Наименование аккредитованного лица Уникальный номер записи в реестре аккредитованных лиц | |||
Наименование юридического лица или фамилия, имя, отчество (при наличии) для индивидуального предпринимателя | |||
Период проведения оценки | |||
№ | Требования схемы аккредитации органов по сертификации систем менеджмента | Заключение о соответствии/ | |
4.2. Беспристрастность | |||
4.2.1 | Чтобы проводить сертификацию, заслуживающую доверия, орган по сертификации должен быть беспристрастным и должен восприниматься как таковой. | ||
4.2.2 | Общепризнано, что источником дохода органа по сертификации является плата заказчика за сертификацию, и это является потенциальной угрозой для сохранения беспристрастности. | ||
4.2.3 | Для достижения и поддержания доверия необходимо, чтобы решения органа по сертификации основывались на объективных свидетельствах соответствия (или несоответствия), полученных органом по сертификации, и чтобы на его решения не влияли другие интересы или другие стороны. | ||
4.2.4 | Угрозы для сохранения беспристрастности, в частности, могут включать в себя следующее: | ||
b) анализ собственной деятельности: угроза возникает при анализе человеком или организацией собственной работы. Выполнение аудита систем менеджмента заказчика, которому орган по сертификации предоставлял консультации по системам менеджмента, может привести к анализу собственной работы; | |||
d) запугивание: угроза возникает, когда у человека или органа возникает ощущение, что им открыто или скрытым образом угрожают, например, заменой или сообщением руководству. | |||
4.3.1 | Компетентность персонала органа по сертификации во всех работах, связанных с процессом сертификации, необходима для проведения сертификации, заслуживающей доверие. | ||
4.3.2 | Также необходимо, чтобы сертификация поддерживалась системой менеджмента органа по сертификации. | ||
4.3.3 | Важнейшая задача для руководства органа по сертификации состоит в обеспечении внедрения процесса для установления критериев компетентности персонала, участвующего в проведении аудита и других работах по сертификации, и чтобы компетентность персонала оценивалась согласно данным критериям. | ||
4.4.1 | Ответственность за достижение соответствия требованиям конкретного стандарта на систему менеджмента и за соответствие требованиям к сертификации несет сертифицированный заказчик, а не орган по сертификации. | ||
4.4.2 | Орган по сертификации несет ответственность за оценку достаточности объективных свидетельств, на основании которых принимается решение о сертификации. На основании выводов аудита он принимает решение о выдаче сертификата, если имеются достаточные свидетельства соответствия, или о невыдаче сертификата, если нет достаточных свидетельств соответствия. | ||
4.5.1 | Орган по сертификации должен обеспечивать открытый доступ или своевременно раскрывать соответствующую информацию о процессе аудита и сертификации, а также о статусе сертификации (например, о выдаче, подтверждении сертификата, расширении или сужении области действия сертификата, об обновлении, о приостановлении действия или отмене сертификата) любой организации с целью обеспечения уверенности в добросовестности и достоверности сертификации. Открытость - это принцип доступности или раскрытия соответствующей информации. | ||
4.5.2 | Для обеспечения или поддерживания доверия к сертификации орган по сертификации должен предоставлять необходимый доступ или раскрывать не конфиденциальную информацию о результатах конкретных аудитов (например, аудитов в ответ на жалобы) определенным заинтересованным сторонам. | ||
Для получения преимущественного доступа к информации, требуемой органом по сертификации для адекватной оценки соответствия требованиям, необходимо, чтобы орган по сертификации не раскрывал конфиденциальной информации. | |||
Стороны, которые полагаясь на сертификацию, ожидают, что их жалобы будут рассмотрены, должны быть уверены, что в случае признания их обоснованными орган по сертификации надлежащим образом учтет эти жалобы и приложит надлежащие усилия для их разрешения. Результативное реагирование на жалобы - важное средство защиты органа по сертификации, его заказчиков и других пользователей сертификации от ошибок, упущений или ненадлежащего поведения. Доверие к деятельности по сертификации обеспечивается в том случае, если проводится соответствующая работа с жалобами. | |||
Органы по сертификации должны учитывать риски, связанные с проведением компетентной, непротиворечивой и беспристрастной сертификации. Риски могут быть, в частности, связаны с: | |||
- целями аудита; | |||
- юридическими и другими обязательными требованиями, включая обязательства сторон; | |||
- восприятием заинтересованных сторон; | |||
5.1. Особенности, связанные с законодательством и договорами | |||
5.1.1 | Юридическая ответственность | ||
5.1.2 | Договор на проведение работ по сертификации | ||
5.1.3 | Ответственность за решения о сертификации | ||
5.2.1 | Работы по оценке соответствия должны проводиться беспристрастным образом. Орган по сертификации должен нести ответственность за обеспечение беспристрастности в ходе работ по оценке соответствия, и он не должен допускать коммерческого, финансового или другого давления, компрометирующего его беспристрастность. | ||
5.2.2 | Высшее руководство органа по сертификации должно взять на себя обязательства по обеспечению беспристрастности в ходе работ по сертификации систем менеджмента. Орган по сертификации должен иметь политику с заявлением о том, что, понимая важность беспристрастности при выполнении работ по сертификации систем менеджмента, он управляет ситуациями, связанными с конфликтом интересов, и гарантирует объективность своих действий по сертификации систем менеджмента. | ||
5.2.3 | Орган по сертификации должен на постоянной основе идентифицировать, анализировать, оценивать, регулировать, контролировать и документировать риски, связанные с конфликтом интересов, возникающие при проведении сертификации, включая конфликты, вытекающие из его взаимоотношений. Если взаимоотношения создают угрозу для обеспечения беспристрастности, орган по сертификации должен документально оформить и суметь продемонстрировать, как он устраняет или минимизирует | ||
такие угрозы, а также задокументировать сведения о любом остающемся риске. Такая демонстрация должна охватывать все выявленные потенциальные источники конфликта интересов как в рамках органа по сертификации, так и в деятельности других лиц, органов или организаций. Если взаимоотношения становятся недопустимой угрозой для обеспечения беспристрастности (например, в случае, когда запрос на проведение сертификации поступает от дочерней компании органа по сертификации, находящейся в полном его владении), сертификация не допускается. Высшее руководство должно анализировать любой остающийся риск на предмет его допустимости. | |||
Работа по оценке рисков должна включать в себя идентификацию заинтересованных сторон и консультирование с ними по поводу аспектов, оказывающих влияние на обеспечение беспристрастности, включая открытость и восприятие общественностью. Консультирование с заинтересованными сторонами должно быть сбалансированным, не допускающим преобладания интересов одной из сторон. | |||
5.2.4 | Орган по сертификации не должен сертифицировать какой-либо другой орган по сертификации в отношении его деятельности по сертификации систем менеджмента. | ||
5.2.5 | Орган по сертификации и любая часть того же юридического лица, а также любое юридическое лицо под организационным управлением органа по сертификации [см. перечисление b) 9.5.1.2] не должны предлагать или проводить консультации по системам менеджмента. Это также применимо к той части правительственной структуры, которая идентифицирована как орган по сертификации. | ||
5.2.6 | Проведение внутренних аудитов органом по сертификации может представлять серьезную угрозу для обеспечения беспристрастности. Орган по сертификации и любая часть того же юридического лица, а также любое юридическое лицо под организационным управлением органа по сертификации [см. перечисление b) 9.5.1.2], не должны предлагать или проводить внутренние аудиты у сертифицированных им заказчиков. Орган по сертификации не должен сертифицировать систему менеджмента, внутренние аудиты которой он проводил, как минимум два года после завершения внутренних аудитов. Это также применимо к той части правительственной структуры, которая идентифицирована как орган по сертификации. | ||
5.2.7 | Если заказчику оказывалась консультативная помощь организацией, имеющей связи с органом по сертификации, то это представляет серьезную угрозу для обеспечения беспристрастности. Одним из признанных способов снижения этой угрозы является установление двухлетнего моратория на проведение сертификации системы менеджмента с момента завершения консультаций. | ||
5.2.8 | Орган по сертификации не должен передавать право проведения аудитов организации, занимающейся консультированием по системам менеджмента, поскольку это представляет неприемлемую угрозу для обеспечения беспристрастности органа по сертификации (см. 7.5). Это не распространяется на лиц, привлеченных в качестве аудиторов по договору (см. 7.3). | ||
5.2.9 | Услуги органа по сертификации не должны предлагаться на рынке во взаимосвязи с услугами организации, занимающейся консультированием по системам менеджмента. Орган по сертификации должен принимать меры по устранению неуместных ссылок или заявлений любой консалтинговой организации, утверждающих или подразумевающих, что | ||
проведение сертификации будет проще, легче, быстрее или дешевле при привлечении данного органа по сертификации. Орган по сертификации не должен делать заявления, утверждающие или подразумевающие, что выполнение сертификации будет проще, легче, быстрее или дешевле при привлечении определенной консалтинговой организации. | |||
5.2.10 | Чтобы исключить конфликт интересов, работники, оказывающие консультационные услуги по системам менеджмента, включая сотрудников на руководящих позициях, не должны привлекаться органом по сертификации к участию в аудите или других работах по сертификации в течение двух лет после завершения консультирования данного заказчика. | ||
5.2.11 | Орган по сертификации должен предпринять ответные действия в отношении любых угроз для обеспечения беспристрастности, возникающих в связи с действиями других лиц, органов или организаций. | ||
5.2.12 | Весь персонал органа по сертификации как внутренний, так и внешний, или комитеты, которые могут оказывать влияние на работы в области сертификации, должны действовать беспристрастно и не должны допускать коммерческого, финансового или другого давления, компрометирующего их беспристрастность. | ||
5.2.13 | Органы по сертификации должны требовать от персонала как внутреннего, так и внешнего, предоставлять информацию о любых известных им ситуациях, которые могут вовлечь их или орган по сертификации в конфликт интересов. Органы по сертификации должны использовать данную информацию в качестве исходных данных при определении угроз для обеспечения беспристрастности вследствие деятельности таких работников или организаций, принявших их на работу, и не должны привлекать такой персонал как внутренний, так и внешний, пока работники не смогут продемонстрировать отсутствия конфликта интересов. | ||
5.3.1 | Орган по сертификации должен быть способен продемонстрировать, что он оценивает риски, связанные с его деятельностью по сертификации, и что он располагает достаточными средствами (например, страхование или наличие резервов) для выполнения обязательств, возникающих в ходе его работ по сертификации в каждой области деятельности и географической зоне, в которой он осуществляет свою деятельность. | ||
5.3.2 | Орган по сертификации должен оценивать свои финансовые возможности и источники дохода, а также демонстрировать, что на начальном этапе и в дальнейшем коммерческое, финансовое или другое давление не могут поставить под сомнение его беспристрастность. | ||
6. Требования к структуре | |||
6.1.1 | Орган по сертификации должен документировать свою организационную структуру, обязанности, ответственность и полномочия руководства и другого персонала, занимающегося сертификацией, а также любых комитетов. Если орган по сертификации является частью юридического лица, его организационная структура должна отражать распределение полномочий и взаимодействие с другими частями этого юридического лица. | ||
6.1.2 | Структура и управление органа по сертификации должна обеспечивать беспристрастность его деятельности по сертификации | ||
6.1.3 | Орган по сертификации должен определить высшее руководство (совет, группу лиц или лицо), обладающее всеми полномочиями и несущее полную ответственность за: | ||
a) разработку политик и создание процессов и процедур, связанных с его деятельностью; | |||
e) разработку услуг и схем по сертификации систем менеджмента; | |||
6.1.2 | Орган по сертификации должен иметь официальные правила назначения, определения области компетенции и обеспечения функционирования всех комитетов, вовлеченных в работу по сертификации. | ||
6.2.1 | Орган по сертификации должен иметь процесс для эффективного управления работами по сертификации, проводимыми представительствами на местах, компаниями, агентами, получателями франшизы и т.д. независимо от их правового статуса, отношения или местонахождения. Орган по сертификации должен рассматривать риски, связанные с выполнением этих работ, в отношении компетентности, состоятельности и беспристрастности органа по сертификации. | ||
6.2.2 | Орган по сертификации должен рассматривать надлежащий уровень и способ управления деятельностью по сертификации, включая осуществляемые процессы, технические области работ органа, компетентность персонала, каналы управления руководством, предоставление отчетности и выполнение операций на удаленном расстоянии, включая управление записями. | ||
7.1.1. | Общие положения | ||
7.1.2. | Определение критериев компетентности | ||
быть документально оформленные критерии требуемых знаний и навыков, необходимых для эффективного выполнения задач аудита и сертификации с целью достижения запланированных результатов. В приложении A оговорены знания и навыки, которые орган по сертификации должен определить для выполнения конкретных функций. В случае установления дополнительных критериев компетентности для той или иной схемы сертификации (например, в ИСО/МЭК 17021-2, ИСО/МЭК 17021-3 или ИСО/ТУ 22003) должны применяться эти критерии. | |||
7.1.3. | Процессы оценивания | ||
компетентности. Орган по сертификации должен демонстрировать результативность своих методов оценивания. Выход этих процессов должен быть связан с выявлением персонала, который продемонстрировал уровень компетентности, требуемый для выполнения различных функций аудита и процесса сертификации. Компетентность сотрудника должна быть подтверждена до того, как на него будет возложена ответственность за надлежащее исполнение работ, проводимых органом по сертификации. | |||
7.1.4. | Дополнительные требования | ||
7.2.1 | Орган по сертификации должен иметь в своем штате персонал, обладающий достаточной компетентностью для осуществления различных программ аудита и выполнения других работ по сертификации. | ||
7.2.2 | Орган по сертификации должен иметь возможность привлекать к работе по сертификации достаточное число аудиторов, включая руководителей аудиторских групп и технических экспертов, для охвата всей сферы своей деятельности и выполнения всего объема работ по аудиту. | ||
7.2.3 | Орган по сертификации должен четко разъяснять каждому работнику его обязанности, область ответственности и полномочия. | ||
7.2.4 | Орган по сертификации должен установить процессы отбора, подготовки, официального наделения полномочиями аудиторов, а также отбора технических экспертов, привлекаемых к работам по сертификации. Первоначальное оценивание уровня компетентности аудитора должно охватывать его умение применять требуемые знания и навыки при проведении аудитов; такое оценивание должен проводить компетентный оценщик, наблюдающий за тем, как аудитор проводит проверку. | ||
7.2.5 | Орган по сертификации должен обеспечить наличие процесса достижения и демонстрации результативного проведения аудита, включая привлечение аудиторов и руководителей аудиторских групп, обладающих как общими знаниями и навыками в области аудита, так и навыками и знаниями, необходимыми для проведения аудита в конкретных технических областях. | ||
7.2.6 | Орган по сертификации должен предусмотреть, чтобы аудиторы (и, когда необходимо, технические эксперты) были осведомлены о процессе проведения аудита, требованиях к сертификации и других необходимых требованиях. Орган по сертификации должен предоставлять аудиторам и техническим экспертам доступ к действующим документированным процедурам, содержащим инструкции по проведению аудита и всю необходимую информацию в области сертификации. | ||
7.2.7 | Орган по сертификации должен выявлять потребности в обучении и предлагать или делать доступной специальную подготовку, чтобы гарантировать, что его аудиторы, технические эксперты и другой персонал, участвующий в работах по сертификации, компетентны в пределах выполняемых ими функций. | ||
7.2.8 | Группа или лицо, принимающие решение о выдаче, отказе в выдаче, подтверждении, возобновлении, приостановлении действия или отмене сертификата, расширении или сужении области сертификации, должны знать положения применяемого стандарта и требования к сертификации и подтвердить свою компетентность в области оценки результатов процессов аудита, включая соответствующие рекомендации аудиторской группы. | ||
7.2.9 | Орган по сертификации должен обеспечивать надежную работу всего персонала, участвующего в работах по аудиту и сертификации. Должны быть разработаны документированные процедуры и критерии для мониторинга компетентности и характеристик деятельности всего участвующего в работах персонала, основанные на частоте их привлечения к работам и уровне риска, связанного с их действиями. В частности, орган по сертификации должен проводить анализ и регистрацию компетентности своих работников в связи с выполняемыми ими работами с целью определения потребностей в обучении. | ||
7.2.10 | Орган по сертификации должен осуществлять постоянный контроль работы каждого аудитора, рассматривая каждый тип систем менеджмента, в области которых аудитор считается компетентным. Документированные процедуры мониторинга деятельности аудиторов должны включать в себя комбинацию наблюдения и оценивание работы аудитора на месте, анализ отчетов по результатам аудита и информации от заказчиков или ответной реакции рынка. Такой мониторинг должен быть разработан таким образом, чтобы свести к минимуму вмешательство в нормальное протекание процессов сертификации, особенно с точки зрения заказчика. | ||
7.2.11 | Орган по сертификации должен периодически проводить наблюдение за работой каждого аудитора на рабочем месте. Периодичность наблюдений на месте должна быть обоснована необходимостью, определяемой на основании всех имеющихся данных по мониторингу. | ||
7.3. Привлечение внешних аудиторов и внешних технических экспертов | |||
Орган по сертификации должен требовать от внешних аудиторов и внешних технических экспертов заключения письменного соглашения с обязательствами по соблюдению применяемых политик и процедур, установленных органом по сертификации. Соглашение должно касаться вопросов соблюдения конфиденциальности и беспристрастности, а также требовать от внешних аудиторов и технических экспертов уведомления органа по сертификации о любых существующих или имевшихся ранее связях с любой организацией, для проведения аудита в которой они могут быть назначены. | |||
Орган по сертификации должен вести актуализированные записи о работниках, включая необходимые данные о квалификации, подготовке, опыте, принадлежности к другим организациям, профессиональном статусе и компетентности. Помимо сотрудников, выполняющих работы по сертификации, эти требования относятся к руководящему и административному персоналу. | |||
7.5.1 | Орган по сертификации должен иметь процесс, устанавливающий условия привлечения сторонних организаций (на основе субподряда, когда часть работ по сертификации выполняется другой организацией от имени органа по сертификации). Орган по сертификации должен | ||
заключать юридически действительное соглашение, касающееся организации данной деятельности, с каждым органом, оказывающим подобного рода услуги, в том числе в отношении соблюдения конфиденциальности и отсутствия конфликта интересов. | |||
7.5.2 | Привлекаемые сторонние организации не имеют права принимать решения о выдаче, отказе в выдаче, подтверждении, возобновлении, приостановлении действия или отмене сертификата, а также о расширении или сужении области сертификации. | ||
7.5.3 | Орган по сертификации должен: | ||
a) нести ответственность за работу, переданную другим организациям на условиях аутсорсинга; | |||
b) убедиться в том, что организация, оказывающая услуги на условиях аутсорсинга, и привлеченные ею лица соответствуют требованиям органа по сертификации и выполняют положения настоящего стандарта, в том числе в отношении компетентности, беспристрастности и конфиденциальности; | |||
7.5.4 | Орган по сертификации должен иметь процедуры по одобрению и мониторингу всех организаций, оказывающих услуги на условиях аутсорсинга, которые привлекаются для работ по сертификации, и обеспечивать ведение записей о компетентности всех лиц, участвующих в работах по сертификации. | ||
8.1.1 | Орган по сертификации должен обеспечивать ведение (используя печатные, электронные или другие средства) и делать общедоступной во всех географических зонах, в которых данный орган работает, информацию: | ||
8.1.2 | По запросу от любой заинтересованной стороны орган по сертификации должен предоставить информацию: | ||
8.1.3 | Информация, предоставляемая органом по сертификации тому или иному заказчику или поставляемая на рынок, в том числе реклама, должна быть точной и не должна вводить в заблуждение. | ||
8.2.1 | Орган по сертификации должен выдавать сертификационные документы сертифицированному заказчику любым предпочтительным для него способом. | ||
8.2.2 | Сертификационный документ (документы) должен (должны) содержать следующее: | ||
b) дату выдачи, расширения или сужения области применения, возобновления действия сертификата, которая не должна предшествовать дате принятия решения о сертификации; | |||
f) область сертификации, касающаяся вида работ, продукции и услуг относительно каждой производственной площадки; | |||
8.3. Ссылка на сертификат и использование знаков соответствия | |||
8.3.1 | Орган по сертификации должен выработать правила управления любыми знаками соответствия систем менеджмента, разрешенных для использования сертифицированными заказчиками. Среди прочего должна обеспечиваться их прослеживаемость со стороны органа по сертификации. В знаке или в его сопроводительном тексте не должно быть неоднозначности относительно предмета сертификации и органа по сертификации, выдавшего сертификат. Данный знак не допускается использовать на продукции или ее упаковке, которую видит потребитель, или любым другим способом, если он может ошибочно истолковываться как указание на соответствие продукции. | ||
8.3.2 | Орган по сертификации не должен разрешать, чтобы сертифицированные заказчики использовали его знаки соответствия в отчетах о лабораторных испытаниях, протоколах калибровки или инспекционного контроля или в своих сертификатах. | ||
8.3.3 | Орган по сертификации должен выработать правила, регулирующие использование любых заявлений на упаковке продукции или в сопроводительной информации о том, что сертифицированный заказчик имеет сертифицированную систему менеджмента. Упаковкой продукта считается то, что можно снять без нарушения целостности продукта или без его повреждения. Сопроводительной информацией принято считать то, что можно использовать в отдельности или легко отделить. Этикетки или заводские таблички с основными характеристиками изделия считают частью продукта. Такое заявление не должно подразумевать, что продукт, процесс или услуга таким образом сертифицированы. Заявление должно содержать ссылку: | ||
- на идентификацию (фабричная марка или наименование) сертифицированного заказчика; | |||
8.3.4 | Орган по сертификации должен на основе юридически действительных соглашений требовать, чтобы сертифицированный заказчик: | ||
c) не использовал или не разрешал использовать документ о сертификации или какую-либо его часть каким-либо образом, вводящим в заблуждение; | |||
f) не допускал использования ссылок на сертификацию своей системы менеджмента каким-либо образом, позволяющим предположить, что орган по сертификации сертифицировал продукцию (включая услугу) или процесс; | |||
8.3.5 | Орган по сертификации должен надлежащим образом осуществлять контроль за правом владения и предпринимать соответствующие действия в ответ на некорректные ссылки на статус сертификации или вводящее в заблуждение использование сертификационных документов, знаков соответствия или отчетов по результатам аудита. | ||
8.4.1 | Орган по сертификации должен на основе юридически действительных соглашений нести ответственность за управление всей информацией, полученной или сформированной в ходе выполнения работ по сертификации на всех уровнях своей структуры, включая комитеты и внешние органы или лиц, действующих от его имени. | ||
8.4.2 | Орган по сертификации должен заблаговременно уведомить заказчика о том, какую информацию он предполагает сделать общедоступной. Любая другая информация, кроме той, которая была предана огласке заказчиком, должна рассматриваться как конфиденциальная. | ||
8.4.3 | За исключением тех случаев, которые описаны в настоящем стандарте и регулируются его требованиями, информация о конкретном сертифицированном заказчике или частном лице не должна раскрываться третьей стороне без получения письменного согласия данного заказчика или частного лица. | ||
8.4.4 | В тех случаях, когда орган по сертификации должен в соответствии с законами предоставить конфиденциальную информацию третьей стороне, заказчик или частное лицо должны быть заранее извещены о предоставлении информации, за исключением случаев, оговоренных в законодательстве. | ||
8.4.5 | Информация о заказчике, полученная не от самого заказчика (например, от предъявителя жалобы, от регулятивных органов), должна рассматриваться как конфиденциальная в соответствии с политикой органа по сертификации. | ||
8.4.6 | Персонал, включая членов любого комитета, подрядные организации, персонал внешних органов или лиц, действующих от имени органов по сертификации, должен сохранять конфиденциальность всей информации, полученной или сформированной данным органом по сертификации в ходе его деятельности по сертификации, за исключением тех случаев, которые регулируются требованиями законодательства. | ||
8.4.7 | Орган по сертификации должен иметь процедуры и, где это применимо, оборудование и средства, обеспечивающие безопасное обращение с конфиденциальной информацией. | ||
8.5. Обмен информацией между органом по сертификации и заказчиками | |||
8.5.1 | Информация о деятельности по сертификации и требованиях | ||
b) нормативные требования к сертификации; | |||
2) принимать все необходимые меры для проведения аудитов, включая предоставление экзаменационной документации и доступ ко всем процессам и участкам, записям и персоналу для проведения первоначальной сертификации, надзорного аудита, ресертификации и анализа жалоб; | |||
e) документы, в которых описаны права и обязанности сертифицированных заказчиков, включая требования о том, что в рамках любого информационного взаимодействия ссылки на свой статус сертификации должны соответствовать требованиям 8.3; | |||
8.5.2. Уведомление об изменениях со стороны органа по сертификации | |||
Орган по сертификации должен своевременно уведомлять сертифицированных заказчиков о любых изменениях своих требований к сертификации. Орган по сертификации должен проверить, что каждый сертифицированный заказчик соблюдает новые требования. | |||
Орган по сертификации должен принимать юридически обоснованные меры для обеспечения того, чтобы сертифицированный заказчик незамедлительно информировал орган по сертификации обо всех вопросах, которые могут повлиять на способность системы менеджмента продолжать соответствовать требованиям стандарта, на соответствие которому проводилась сертификация. Это относится, в частности, к изменениям, касающимся: | |||
a) юридического, коммерческого, организационного статуса или прав собственности; | |||
d) области деятельности в рамках сертифицированной системы менеджмента; | |||
Орган по сертификации должен затребовать у уполномоченного представителя организации, подавшей заявку, предоставления необходимой информации, чтобы установить: | |||
c) сведения об аутсорсинговых процессах, используемых организацией и способных оказать влияние на соответствие требованиям; | |||
9.1.2.1 | До проведения аудита орган по сертификации должен проанализировать заявку и дополнительную информацию, имеющую отношение к сертификации, чтобы удостовериться в том, что: | ||
c) орган по сертификации обладает компетентностью и возможностями для выполнения работ по сертификации; | |||
9.1.2.2 | После анализа заявки орган по сертификации должен либо принять, либо отклонить заявку на проведение сертификации. Если орган сертификации отклоняет заявку в результате ее анализа, причины отклонения заявки должны быть документированы и разъяснены заказчику. | ||
9.1.2.3 | На основании данного анализа орган по сертификации должен определить уровень компетенции, необходимый для формирования аудиторской группы и принятия решения о сертификации | ||
9.1.3.1 | В отношении всего цикла сертификации должна быть разработана программа аудита для четкого определения аудиторской деятельности, требуемой для демонстрации того, что система менеджмента заказчика отвечает требованиям к сертификации по выбранному стандарту(ам) или другому нормативному документу(ам). Программой аудита, разработанной в отношении всего цикла сертификации, должны охватываться все требования, предъявляемые к системе менеджмента. | ||
9.1.3.2 | Программа аудита должна включать в себя проведение двухэтапного первоначального аудита, надзорных аудитов в течение первого и второго года после выдачи сертификата и ресертификационного аудита на третий год до истечения срока действия сертификата. Трехлетний цикл сертификации начинается с принятия решения о сертификации. Последующие циклы начинаются с принятия решения о ресертификации (9.6.3.2.3). При определении программы аудита и внесении в нее каких-либо поправок должны быть учтены размеры организации-заказчика, область применения и сложность ее системы менеджмента, продукции и процессов, а также продемонстрированный уровень результативности системы менеджмента и результаты предыдущих аудитов. | ||
9.1.3.3 | Надзорные аудиты должны проводиться не реже одного раза в год, кроме тех лет, когда проводятся ресертификационные аудиты. | ||
9.1.3.4 | Если орган по сертификации учитывает уже проведенный у заказчика сертификационный аудит или аудиты, выполненные другим органом по сертификации, он должен собрать и сохранять достаточные свидетельства, такие как отчеты и документы по корректирующим действиям в отношении любого несоответствия. Эта документация должна подтверждать выполнение требований настоящего стандарта. Орган по сертификации на основе полученной информации должен обосновывать и регистрировать любые корректировки в имеющуюся программу аудита и предпринимать корректирующие действия в отношении ранее выявленных несоответствий. | ||
9.1.3.5 | Если заказчик работает по сменному графику, то при разработке программы и планов аудита должны рассматриваться аспекты, связанные с проведением работ в рабочие часы смен. | ||
9.1.4.1 | Орган по сертификации должен иметь документированные процедуры по определению трудоемкости аудита. Для каждого заказчика орган по сертификации должен установить время, необходимое для планирования и полного выполнения результативного аудита системы менеджмента заказчика. | ||
9.1.4.2 | При установлении трудоемкости аудита орган по сертификации должен, помимо прочего, учитывать следующее: | ||
d) привлечение соисполнителей (аутсорсинг) для любой деятельности, охватываемой системой менеджмента; | |||
9.1.4.3 | Трудоемкость аудита, установленная органом по сертификации, и ее обоснование должны быть зарегистрированы. | ||
9.1.4.4 | Трудозатраты любого члена группы, который не является аудитором (т.е. технические эксперты, письменные и устные переводчики, наблюдатели и аудиторы-стажеры), не должны учитываться при расчете трудоемкости аудита. | ||
Если в ходе аудита выборочно проверяются производственные площадки, находящиеся в различных местах, и на которых осуществляется аналогичная деятельность, охватываемая системой менеджмента заказчика, орган по сертификации должен разработать программу выборочного контроля, чтобы обеспечить надлежащее проведение аудита системы менеджмента. Обоснование плана проведения выборки для каждого заказчика должно быть документировано. Для некоторых схем сертификации не разрешается проведение выборочных проверок, и в тех случаях, когда были установлены определенные критерии для конкретной схемы сертификации, например, согласно ИСО/ТУ 22003 или ИСО/МЭК 27006, они должны применяться. | |||
При оказании услуг по сертификации комплексных систем на соответствие требованиям нескольких стандартов планирование аудитов должно обеспечивать достаточный объем мероприятий аудита на местах осуществления деятельности в целях обеспечения доверия к результатам сертификации. | |||
9.2.1.1 | Цели аудита должны быть определены органом по сертификации. Область и критерии аудита, включая любые изменения, устанавливают органы по сертификации после обсуждения с заказчиком. | ||
9.2.1.2 | Цели аудита должны указывать на то, что должно быть сделано в процессе аудита, и включают следующее: | ||
9.2.1.3 | Область аудита должна устанавливать объем и границы аудита, например производственные площадки, организационные подразделения, виды деятельности и процессы, подлежащие проверке. Когда первоначальная сертификация или ресертификация включает в себя несколько аудитов (например, на различных объектах), область отдельного аудита может не охватывать всей области сертификации, однако все аудиты вместе взятые должны соответствовать области, определенной в сертификационном документе. | ||
9.2.1.4 | Критерии аудита должны использоваться в качестве основы для определения соответствия и включать в себя: | ||
9.2.2. Отбор членов аудиторской группы и закрепление за ними соответствующих обязанностей | |||
9.2.2.1.1 | Орган по сертификации должен установить порядок отбора и назначения членов аудиторской группы, включая ее руководителя, с учетом компетентности, необходимой для достижения целей аудита. Если аудит проводится одним человеком, он должен обладать компетентностью, необходимой для выполнения обязанностей руководителя аудиторской группы применительно к данному аудиту. Члены аудиторской группы должны обладать суммарной компетентностью, устанавливаемой органом по сертификации в соответствии с 9.1.2.3. | ||
9.2.2.1.2 | При принятии решения о размере и составе аудиторской группы необходимо учитывать следующее: | ||
9.2.2.1.3 | Необходимые знания и навыки руководителя аудиторской группы и аудиторов могут быть дополнены знаниями и опытом технических экспертов, письменных и устных переводчиков, которые должны работать под руководством аудитора. Если используются письменные и устные переводчики, они должны выбираться таким образом, чтобы не оказывать ненадлежащего влияния на проведение аудита. | ||
9.2.2.1.4 | Аудиторы-стажеры могут участвовать в проведении аудита при условии, что будет назначен аудитор для проверки их работы. Проверяющий должен быть достаточно компетентным для того, чтобы принять на себя обязанности и нести ответственность за деятельность и выводы аудитора-стажера. | ||
9.2.2.1.5 | По согласованию с членами аудиторской группы ее руководитель должен закрепить за каждым членом группы обязанности по проверке конкретных процессов, функций, объектов, участков или работ. При этом необходимо учитывать требуемую компетентность, а также результативность и эффективность использования возможностей аудиторской группы, а также различные функции и обязанности аудиторов, аудиторов-стажеров и технических экспертов. Изменения в рабочие задания могут вноситься по ходу проверки, чтобы обеспечить достижение целей аудита. | ||
9.2.2.2.1 | Наблюдатели | ||
9.2.2.2.2 | Технические эксперты | ||
9.2.2.2.3 | Сопровождающие | ||
Орган по сертификации должен обеспечивать составление плана для каждого аудита, указанного в программе аудита, чтобы создавать основу для соглашения о проведении аудита и графике работ по аудиту. | |||
План аудита должен соответствовать целям и области аудита. План аудита должен, по крайней мере, включать в себя или иметь ссылки на следующее: | |||
9.2.3.3 Предоставление информации о задачах аудиторской группы | |||
Должны быть определены задачи, поставленные перед аудиторской группой. При этом аудиторская группа должна: | |||
c) удостовериться, что процессы и процедуры были разработаны, внедрены и поддерживаются в рабочем состоянии с целью обеспечения доверия к системе менеджмента заказчика; | |||
Информация о плане аудита должна своевременно предоставляться заказчику, и сроки выполнения работ должны быть с ним заблаговременно согласованы. | |||
9.2.3.5 Предоставление информации о членах аудиторской группы | |||
Орган по сертификации должен указать заказчику фамилию и по запросу предоставить общую информацию о каждом члене аудиторской группы таким образом, чтобы у заказчика было время на то, чтобы ознакомиться с предоставленной информацией и в случае возражений выразить свое несогласие с назначением какого-либо члена аудиторской группы, а у органа по сертификации - на то, чтобы переформировать группу при наличии для этого объективных причин. | |||
Аудит первоначальной сертификации системы менеджмента должен выполняться в два этапа: этап 1 и этап 2. | |||
9.3.1.2.1 | Планирование должно обеспечивать достижение целей первого этапа и заказчик должен быть своевременно проинформирован обо всех работах, которые планируется проводить в ходе первого этапа на его территории. | ||
9.3.1.2.2 | Первый этап аудита должен проводиться с целью: | ||
c) анализа состояния заказчика и понимания им требований стандарта, в частности, тех, которые относятся к идентификации ключевых работ, или значимых аспектов, процессов, целей, а также к функционированию системы менеджмента; | |||
- установленные уровни управления (особенно для случаев с несколькими производственными площадками), | |||
f) обеспечения правильной расстановки акцентов при планировании второго этапа аудита на основе четкого понимания системы менеджмента заказчика и функционирования производственных площадок в связи со стандартом на системы менеджмента или другим нормативным документом; | |||
9.2.1.2.3 | Документированные заключения в отношении первого этапа и готовность к проведению второго этапа аудита должны быть сообщены заказчику, включая указание на проблемные области, которые могли быть классифицированы как несоответствия в ходе второго этапа аудита. | ||
9.3.1.2.4 | При установлении промежутка времени между проведением первого и второго этапов аудита должны быть рассмотрены потребности заказчика, связанные с устранением проблемных областей, выявленных в ходе первого этапа аудита. Органу по сертификации также может потребоваться скорректировать мероприятия по подготовке второго этапа аудита. В случае внесения серьезных изменений, способных повлиять на функционирование системы менеджмента, органу по сертификации следует рассмотреть вопрос о необходимости повторного проведения части или всех мероприятий первого этапа аудита. Заказчик должен быть проинформирован о том, что результаты, полученные в ходе первого этапа аудита, могут привести к отсрочке или отмене проведения второго этапа аудита. | ||
Целью второго этапа аудита является оценка внедрения системы менеджмента клиента, в том числе ее результативности. Второй этап аудита должен проводиться на территории заказчика. Он должен включать следующее: | |||
c) оценку соответствия системы менеджмента и деятельности заказчика законодательным, нормативным и контрактным требованиям; | |||
Аудиторская группа должна проанализировать всю информацию и свидетельства аудита, полученные на первом и втором этапах аудита, чтобы на основе результатов аудита прийти к соглашению относительно заключений аудита. | |||
Орган по сертификации должен разработать порядок проведения аудитов на местах. Они должны начинаться с проведения предварительного совещания и завершаться проведением заключительного совещания. | |||
Следует проводить официальное предварительное совещание с участием руководства заказчика и, когда это целесообразно, с лицами, ответственными за функции или процессы, которые будут проверяться. Целью вводного совещания, которое, как правило, проводится руководителем аудиторской группы, является предоставление кратких разъяснений по поводу того, как будет организована проверочная деятельность. Степень детализации зависит от осведомленности заказчика с процессом аудита, и она должна включать в себя следующее: | |||
b) подтверждение области сертификации; | |||
d) подтверждение официальных каналов обмена информацией между аудиторской группой и заказчиком; | |||
h) подтверждение наличия, ролей и идентификационных данных любых сопровождающих и наблюдателей; | |||
l) в случае необходимости подтверждение результатов предыдущего анализа или аудита; | |||
9.4.3.1 | В ходе аудита члены аудиторской группы должны периодически оценивать полученные результаты и обмениваться информацией. Руководитель аудиторской группы должен по мере необходимости перераспределять обязанности среди членов аудиторской группы и периодически сообщать заказчику о достигнутых результатах и любых проблемах. | ||
9.4.3.2 | В тех случаях, когда имеющиеся данные аудита свидетельствуют о недостижимости целей аудита или предполагают наличие непосредственного серьезного риска (например, угрозы безопасности), руководитель аудиторской группы должен сообщить об этом заказчику и по возможности органу по сертификации для принятия решения о соответствующих действиях. К таким действиям могут относиться повторное подтверждение или корректирование плана аудита, изменение целей или области аудита или прекращение аудита. Руководитель аудиторской группы должен сообщать о результатах принятых мер органу по сертификации. | ||
9.4.3.3 | Руководитель аудиторской группы должен рассматривать совместно с заказчиком необходимость внесения изменений в область аудита, которая становится очевидной по мере выполнения проверочных работ на местах, и должен сообщать об этом органу по сертификации. | ||
9.4.4.1 | В ходе аудита информация, касающаяся целей, области и критериев аудита (включая информацию, относящуюся к взаимосвязям между функциями, операциями и процессами), должна собираться на основе подходящих выборочных методов и проверяться таким образом, чтобы превратиться в свидетельства аудита. | ||
9.4.4.2 | К способам сбора информации, в частности, относятся: | ||
9.4.5.1 | Выводы аудита, обобщающие соответствия и детализирующие несоответствия, должны быть идентифицированы, классифицированы и зарегистрированы, чтобы имелась возможность вынести обоснованное решение о сертификации или подтвердить сертификацию. | ||
9.4.5.2 | Может осуществляться выявление и регистрация возможностей для совершенствования, если этому не препятствуют требования схемы сертификации системы менеджмента. Однако выводы аудита, свидетельствующие о несоответствиях, не должны регистрироваться как возможности для улучшения. | ||
9.4.5.3 | Выявленное несоответствие должно регистрироваться со ссылкой на конкретное требование, и данные о несоответствии должны содержать четкую формулировку несоответствия и детализировать объективные свидетельства, на которых основано несоответствие. Несоответствия должны рассматриваться совместно с заказчиком для обеспечения точности свидетельств и правильного понимания несоответствий. Однако аудитор должен воздержаться от указания на причину несоответствий или пути их устранения. | ||
9.4.5.4 | Руководитель аудиторской группы должен прилагать усилия по устранению разногласий между аудиторской группой и заказчиком в отношении свидетельств или выводов аудита, и нерешенные проблемы должны быть зарегистрированы. | ||
Руководитель аудиторской группы должен обеспечить, чтобы до проведения заключительного совещания аудиторская группа: | |||
9.4.7.1 | Следует проводить официальное заключительное совещание с участием руководства заказчика и, когда это целесообразно, с лицами, ответственными за функции или процессы, подлежащие проверке. Целью заключительного совещания, которое обычно проводится руководителем аудиторской группы, является предоставление заключений аудита, включая рекомендации относительно сертификации. Все обнаруженные несоответствия должны быть представлены таким образом, чтобы обеспечить их понимание, и должны быть согласованы сроки реагирования на них. | ||
9.4.7.2 | На заключительном совещании должны также рассматриваться следующие вопросы. Степень детализации зависит от знакомства заказчика с процессом аудита: | ||
b) способ и сроки предоставления отчета, включая классификацию данных аудита; | |||
9.4.7.3 | Заказчику должна предоставляться возможность задавать вопросы. Любые разногласия относительно данных и заключений аудита между аудиторской группой и заказчиком должны быть рассмотрены и устранены по мере возможности. Любые неустраненные разногласия должны быть зафиксированы и доведены до сведения органа по сертификации. | ||
9.4.8.1 | Орган по сертификации должен предоставлять письменный отчет по каждому аудиту. Аудиторская группа может определить возможности для совершенствования, но она не должна рекомендовать конкретные решения. Право собственности на аудиторский отчет должен сохранять за собой орган по сертификации. | ||
9.4.8.2 | Руководитель аудиторской группы должен позаботиться о подготовке аудиторского отчета и должен нести ответственность за его содержание. Аудиторский отчет должен содержать точную, сжатую и четкую запись аудита, чтобы обеспечить возможность принятия взвешенного решения о сертификации, и должен содержать или ссылаться на: | ||
a) идентификацию органа по сертификации; | |||
e) цели аудита; | |||
k) выводы аудита (см. 9.4.5), ссылки на свидетельства и заключения аудита в соответствии с требованиями к данному типу аудита; | |||
p) рекомендации по улучшению от аудиторской группы; | |||
9.4.8.3 | Аудиторский отчет должен также содержать: | ||
Орган по сертификации должен потребовать от заказчика проведения анализа причин несоответствий и определения того, какие коррекции и корректирующие действия предприняты или планируются для устранения выявленных несоответствий в установленные сроки. | |||
9.4.10. Результативность коррекций и корректирующих действий | |||
Орган по сертификации должен анализировать предложенные заказчиком коррекции, выявленные причины несоответствий и корректирующие действия для определения их приемлемости. Орган по сертификации должен проверять результативность любых исправлений и корректирующих действий. Данные, подтверждающие обоснованность устранения | |||
несоответствий, следует регистрировать. Заказчик должен быть проинформирован о результатах анализа и проверки. Если понадобится провести дополнительный полный или частичный аудит или предоставить документально оформленные свидетельства (подлежащие проверке в ходе последующих аудитов) для проверки результативности коррекций и корректирующих действий, то об этом также необходимо проинформировать заказчика. | |||
9.5.1.1 | Орган по сертификации должен обеспечить, чтобы лица или члены комитетов, принимающие решения о выдаче или отказе в выдаче сертификата, расширении или сужении области действия сертификата, приостановлении действия или отзыве сертификата, а также решения о ресертификации не принимали участия в аудитах. Лица, принимающие решение о сертификации, должны иметь соответствующий уровень компетентности. | ||
9.5.1.2 | Лица(о) [кроме членов комитетов (см. 6.1.4)], принимающие(ее) решения о сертификации, должны(о) быть штатными(ым) сотрудниками(ом) органа по сертификации или привлекаться к работе на основе юридически действительных соглашений либо с органом или с юридическим лицом под организационным управлением данного органа по сертификации. Организационное управление со стороны органа по сертификации должно обеспечиваться посредством: | ||
a) монопольного или контрольного владения органа по сертификации другим юридическим лицом; | |||
9.5.1.3 | Лица, являющиеся штатными сотрудниками или привлекаемые к работе юридическими лицами, находящимися под организационным управлением органа по сертификации, должны выполнять те же самые требования настоящего стандарта, что и лица, работающие или привлекаемые к работе органом по сертификации. | ||
9.5.1.4 | Орган по сертификации должен регистрировать каждое решение о сертификации, включая любые дополняющие его сведения или разъяснения, поступающие от членов аудиторской группы или других источников информации. | ||
Орган по сертификации должен иметь процесс для проведения эффективного анализа, предшествующего принятию решения о выдаче или отказе в выдаче сертификата, расширении или сужении области действия сертификата, возобновлении, приостановлении действия или отмене сертификата, включая то, что | |||
9.5.3. Информация, необходимая для признания действительными результатов первоначальной сертификации | |||
9.5.3.1 | Информация, предоставляемая аудиторской группой в орган по сертификации для принятия решения о сертификации должна, как минимум, включать: | ||
9.5.3.2 | Если орган по сертификации не сможет проверить выполнение коррекций и корректирующих действий в отношении какого-либо значительного несоответствия в течение 6 мес после завершения второго этапа, он должен снова провести второй этап аудита перед тем, как принимать решение о выдаче сертификата. | ||
9.5.3.3 | Когда вопрос о выдаче сертификата передается одним органом по сертификации на рассмотрение другого органа, последний должен иметь процедуру для получения всей необходимой ему информации для принятия решения о сертификации. | ||
9.5.4. Информация, необходимая для признания действительными результатов ресертификации | |||
Орган по сертификации должен принять решение о возобновлении действия сертификата на основе результатов ресертификационного аудита, а также анализа функционирования системы за период действия сертификата и жалоб, полученных от пользователей результатов сертификации. | |||
Орган по сертификации должен подтверждать сертификацию на основе демонстрации того, что заказчик продолжает выполнять требования стандарта на системы менеджмента. Орган по сертификации может подтверждать сертификацию заказчика, руководствуясь положительным заключением руководителя аудиторской группы, без проведения последующего независимого анализа и вынесения соответствующего решения, при условии, что | |||
a) в органе по сертификации действует система, согласно которой при выявлении любого несоответствия или другой ситуации, которая может привести к приостановлению или отмене сертификации, руководитель аудиторской группы сообщает органу по сертификации о необходимости проведения анализа этого факта персоналом, имеющим соответствующий уровень компетентности (см. 7.2.8) и не принимавшим участие в аудите с целью определения возможности подтверждения сертификации; | |||
b) компетентный персонал органа по сертификации осуществляет мониторинг деятельности по инспекционному контролю, включая мониторинг отчетности аудиторов, с целью подтверждения того, что деятельность по сертификации осуществляется результативно. | |||
9.6.2.1.1 | Орган по сертификации должен организовать свои работы по инспекционному контролю таким образом, чтобы регулярно проводился мониторинг типичных областей и функций, охваченных системой менеджмента, с учетом изменений, относящихся к сертифицированному заказчику и его системе менеджмента. | ||
9.6.2.1.2 | Деятельность по инспекционному контролю должна включать в себя проведение аудитов на месте с целью оценки соответствия сертифицированной системы менеджмента заказчика определенным требованиям стандарта, на соответствие которому выдан сертификат. Другие действия по надзору могут включать в себя: | ||
a) запросы органа по сертификации сертифицированному заказчику по аспектам сертификации; | |||
Инспекционный контроль - это аудит, проводимый на месте, но он не обязательно подразумевает аудит всей системы и должен планироваться вместе с другими инспекционными мероприятиями таким образом, чтобы позволить органу по сертификации сохранять уверенность в том, что сертифицированная система менеджмента заказчика продолжает соответствовать требованиям в периоды между ресертификационными аудитами. Программа инспекционного контроля должна включать в себя следующее: | |||
a) внутренние аудиты и анализ со стороны руководства; | |||
i) ход реализации запланированных мероприятий, нацеленных на постоянное улучшение; | |||
9.6.3. Ресертификация | |||
9.6.3.1.1 | Целью ресертификационного аудита является подтверждение постоянства соответствия и результативности системы менеджмента в целом, а также ее постоянной пригодности в рамках области сертификации. Ресертификационный аудит планируют и проводят с целью оценивания постоянного выполнения всех требований соответствующего стандарта на систему менеджмента или другого нормативного документа. Он должен планироваться и проводиться в надлежащие сроки с тем, чтобы обеспечить своевременное возобновление сертификации до истечения сроков действия выданного сертификата. | ||
9.6.3.1.2 | Деятельность по ресертификации должна включать в себя анализ отчетов о предыдущих инспекционнных аудитах, и также должно рассматриваться функционирование системы менеджмента в течение последнего цикла сертификации. | ||
9.6.3.1.3 | В ходе ресертификационного аудита может потребоваться проведение первого этапа аудита в случаях, если произошли значительные изменения в системе менеджмента, организации или условиях функционирования системы менеджмента (например, изменения в законодательстве). | ||
9.6.3.2.1 | Ресертификационный аудит должен включать в себя проводимый на местах аудит, касающийся следующего: | ||
9.6.3.2.2 | Если в ходе ресертификационного аудита фиксируются значительные несоответствия, орган по сертификации должен установить время, за которое должны быть выполнены коррекции и корректирующие действия. Они должны быть выполнены и проверены до истечения срока действия сертификата. | ||
9.6.3.2.3 | Если работы по ресертификации будут успешно завершены до истечения срока действия выданного сертификата, срок действия нового сертификата может устанавливаться на основе срока действия имеющегося сертификата. Новый сертификат должен датироваться либо днем принятия решения о ресертификации, либо более поздней датой. | ||
9.6.3.2.4 | Если мероприятия ресертификационного аудита не были полностью завершены органом по сертификации до истечения срока действия сертификата или если до этого срока органом не было верифицировано выполнение коррекций и корректирующих действий в отношении любого значительного несоответствия (см. 9.5.2.1), то решение о ресертификации не должно приниматься и сроки действия сертификата не должны продлеваться. Заказчик должен быть об этом проинформирован с разъяснением вытекающих из этого факта последствий. | ||
9.6.3.2.5 | По истечении срока действия выданного сертификата орган по сертификации может возобновить действие сертификата в течение 6 мес при условии, что остающиеся невыполненными мероприятия по ресертификации будут полностью завершены, в противном случае, по крайней мере, должен проводиться второй этап аудита. В таком случае сертификат должен датироваться либо днем принятия решения о ресертификации или более поздней датой, а срок истечения действия сертификата должен устанавливаться на основе предыдущего цикла сертификации. | ||
9.6.4. Специальные аудиты | |||
На основании заявки о расширении области действия ранее выданного сертификата орган по сертификации должен провести анализ заявки и определить проверочные мероприятия, необходимые для принятия соответствующего решения. Их проведение можно совместить с проведением мероприятий инспекционного контроля. | |||
Органу по сертификации может потребоваться проведение внепланового аудита сертифицированного заказчика для расследования жалоб или в ответ на произошедшие изменения или же для контроля в случае приостановления действия сертификата заказчика. В таких случаях: | |||
9.6.5. Приостановление, отмена действия сертификата или сужение области сертификации | |||
9.6.5.1 | Орган по сертификации должен разработать политику и документированную процедуру(ы) по приостановлению, отмене действия сертификата или сужению области сертификации и определить последующие действия, осуществляемые органом по сертификации. | ||
9.6.5.2 | Орган по сертификации должен приостанавливать действие сертификата в тех случаях, когда, например, | ||
9.6.5.3 | После приостановления действия сертификат на систему менеджмента заказчика становится временно недействительным. | ||
9.6.5.4 | Орган по сертификации должен возобновить действие сертификата, которое было приостановлено, в том случае, если проблема, вызвавшая приостановление действия сертификата, была решена. Неспособность решить проблемы, из-за которых было приостановлено действие сертификата, в сроки, установленные органом по сертификации, приводит к отмене действия сертификата или сужению области сертификации. | ||
9.6.5.5 | Орган по сертификации должен сузить область сертификации, чтобы исключить области, не удовлетворяющие требованиям, если заказчик постоянно или в значительной степени не может выполнить сертификационные требования применительно к этим областям. Любое сужение области сертификации должно осуществляться в соответствии с требованиями стандарта, используемого при сертификации. | ||
9.7.1 | Орган по сертификации должен иметь документированный порядок получения, оценки и принятия решений по апелляциям. | ||
9.7.2 | Орган по сертификации должен нести ответственность за все решения, принятые на всех уровнях, задействованных в процессе рассмотрения апелляций. Орган по сертификации | ||
должен обеспечивать, чтобы лица, вовлеченные в процесс рассмотрения апелляций, не участвовали в соответствующих аудитах и не принимали решения по сертификации. | |||
9.7.3 | Процессы подачи, рассмотрения и принятия решений по апелляциям не должны носить какого-либо дискриминационного характера по отношению к подателю апелляции. | ||
9.7.4 | Процесс рассмотрения апелляций должен включать в себя, по крайней мере, следующие элементы и методы: | ||
9.7.5 | При получении апелляции орган по сертификации должен нести ответственность за сбор и проверку всей информации, необходимой для признания обоснованности поданной апелляции. | ||
9.7.6 | Орган по сертификации должен подтвердить получение апелляции и предоставить подателю апелляции подробные сведения о ходе ее рассмотрения и сообщать о результатах. | ||
9.7.7 | Решение, которое должно быть сообщено подателю апелляции, должно быть принято или проанализировано и утверждено лицом (лицами), ранее не имевшим(ими) отношения к предмету апелляции. | ||
9.7.8 | Орган по сертификации должен официально уведомить подателя апелляции об окончании ее рассмотрения. | ||
9.8.1 | Орган по сертификации должен нести ответственность за все решения, принятые на всех уровнях, задействованных в процессе рассмотрения жалоб. | ||
9.8.2 | Процессы подачи, рассмотрения и принятия решений по жалобам не должны носить какого-либо дискриминационного характера по отношению к подателю жалобы. | ||
9.8.3 | При получении жалобы орган по сертификации должен подтвердить, относится ли она к деятельности по сертификации, за которую данный орган несет ответственность, и, если это так, он должен ее рассмотреть. Если жалоба имеет отношение к сертифицированному заказчику, то при ее исследовании основное внимание должно уделяться результативности сертифицированной системы менеджмента. | ||
9.8.4 | Орган по сертификации также должен в установленный срок передать сертифицированному заказчику относящуюся к нему жалобу. | ||
9.8.5 | Орган по сертификации должен документировать порядок получения, оценки и принятия решений по жалобам. Этот процесс должен соответствовать требованиям конфиденциальности в части, относящейся к предъявителю жалобы и ее предмету. | ||
9.8.6 | Процесс рассмотрения жалоб должен включать в себя, по меньшей мере, следующие элементы и методы: | ||
9.8.7 | При получении жалобы орган по сертификации должен нести ответственность за сбор и проверку всей информации, необходимой для признания обоснованности поданной жалобы. | ||
9.8.8 | Во всех случаях, когда это возможно, орган по сертификации должен подтвердить получение жалобы и предоставлять ее предъявителю подробные сведения о ходе рассмотрения жалобы и сообщать о результатах. | ||
9.8.9 | Решение, которое должно быть сообщено предъявителю жалобы, должно быть принято или проанализировано и утверждено лицом(ами), ранее не имевшим(ими) отношения к предмету жалобы. | ||
9.8.10 | Во всех случаях, когда это возможно, орган по сертификации должен официально уведомлять предъявителя жалобы об окончании процесса ее рассмотрения. | ||
9.8.11 | Орган по сертификации совместно с заказчиком и предъявителем жалобы должен определить, необходимо ли и если да, то в какой степени, разглашать предмет жалобы и сделанное по ней заключение. | ||
9.9.1 | Орган по сертификации должен вести записи об аудите и других работах по всем заказчикам, включая все организации, подавшие заявки, прошедшие аудит, сертифицированные, а также организации, действие сертификатов которых было приостановлено или отменено. | ||
9.9.2 | Записи о сертифицированных заказчиках должны включать в себя следующее: | ||
f) записи о жалобах и апелляциях, а также обо всех последующих коррекциях или корректирующих действиях; | |||
9.9.3 | Орган по сертификации должен обеспечивать защиту записей о заявителях и заказчиках, гарантируя при этом соблюдение конфиденциальности информации. Транспортировка, пересылка или передача записей должны осуществляться способом, обеспечивающим сохранение их конфиденциальности. | ||
9.9.4 | Орган по сертификации должен иметь документированную политику и процедуры хранения записей. Записи о сертифицированных заказчиках должны сохраняться на протяжении текущего цикла сертификации и еще одного полного цикла. | ||
10. Требования к системам менеджмента органов по сертификации | |||
Орган по сертификации должен разработать и поддерживать в рабочем состоянии систему менеджмента, способную обеспечивать и демонстрировать последовательное выполнение требований настоящего стандарта. В дополнение к требованиям разделов 5-9 орган по сертификации должен внедрять систему менеджмента согласно либо: | |||
Орган по сертификации должен разработать, документально оформить, внедрить и поддерживать в рабочем состоянии систему менеджмента, способную обеспечивать и демонстрировать последовательное выполнение требований настоящего стандарта. | |||
Высшее руководство органа по сертификации должно назначать представителя из состава руководства, который независимо от других обязанностей должен нести ответственность и иметь полномочия, распространяющиеся на: | |||
Все применимые требования настоящего стандарта должны быть представлены либо в руководстве по системе менеджмента, либо в связанных с ним документах. Орган по сертификации должен обеспечивать, чтобы руководство по системе менеджмента и связанные с ним документы были доступны для соответствующего персонала. | |||
Орган по сертификации должен разрабатывать процедуры для управления документами (внутреннего и внешнего происхождения), относящиеся к соблюдению требований настоящего стандарта. Эти процедуры должны предусматривать использование средств управления, необходимых для: | |||
d) обеспечения наличия действующих версий применяемых документов в местах их применения; | |||
Орган по сертификации должен разрабатывать процедуры по определению средств управления, требуемых при идентификации, хранении, защите, восстановлении, определении сроков хранения и изъятии записей, связанных с выполнением требований настоящего стандарта. | |||
10.2.5.1 | Общие положения | ||
10.2.5.2 | Входные данные для анализа | ||
e) статуса действий в отношении рисков; | |||
10.2.5.3 | Выходные данные анализа | ||
10.2.6.1 | Орган по сертификации должен разрабатывать процедуры по проведению внутренних аудитов с целью проверки того, что он выполняет требования настоящего стандарта и что его система менеджмента функционирует результативно и поддерживается в рабочем состоянии. | ||
10.2.6.2 | Программа аудитов должна планироваться с учетом важности процессов и областей, подлежащих аудиту, а также результатов предыдущих аудитов. | ||
10.2.6.3 | Внутренние аудиты должны выполнять не реже одного раза в год. Периодичность проведения внутренних аудитов может быть сокращена, если орган по сертификации может продемонстрировать, что его система менеджмента продолжает результативно функционировать в соответствии с требованиями настоящего стандарта, а также предъявить доказательства в отношении ее стабильности. | ||
10.2.6.4 | Орган по сертификации должен обеспечивать, чтобы: | ||
b) аудиторы не проверяли свою собственную работу; | |||
Орган по сертификации должен разрабатывать процедуры по определению и управлению несоответствиями в своей деятельности. При необходимости орган по сертификации должен также предпринимать действия по устранению причин несоответствий для предупреждения их повторного возникновения. Корректирующие действия должны быть адекватными последствиям выявленных несоответствий. Данные процедуры должны устанавливать требования к: | |||
c) устранению несоответствий; | |||
10.3. Вариант B. Требования к системам менеджмента, установленные в ИСО 9001 | |||
Орган по сертификации должен разработать и поддерживать в рабочем состоянии систему менеджмента, соответствующую требованиям ИСО 9001, способную обеспечивать и демонстрировать последовательное выполнение требований 10.3.2-10.3.4. | |||
Для обеспечения выполнения требований ИСО 9001 при разработке своей системы менеджмента орган по сертификации должен обеспечивать доверие к сертификации и учитывать потребности всех заинтересованных сторон (согласно указаниям в 4.1.2), которые полагаются на его услуги по аудиту и сертификации, а не только на своих заказчиков. | |||
Для обеспечения выполнения требований ИСО 9001 орган по сертификации должен использовать информацию об апелляциях и жалобах пользователей услуг по сертификации, а также анализ обеспечения беспристрастности как входные данные для анализа со стороны руководства. | |||
Выполнение положений IAF MD 17 "Свидетельская деятельность по аккредитации органов по сертификации" | |||
Выполнение положений IAF MD 5 "Определение продолжительности аудита системы менеджмента качества, системы экологического менеджмента, и системы менеджмента охраны здоровья и безопасности труда" (в случае, если применимы) | |||
Выполнение положений IAF MD 1 "Обязательный документ IAF для аудита и сертификации системы менеджмента организаций, имеющих сеть предприятий" | |||
Выполнение положений IAF MD 2 "Обязательный документ IAF для аудита и сертификации системы менеджмента организаций, имеющих несколько мест осуществления деятельности" | |||
Выполнение положений IAF MD 4 "Обязательный документ IAF для использования информационно-коммуникационных технологий (ИКТ) в целях аудита/оценки" | |||
Выполнение положений IAF MD 11 "Обязательный документ IAF по применению стандарта ISO/IEC 17021 при аудитах интегрированных систем менеджмента (ИСМ)" (в случае, если применимы) | |||
Выполнение положений IAF MD 13 "Требования к знаниям персонала Органа по аккредитации систем менеджмента информационной безопасности (ISO/IEC 27001)" (в случае, если применимы) | |||
Выполнение положений IAF MD 7 "Гармонизация санкций, применяемых к органам по оценке соответствия" | |||
Выполнение положений IAF MD 16 Обязательный документ IAF "Применение стандарта ISO/IEC 17011 при аккредитации органов по сертификации систем менеджмента безопасности пищевых продуктов (СМБПП)" (в случае, если применимы) | |||
Выполнение положений IAF MD 22 "Применение стандарта ISO/IEC 17021-1 для сертификации системы менеджмента безопасности труда и охраны здоровья (OH&SMS)" (в случае, если применимы) | |||
Выполнение положений IAF MD 23 "Контроль за деятельностью юридических лиц, действующих от имени аккредитованных органов по сертификации систем менеджмента" | |||
Выполнение положений IAF MD 15 "Обязательный документ IAF для сбора данных с целью представления сведений для определения эффективности органов по сертификации систем менеджмента" | |||
Выполнение положений IAF MD 24 Требования по переходу на ISO 50003:2021 (в случае, если применимы) | |||
Выполнение положений IAF MD 25 Критерии оценивания схем оценки соответствия (в случае, если применимы) | |||
Выполнение положений IAF MD 27 "Требования к переходу на ISO 22003-1:2022" (в случае, если применимы) | |||
Выполнение положений ГОСТ Р 53755-2020/ISO/TS 22003:2013 (в случае, если применимы) | |||
Выполнение положений ГОСТ Р ИСО/МЭК 27006-2020 (в случае, если применимы) | |||
Выполнение положений ГОСТ Р ИСО/МЭК 17021-2-2021 (ISO/IEC 17021-2:2016) (в случае, если применимы) | |||
Выполнение положений ГОСТ Р ИСО/МЭК 17021-3-2021 (в случае, если применимы) | |||