существующей схемы
сертификации систем менеджмента для того, чтобы система соответствовала
требованиям ИСО 9001 [1], орган по сертификации должен обеспечить включение
руководящих указаний, приведенных в ИСО 19011, относящихся к аудиту третьей
стороны, были включены в качестве входных данных для разработки.
10.3. Вариант 2. Общие требования к системе менеджмента
10.3.1. Общие
положения
Орган по
сертификации должен разработать, документировать, внедрить и поддерживать в
рабочем состоянии систему менеджмента, способную поддерживать и демонстрировать
постоянное выполнение требований настоящего стандарта.
Высшее руководство
органа по сертификации должно установить и документировать политику и цели
деятельности органа, а также обеспечивать наличие свидетельств
своей приверженности разработке и внедрению системы менеджмента в
соответствии с требованиями настоящего стандарта. Высшее руководство должно
обеспечить, чтобы политика была понята, внедрена и поддерживалась в рабочем
состоянии на всех уровнях органа по сертификации.
Высшее руководство
органа по сертификации должно назначить представителя из состава руководства,
который независимо от других обязанностей должен нести ответственность и иметь
полномочия, распространяющиеся на:
a) обеспечение разработки,
внедрения и поддерживания в рабочем состоянии процессов и процедур, требуемых
системой менеджмента;
b) представление
отчетов высшему руководству о функционировании системы менеджмента и
необходимости ее улучшения.
10.3.2. Руководство
по системе менеджмента
Все применимые
требования настоящего стандарта должны быть представлены либо в руководстве (по
системе менеджмента), либо в связанных с ним документах. Орган по сертификации
должен обеспечивать, чтобы руководство (по системе менеджмента) и связанные с
ним документы были доступны для соответствующего персонала.
10.3.3. Управление
документами
Орган по
сертификации должен разработать процедуры для управления документами
(внутреннего и внешнего происхождения), относящиеся к соблюдению требований
настоящего стандарта. Данные процедуры должны предусматривать использование
средств управления, необходимых для:
a) проверки
документов на адекватность до их выпуска;
b) анализа и
актуализации документов по мере необходимости и их переутверждения;
c) обеспечения
идентификации изменений и статуса пересмотра документов;
d) обеспечения
наличия действующих версий документов в местах их применения;
e) обеспечения
сохранения документов четкими и легко
идентифицируемыми;
f) обеспечения
идентификации документов внешнего происхождения и управления их рассылкой;
g) предотвращения
непреднамеренного использования устаревших документов и применения
соответствующей идентификации таких документов, оставленных для каких-либо
целей.
Примечание.
Документация может быть выполнена в любой форме или представлена на любом типе
носителя.
10.3.4. Управление
записями
Орган по
сертификации должен разработать процедуры по определению средств управления,
требуемых при идентификации, хранении, защите, восстановлении, определении
сроков хранения и изъятии записей, связанных с выполнением требований
настоящего стандарта.
Орган по
сертификации должен разработать процедуры для обеспечения сохранности записей в
течение периода времени, установленного в договорах и законодательных актах.
Доступ к этим записям должен соответствовать условиям конфиденциальности.
Примечание.
Требования к записям о сертифицированных заказчиках приведены также в 9.9.
10.3.5. Анализ со
стороны руководства
10.3.5.1. Общие
положения
Высшее руководство
органа по сертификации должно установить процедуры по проведению анализа
системы менеджмента органа через запланированные промежутки времени с целью
обеспечения ее постоянной пригодности, адекватности и результативности, включая
политику и цели, связанные с выполнением требований настоящего стандарта. Такой
анализ должен проводиться не реже чем один раз в год.
10.3.5.2. Входные
данные для анализа
Входные данные для
анализа со стороны руководства должны включать в себя следующую информацию:
a) результаты
внутренних и внешних аудитов;
b) данные обратной
связи с заказчиками и заинтересованными сторонами, относящиеся к выполнению
требований настоящего стандарта;
c) данные обратной
связи с комитетом (советом) по обеспечению беспристрастности;
d) статус
предупреждающих и корректирующих действий;
e) предпринятые
действия, вытекающие из предыдущего анализа со стороны руководства;
f) информацию о
достижении целей;
g) изменения,
которые могут повлиять на систему менеджмента;
h) апелляции и
жалобы.
10.3.5.3. Выходные
данные анализа
Выходные данные
анализа со стороны руководства должны включать в себя все решения и необходимые
действия в отношении:
a) повышения
результативности системы менеджмента и ее процессов;
b) улучшения услуг
по сертификации согласно требованиям настоящего стандарта;
c) потребности в
ресурсах.
10.3.6. Внутренние
аудиты
10.3.6.1. Орган по
сертификации должен разработать процедуры по проведению внутренних аудитов с
целью проверки того, что он соответствует требованиям настоящего стандарта и
что система менеджмента функционирует результативно и поддерживается в рабочем
состоянии.
Примечание.
Руководство по проведению внутренних аудитов приведено в ИСО 19011.
10.3.6.2. Программа
аудитов должна планироваться с учетом важности процессов и областей, подлежащих
аудиту, а также результатов предыдущих аудитов.
10.3.6.3.
Внутренние аудиты должны проводиться, по крайней мере, один раз каждые 12 мес.
Периодичность проведения внутренних аудитов может быть снижена, если орган по
сертификации может продемонстрировать, что его система менеджмента продолжает
оставаться результативной, внедрена в соответствии с требованиями настоящего
стандарта, а также что доказана ее стабильность.
10.3.6.4. Орган по
сертификации должен обеспечивать, чтобы:
a) внутренние
аудиты проводились квалифицированным персоналом, обладающим необходимыми
знаниями в области сертификации, проведения аудитов, а также требований
настоящего стандарта;
b) аудиторы не
проверяли свою собственную работу;
c) персонал,
ответственный за область аудита, был проинформирован о результатах аудита;
d) любые действия,
предпринимаемые по итогам внутренних аудитов, выполнялись своевременно и
надлежащим образом;
e) были определены
все возможности для улучшения.
10.3.7.
Корректирующие действия
Орган по
сертификации должен разработать процедуры по определению и управлению
несоответствиями своей деятельности. При необходимости орган по сертификации
должен предпринимать действия по устранению причин несоответствий для
предупреждения их повторного возникновения. Корректирующие действия должны быть
адекватными последствиям выявленных несоответствий. В данной процедуре должны
быть определены требования к:
a) определению
несоответствий (например, по жалобам или результатам внутренних аудитов);
b) установлению
причин несоответствий;
c) коррекции
несоответствий;
d) оцениванию
необходимости предпринимаемых действий, чтобы избежать повторения
несоответствий;
e) определению и
своевременному осуществлению необходимых действий;
f) записям
результатов предпринятых действий;
g) анализу
результативности предпринятых корректирующих действий.
10.3.8.
Предупреждающие действия
Орган по
сертификации должен разработать процедуры по осуществлению предупреждающих
действий с целью устранения причин потенциальных несоответствий.
Предупреждающие действия должны соответствовать возможным последствиям
потенциальных проблем. В процедурах по осуществлению предупреждающих действий
должны быть определены требования к:
a) установлению
потенциальных несоответствий и их причин;
b) оцениванию
необходимости предупреждающих действий с целью предотвращения появления
несоответствий;
c) определению и
осуществлению необходимых действий;
d) записям
результатов предпринятых действий;
e) анализу
результативности предпринятых предупреждающих действий.
Примечание.
Отдельные процедуры, описывающие корректирующие и предупреждающие действия,
устанавливать необязательно.
Приложение А
(справочное)
СВЕДЕНИЯ О
СООТВЕТСТВИИ НАЦИОНАЛЬНЫХ СТАНДАРТОВ
РОССИЙСКОЙ
ФЕДЕРАЦИИ ССЫЛОЧНЫМ МЕЖДУНАРОДНЫМ СТАНДАРТАМ
Сведения о
соответствии ссылочных международных стандартов национальным стандартам
приведены в таблице А.1.
Таблица А.1
Обозначение ссылочного
международного стандарта
|
Обозначение и наименование
соответствующего
национального
стандарта
|
ИСО
9000:2005
|
ГОСТ
Р ИСО 9000-2008. Системы менеджмента
качества. Основные положения и словарь
|
ИСО
19011:2002
|
ГОСТ
Р ИСО 19011-2003. Руководящие указания
по аудиту систем менеджмента качества и/или
систем экологического менеджмента
|
ИСО/МЭК
17000:2004
|
<*>
|
<*>
Соответствующий национальный стандарт
отсутствует. До его
утверждения рекомендуется использовать перевод на русский
язык данного
международного стандарта. Перевод
данного международного стандарта
находится в Федеральном информационном фонде
технических регламентов и
стандартов.
|
БИБЛИОГРАФИЯ
[1] ИСО 9001:2000 Системы менеджмента качества.
Требования
[2] ИСО 10002 Менеджмент качества.
Удовлетворенность
потребителей.
Руководство по работе с претензиями
в организациях
[3] ИСО 14001 Системы экологического менеджмента.
Требования
и руководство по
применению
[4] ИСО/МЭК 17030:2003 Оценка соответствия. Общие требования к
знакам
соответствия третьей
стороны
[5] Руководство ИСО/МЭК
28:2004. Оценка соответствия.
Методические указания по
системе сертификации
продукции третьей
стороной.