Недействующий

СМ № 03.1-1.0011 Руководство по проведению оценки соответствия органов по сертификации систем менеджмента критериям аккредитации. Версия 02.1 Июль 2024 года (заменено с 20.11.2024)

Приложение 4


Форма чек-листа по оценке соответствия

Чек-лист по оценке соответствия органа по сертификации систем менеджмента


Наименование аккредитованного лица

 

Уникальный номер записи в реестре аккредитованных лиц

 

Наименование юридического лица или фамилия, имя, отчество (при наличии) для индивидуального предпринимателя

 

Период проведения оценки

 

п/п

Требования схемы аккредитации органов по сертификации систем менеджмента

Заключение о соответствии/

соблюдении установленных требований

ГОСТ Р ИСО/МЭК 17021-1-2017 Национальный стандарт Российской Федерации. "Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 1. Требования"

4. Общие требования

4.2. Беспристрастность

4.2.1

Чтобы проводить сертификацию, заслуживающую доверия, орган по сертификации должен быть беспристрастным и должен восприниматься как таковой.

 

4.2.2

Общепризнано, что источником дохода органа по сертификации является плата заказчика за сертификацию, и это является потенциальной угрозой для сохранения беспристрастности.

 

4.2.3

Для достижения и поддержания доверия необходимо, чтобы решения органа по сертификации основывались на объективных свидетельствах соответствия (или несоответствия), полученных органом по сертификации, и чтобы на его решения не влияли другие интересы или другие стороны.

 

4.2.4

Угрозы для сохранения беспристрастности, в частности, могут включать в себя следующее:


a) собственная выгода: угроза возникает в случае, когда человек или организация действуют в личных интересах. В случае сертификации угрозой беспристрастности является финансовый интерес;


b) анализ собственной деятельности: угроза возникает при анализе человеком или организацией собственной работы. Выполнение аудита систем менеджмента заказчика, которому орган по сертификации предоставлял консультации по системам менеджмента, может привести к анализу собственной работы;

 

 

 

c) близкие отношения (или доверие): угроза возникает при слишком близких отношениях с лицом или организацией, или в том случае, когда аудитор слишком доверяет другому лицу вместо того, чтобы искать свидетельства аудита;


d) запугивание: угроза возникает, когда у человека или органа возникает ощущение, что им открыто или скрытым образом угрожают, например, заменой или сообщением руководству.

 

4.3 Компетентность

4.3.1

Компетентность персонала органа по сертификации во всех работах, связанных с процессом сертификации, необходима для проведения сертификации, заслуживающей доверие.

 

4.3.2

Также необходимо, чтобы сертификация поддерживалась системой менеджмента органа по сертификации.

 

4.3.3

Важнейшая задача для руководства органа по сертификации состоит в обеспечении внедрения процесса для установления критериев компетентности персонала, участвующего в проведении аудита и других работах по сертификации, и чтобы компетентность персонала оценивалась согласно данным критериям.

 

4.4 Ответственность

4.4.1

Ответственность за достижение соответствия требованиям конкретного стандарта на систему менеджмента и за соответствие требованиям к сертификации несет сертифицированный заказчик, а не орган по сертификации.

 

4.4.2

Орган по сертификации несет ответственность за оценку достаточности объективных свидетельств, на основании которых принимается решение о сертификации. На основании выводов аудита он принимает решение о выдаче сертификата, если имеются достаточные свидетельства соответствия, или о невыдаче сертификата, если нет достаточных свидетельств соответствия.

 

4.5 Открытость

4.5.1

Орган по сертификации должен обеспечивать открытый доступ или своевременно раскрывать соответствующую информацию о процессе аудита и сертификации, а также о статусе сертификации (например, о выдаче, подтверждении сертификата, расширении или сужении области действия сертификата, об обновлении, о приостановлении действия или отмене сертификата) любой организации с целью обеспечения уверенности в добросовестности и достоверности сертификации. Открытость - это принцип доступности или раскрытия соответствующей информации.

 

4.5.2

Для обеспечения или поддерживания доверия к сертификации орган по сертификации должен предоставлять необходимый доступ или раскрывать не конфиденциальную информацию о результатах конкретных аудитов (например, аудитов в ответ на жалобы) определенным заинтересованным сторонам.

 

4.6 Конфиденциальность

 

Для получения преимущественного доступа к информации, требуемой органом по сертификации для адекватной оценки соответствия требованиям, необходимо, чтобы орган по сертификации не раскрывал конфиденциальной информации.

 

4.7. Реагирование на жалобы

 

Стороны, которые полагаясь на сертификацию, ожидают, что их жалобы будут рассмотрены, должны быть уверены, что в случае признания их обоснованными орган по сертификации надлежащим образом учтет эти жалобы и приложит надлежащие усилия для их разрешения. Результативное реагирование на жалобы - важное средство защиты органа по сертификации, его заказчиков и других пользователей сертификации от ошибок, упущений или ненадлежащего поведения. Доверие к деятельности по сертификации обеспечивается в том случае, если проводится соответствующая работа с жалобами.

 

4.8. Подход на основе рисков

 

Органы по сертификации должны учитывать риски, связанные с проведением компетентной, непротиворечивой и беспристрастной сертификации. Риски могут быть, в частности, связаны с:


- целями аудита;


- выборкой, применяемой для целей аудита;

 

 

 

- беспристрастностью;

 

 

 

- юридическими и другими обязательными требованиями, включая обязательства сторон;

 

 

 

- проверяемой организацией и условиями деятельности заказчика;

 

 

 

- влиянием аудита на заказчика и его деятельность;

 

 

 

- здоровьем и безопасностью членов аудиторской группы;

 

 

 

- восприятием заинтересованных сторон;

 

 

 

- недостоверными сообщениями сертифицируемого заказчика;

 

 

 

- использованием знаков.

 

5.1. Особенности, связанные с законодательством и договорами

5.1.1

Юридическая ответственность


Орган по сертификации должен быть юридическим лицом или определенной частью юридического лица, чтобы нести юридическую ответственность за все свои действия в области сертификации. Правительственный орган по сертификации рассматривается как юридическое лицо вследствие его правительственного статуса.

 

5.1.2

Договор на проведение работ по сертификации


Орган по сертификации должен заключить с каждым заказчиком имеющий юридическую силу договор об оказании услуг по сертификации в соответствии с требованиями настоящего стандарта. Кроме того, при наличии нескольких офисов у органа по сертификации или нескольких производственных площадок у заказчика орган по сертификации должен предусмотреть заключение имеющего юридическую силу договора между выдающим сертификат органом и заказчиком, действие которого распространяется на все производственные площадки, подлежащие сертификации.

 

5.1.3

Ответственность за решения о сертификации


Орган по сертификации должен нести ответственность и иметь полномочия для принятия решений в области сертификации, включая выдачу, отказ в выдаче, подтверждение, возобновление сертификата, расширение или сужение области действия сертификата, приостановку и прекращение действия сертификата.

 

5.2. Управление беспристрастностью

5.2.1

Работы по оценке соответствия должны проводиться беспристрастным образом. Орган по сертификации должен нести ответственность за обеспечение беспристрастности в ходе работ по оценке соответствия, и он не должен допускать коммерческого, финансового или другого давления, компрометирующего его беспристрастность.

 

5.2.2

Высшее руководство органа по сертификации должно взять на себя обязательства по обеспечению беспристрастности в ходе работ по сертификации систем менеджмента. Орган по сертификации должен иметь политику с заявлением о том, что, понимая важность беспристрастности при выполнении работ по сертификации систем менеджмента, он управляет ситуациями, связанными с конфликтом интересов, и гарантирует объективность своих действий по сертификации систем менеджмента.

 

5.2.3

Орган по сертификации должен на постоянной основе идентифицировать, анализировать, оценивать, регулировать, контролировать и документировать риски, связанные с конфликтом интересов, возникающие при проведении сертификации, включая конфликты, вытекающие из его взаимоотношений. Если взаимоотношения создают угрозу для обеспечения беспристрастности, орган по сертификации должен документально оформить и суметь продемонстрировать, как он устраняет или минимизирует такие угрозы, а также задокументировать сведения о любом остающемся риске. Такая демонстрация должна охватывать все выявленные потенциальные источники конфликта интересов как в рамках органа по сертификации, так и в деятельности других лиц, органов или организаций. Если взаимоотношения становятся недопустимой угрозой для обеспечения беспристрастности (например, в случае, когда запрос на проведение сертификации поступает от дочерней компании органа по сертификации, находящейся в полном его владении), сертификация не допускается.

 

 

 

Высшее руководство должно анализировать любой остающийся риск на предмет его допустимости.

 

 

 

Работа по оценке рисков должна включать в себя идентификацию заинтересованных сторон и консультирование с ними по поводу аспектов, оказывающих влияние на обеспечение беспристрастности, включая открытость и восприятие общественностью. Консультирование с заинтересованными сторонами должно быть сбалансированным, не допускающим преобладания интересов одной из сторон.

 

5.2.4

Орган по сертификации не должен сертифицировать какой-либо другой орган по сертификации в отношении его деятельности по сертификации систем менеджмента.

 

5.2.5

Орган по сертификации и любая часть того же юридического лица, а также любое юридическое лицо под организационным управлением органа по сертификации [см. перечисление b) 9.5.1.2] не должны предлагать или проводить консультации по системам менеджмента. Это также применимо к той части правительственной структуры, которая идентифицирована как орган по сертификации.

 

5.2.6

Проведение внутренних аудитов органом по сертификации может представлять серьезную угрозу для обеспечения беспристрастности. Орган по сертификации и любая часть того же юридического лица, а также любое юридическое лицо под организационным управлением органа по сертификации [см. перечисление b) 9.5.1.2], не должны предлагать или проводить внутренние аудиты у сертифицированных им заказчиков. Орган по сертификации не должен сертифицировать систему менеджмента, внутренние аудиты которой он проводил, как минимум два года после завершения внутренних аудитов. Это также применимо к той части правительственной структуры, которая идентифицирована как орган по сертификации.

 

5.2.7

Если заказчику оказывалась консультативная помощь организацией, имеющей связи с органом по сертификации, то это представляет серьезную угрозу для обеспечения беспристрастности. Одним из признанных способов снижения этой угрозы является установление двухлетнего моратория на проведение сертификации системы менеджмента с момента завершения консультаций.

 

5.2.8

Орган по сертификации не должен передавать право проведения аудитов организации, занимающейся консультированием по системам менеджмента, поскольку это представляет неприемлемую угрозу для обеспечения беспристрастности органа по сертификации (см. 7.5). Это не распространяется на лиц, привлеченных в качестве аудиторов по договору (см. 7.3).

 

5.2.9

Услуги органа по сертификации не должны предлагаться на рынке во взаимосвязи с услугами организации, занимающейся консультированием по системам менеджмента. Орган по сертификации должен принимать меры по устранению неуместных ссылок или заявлений любой консалтинговой организации, утверждающих или подразумевающих, что проведение сертификации будет проще, легче, быстрее или дешевле при привлечении данного органа по сертификации. Орган по сертификации не должен делать заявления, утверждающие или подразумевающие, что выполнение сертификации будет проще, легче, быстрее или дешевле при привлечении определенной консалтинговой организации.

 

5.2.10

Чтобы исключить конфликт интересов, работники, оказывающие консультационные услуги по системам менеджмента, включая сотрудников на руководящих позициях, не должны привлекаться органом по сертификации к участию в аудите или других работах по сертификации в течение двух лет после завершения консультирования данного заказчика.

 

5.2.11

Орган по сертификации должен предпринять ответные действия в отношении любых угроз для обеспечения беспристрастности, возникающих в связи с действиями других лиц, органов или организаций.

 

5.2.12

Весь персонал органа по сертификации как внутренний, так и внешний, или комитеты, которые могут оказывать влияние на работы в области сертификации, должны действовать беспристрастно и не должны допускать коммерческого, финансового или другого давления, компрометирующего их беспристрастность.

 

5.2.13

Органы по сертификации должны требовать от персонала как внутреннего, так и внешнего, предоставлять информацию о любых известных им ситуациях, которые могут вовлечь их или орган по сертификации в конфликт интересов. Органы по сертификации должны использовать данную информацию в качестве исходных данных при определении угроз для обеспечения беспристрастности вследствие деятельности таких работников или организаций, принявших их на работу, и не должны привлекать такой персонал как внутренний, так и внешний, пока работники не смогут продемонстрировать отсутствия конфликта интересов.

 

5.3. Обязательства и финансирование

5.3.1

Орган по сертификации должен быть способен продемонстрировать, что он оценивает риски, связанные с его деятельностью по сертификации, и что он располагает достаточными средствами (например, страхование или наличие резервов) для выполнения обязательств, возникающих в ходе его работ по сертификации в каждой области деятельности и географической зоне, в которой он осуществляет свою деятельность.

 

5.3.2

Орган по сертификации должен оценивать свои финансовые возможности и источники дохода, а также демонстрировать, что на начальном этапе и в дальнейшем коммерческое, финансовое или другое давление не могут поставить под сомнение его беспристрастность.

 

6. Требования к структуре

 

6.1. Организационная структура и высшее руководство

6.1.1

Орган по сертификации должен документировать свою организационную структуру, обязанности, ответственность и полномочия руководства и другого персонала, занимающегося сертификацией, а также любых комитетов. Если орган по сертификации является частью юридического лица, его организационная структура должна отражать распределение полномочий и взаимодействие с другими частями этого юридического лица.

 

6.1.2

Структура и управление органа по сертификации должна обеспечивать беспристрастность его деятельности по сертификации.

 

6.1.3

Орган по сертификации должен определить высшее руководство (совет, группу лиц или лицо), обладающее всеми полномочиями и несущее полную ответственность за:

 

 

 

a) разработку политик и создание процессов и процедур, связанных с его деятельностью;

 

 

 

b) контроль выполнения политик, процессов и процедур;

 

 

 

c) обеспечение беспристрастности;

 

 

 

d) надзор за финансами органа;

 

 

 

e) разработку услуг и схем по сертификации систем менеджмента;

 

 

 

f) выполнение аудитов и сертификации, а также реагирование на жалобы;

 

 

 

g) принятие решений о сертификации;

 

 

 

h) делегирование полномочий комитетам или лицам для осуществления, если требуется, определенных действий от своего имени;

 

 

 

i) условия заключаемых договоров;

 

 

 

j) выделение необходимых ресурсов для выполнения работ по сертификации.

 

6.1.2

Орган по сертификации должен иметь официальные правила назначения, определения области компетенции и обеспечения функционирования всех комитетов, вовлеченных в работу по сертификации.

 

6.2. Управление деятельностью по сертификации

6.2.1

Орган по сертификации должен иметь процесс для эффективного управления работами по сертификации, проводимыми представительствами на местах, компаниями, агентами, получателями франшизы и т.д. независимо от их правового статуса, отношения или местонахождения. Орган по сертификации должен рассматривать риски, связанные с выполнением этих работ, в отношении компетентности, состоятельности и беспристрастности органа по сертификации.

 

6.2.2

Орган по сертификации должен рассматривать надлежащий уровень и способ управления деятельностью по сертификации, включая осуществляемые процессы, технические области работ органа, компетентность персонала, каналы управления руководством, предоставление отчетности и выполнение операций на удаленном расстоянии, включая управление записями.

 

7. Требования к ресурсам

 

7.1. Компетентность персонала

7.1.1.

Общие положения


Орган по сертификации должен определить порядок получения персоналом необходимых знаний и навыков по типам систем менеджмента (например, системы экологического менеджмента, системы менеджмента качества, системы менеджмента информационной безопасности), которыми он занимается, и географическим зонам, в которых он осуществляет свою деятельность.

 

7.1.2.

Определение критериев компетентности


Орган по сертификации должен иметь документированную процедуру определения критериев компетентности персонала, участвующего в организации и проведении аудитов и сертификации. Критерии компетентности должны определяться с учетом требований стандарта или технических условий для каждого типа систем менеджмента, для каждой технической области и для каждой функции процесса сертификации. Выходными данными такого процесса должны

 

 

быть документально оформленные критерии требуемых знаний и навыков, необходимых для эффективного выполнения задач аудита и сертификации с целью достижения запланированных результатов. В приложении A оговорены знания и навыки, которые орган по сертификации должен определить для выполнения конкретных функций. В случае установления дополнительных критериев компетентности для той или иной схемы сертификации (например, в ИСО/МЭК 17021-2, ИСО/МЭК 17021-3 или ИСО/ТУ 22003) должны применяться эти критерии.

 

7.1.3.

Процессы оценивания


Орган по сертификации должен иметь документированные процессы для первоначального оценивания компетентности и осуществлять постоянный мониторинг компетентности и результативности деятельности всего персонала, участвующего в организации и проведении аудитов и сертификации, с использованием установленных критериев компетентности. Орган по сертификации должен демонстрировать результативность своих методов оценивания. Выход этих процессов должен быть связан с выявлением персонала, который продемонстрировал уровень компетентности, требуемый для выполнения различных функций аудита и процесса сертификации. Компетентность сотрудника должна быть подтверждена до того, как на него будет возложена ответственность за надлежащее исполнение работ, проводимых органом по сертификации.

 

7.1.4.

Дополнительные требования


Орган по сертификации должен иметь возможность обратиться к соответствующим техническим специалистам для получения рекомендаций по вопросам, имеющим непосредственное отношение к сертификации, применительно к техническим областям, типам систем менеджмента и географическим зонам, в которых работает орган по сертификации. Такие рекомендации могут быть получены либо со стороны, либо от персонала органа по сертификации.

 

7.2. Персонал, участвующий в работах по сертификации

7.2.1

Орган по сертификации должен иметь в своем штате персонал, обладающий достаточной компетентностью для осуществления различных программ аудита и выполнения других работ по сертификации.

 

7.2.2

Орган по сертификации должен иметь возможность привлекать к работе по сертификации достаточное число аудиторов, включая руководителей аудиторских групп и технических экспертов, для охвата всей сферы своей деятельности и выполнения всего объема работ по аудиту.

 

7.2.3

Орган по сертификации должен четко разъяснять каждому работнику его обязанности, область ответственности и полномочия.

 

7.2.4

Орган по сертификации должен установить процессы отбора, подготовки, официального наделения полномочиями аудиторов, а также отбора технических экспертов, привлекаемых к работам по сертификации. Первоначальное оценивание уровня компетентности аудитора должно охватывать его умение применять требуемые знания и навыки при проведении аудитов; такое оценивание должен проводить компетентный оценщик, наблюдающий за тем, как аудитор проводит проверку.

 

7.2.5

Орган по сертификации должен обеспечить наличие процесса достижения и демонстрации результативного проведения аудита, включая привлечение аудиторов и руководителей аудиторских групп, обладающих как общими знаниями и навыками в области аудита, так и навыками и знаниями, необходимыми для проведения аудита в конкретных технических областях.

 

7.2.6

Орган по сертификации должен предусмотреть, чтобы аудиторы (и, когда необходимо, технические эксперты) были осведомлены о процессе проведения аудита, требованиях к сертификации и других необходимых требованиях. Орган по сертификации должен предоставлять аудиторам и техническим экспертам доступ к действующим документированным процедурам, содержащим инструкции по проведению аудита и всю необходимую информацию в области сертификации.

 

7.2.7

Орган по сертификации должен выявлять потребности в обучении и предлагать или делать доступной специальную подготовку, чтобы гарантировать, что его аудиторы, технические эксперты и другой персонал, участвующий в работах по сертификации, компетентны в пределах выполняемых ими функций.

 

7.2.8

Группа или лицо, принимающие решение о выдаче, отказе в выдаче, подтверждении, возобновлении, приостановлении действия или отмене сертификата, расширении или сужении области сертификации, должны знать положения применяемого стандарта и требования к сертификации и подтвердить свою компетентность в области оценки результатов процессов аудита, включая соответствующие рекомендации аудиторской группы.

 

7.2.9

Орган по сертификации должен обеспечивать надежную работу всего персонала, участвующего в работах по аудиту и сертификации. Должны быть разработаны документированные процедуры и критерии для мониторинга компетентности и характеристик деятельности всего участвующего в работах персонала, основанные на частоте их привлечения к работам и уровне риска, связанного с их действиями. В частности, орган по сертификации должен проводить анализ и регистрацию компетентности своих работников в связи с выполняемыми ими работами с целью определения потребностей в обучении.

 

7.2.10

Орган по сертификации должен осуществлять постоянный контроль работы каждого аудитора, рассматривая каждый тип систем менеджмента, в области которых аудитор считается компетентным. Документированные процедуры мониторинга деятельности аудиторов должны включать в себя комбинацию наблюдения и оценивание работы аудитора на месте, анализ отчетов по результатам аудита и информации от заказчиков или ответной реакции рынка. Такой мониторинг должен быть разработан таким образом, чтобы свести к минимуму вмешательство в нормальное протекание процессов сертификации, особенно с точки зрения заказчика.

 

7.2.11

Орган по сертификации должен периодически проводить наблюдение за работой каждого аудитора на рабочем месте. Периодичность наблюдений на месте должна быть обоснована необходимостью, определяемой на основании всех имеющихся данных по мониторингу.

 

7.3. Привлечение внешних аудиторов и внешних технических экспертов

 

Орган по сертификации должен требовать от внешних аудиторов и внешних технических экспертов заключения письменного соглашения с обязательствами по соблюдению применяемых политик и процедур, установленных органом по сертификации. Соглашение должно касаться вопросов соблюдения конфиденциальности и беспристрастности, а также требовать от внешних аудиторов и технических экспертов уведомления органа по сертификации о любых существующих или имевшихся ранее связях с любой организацией, для проведения аудита в которой они могут быть назначены.

 

7.4. Кадровый учет

 

Орган по сертификации должен вести актуализированные записи о работниках, включая необходимые данные о квалификации, подготовке, опыте, принадлежности к другим организациям, профессиональном статусе и компетентности. Помимо сотрудников, выполняющих работы по сертификации, эти требования относятся к руководящему и административному персоналу.

 

7.5. Привлечение соисполнителей (аутсорсинг)

7.5.1

Орган по сертификации должен иметь процесс, устанавливающий условия привлечения сторонних организаций (на основе субподряда, когда часть работ по сертификации выполняется другой организацией от имени органа по сертификации). Орган по сертификации должен заключать юридически действительное соглашение, касающееся организации данной деятельности, с каждым органом, оказывающим подобного рода услуги, в том числе в отношении соблюдения конфиденциальности и отсутствия конфликта интересов.

 

7.5.2

Привлекаемые сторонние организации не имеют права принимать решения о выдаче, отказе в выдаче, подтверждении, возобновлении, приостановлении действия или отмене сертификата, а также о расширении или сужении области сертификации.

 

7.5.3

Орган по сертификации должен:


a) нести ответственность за работу, переданную другим организациям на условиях аутсорсинга;


b) убедиться в том, что организация, оказывающая услуги на условиях аутсорсинга, и привлеченные ею лица соответствуют требованиям органа по сертификации и выполняют положения настоящего стандарта, в том числе в отношении компетентности, беспристрастности и конфиденциальности;

 

 

 

c) убедиться в том, что организация, предоставляющая услуги на условиях аутсорсинга, и привлеченные ею лица не связаны непосредственно или через другого работодателя с проверяемой организацией таким образом, чтобы это могло повлиять на их беспристрастность.

 

7.5.4

Орган по сертификации должен иметь процедуры по одобрению и мониторингу всех организаций, оказывающих услуги на условиях аутсорсинга, которые привлекаются для работ по сертификации, и обеспечивать ведение записей о компетентности всех лиц, участвующих в работах по сертификации.

 

7.5.4*

Орган по сертификации должен иметь процедуры по одобрению и мониторингу всех организаций, оказывающих услуги на условиях аутсорсинга, которые привлекаются для работ по сертификации, и обеспечивать ведение записей о компетентности всех лиц, участвующих в работах по сертификации.

 

________________

* Текст документа соответствует оригиналу. - Примечание изготовителя базы данных.

8. Требования к информации

8.1. Общедоступная информация

8.1.1

Орган по сертификации должен обеспечивать ведение (используя печатные, электронные или другие средства) и делать общедоступной во всех географических зонах, в которых данный орган работает, информацию:

 

 

 

a) о процессах аудита;

 

 

 

b) о процессах, связанных с принятием решения о сертификации, включающих выдачу, отказ в выдаче, подтверждение, возобновление, приостановление действия или отмену сертификата, а также расширение или сужение области сертификации;

 

 

 

c) о типах систем менеджмента, проверяемых органом, и применяемых схемах сертификации;

 

 

 

d) о праве использовать название органа по сертификации и сертификационный знак или логотип;

 

 

 

e) о процессах работы с запросами на получение информации, жалобами и апелляциями;

 

 

 

f) о политике в области обеспечения беспристрастности.

 

8.1.2

По запросу от любой заинтересованной стороны орган по сертификации должен предоставить информацию:

 

 

 

a) о регионах, в которых данный орган осуществляет свою деятельность;

 

 

 

b) о статусе выданных сертификатов;

 

 

 

c) о названии и адресе (город и страна) сертифицированного заказчика, нормативном документе, области применения выданного сертификата.

 

8.1.3

Информация, предоставляемая органом по сертификации тому или иному заказчику или поставляемая на рынок, в том числе реклама, должна быть точной и не должна вводить в заблуждение.

 

8.2. Сертификационные документы

8.2.1

Орган по сертификации должен выдавать сертификационные документы сертифицированному заказчику любым предпочтительным для него способом.

 

8.2.2

Сертификационный документ (документы) должен (должны) содержать следующее:

 

 

 

a) наименование и географическое местоположение каждого заказчика, система менеджмента которого была сертифицирована (или географическое местоположение его главного офиса и всех производственных площадок, входящих в область сертификации организации с несколькими производственными площадками);

 

 

 

b) дату выдачи, расширения или сужения области применения, возобновления действия сертификата, которая не должна предшествовать дате принятия решения о сертификации.

 

 

 

c) срок действия сертификата или дату проведения ресертификации в соответствии с циклом ресертификации;

 

 

 

d) единый идентификационный номер;

 

 

 

e) обозначение стандарта и/или другого нормативного документа, включая указание статуса издания (например, номер выпуска и/или дата пересмотра), используемого в ходе аудита сертифицированного заказчика;

 

 

 

f) область сертификации, касающаяся вида работ, продукции и услуг относительно каждой производственной площадки;

 

 

 

g) наименование, адрес и сертификационный знак органа по сертификации; другие знаки (например, символ аккредитации, логотип заказчика) допускается использовать таким образом, чтобы не вводить в заблуждение или не допускать неоднозначного толкования;

 

 

 

h) любая другая информация, требуемая стандартом и/или другим нормативным документом, используемым при сертификации;

 

 

 

i) в случае выпуска любых пересмотренных сертификационных документов должны быть предусмотрены средства их отличения от устаревших документов.

 

8.3. Ссылка на сертификат и использование знаков соответствия

8.3.1

Орган по сертификации должен выработать правила управления любыми знаками соответствия систем менеджмента, разрешенных для использования сертифицированными заказчиками. Среди прочего должна обеспечиваться их прослеживаемость со стороны органа по сертификации. В знаке или в его сопроводительном тексте не должно быть неоднозначности относительно предмета сертификации и органа по сертификации, выдавшего сертификат. Данный знак не допускается использовать на продукции или ее упаковке, которую видит потребитель, или любым другим способом, если он может ошибочно истолковываться как указание на соответствие продукции.

 

8.3.2

Орган по сертификации не должен разрешать, чтобы сертифицированные заказчики использовали его знаки соответствия в отчетах о лабораторных испытаниях, протоколах калибровки или инспекционного контроля или в своих сертификатах.

 

8.3.3

Орган по сертификации должен выработать правила, регулирующие использование любых заявлений на упаковке продукции или в сопроводительной информации о том, что сертифицированный заказчик имеет сертифицированную систему менеджмента. Упаковкой продукта считается то, что можно снять без нарушения целостности продукта или без его повреждения. Сопроводительной информацией принято считать то, что можно использовать в отдельности или легко отделить. Этикетки или заводские таблички с основными характеристиками изделия считают частью продукта. Такое заявление не должно подразумевать, что продукт, процесс или услуга таким образом сертифицированы. Заявление должно содержать ссылку:

 

 

 

- на идентификацию (фабричная марка или наименование) сертифицированного заказчика;

 

 

 

- тип системы менеджмента (например, менеджмент качества, экологический менеджмент) и применяемый стандарт;

 

 

 

- орган по сертификации, выдавший сертификат.

 

8.3.4

Орган по сертификации должен на основе юридически действительных соглашений требовать, чтобы сертифицированный заказчик:

 

 

 

a) выполнял требования органа по сертификации при ссылках на свой статус сертификации в средствах массовой информации, таких как Интернет, брошюры, реклама или другие материалы;

 

 

 

b) не делал или не допускал никаких вводящих в заблуждение заявлений относительно своей сертификации;

 

 

 

c) не использовал или не разрешал использовать документ о сертификации или какую-либо его часть каким-либо образом, вводящим в заблуждение;

 

 

 

d) при приостановлении или отмене действия сертификата прекращал ссылаться на него в рекламных целях, как предписано органом по сертификации (9.6.5);

 

 

 

e) вносил коррективы во все рекламные материалы при сужении области сертификации;

 

 

 

f) не допускал использования ссылок на сертификацию своей системы менеджмента каким-либо образом, позволяющим предположить, что орган по сертификации сертифицировал продукцию (включая услугу) или процесс;

 

 

 

g) не давал понять, что действие сертификата распространяется и на деятельность, не охваченную областью сертификации;

 

 

 

h) не использовал свой сертификат таким образом, что это может негативно сказаться на репутации органа по сертификации и/или системы сертификации и привести к потере доверия общественности.

 

8.3.5

Орган по сертификации должен надлежащим образом осуществлять контроль за правом владения и предпринимать соответствующие действия в ответ на некорректные ссылки на статус сертификации или вводящее в заблуждение использование сертификационных документов, знаков соответствия или отчетов по результатам аудита.

 

8.4. Конфиденциальность

8.4.1

Орган по сертификации должен на основе юридически действительных соглашений нести ответственность за управление всей информацией, полученной или сформированной в ходе выполнения работ по сертификации на всех уровнях своей структуры, включая комитеты и внешние органы или лиц, действующих от его имени.

 

8.4.2

Орган по сертификации должен заблаговременно уведомить заказчика о том, какую информацию он предполагает сделать общедоступной. Любая другая информация, кроме той, которая была предана огласке заказчиком, должна рассматриваться как конфиденциальная.

 

8.4.3

За исключением тех случаев, которые описаны в настоящем стандарте и регулируются его требованиями, информация о конкретном сертифицированном заказчике или частном лице не должна раскрываться третьей стороне без получения письменного согласия данного заказчика или частного лица.

 

8.4.4

В тех случаях, когда орган по сертификации должен в соответствии с законами предоставить конфиденциальную информацию третьей стороне, заказчик или частное лицо должны быть заранее извещены о предоставлении информации, за исключением случаев, оговоренных в законодательстве.

 

8.4.5

Информация о заказчике, полученная не от самого заказчика (например, от предъявителя жалобы, от регулятивных органов), должна рассматриваться как конфиденциальная в соответствии с политикой органа по сертификации.

 

8.4.6

Персонал, включая членов любого комитета, подрядные организации, персонал внешних органов или лиц, действующих от имени органов по сертификации, должен сохранять конфиденциальность всей информации, полученной или сформированной данным органом по сертификации в ходе его деятельности по сертификации, за исключением тех случаев, которые регулируются требованиями законодательства.

 

8.4.7

Орган по сертификации должен иметь процедуры и, где это применимо, оборудование и средства, обеспечивающие безопасное обращение с конфиденциальной информацией.

 

8.5. Обмен информацией между органом по сертификации и заказчиками

8.5.1

Информация о деятельности по сертификации и требованиях


Орган по сертификации должен предоставлять заказчикам следующую актуализированную информацию:

 

 

 

a) подробное описание работ по сертификации на начальном и последующем этапах, включая подачу заявки, первоначальные аудиты, надзорные аудиты, а также о порядке выдачи, отказа в выдаче, подтверждения сертификата, расширения или сужения области сертификации, возобновления, приостановления или отмены действия сертификата;

 

 

 

b) нормативные требования к сертификации;

 

 

 

c) информацию о стоимости подачи заявки, первоначальной и последующей сертификации;

 

 

 

d) требования органа по сертификации к заказчикам, а именно:

 

 

 

1) отвечать сертификационным требованиям;

 

 

 

2) принимать все необходимые меры для проведения аудитов, включая предоставление экзаменационной документации и доступ ко всем процессам и участкам, записям и персоналу для проведения первоначальной сертификации, надзорного аудита, ресертификации и анализа жалоб;

 

 

 

3) обеспечивать при необходимости присутствие наблюдателей (например, аудиторов по аккредитации или аудиторов-стажеров);

 

 

 

e) документы, в которых описаны права и обязанности сертифицированных заказчиков, включая требования о том, что в рамках любого информационного взаимодействия ссылки на свой статус сертификации должны соответствовать требованиям 8.3;

 

 

 

f) информацию о процедурах рассмотрения жалоб и апелляций.

 

8.5.2. Уведомление об изменениях со стороны органа по сертификации

 

Орган по сертификации должен своевременно уведомлять сертифицированных заказчиков о любых изменениях своих требований к сертификации. Орган по сертификации должен проверить, что каждый сертифицированный заказчик соблюдает новые требования.

 

8.5.3. Уведомление об изменениях со стороны заказчика

 

Орган по сертификации должен принимать юридически обоснованные меры для обеспечения того, чтобы сертифицированный заказчик незамедлительно информировал орган по сертификации обо всех вопросах, которые могут повлиять на способность системы менеджмента продолжать соответствовать требованиям стандарта, на соответствие которому проводилась сертификация. Это относится, в частности, к изменениям, касающимся:

 

 

 

a) юридического, коммерческого, организационного статуса или прав собственности;

 

 

 

b) организации и руководства (например, основного управленческого персонала, лиц, принимающих решения, или технических специалистов);

 

 

 

c) контактного адреса и местоположения производственных площадок;

 

 

 

d) области деятельности в рамках сертифицированной системы менеджмента;

 

 

 

e) важных изменений в системе менеджмента и процессах.

 

 

 

При необходимости орган по сертификации должен предпринимать надлежащие меры.

 

9. Требования к процессу

 

9.1. Действия перед сертификацией

 

9.1.1. Подача заявки

 

Орган по сертификации должен затребовать у уполномоченного представителя организации, подавшей заявку, предоставления необходимой информации, чтобы установить:

 

 

 

a) предполагаемую область сертификации;

 

 

 

b) сведения о подавшей заявку организации, требуемые согласно схеме сертификации, включая ее наименование и адрес (адреса) расположения ее производственных площадок, ее процессы и операции, людские и технические ресурсы, функции, связи в рамках организационной структуры и любые другие имеющие значение юридические обязательства;

 

 

 

c) сведения об аутсорсинговых процессах, используемых организацией и способных оказать влияние на соответствие требованиям;

 

 

 

d) стандарты или другие требования, на соответствие которым подавшая заявку организация намерена сертифицироваться;


e) информацию относительно использования консультативных услуг по системе менеджмента, подлежащей сертификации.

 

9.1.2. Анализ заявки

9.1.2.1

До проведения аудита орган по сертификации должен проанализировать заявку и дополнительную информацию, имеющую отношение к сертификации, чтобы удостовериться в том, что:

 

 

 

a) информация об организации, подавшей заявку, и ее системе менеджмента является достаточной для проведения аудита;

 

 

 

b) любые известные различия в понимании требований между органом по сертификации и подавшей заявку организацией были урегулированы;

 

 

 

c) орган по сертификации обладает компетентностью и возможностями для выполнения работ по сертификации;

 

 

 

d) приняты во внимание предполагаемая область сертификации, место(а) осуществления деятельности подавшей заявку организации, время, необходимое для проведения аудита, и любые другие обстоятельства, оказывающие влияние на работы по сертификации (язык, условия безопасности, угрозы для обеспечения беспристрастности и т.д.).

 

9.1.2.2

После анализа заявки орган по сертификации должен либо принять, либо отклонить заявку на проведение сертификации. Если орган сертификации отклоняет заявку в результате ее анализа, причины отклонения заявки должны быть документированы и разъяснены заказчику.

 

9.1.2.3

На основании данного анализа орган по сертификации должен определить уровень компетенции, необходимый для формирования аудиторской группы и принятия решения о сертификации

 

9.1.3. Программа аудита

9.1.3.1

В отношении всего цикла сертификации должна быть разработана программа аудита для четкого определения аудиторской деятельности, требуемой для демонстрации того, что система менеджмента заказчика отвечает требованиям к сертификации по выбранному стандарту(ам) или другому нормативному документу(ам). Программой аудита, разработанной в отношении всего цикла сертификации, должны охватываться все требования, предъявляемые к системе менеджмента.

 

9.1.3.2

Программа аудита должна включать в себя проведение двухэтапного первоначального аудита, надзорных аудитов в течение первого и второго года после выдачи сертификата и ресертификационного аудита на третий год до истечения срока действия сертификата. Трехлетний цикл сертификации начинается с принятия решения о сертификации. Последующие циклы начинаются с принятия решения о ресертификации (9.6.3.2.3). При определении программы аудита и внесении в нее каких-либо поправок должны быть учтены размеры организации-заказчика, область применения и сложность ее системы менеджмента, продукции и процессов, а также продемонстрированный уровень результативности системы менеджмента и результаты предыдущих аудитов.

 

9.1.3.3

Надзорные аудиты должны проводиться не реже одного раза в год, кроме тех лет, когда проводятся ресертификационные аудиты.

 

9.1.3.4

Если орган по сертификации учитывает уже проведенный у заказчика сертификационный аудит или аудиты, выполненные другим органом по сертификации, он должен собрать и сохранять достаточные свидетельства, такие как отчеты и документы по корректирующим действиям в отношении любого несоответствия. Эта документация должна подтверждать выполнение требований настоящего стандарта. Орган по сертификации на основе полученной информации должен обосновывать и регистрировать любые корректировки в имеющуюся программу аудита и предпринимать корректирующие действия в отношении ранее выявленных несоответствий.

 

9.1.3.5

Если заказчик работает по сменному графику, то при разработке программы и планов аудита должны рассматриваться аспекты, связанные с проведением работ в рабочие часы смен.

 

9.1.4. Определение трудоемкости аудита

9.1.4.1

Орган по сертификации должен иметь документированные процедуры по определению трудоемкости аудита. Для каждого заказчика орган по сертификации должен установить время, необходимое для планирования и полного выполнения результативного аудита системы менеджмента заказчика.

 

9.1.4.2

При установлении трудоемкости аудита орган по сертификации должен, помимо прочего, учитывать следующее:

 

 

 

a) требования соответствующего стандарта на систему менеджмента;

 

 

 

b) размер и сложность организации заказчика и его системы менеджмента;

 

 

 

c) технологические особенности и законодательное регулирование;

 

 

 

d) привлечение соисполнителей (аутсорсинг) для любой деятельности, охватываемой системой менеджмента;

 

 

 

e) результаты любых предыдущих аудитов;

 

 

 

f) число и размеры производственных площадок с учетом их местоположения и особенностей, связанных с проведением на них аудита;

 

 

 

g) риски, связанные с продукцией, процессами или видами деятельности организации;

 

 

 

h) являются ли аудиты комбинированными, совместными или комплексными.

 

9.1.4.3

Трудоемкость аудита, установленная органом по сертификации, и ее обоснование должны быть зарегистрированы.

 

9.1.4.4

Трудозатраты любого члена группы, который не является аудитором (т.е. технические эксперты, письменные и устные переводчики, наблюдатели и аудиторы-стажеры), не должны учитываться при расчете трудоемкости аудита.

 

9.1.5. Выборочные проверки производственных площадок

 

Если в ходе аудита выборочно проверяются производственные площадки, находящиеся в различных местах, и на которых осуществляется аналогичная деятельность, охватываемая системой менеджмента заказчика, орган по сертификации должен разработать программу выборочного контроля, чтобы обеспечить надлежащее проведение аудита системы менеджмента. Обоснование плана проведения выборки для каждого заказчика должно быть документировано. Для некоторых схем сертификации не разрешается проведение выборочных проверок, и в тех случаях, когда были установлены определенные критерии для конкретной схемы сертификации, например, согласно ИСО/ТУ 22003 или ИСО/МЭК 27006, они должны применяться.

 

9.1.6. Стандарты на комплексные системы менеджмента

 

При оказании услуг по сертификации комплексных систем на соответствие требованиям нескольких стандартов планирование аудитов должно обеспечивать достаточный объем мероприятий аудита на местах осуществления деятельности в целях обеспечения доверия к результатам сертификации.

 

9.2. Планирование аудитов

 

9.2.1. Определение целей, области и критериев аудита

9.2.1.1

Цели аудита должны быть определены органом по сертификации. Область и критерии аудита, включая любые изменения, устанавливают органы по сертификации после обсуждения с заказчиком.

 

9.2.1.2

Цели аудита должны указывать на то, что должно быть сделано в процессе аудита, и включают следующее:

 

 

 

a) установление соответствия системы менеджмента заказчика или отдельных ее частей критериям аудита;

 

 

 

b) оценивание способности системы менеджмента обеспечивать выполнение организацией заказчика применяемых законодательных, нормативных и контрактных требований.

 

 

 

c) оценивание результативности системы менеджмента для обеспечения постоянного достижения поставленных целей организацией заказчика;

 

 

 

d) в случае необходимости определение областей для возможного улучшения системы менеджмента.

 

9.2.1.3

Область аудита должна устанавливать объем и границы аудита, например производственные площадки, организационные подразделения, виды деятельности и процессы, подлежащие проверке. Когда первоначальная сертификация или ресертификация включает в себя несколько аудитов (например, на различных объектах), область отдельного аудита может не охватывать всей области сертификации, однако все аудиты вместе взятые должны соответствовать области, определенной в сертификационном документе.

 

9.2.1.4

Критерии аудита должны использоваться в качестве основы для определения соответствия и включать в себя:


- требования определенного нормативного документа по системам менеджмента;


- определенные процессы и документацию системы менеджмента, разрабатываемые заказчиком.

 

9.2.2. Отбор членов аудиторской группы и закрепление за ними соответствующих обязанностей

 

9.2.2.1 Общие положения

9.2.2.1.1

Орган по сертификации должен установить порядок отбора и назначения членов аудиторской группы, включая ее руководителя, с учетом компетентности, необходимой для достижения целей аудита. Если аудит проводится одним человеком, он должен обладать компетентностью, необходимой для выполнения обязанностей руководителя аудиторской группы применительно к данному аудиту. Члены аудиторской группы должны обладать суммарной компетентностью, устанавливаемой органом по сертификации в соответствии с 9.1.2.3.

 

9.2.2.1.2

При принятии решения о размере и составе аудиторской группы необходимо учитывать следующее:

 

 

 

a) цели аудита, область, критерии и расчетные сроки проведения аудита;


b) является ли аудит комбинированным, совместным или комплексным;


c) суммарную компетентность членов аудиторской группы, необходимую для достижения поставленных целей аудита [см. таблицу A.1 (приложение A)];


d) сертификационные требования (включая любые применяемые законодательные, нормативные или контрактные требования);


e) язык и культуру.

 

9.2.2.1.3

Необходимые знания и навыки руководителя аудиторской группы и аудиторов могут быть дополнены знаниями и опытом технических экспертов, письменных и устных переводчиков, которые должны работать под руководством аудитора. Если используются письменные и устные переводчики, они должны выбираться таким образом, чтобы не оказывать ненадлежащего влияния на проведение аудита.

 

9.2.2.1.4

Аудиторы-стажеры могут участвовать в проведении аудита при условии, что будет назначен аудитор для проверки их работы. Проверяющий должен быть достаточно компетентным для того, чтобы принять на себя обязанности и нести ответственность за деятельность и выводы аудитора-стажера.

 

9.2.2.1.5

По согласованию с членами аудиторской группы ее руководитель должен закрепить за каждым членом группы обязанности по проверке конкретных процессов, функций, объектов, участков или работ. При этом необходимо учитывать требуемую компетентность, а также результативность и эффективность использования возможностей аудиторской группы, а также различные функции и обязанности аудиторов, аудиторов-стажеров и технических экспертов. Изменения в рабочие задания могут вноситься по ходу проверки, чтобы обеспечить достижение целей аудита.

 

9.2.2.2 Наблюдатели, технические эксперты и сопровождающие

9.2.2.2.1

Наблюдатели


Присутствие и обоснованность участия наблюдателей в аудите должны согласовываться органом по сертификации и заказчиком до проведения аудита. Аудиторская группа должна позаботиться о том, чтобы наблюдатели не оказывали влияния или не вмешивались в аудиторскую деятельность и не влияли на результаты аудита.

 

9.2.2.2.2

Технические эксперты

 

 

 

Роль технических экспертов в аудите должна согласовываться органом по сертификации и заказчиком до проведения аудита. Технический эксперт не должен исполнять функции аудитора в аудиторской группе. Технические эксперты должны работать вместе с аудиторами.

 

9.2.2.2.3

Сопровождающие


У каждого аудитора должен быть сопровождающий, если нет иной договоренности между руководителем аудиторской группы и заказчиком. Сопровождающие прикрепляются к аудиторской группе для содействия в проведении аудита. Аудиторская группа должна позаботиться о том, чтобы наблюдатели не оказывали влияния или не вмешивались в аудиторскую деятельность и не влияли на результаты аудита.

 

9.2.3. План аудита

 

9.2.3.1 Общие положения

 

Орган по сертификации должен обеспечивать составление плана для каждого аудита, указанного в программе аудита, чтобы создавать основу для соглашения о проведении аудита и графике работ по аудиту.

 

9.2.3.2 Разработка плана аудита

 

План аудита должен соответствовать целям и области аудита. План аудита должен, по крайней мере, включать в себя или иметь ссылки на следующее:

 

 

 

a) цели аудита;


b) критерии аудита;


c) область аудита, включая установление организационных и функциональных подразделений или процессов, подлежащих аудиту;


d) сроки проведения аудитов и объекты, подлежащие проверке, включая посещение временных производственных площадок и работы, проводимые без посещения объектов, если это целесообразно;

 

 

 

e) предполагаемые сроки и продолжительность выездных аудитов;

 

 

 

f) функции и обязанности членов аудиторской группы и сопровождающих лиц.

 

9.2.3.3 Предоставление информации о задачах аудиторской группы

 

Должны быть определены задачи, поставленные перед аудиторской группой. При этом аудиторская группа должна:

 

 

a) оценивать и проверять на соответствие требованиям структуру, политики, процессы, процедуры, записи и другие документы организации заказчика, относящиеся к системе менеджмента;

 

 

b) определять, удовлетворяют ли процессы всем требованиям в отношении к предполагаемой области сертификации;

 

 

c) удостовериться, что процессы и процедуры были разработаны, внедрены и поддерживаются в рабочем состоянии с целью обеспечения доверия к системе менеджмента заказчика;

 

 

d) сообщать заказчику для принятия им соответствующих мер о любых противоречиях между политикой, целями и задачами заказчика.

 

9.2.3.4 Предоставление информации о плане аудита

 

Информация о плане аудита должна своевременно предоставляться заказчику, и сроки выполнения работ должны быть с ним заблаговременно согласованы.

 

9.2.3.5 Предоставление информации о членах аудиторской группы

 

Орган по сертификации должен указать заказчику фамилию и по запросу предоставить общую информацию о каждом члене аудиторской группы таким образом, чтобы у заказчика было время на то, чтобы ознакомиться с предоставленной информацией и в случае возражений выразить свое несогласие с назначением какого-либо члена аудиторской группы, а у органа по сертификации - на то, чтобы переформировать группу при наличии для этого объективных причин.

 

9.3. Первоначальная сертификация

 

9.3.1. Аудит первоначальной сертификации

 

9.3.1.1 Общие положения

 

Аудит первоначальной сертификации системы менеджмента должен выполняться в два этапа: этап 1 и этап 2.

9.3.1.2 Проведение первого этапа аудита

9.3.1.2.1

Планирование должно обеспечивать достижение целей первого этапа и заказчик должен быть своевременно проинформирован обо всех работах, которые планируется проводить в ходе первого этапа на его территории.

 

9.3.1.2.2

Первый этап аудита должен проводиться с целью:

 

 

 

a) анализа документации системы менеджмента заказчика;


b) оценки специфических условий размещения производственных площадок, а также с целью обсуждения с персоналом заказчика готовности ко второму этапу аудита;


c) анализа состояния заказчика и понимания им требований стандарта, в частности, тех, которые относятся к идентификации ключевых работ, или значимых аспектов, процессов, целей, а также к функционированию системы менеджмента;


d) сбора необходимой информации относительно области применения системы менеджмента, включая:

 

 

 

- местоположение (производственные площадки) заказчика,


- используемые процессы и оборудование,


- установленные уровни управления (особенно для случаев с несколькими производственными площадками),


- применяемые законодательные и нормативные требования;


e) анализа распределения ресурсов для проведения второго этапа аудита и согласования с заказчиком деталей второго этапа аудита;


f) обеспечения правильной расстановки акцентов при планировании второго этапа аудита на основе четкого понимания системы менеджмента заказчика и функционирования производственных площадок в связи со стандартом на системы менеджмента или другим нормативным документом;


g) оценки того, были ли спланированы и проведены внутренние аудиты и анализы со стороны руководства, и что уровень внедрения системы менеджмента является достаточным для признания готовности заказчика к проведению второго этапа аудита.

 

9.2.1.2.3

Документированные заключения в отношении первого этапа и готовность к проведению второго этапа аудита должны быть сообщены заказчику, включая указание на проблемные области, которые могли быть классифицированы как несоответствия в ходе второго этапа аудита.

 

9.3.1.2.4

При установлении промежутка времени между проведением первого и второго этапов аудита должны быть рассмотрены потребности заказчика, связанные с устранением проблемных областей, выявленных в ходе первого этапа аудита. Органу по сертификации также может потребоваться скорректировать мероприятия по подготовке второго этапа аудита. В случае внесения серьезных изменений, способных повлиять на функционирование системы менеджмента, органу по сертификации следует рассмотреть вопрос о необходимости повторного проведения части или всех мероприятий первого этапа аудита. Заказчик должен быть проинформирован о том, что результаты, полученные в ходе первого этапа аудита, могут привести к отсрочке или отмене проведения второго этапа аудита.

 

9.3.1.3 Проведение второго этапа аудита

 

Целью второго этапа аудита является оценка внедрения системы менеджмента клиента, в том числе ее результативности. Второй этап аудита должен проводиться на территории заказчика. Он должен включать следующее:

 

 

 

a) информацию и свидетельства соответствия всем требованиям применяемого стандарта на системы менеджмента или других нормативных документов;


b) мониторинг, измерение, регистрацию и анализ функционирования по ключевым показателям целей и задач (согласующихся с ожиданиями в применяемом стандарте на системы менеджмента или другом нормативном документе);


c) оценку соответствия системы менеджмента и деятельности заказчика законодательным, нормативным и контрактным требованиям;


d) оценку управления заказчиком своими процессами;


e) проведение внутренних аудитов и анализа со стороны руководства;


f) ответственность руководства за политику организации-заказчика.

 

9.3.1.4 Заключения первоначального сертификационного аудита

 

Аудиторская группа должна проанализировать всю информацию и свидетельства аудита, полученные на первом и втором этапах аудита, чтобы на основе результатов аудита прийти к соглашению относительно заключений аудита.

 

9.4. Проведение аудитов на местах

 

9.4.1. Общие положения

 

Орган по сертификации должен разработать порядок проведения аудитов на местах. Они должны начинаться с проведения предварительного совещания и завершаться проведением заключительного совещания.


Если какая-либо часть аудита или проверка объекта проводится на удаленном расстоянии с использованием соответствующих электронных средств, орган по сертификации должен обеспечить гарантии того, что такие работы проводятся персоналом, имеющим соответствующий уровень компетентности. Свидетельства, полученные в ходе проведения такого рода аудита, должны быть достаточно убедительными для того, чтобы аудитор мог судить и принимать решение о соответствии рассматриваемому требованию.

 

9.4.2. Проведение предварительного совещания

 

Следует проводить официальное предварительное совещание с участием руководства заказчика и, когда это целесообразно, с лицами, ответственными за функции или процессы, которые будут проверяться. Целью вводного совещания, которое, как правило, проводится руководителем аудиторской группы, является предоставление кратких разъяснений по поводу того, как будет организована проверочная деятельность. Степень детализации зависит от осведомленности заказчика с процессом аудита, и она должна включать в себя следующее:

 

 

 

a) представление участников, включая описание их роль в аудите;


b) подтверждение области сертификации;


c) подтверждение плана аудита (включая вид и область аудита, его цели и критерии), любых изменений и других соответствующих договоренностей с заказчиком, таких как дата и время проведения заключительного совещания, а также промежуточных совещаний аудиторской группы с руководством заказчика;

 

 

 

d) подтверждение официальных каналов обмена информацией между аудиторской группой и заказчиком;


e) подтверждение наличия ресурсов и средств, требуемых аудиторской группе;


f) подтверждение мер, касающихся соблюдения конфиденциальности;

 

 

 

g) подтверждение мер безопасности, порядка действия в чрезвычайных ситуациях и процедур обеспечения безопасности, связанных с работой аудиторской группы;


h) подтверждение наличия, ролей и идентификационных данных любых сопровождающих и наблюдателей;


i) порядок предоставления отчетов, включая классификацию выводов аудита;


j) информация об условиях, при которых аудит может быть досрочно прекращен;

 

 

 

k) подтверждение, что руководитель и члены аудиторской группы, представляющие орган по сертификации, несут ответственность за аудит и осуществляют контроль за выполнением плана аудита, включая проверочную деятельность и аудиторские заключения;


l) в случае необходимости подтверждение результатов предыдущего анализа или аудита;


m) методы и процедуры, используемые при проведении аудита на основе выборочного контроля;


n) подтверждение языка, используемого при проведении аудита;


o) подтверждение того, что в ходе аудита заказчик будет информироваться о выполненной работе и любых проблемах, требующих решения;


p) возможность задавать вопросы, предоставляемая заказчику.

 

9.4.3. Обмен информацией в ходе аудита

9.4.3.1

В ходе аудита члены аудиторской группы должны периодически оценивать полученные результаты и обмениваться информацией. Руководитель аудиторской группы должен по мере необходимости перераспределять обязанности среди членов аудиторской группы и периодически сообщать заказчику о достигнутых результатах и любых проблемах.

 

9.4.3.2

В тех случаях, когда имеющиеся данные аудита свидетельствуют о недостижимости целей аудита или предполагают наличие непосредственного серьезного риска (например, угрозы безопасности), руководитель аудиторской группы должен сообщить об этом заказчику и по возможности органу по сертификации для принятия решения о соответствующих действиях. К таким действиям могут относиться повторное подтверждение или корректирование плана аудита, изменение целей или области аудита или прекращение аудита. Руководитель аудиторской группы должен сообщать о результатах принятых мер органу по сертификации.

 

9.4.3.3

Руководитель аудиторской группы должен рассматривать совместно с заказчиком необходимость внесения изменений в область аудита, которая становится очевидной по мере выполнения проверочных работ на местах, и должен сообщать об этом органу по сертификации.

 

9.4.4. Сбор и проверка информации

9.4.4.1

В ходе аудита информация, касающаяся целей, области и критериев аудита (включая информацию, относящуюся к взаимосвязям между функциями, операциями и процессами), должна собираться на основе подходящих выборочных методов и проверяться таким образом, чтобы превратиться в свидетельства аудита.

 

9.4.4.2

К способам сбора информации, в частности, относятся:


a) беседы и опросы;


b) наблюдение за процессами и операциями;


c) анализ документации и записей.

 

9.4.5. Идентификация и регистрация выводов аудита

9.4.5.1

Выводы аудита, обобщающие соответствия и детализирующие несоответствия, должны быть идентифицированы, классифицированы и зарегистрированы, чтобы имелась возможность вынести обоснованное решение о сертификации или подтвердить сертификацию.

 

9.4.5.2

Может осуществляться выявление и регистрация возможностей для совершенствования, если этому не препятствуют требования схемы сертификации системы менеджмента. Однако выводы аудита, свидетельствующие о несоответствиях, не должны регистрироваться как возможности для улучшения.

 

9.4.5.3

Выявленное несоответствие должно регистрироваться со ссылкой на конкретное требование, и данные о несоответствии должны содержать четкую формулировку несоответствия и детализировать объективные свидетельства, на которых основано несоответствие. Несоответствия должны рассматриваться совместно с заказчиком для обеспечения точности свидетельств и правильного понимания несоответствий. Однако аудитор должен воздержаться от указания на причину несоответствий или пути их устранения.

 

9.4.5.4

Руководитель аудиторской группы должен прилагать усилия по устранению разногласий между аудиторской группой и заказчиком в отношении свидетельств или выводов аудита, и нерешенные проблемы должны быть зарегистрированы.

 

9.4.6. Подготовка заключений аудита

 

Руководитель аудиторской группы должен обеспечить, чтобы до проведения заключительного совещания аудиторская группа:

 

 

a) проанализировала выводы аудита и любую другую подходящую информацию, собранную в ходе аудита, относительно целей аудита;


b) согласовала заключения аудита с учетом неопределенности, присущей процессу аудита;


c) определила любые необходимые последующие действия;


d) подтвердила правомерность программы аудита или определила любые требуемые изменения (например, в отношении области сертификации, трудоемкости или сроков проведения аудита, периодичности инспекционного контроля, компетентности аудиторской группы).

 

9.4.7. Проведение заключительного совещания

9.4.7.1

Следует проводить официальное заключительное совещание с участием руководства заказчика и, когда это целесообразно, с лицами, ответственными за функции или процессы, подлежащие проверке. Целью заключительного совещания, которое обычно проводится руководителем аудиторской группы, является предоставление заключений аудита, включая рекомендации относительно сертификации. Все обнаруженные несоответствия должны быть представлены таким образом, чтобы обеспечить их понимание, и должны быть согласованы сроки реагирования на них.

 

9.4.7.2

На заключительном совещании должны также рассматриваться следующие вопросы. Степень детализации зависит от знакомства заказчика с процессом аудита:


a) доведение до сведения заказчика, что собранные свидетельства аудита основаны на выборочной информации, что тем самым создают элемент неопределенности;


b) способ и сроки предоставления отчета, включая классификацию данных аудита;

 

 

 

c) процесс рассмотрения несоответствий органом по сертификации, включая любые последствия, связанные со статусом сертификации заказчика;


d) сроки предоставления заказчиком плана корректирующих действий и устранения любых несоответствий, выявленных в ходе аудита;


e) действия, осуществляемые органом по сертификации после аудита;


f) информация о процессах рассмотрения жалоб и апелляций.

 

9.4.7.3

Заказчику должна предоставляться возможность задавать вопросы. Любые разногласия относительно данных и заключений аудита между аудиторской группой и заказчиком должны быть рассмотрены и устранены по мере возможности. Любые неустраненные разногласия должны быть зафиксированы и доведены до сведения органа по сертификации.

 

9.4.8. Отчет по аудиту

9.4.8.1

Орган по сертификации должен предоставлять письменный отчет по каждому аудиту. Аудиторская группа может определить возможности для совершенствования, но она не должна рекомендовать конкретные решения. Право собственности на аудиторский отчет должен сохранять за собой орган по сертификации.

 

9.4.8.2

Руководитель аудиторской группы должен позаботиться о подготовке аудиторского отчета и должен нести ответственность за его содержание. Аудиторский отчет должен содержать точную, сжатую и четкую запись аудита, чтобы обеспечить возможность принятия взвешенного решения о сертификации, и должен содержать или ссылаться на:

 

 

 

a) идентификацию органа по сертификации;


b) наименование и адрес заказчика и представителя руководства заказчика;


c) тип аудита (например, первоначальный, инспекционный или ресертификационный или специальный);


d) критерии аудита;

 

 

 

e) цели аудита;


f) область аудита, в частности, идентификация организационных или функциональных подразделений или процессов, подлежащих аудиту, и сроки аудита;


g) любые отклонения от плана аудита и их причины;

 

 

 

h) любые существенные аспекты, влияющие на программу аудита;


i) идентификацию руководителя аудиторской группы, членов аудиторской группы и любых сопровождающих лиц;


j) сроки и места проведения аудиторской деятельности (на месте или за пределами объектов, на постоянных или временных производственных площадках);

 

 

 

k) выводы аудита (см.9.4.5), ссылки на свидетельства и заключения аудита в соответствии с требованиями к данному типу аудита;


l) идентификацию изменений в случае значительных изменений, влияющих на систему менеджмента заказчика со времени проведения последнего аудита;


m) любые неразрешенные вопросы, если таковые имеются;


n) является ли проведенный аудит комбинированным, совместным или комплексным, если это применимо;


o) сообщение о том, что аудит проводился на основе выборочного контроля имеющейся в распоряжении информации;

 

 

 

p) рекомендации по улучшению от аудиторской группы;


q) подтверждение того, что заказчиком эффективным образом контролируется использование сертификационных документов и знаков, где это применимо;


r) верификацию результативности предпринятых коррекций и корректирующих действий в отношении ранее выявленных несоответствий, если это применимо.

 

9.4.8.3

Аудиторский отчет должен также содержать:

 

 

 

a) заявление относительно соответствия и результативности системы менеджмента с кратким изложением свидетельств, относящихся:


- к способности системы менеджмента отвечать применяемым требованиям и достигать запланированных результатов,


- проведению внутренних аудитов и анализа со стороны руководства;


b) заключение о правомерности области сертификации;


c) заключение относительно достижения целей аудита.

 

9.4.9. Анализ причин несоответствий

 

Орган по сертификации должен потребовать от заказчика проведения анализа причин несоответствий и определения того, какие коррекции и корректирующие действия предприняты или планируются для устранения выявленных несоответствий в установленные сроки.

 

9.4.10. Результативность коррекций и корректирующих действий

 

Орган по сертификации должен анализировать предложенные заказчиком коррекции, выявленные причины несоответствий и корректирующие действия для определения их приемлемости. Орган по сертификации должен проверять результативность любых исправлений и корректирующих действий. Данные, подтверждающие обоснованность устранения несоответствий, следует регистрировать. Заказчик должен быть проинформирован о результатах анализа и проверки. Если понадобится провести дополнительный полный или частичный аудит или предоставить документально оформленные свидетельства (подлежащие проверке в ходе последующих аудитов) для проверки результативности коррекций и корректирующих действий, то об этом также необходимо проинформировать заказчика.

 

9.5. Решение о сертификации

 

9.5.1. Общие положения

9.5.1.1

Орган по сертификации должен обеспечить, чтобы лица или члены комитетов, принимающие решения о выдаче или отказе в выдаче сертификата, расширении или сужении области действия сертификата, приостановлении действия или отзыве сертификата, а также решения о ресертификации не принимали участия в аудитах. Лица, принимающие решение о сертификации, должны иметь соответствующий уровень компетентности.

 

9.5.1.2

Лица(о) [кроме членов комитетов (см. 6.1.4)], принимающие(ее) решения о сертификации, должны(о) быть штатными(ым) сотрудниками(ом) органа по сертификации или привлекаться к работе на основе юридически действительных соглашений либо с органом или с юридическим лицом под организационным управлением данного органа по сертификации. Организационное управление со стороны органа по сертификации должно обеспечиваться посредством:

 

 

 

a) монопольного или контрольного владения органа по сертификации другим юридическим лицом;


b) мажоритарного участия со стороны органа по сертификации в совете директоров другого юридического лица;


c) властных полномочий органа по сертификации в отношении другого юридического лица, входящего в группу организаций (в которую входит орган по сертификации), связанных между собой системой владения или управлением советом директоров.

 

9.5.1.3

Лица, являющиеся штатными сотрудниками или привлекаемые к работе юридическими лицами, находящимися под организационным управлением органа по сертификации, должны выполнять те же самые требования настоящего стандарта, что и лица, работающие или привлекаемые к работе органом по сертификации.

 

9.5.1.4

Орган по сертификации должен регистрировать каждое решение о сертификации, включая любые дополняющие его сведения или разъяснения, поступающие от членов аудиторской группы или других источников информации.

 

9.5.2. Действия, осуществляемые до принятия решения

 

Орган по сертификации должен иметь процесс для проведения эффективного анализа, предшествующего принятию решения о выдаче или отказе в выдаче сертификата, расширении или сужении области действия сертификата, возобновлении, приостановлении действия или отмене сертификата, включая то, что

 

 

 

a) информация, предоставленная аудиторской группой, в достаточной степени охватывает требования к сертификации и область сертификации;


b) органом были проанализированы, одобрены и проверены коррекции и корректирующие действия в отношении всех значительных несоответствий;


c) органом был проанализирован и одобрен план действий заказчика по коррекциям и корректирующим действиям в отношении всех других несоответствий.

 

9.5.3. Информация, необходимая для признания действительными результатов первоначальной сертификации

9.5.3.1

Информация, предоставляемая аудиторской группой в орган по сертификации для принятия решения о сертификации должна, как минимум, включать:


a) аудиторский отчет;


b) комментарии по несоответствиям и, где применимо, коррекциям и корректирующим действиям, предпринимаемым заказчиком;


c) подтверждение информации, предоставленной органу по сертификации и использованной при анализе заявки (см. 9.1.2);


d) подтверждение того, что цели аудита были достигнуты;


e) рекомендации относительно выдачи или отказа в выдаче сертификата со всеми условиями осуществления этого или замечаниями аудитора.

 

9.5.3.2

Если орган по сертификации не сможет проверить выполнение коррекций и корректирующих действий в отношении какого-либо значительного несоответствия в течение 6 мес после завершения второго этапа, он должен снова провести второй этап аудита перед тем, как принимать решение о выдаче сертификата.

 

9.5.3.3

Когда вопрос о выдаче сертификата передается одним органом по сертификации на рассмотрение другого органа, последний должен иметь процедуру для получения всей необходимой ему информации для принятия решения о сертификации.

 

9.5.4. Информация, необходимая для признания действительными результатов ресертификации

 

Орган по сертификации должен принять решение о возобновлении действия сертификата на основе результатов ресертификационного аудита, а также анализа функционирования системы за период действия сертификата и жалоб, полученных от пользователей результатов сертификации.

 

9.6. Подтверждение сертификации

 

9.6.1. Общие положения

 

Орган по сертификации должен подтверждать сертификацию на основе демонстрации того, что заказчик продолжает выполнять требования стандарта на системы менеджмента. Орган по сертификации может подтверждать сертификацию заказчика, руководствуясь положительным заключением руководителя аудиторской группы, без проведения последующего независимого анализа и вынесения соответствующего решения, при условии, что

 

 

a) в органе по сертификации действует система, согласно которой при выявлении любого несоответствия или другой ситуации, которая может привести к приостановлению или отмене сертификации, руководитель аудиторской группы сообщает органу по сертификации о необходимости проведения анализа этого факта персоналом, имеющим соответствующий уровень компетентности (см.7.2.8) и не принимавшим участие в аудите с целью определения возможности подтверждения сертификации;


b) компетентный персонал органа по сертификации осуществляет мониторинг деятельности по инспекционному контролю, включая мониторинг отчетности аудиторов, с целью подтверждения того, что деятельность по сертификации осуществляется результативно.

 

9.6.2. Деятельность по инспекционному контролю

 

9.6.2.1 Общие положения

9.6.2.1.1

Орган по сертификации должен организовать свои работы по инспекционному контролю таким образом, чтобы регулярно проводился мониторинг типичных областей и функций, охваченных системой менеджмента, с учетом изменений, относящихся к сертифицированному заказчику и его системе менеджмента.

 

9.6.2.1.2

Деятельность по инспекционному контролю должна включать в себя проведение аудитов на месте с целью оценки соответствия сертифицированной системы менеджмента заказчика определенным требованиям стандарта, на соответствие которому выдан сертификат. Другие действия по надзору могут включать в себя:


a) запросы органа по сертификации сертифицированному заказчику по аспектам сертификации;

 

 

 

b) анализ любых заявлений сертифицированного заказчика, касающихся его деятельности (например, в рекламных материалах, на веб-сайте);


c) обращения к сертифицированному заказчику для получения документированной информации (на бумажных или электронных носителях);


d) другие способы мониторинга деятельности сертифицированного заказчика.

 

9.6.2.2 Инспекционный контроль

 

Инспекционный контроль - это аудит, проводимый на месте, но он не обязательно подразумевает аудит всей системы и должен планироваться вместе с другими инспекционными мероприятиями таким образом, чтобы позволить органу по сертификации сохранять уверенность в том, что сертифицированная система менеджмента заказчика продолжает соответствовать требованиям в периоды между ресертификационными аудитами. Программа инспекционного контроля должна включать в себя следующее:

 

 

 

a) внутренние аудиты и анализ со стороны руководства;


b) анализ действий, предпринятых в отношении несоответствий, выявленных в ходе предыдущего аудита;


c) обращение с жалобами;


d) результативность системы менеджмента в части достижения целей и результатов функционирования соответствующей системы (систем), запланированных сертифицированным заказчиком;

 

 

 

i) ход реализации запланированных мероприятий, нацеленных на постоянное улучшение;


f) непрерывное управление операциями;


g) анализ всех изменений;


n) использование знаков соответствия и/или любых других ссылок на сертификацию.

 

9.6.3. Ресертификация

 

9.6.3.1 Планирование ресертификационного аудита

9.6.3.1.1

Целью ресертификационного аудита является подтверждение постоянства соответствия и результативности системы менеджмента в целом, а также ее постоянной пригодности в рамках области сертификации. Ресертификационный аудит планируют и проводят с целью оценивания постоянного выполнения всех требований соответствующего стандарта на систему менеджмента или другого нормативного документа. Он должен планироваться и проводиться в надлежащие сроки с тем, чтобы обеспечить своевременное возобновление сертификации до истечения сроков действия выданного сертификата.

 

9.6.3.1.2

Деятельность по ресертификации должна включать в себя анализ отчетов о предыдущих инспекционнных аудитах, и также должно рассматриваться функционирование системы менеджмента в течение последнего цикла сертификации.

 

9.6.3.1.3

В ходе ресертификационного аудита может потребоваться проведение первого этапа аудита в случаях, если произошли значительные изменения в системе менеджмента, организации или условиях функционирования системы менеджмента (например, изменения в законодательстве).

 

9.6.3.2 Ресертификационный аудит

9.6.3.2.1

Ресертификационный аудит должен включать в себя проводимый на местах аудит, касающийся следующего:


a) результативность системы менеджмента в целом с учетом внутренних и внешних изменений, а также постоянство ее соответствия и применимости в области сертификации;


b) демонстрации выполнения обязательства по поддерживанию результативности и совершенствованию системы менеджмента с целью улучшения деятельности организации в целом;


c) результативности системы менеджмента в части достижения Политики и целей функционирования соответствующей(их) системы(ем), запланированной(ых) сертифицированным заказчиком.

 

9.6.3.2.2

Если в ходе ресертификационного аудита фиксируются значительные несоответствия, орган по сертификации должен установить время, за которое должны быть выполнены коррекции и корректирующие действия. Они должны быть выполнены и проверены до истечения срока действия сертификата.

 

9.6.3.2.3

Если работы по ресертификации будут успешно завершены до истечения срока действия выданного сертификата, срок действия нового сертификата может устанавливаться на основе срока действия имеющегося сертификата. Новый сертификат должен датироваться либо днем принятия решения о ресертификации, либо более поздней датой.

 

9.6.3.2.4

Если мероприятия ресертификационного аудита не были полностью завершены органом по сертификации до истечения срока действия сертификата или если до этого срока органом не было верифицировано выполнение коррекций и корректирующих действий в отношении любого значительного несоответствия (см.9.5.2.1), то решение о ресертификации не должно приниматься и сроки действия сертификата не должны продлеваться. Заказчик должен быть об этом проинформирован с разъяснением вытекающих из этого факта последствий.

 

9.6.3.2.5

По истечении срока действия выданного сертификата орган по сертификации может возобновить действие сертификата в течение 6 мес при условии, что остающиеся невыполненными мероприятия по ресертификации будут полностью завершены, в противном случае, по крайней мере, должен проводиться второй этап аудита. В таком случае сертификат должен датироваться либо днем принятия решения о ресертификации или более поздней датой, а срок истечения действия сертификата должен устанавливаться на основе предыдущего цикла сертификации.

 

9.6.4. Специальные аудиты

 

9.6.4.1 Расширение области сертификации

 

На основании заявки о расширении области действия ранее выданного сертификата орган по сертификации должен провести анализ заявки и определить проверочные мероприятия, необходимые для принятия соответствующего решения. Их проведение можно совместить с проведением мероприятий инспекционного контроля.

 

9.6.4.2 Внеплановые аудиты

 

Органу по сертификации может потребоваться проведение внепланового аудита сертифицированного заказчика для расследования жалоб или в ответ на произошедшие изменения или же для контроля в случае приостановления действия сертификата заказчика. В таких случаях:


a) орган по сертификации должен обосновать и заранее известить сертифицированных заказчиков (например, в документах, указанных в 8.5.1) об условиях, на которых будут осуществляться такие аудиты;


b) орган по сертификации должен очень тщательно рассмотреть состав аудиторской группы по причине отсутствия у заказчика возможности опротестовать участников аудиторской группы.

 

9.6.5. Приостановление, отмена действия сертификата или сужение области сертификации

9.6.5.1

Орган по сертификации должен разработать политику и документированную процедуру(ы) по приостановлению, отмене действия сертификата или сужению области сертификации и определить последующие действия, осуществляемые органом по сертификации.

 

9.6.5.2

Орган по сертификации должен приостанавливать действие сертификата в тех случаях, когда, например,


- сертифицированная система менеджмента заказчика постоянно или в значительной мере не может выполнять сертификационные требования, включая требования к результативности системы менеджмента;

 

 

 

- сертифицированный заказчик не позволяет проводить инспекционные или ресертификационные аудиты с требуемой периодичностью;


- сертифицированный заказчик добровольно делает запрос о приостановлении действия сертификата.

 

9.6.5.3

После приостановления действия сертификат на систему менеджмента заказчика становится временно недействительным.

9.6.5.4

Орган по сертификации должен возобновить действие сертификата, которое было приостановлено, в том случае, если проблема, вызвавшая приостановление действия сертификата, была решена. Неспособность решить проблемы, из-за которых было приостановлено действие сертификата, в сроки, установленные органом по сертификации, приводит к отмене действия сертификата или сужению области сертификации.

 

9.6.5.5

Орган по сертификации должен сузить область сертификации, чтобы исключить области, не удовлетворяющие требованиям, если заказчик постоянно или в значительной степени не может выполнить сертификационные требования применительно к этим областям. Любое сужение области сертификации должно осуществляться в соответствии с требованиями стандарта, используемого при сертификации.

 

9.7. Апелляции

9.7.1

Орган по сертификации должен иметь документированный порядок получения, оценки и принятия решений по апелляциям.

 

9.7.2

Орган по сертификации должен нести ответственность за все решения, принятые на всех уровнях, задействованных в процессе рассмотрения апелляций. Орган по сертификации должен обеспечивать, чтобы лица, вовлеченные в процесс рассмотрения апелляций, не участвовали в соответствующих аудитах и не принимали решения по сертификации.

 

9.7.3

Процессы подачи, рассмотрения и принятия решений по апелляциям не должны носить какого-либо дискриминационного характера по отношению к подателю апелляции.

 

9.7.4

Процесс рассмотрения апелляций должен включать в себя, по крайней мере, следующие элементы и методы:


a) схема процесса получения, признания обоснованности и исследования апелляции, а также принятия решения о том, какие ответные действия должны быть предприняты с учетом результатов предыдущих подобных апелляций;


b) сопровождение и регистрация апелляций, включая действия, предпринимаемые для принятия решений по апелляциям;


c) обеспечение выполнения соответствующих коррекций и корректирующих действий.

 

9.7.5

При получении апелляции орган по сертификации должен нести ответственность за сбор и проверку всей информации, необходимой для признания обоснованности поданной апелляции.

 

9.7.6

Орган по сертификации должен подтвердить получение апелляции и предоставить подателю апелляции подробные сведения о ходе ее рассмотрения и сообщать о результатах.

 

9.7.7

Решение, которое должно быть сообщено подателю апелляции, должно быть принято или проанализировано и утверждено лицом (лицами), ранее не имевшим(ими) отношения к предмету апелляции.

 

9.7.8

Орган по сертификации должен официально уведомить подателя апелляции об окончании ее рассмотрения.

 

9.8. Жалобы

9.8.1

Орган по сертификации должен нести ответственность за все решения, принятые на всех уровнях, задействованных в процессе рассмотрения жалоб.

 

9.8.2

Процессы подачи, рассмотрения и принятия решений по жалобам не должны носить какого-либо дискриминационного характера по отношению к подателю жалобы.

 

9.8.3

При получении жалобы орган по сертификации должен подтвердить, относится ли она к деятельности по сертификации, за которую данный орган несет ответственность, и, если это так, он должен ее рассмотреть. Если жалоба имеет отношение к сертифицированному заказчику, то при ее исследовании основное внимание должно уделяться результативности сертифицированной системы менеджмента.

 

9.8.4

Орган по сертификации также должен в установленный срок передать сертифицированному заказчику относящуюся к нему жалобу.

 

9.8.5

Орган по сертификации должен документировать порядок получения, оценки и принятия решений по жалобам. Этот процесс должен соответствовать требованиям конфиденциальности в части, относящейся к предъявителю жалобы и ее предмету.

 

9.8.6

Процесс рассмотрения жалоб должен включать в себя, по меньшей мере, следующие элементы и методы:


a) схема процесса получения, признания обоснованности и расследования жалобы, а также принятия решения о том, какие ответные действия должны быть предприняты;


b) сопровождение и регистрация жалоб, включая действия, предпринимаемые для их удовлетворения;


c) обеспечение выполнения соответствующих коррекций и корректирующих действий.

 

9.8.7

При получении жалобы орган по сертификации должен нести ответственность за сбор и проверку всей информации, необходимой для признания обоснованности поданной жалобы.

 

9.8.8

Во всех случаях, когда это возможно, орган по сертификации должен подтвердить получение жалобы и предоставлять ее предъявителю подробные сведения о ходе рассмотрения жалобы и сообщать о результатах.

 

9.8.9

Решение, которое должно быть сообщено предъявителю жалобы, должно быть принято или проанализировано и утверждено лицом(ами), ранее не имевшим(ими) отношения к предмету жалобы.

 

9.8.10

Во всех случаях, когда это возможно, орган по сертификации должен официально уведомлять предъявителя жалобы об окончании процесса ее рассмотрения.

 

9.8.11

Орган по сертификации совместно с заказчиком и предъявителем жалобы должен определить, необходимо ли и если да, то в какой степени, разглашать предмет жалобы и сделанное по ней заключение.

 

9.9. Записи о заказчиках

9.9.1

Орган по сертификации должен вести записи об аудите и других работах по всем заказчикам, включая все организации, подавшие заявки, прошедшие аудит, сертифицированные, а также организации, действие сертификатов которых было приостановлено или отменено.

 

9.9.2

Записи о сертифицированных заказчиках должны включать в себя следующее:


a) информацию о заявке и отчеты о первоначальном, инспекционном и ресертификационном аудитах;


b) договор о проведении сертификации;


c) обоснование методологии, используемой для выборочного исследования.

 

 

 

d) обоснование трудоемкости аудита (см. 9.1.4);


e) проверку коррекций и корректирующих действий;


f) записи о жалобах и апелляциях, а также обо всех последующих коррекциях или корректирующих действиях;

 

 

 

g) протоколы и решения комитетов, если это применимо;


h) документацию по принятию решений о сертификации;


i) сертификационные документы, содержащие область сертификации в отношении продукции, процесса или услуги, в зависимости от применимости;


j) соответствующие записи, необходимые для обеспечения доверия к сертификации, такие как свидетельства компетентности аудиторов и технических экспертов;


k) программы аудита.

 

9.9.3

Орган по сертификации должен обеспечивать защиту записей о заявителях и заказчиках, гарантируя при этом соблюдение конфиденциальности информации. Транспортировка, пересылка или передача записей должны осуществляться способом, обеспечивающим сохранение их конфиденциальности.

 

9.9.4

Орган по сертификации должен иметь документированную политику и процедуры хранения записей. Записи о сертифицированных заказчиках должны сохраняться на протяжении текущего цикла сертификации и еще одного полного цикла.

 

10. Требования к системам менеджмента органов по сертификации

 

10.1. Варианты

 

Орган по сертификации должен разработать и поддерживать в рабочем состоянии систему менеджмента, способную обеспечивать и демонстрировать последовательное выполнение требований настоящего стандарта. В дополнение к требованиям разделов 5-9 орган по сертификации должен внедрять систему менеджмента согласно либо:

 

 

 

a) общим требованиям, предъявляемым к системам менеджмента (см.10.2), или


b) требованиям к системам менеджмента, установленным в ИСО 9001 (см.10.3).

 

10.2. Вариант A. Общие требования к системам менеджмента

 

10.2.1. Общие положения

 

Орган по сертификации должен разработать, документально оформить, внедрить и поддерживать в рабочем состоянии систему менеджмента, способную обеспечивать и демонстрировать последовательное выполнение требований настоящего стандарта.

 

 

 

Высшее руководство органа по сертификации должно разрабатывать и документировать политику и цели деятельности органа, а также обеспечивать наличие свидетельств своей приверженности разрабатывать и внедрять систему менеджмента в соответствии с требованиями настоящего стандарта. Высшее руководство должно обеспечивать, чтобы политика была понятна, внедрена и поддерживалась в рабочем состоянии на всех уровнях органа по сертификации.

 

 

 

Высшее руководство органа по сертификации должно назначать представителя из состава руководства, который независимо от других обязанностей должен нести ответственность и иметь полномочия, распространяющиеся на:


a) обеспечение разработки, внедрения и поддержания в рабочем состоянии процессов и процедур, требуемых системой менеджмента;


b) предоставление отчетов высшему руководству о функционировании системы менеджмента и необходимости ее улучшения.

 

10.2.2. Руководство по системе менеджмента

 

Все применимые требования настоящего стандарта должны быть представлены либо в руководстве по системе менеджмента, либо в связанных с ним документах.


Орган по сертификации должен обеспечивать, чтобы руководство по системе менеджмента и связанные с ним документы были доступны для соответствующего персонала.

 

10.2.3. Управление документами

 

Орган по сертификации должен разрабатывать процедуры для управления документами (внутреннего и внешнего происхождения), относящиеся к соблюдению требований настоящего стандарта. Эти процедуры должны предусматривать использование средств управления, необходимых для:

 

 

 

a) проверки документов на адекватность до их выпуска;


b) анализа и актуализации документов по мере необходимости и их повторного утверждения;


c) обеспечения идентификации изменений и статуса пересмотра документов;

 

 

 

d) обеспечения наличия действующих версий применяемых документов в местах их применения;


e) обеспечения сохранения документов четкими и легко идентифицируемыми;


f) обеспечения идентификации документов внешнего происхождения и управления их рассылкой;


g) предотвращения непреднамеренного использования устаревших документов и применения соответствующей идентификации таких документов, оставленных для каких-либо целей.

 

10.2.4. Управление записями

 

Орган по сертификации должен разрабатывать процедуры по определению средств управления, требуемых при идентификации, хранении, защите, восстановлении, определении сроков хранения и изъятии записей, связанных с выполнением требований настоящего стандарта.


Орган по сертификации должен разрабатывать процедуры для обеспечения сохранности записей в течение периода времени, установленного в договорах и законодательных актах. Доступ к этим записям должен соответствовать условиям конфиденциальности.

 

10.2.5. Анализ со стороны руководства

10.2.5.1

Общие положения


Высшее руководство органа по сертификации должно разрабатывать процедуры по проведению анализа своей системы менеджмента через запланированные интервалы времени с целью обеспечения ее постоянной пригодности, адекватности и результативности, включая политику и цели, связанные с выполнением требований настоящего стандарта. Такие анализы должны проводиться не реже одного раза в год.

 

10.2.5.2

Входные данные для анализа


Входные данные для анализа со стороны руководства должны включать в себя информацию, касающуюся:

 

 

 

a) результатов внутренних и внешних аудитов;


b) данных, полученных от заказчиков и заинтересованных сторон;


c) обеспечения беспристрастности;


d) статуса корректирующих действий;

 

 

 

e) статуса действий в отношении рисков;


f) предпринятых действий, вытекающих из предыдущего анализа со стороны руководства;


g) достижения целей;


h) изменений, которые могут повлиять на систему менеджмента;


i) апелляций и жалоб.

 

10.2.5.3

Выходные данные анализа


Выходные данные анализа со стороны руководства должны включать в себя решения и действия в отношении:


a) повышения результативности системы менеджмента и ее процессов;


b) улучшения услуг по сертификации согласно требованиям настоящего стандарта;


c) потребности в ресурсах;


d) пересмотра политики и целей органа.

 

10.2.6. Внутренние аудиты

10.2.6.1

Орган по сертификации должен разрабатывать процедуры по проведению внутренних аудитов с целью проверки того, что он выполняет требования настоящего стандарта и что его система менеджмента функционирует результативно и поддерживается в рабочем состоянии.

 

10.2.6.2

Программа аудитов должна планироваться с учетом важности процессов и областей, подлежащих аудиту, а также результатов предыдущих аудитов.

 

10.2.6.3

Внутренние аудиты должны выполнять не реже одного раза в год. Периодичность проведения внутренних аудитов может быть сокращена, если орган по сертификации может продемонстрировать, что его система менеджмента продолжает результативно функционировать в соответствии с требованиями настоящего стандарта, а также предъявить доказательства в отношении ее стабильности.

 

10.2.6.4

Орган по сертификации должен обеспечивать, чтобы:


a) внутренние аудиты проводились квалифицированным персоналом, обладающим необходимыми знаниями в области сертификации, проведения аудитов и требований настоящего стандарта;


b) аудиторы не проверяли свою собственную работу;

 

 

 

c) персонал, ответственный за область аудита, был проинформирован о результатах аудита;


d) любые действия, предпринимаемые по итогам внутренних аудитов, выполнялись своевременно и надлежащим образом;


e) были определены все возможности для улучшения.

 

10.2.7. Корректирующие действия

 

Орган по сертификации должен разрабатывать процедуры по определению и управлению несоответствиями в своей деятельности. При необходимости орган по сертификации должен также предпринимать действия по устранению причин несоответствий для предупреждения их повторного возникновения. Корректирующие действия должны быть адекватными последствиям выявленных несоответствий. Данные процедуры должны устанавливать требования к:

 

 

 

a) выявлению несоответствий (например, согласно жалобам или результатам внутренних аудитов);


b) установлению причин несоответствий;


c) устранению несоответствий;


d) оцениванию необходимости предпринимаемых действий, чтобы избежать повторения несоответствий;

 

 

 

e) определению и своевременному выполнению необходимых действий;


f) регистрации результатов предпринятых действий;


g) анализу результативности предпринятых корректирующих действий.

 

10.3. Вариант B. Требования к системам менеджмента, установленные в ИСО 9001


10.3.1. Общие положения

 

Орган по сертификации должен разработать и поддерживать в рабочем состоянии систему менеджмента, соответствующую требованиям ИСО 9001, способную обеспечивать и демонстрировать последовательное выполнение требований 10.3.2-10.3.4.

 

10.3.3. Ориентация на потребителя

 

Для обеспечения выполнения требований ИСО 9001 при разработке своей системы менеджмента орган по сертификации должен обеспечивать доверие к сертификации и учитывать потребности всех заинтересованных сторон (согласно указаниям в 4.1.2), которые полагаются на его услуги по аудиту и сертификации, а не только на своих заказчиков.

 

10.3.4. Анализ со стороны руководства

 

Для обеспечения выполнения требований ИСО 9001 орган по сертификации должен использовать информацию об апелляциях и жалобах пользователей услуг по сертификации, а также анализ обеспечения беспристрастности как входные данные для анализа со стороны руководства.

 

 

Выполнение положений IAF MD 17:2023 "Свидетельская деятельность по аккредитации органов по сертификации")

 

 

Выполнение положений IAF MD 5:2023 "Определение продолжительности аудита системы менеджмента качества, системы экологического менеджмента, и системы менеджмента охраны здоровья и безопасности труда")

 

 

Выполнение положений IAF MD 1:2023 "Обязательный документ IAF для аудита и сертификации системы менеджмента организаций, имеющих сеть предприятий"

 

 

Выполнение положений IAF MD 2:2023 "Обязательный документ IAF для аудита и сертификации системы менеджмента организаций, имеющих несколько мест осуществления деятельности"

 

 

Выполнение положений IAF MD 4:2023 "Обязательный документ IAF для использования информационно-коммуникационных технологий (ИКТ) в целях аудита/оценки"

 

 

Выполнение положений IAF MD 9:2023 "Применение стандарта ISO/IEC 17021-1 в области систем менеджмента качества медицинских изделий (ISO 13485)"

 

 

Выполнение положений IAF MD 11:2023 "Обязательный документ IAF по применению стандарта ISO/IEC 17021 при аудитах интегрированных систем менеджмента (ИСМ)"

 

 

Выполнение положений IAF MD 12:2023 "Оценка аккредитации органов по оценке соответствия, осуществляющих деятельность в нескольких странах"

 

 

Выполнение положений IAF MD 13:2023 "Требования к знаниям персонала Органа по аккредитации систем менеджмента информационной безопасности (ISO/IEC 27001)"

 

 

Выполнение положений IAF MD 16:2023 Обязательный документ IAF "Применение стандарта ISO/IEC 17011 при аккредитации органов по сертификации систем менеджмента безопасности пищевых продуктов (СМБПП)"

 

 

Выполнение положений IAF MD 22:2023 "Применение стандарта ISO/IEC 17021-1 для сертификации системы менеджмента безопасности труда и охраны здоровья (OH&SMS)"

 

 

Выполнение положений IAF MD 23:2023 "Контроль за деятельностью юридических лиц, действующих от имени аккредитованных органов по сертификации систем менеджмента"

 

 

Выполнение положений IAF MD 15:2023 "Обязательный документ IAF для сбора данных с целью представления сведений для определения эффективности органов по сертификации систем менеджмента"

 

 

Выполнение положений IAF MD 27:2023 "Требования к переходу на ISO 22003-1:2022" (в случае, если применимы)

 

 

Выполнение положений ГОСТ Р 53755-2020/ISO/TS 22003:2013 (в случае, если применимы)

 

 

Выполнение положений ГОСТ Р ИСО/МЭК 27006-2020 (в случае, если применимы)

 

 

Выполнение положений ГОСТ Р ИСО/МЭК 17021-2-2021 (ISO/IEC 17021-2:2016) (в случае, если применимы)

 

 

Выполнение положений ГОСТ Р ИСО/МЭК 17021-3-2021 (в случае, если применимы)