Действующий

СМ № 03.2-4.0002 Методика заполнения форм анкет самообследования соответствия органов сертификации систем менеджмента требованиям критериев аккредитации, прилагаемых к заявлению об аккредитации, заявлению о расширении области аккредитации, заявлению о проведении процедуры подтверждения компетентности аккредитованного лица. Версия 01.1 Ноябрь 2024 г.

Приложение 1



Форма анкеты самообследования, прилагаемой к заявлению об аккредитации


АНКЕТА
САМООБСЛЕДОВАНИЯ СООТВЕТСТВИЯ ОРГАНА ПО СЕРТИФИКАЦИИ СИСТЕМ МЕНЕДЖМЕНТА ТРЕБОВАНИЯМ КРИТЕРИЕВ АККРЕДИТАЦИИ

заявитель (для юридического лица) - полное и (в случае, если имеется) сокращенное наименование, в том числе фирменное наименование,

идентификационный номер налогоплательщика, адрес (место нахождения),

номер телефона, адрес электронной почты,

адрес (адреса) места (мест) осуществления деятельности в заявленной области аккредитации

заявитель (для индивидуального предпринимателя) - фамилия, имя и (в случае, если имеется) отчество, данные

документа, удостоверяющего его личность, страховой номер индивидуального лицевого счета в системе

обязательного пенсионного страхования, идентификационный номер налогоплательщика, адрес места жительства,

номер телефона, адрес электронной почты,

адрес (адреса) места (мест) осуществления деятельности в заявленной области аккредитации



Направляем заполненную анкету самообследования соответствия органа по сертификации систем менеджмента требованиям критериев аккредитации и перечню документов и сведений, подтверждающих соответствие заявителя критериям аккредитации, утвержденным приказом Минэкономразвития России от 26 октября 2020 г. № 707 "Об утверждении критериев аккредитации и перечня документов, подтверждающих соответствие заявителя, аккредитованного лица критериям аккредитации", а также требованиям ГОСТ Р ИСО/МЭК 17021-1-2017 "Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 1. Требования", требованиям, приведенным в схеме аккредитации органов по сертификации систем менеджмента в национальной системе аккредитации СМ № 03.1-9.0004, утвержденной руководителем Федеральной службы по аккредитации 24 апреля 2024 г.:

Номер
пункта
Критериев
аккредитации,
стандартов,
документов
международной организации

Требование Критериев аккредитации, документов по стандартизации, документов международной организации

Номер пункта(ов) или раздела(ов) документа(ов) СМК, где установлены требования Критериев аккредитации, стандартов, документов международной организации, и иных документов, записей (при наличии), подтверждающих соответствие

Соответствие/
несоответствие документа(ов) СМК и иных документов, записей (при наличии) требованиям Критериев аккредитации, стандартов, документов международной организации (Соответствует/
Не соответствует)

Соблюдение/
несоблюдение установленных требований, установленное в ходе проведения самообследования (Соблюдается/
Не соблюдается)

органа по сертификации систем менеджмента установленным требованиям (Указывается наименование документа, шифр и конкретные пункты, подпункты, разделы документов СМК и иных документов, записей (при наличии))

1

2

3

4

5

КРИТЕРИИ АККРЕДИТАЦИИ

11

Органы по сертификации систем менеджмента должны соответствовать требованиям, установленным положениями ГОСТ Р ИСО/МЭК 17021-1-2017 "Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 1. Требования", утвержденного и введенного в действие приказом Федерального агентства по техническому регулированию и метрологии от 4 июля 2017 г. № 640-ст "Об утверждении национального стандарта Российской Федерации".

ГОСТ Р ИСО/МЭК 17021-1-2017

4. Принципы

4.2. Беспристрастность

4.2.1

Чтобы проводить сертификацию, заслуживающую доверия, орган по сертификации должен быть беспристрастным и должен восприниматься как таковой.

4.2.2

Общепризнано, что источником дохода органа по сертификации является плата заказчика за сертификацию, и это является потенциальной угрозой для сохранения беспристрастности.

4.2.3

Для достижения и поддержания доверия необходимо, чтобы решения органа по сертификации основывались на объективных свидетельствах соответствия (или несоответствия), полученных органом по сертификации, и чтобы на его решения не влияли другие интересы или другие стороны.

4.2.4

Угрозы для сохранения беспристрастности, в частности, могут включать в себя следующее:

a) собственная выгода: угроза возникает в случае, когда человек или организация действуют в личных интересах. В случае сертификации угрозой беспристрастности является финансовый интерес;

b) анализ собственной деятельности: угроза возникает при анализе человеком или организацией собственной работы. Выполнение аудита систем менеджмента заказчика, которому орган по сертификации предоставлял консультации по системам менеджмента, может привести к анализу собственной работы;

c) близкие отношения (или доверие): угроза возникает при слишком близких отношениях с лицом или организацией или в том случае, когда аудитор слишком доверяет другому лицу вместо того, чтобы искать свидетельства аудита;

d) запугивание: угроза возникает, когда у человека или органа возникает ощущение, что им открыто или скрытым образом угрожают, например, заменой или сообщением руководству.

4.3. Компетентность

4.3.1

Компетентность персонала органа по сертификации во всех работах, связанных с процессом сертификации, необходима для проведения сертификации, заслуживающей доверие.

4.3.2

Также необходимо, чтобы сертификация поддерживалась системой менеджмента органа по сертификации.

4.3.3

Важнейшая задача для руководства органа по сертификации состоит в обеспечении внедрения процесса для установления критериев компетентности персонала, участвующего в проведении аудита и других работах по сертификации, и чтобы компетентность персонала оценивалась согласно данным критериям.

4.4. Ответственность

4.4.2

Орган по сертификации несет ответственность за оценку достаточности объективных свидетельств, на основании которых принимается решение о сертификации. На основании выводов аудита он принимает решение о выдаче сертификата, если имеются достаточные свидетельства соответствия, или о невыдаче сертификата, если нет достаточных свидетельств соответствия.

________________

Любой аудит основан на выборке из всей системы менеджмента организации, поэтому гарантия 100%-ного соответствия требованиям невозможна.

4.5. Открытость

4.5.1

Орган по сертификации должен обеспечивать открытый доступ или своевременно раскрывать соответствующую информацию о процессе аудита и сертификации, а также о статусе сертификации (например, о выдаче, подтверждении сертификата, расширении или сужении области действия сертификата, об обновлении, о приостановлении действия или отмене сертификата) любой организации с целью обеспечения уверенности в добросовестности и достоверности сертификации. Открытость - это принцип доступности или раскрытия соответствующей информации.

4.5.2

Для обеспечения или поддерживания доверия к сертификации орган по сертификации должен предоставлять необходимый доступ или раскрывать неконфиденциальную информацию о результатах конкретных аудитов (например, аудитов в ответ на жалобы) определенным заинтересованным сторонам.

4.6. Конфиденциальность

4.6

Для получения преимущественного доступа к информации, требуемой органом по сертификации для адекватной оценки соответствия требованиям, необходимо, чтобы орган по сертификации не раскрывал конфиденциальной информации.

4.7. Реагирование на жалобы

4.7

Стороны, которые полагаясь на сертификацию, ожидают, что их жалобы будут рассмотрены, должны быть уверены, что в случае признания их обоснованными орган по сертификации надлежащим образом учтет эти жалобы и приложит надлежащие усилия для их разрешения. Результативное реагирование на жалобы - важное средство защиты органа по сертификации, его заказчиков и других пользователей сертификации от ошибок, упущений или ненадлежащего поведения. Доверие к деятельности по сертификации обеспечивается в том случае, если проводится соответствующая работа с жалобами.

________________

Правильный баланс между принципами открытости и конфиденциальности, включая реагирование на жалобы, необходимо соблюдать для демонстрации обоснованности и достоверности процесса всем пользователям сертификации.

4.8. Подход на основе рисков

4.8

Органы по сертификации должны учитывать риски, связанные с проведением компетентной, непротиворечивой и беспристрастной сертификации. Риски могут быть, в частности, связаны с:

- целями аудита;

- выборкой, применяемой для целей аудита;

- беспристрастностью;

- юридическими и другими обязательными требованиями, включая обязательства сторон;

- проверяемой организацией и условиями деятельности заказчика;

- влиянием аудита на заказчика и его деятельность;

- здоровьем и безопасностью членов аудиторской группы;

- восприятием заинтересованных сторон;

- недостоверными сообщениями сертифицируемого заказчика;

- использованием знаков.

5. Общие требования

5.1. Особенности, связанные с законодательством и договорами

5.1.1

Юридическая ответственность

Орган по сертификации должен быть юридическим лицом или определенной частью юридического лица, чтобы нести юридическую ответственность за все свои действия в области сертификации. Правительственный орган по сертификации рассматривается как юридическое лицо вследствие его правительственного статуса.

5.1.2

Договор на проведение работ по сертификации

Орган по сертификации должен заключить с каждым заказчиком имеющий юридическую силу договор об оказании услуг по сертификации в соответствии с требованиями настоящего стандарта. Кроме того, при наличии нескольких офисов у органа по сертификации или нескольких производственных площадок у заказчика орган по сертификации должен предусмотреть заключение имеющего юридическую силу договора между выдающим сертификат органом и заказчиком, действие которого распространяется на все производственные площадки, подлежащие сертификации.

________________

Договор может включать несколько договорных соглашений, связанных между собой посредством ссылок или иным образом.

5.1.3

Ответственность за решения о сертификации

Орган по сертификации должен нести ответственность и иметь полномочия для принятия решений в области сертификации, включая выдачу, отказ в выдаче, подтверждение, возобновление сертификата, расширение или сужение области действия сертификата, приостановку и прекращение действия сертификата.

5.2. Управление беспристрастностью

5.2.1

Работы по оценке соответствия должны проводиться беспристрастным образом. Орган по сертификации должен нести ответственность за обеспечение беспристрастности в ходе работ по оценке соответствия, и он не должен допускать коммерческого, финансового или другого давления, компрометирующего его беспристрастность.

5.2.2

Высшее руководство органа по сертификации должно взять на себя обязательства по обеспечению беспристрастности в ходе работ по сертификации систем менеджмента. Орган по сертификации должен иметь политику с заявлением о том, что, понимая важность беспристрастности при выполнении работ по сертификации систем менеджмента, он управляет ситуациями, связанными с конфликтом интересов, и гарантирует объективность своих действий по сертификации систем менеджмента.

5.2.3

Орган по сертификации должен на постоянной основе идентифицировать, анализировать, оценивать, регулировать, контролировать и документировать риски, связанные с конфликтом интересов, возникающие при проведении сертификации, включая конфликты, вытекающие из его взаимоотношений. Если взаимоотношения создают угрозу для обеспечения беспристрастности, орган по сертификации должен документально оформить и суметь продемонстрировать, как он устраняет или минимизирует такие угрозы, а также задокументировать сведения о любом остающемся риске.

Такая демонстрация должна охватывать все выявленные потенциальные источники конфликта интересов как в рамках органа по сертификации, так и в деятельности других лиц, органов или организаций. Если взаимоотношения становятся недопустимой угрозой для обеспечения беспристрастности (например, в случае, когда запрос на проведение сертификации поступает от дочерней компании органа по сертификации, находящейся в полном его владении), сертификация не допускается.

Высшее руководство должно анализировать любой остающийся риск на предмет его допустимости.

Работа по оценке рисков должна включать в себя идентификацию заинтересованных сторон и консультирование с ними по поводу аспектов, оказывающих влияние на обеспечение беспристрастности, включая открытость и восприятие общественностью. Консультирование с заинтересованными сторонами должно быть сбалансированным, не допускающим преобладания интересов одной из сторон.

________________

Взаимоотношения, представляющие угрозу для обеспечения беспристрастности органа по сертификации, могут быть связаны с правами собственности, властными полномочиями, менеджментом, персоналом, совместно используемыми ресурсами, финансированием, контрактами, маркетингом, уплатой комиссионных с продаж или с другим поощрением за привлечение новых заказчиков и т.д.

Заинтересованными сторонами могут быть работники и заказчики органа по сертификации, потребители организаций, системы менеджмента которых проверяют в целях сертификации, представители торгово-промышленных ассоциаций, представители правительственных регулирующих органов и других правительственных учреждений или представители неправительственных организаций, включая организации потребителей.

Одним из способов выполнения требования настоящего раздела, касающегося необходимости проведения консультирования, является создание комитета с участием заинтересованных сторон.

5.2.4

Орган по сертификации не должен сертифицировать какой-либо другой орган по сертификации в отношении его деятельности по сертификации систем менеджмента.

5.2.5

Орган по сертификации и любая часть того же юридического лица, а также любое юридическое лицо под организационным управлением органа по сертификации [см. перечисление b) 9.5.1.2 ГОСТ Р ИСО/МЭК 17021-1-2017] не должны предлагать или проводить консультации по системам менеджмента. Это также применимо к той части правительственной структуры, которая идентифицирована как орган по сертификации.

________________

Это не исключает возможности обмена информацией (например, объяснение содержания выводов или требований) между органом по сертификации и его заказчиками.

5.2.6

Проведение внутренних аудитов органом по сертификации может представлять серьезную угрозу для обеспечения беспристрастности. Орган по сертификации и любая часть того же юридического лица, а также любое юридическое лицо под организационным управлением органа по сертификации [см. перечисление b) 9.5.1.2 ГОСТ Р ИСО/МЭК 17021-1-2017], не должны предлагать или проводить внутренние аудиты у сертифицированных им заказчиков. Орган по сертификации не должен сертифицировать систему менеджмента, внутренние аудиты которой он проводил, как минимум два года после завершения внутренних аудитов. Это также применимо к той части правительственной структуры, которая идентифицирована как орган по сертификации.

________________

См. примечание 1 к 5.2.3 ГОСТ Р ИСО/МЭК 17021-1-2017.

5.2.7

Если заказчику оказывалась консультативная помощь организацией, имеющей связи с органом по сертификации, то это представляет серьезную угрозу для обеспечения беспристрастности. Одним из признанных способов снижения этой угрозы является установление двухлетнего моратория на проведение сертификации системы менеджмента с момента завершения консультаций.

________________

См. примечание 1 к 5.2.3 ГОСТ Р ИСО/МЭК 17021-1-2017.

5.2.8

Орган по сертификации не должен передавать право проведения аудитов организации, занимающейся консультированием по системам менеджмента, поскольку это представляет неприемлемую угрозу для обеспечения беспристрастности органа по сертификации (см. 7.5 ГОСТ Р ИСО/МЭК 17021-1-2017). Это не распространяется на лиц, привлеченных в качестве аудиторов по договору (см. 7.3 ГОСТ Р ИСО/МЭК 17021-1-2017).

5.2.9

Услуги органа по сертификации не должны предлагаться на рынке во взаимосвязи с услугами организации, занимающейся консультированием по системам менеджмента. Орган по сертификации должен принимать меры по устранению неуместных ссылок или заявлений любой консалтинговой организации, утверждающих или подразумевающих, что проведение сертификации будет проще, легче, быстрее или дешевле при привлечении данного органа по сертификации. Орган по сертификации не должен делать заявления, утверждающие или подразумевающие, что выполнение сертификации будет проще, легче, быстрее или дешевле при привлечении определенной консалтинговой организации.

5.2.10

Чтобы исключить конфликт интересов, работники, оказывающие консультационные услуги по системам менеджмента, включая сотрудников на руководящих позициях, не должны привлекаться органом по сертификации к участию в аудите или других работах по сертификации в течение двух лет после завершения консультирования данного заказчика.

5.2.11

Орган по сертификации должен предпринять ответные действия в отношении любых угроз для обеспечения беспристрастности, возникающих в связи с действиями других лиц, органов или организаций.

5.2.12

Весь персонал органа по сертификации как внутренний, так и внешний, или комитеты, которые могут оказывать влияние на работы в области сертификации, должны действовать беспристрастно и не должны допускать коммерческого, финансового или другого давления, компрометирующего их беспристрастность.

5.2.13

Органы по сертификации должны требовать от персонала как внутреннего, так и внешнего, предоставлять информацию о любых известных им ситуациях, которые могут вовлечь их или орган по сертификации в конфликт интересов. Органы по сертификации должны использовать данную информацию в качестве исходных данных при определении угроз для обеспечения беспристрастности вследствие деятельности таких работников или организаций, принявших их на работу, и не должны привлекать такой персонал как внутренний, так и внешний, пока работники не смогут продемонстрировать отсутствия конфликта интересов.

5.3. Обязательства и финансирование

5.3.1

Орган по сертификации должен быть способен продемонстрировать, что он оценивает риски, связанные с его деятельностью по сертификации, и что он располагает достаточными средствами (например, страхование или наличие резервов) для выполнения обязательств, возникающих в ходе его работ по сертификации в каждой области деятельности и географической зоне, в которой он осуществляет свою деятельность.

5.3.2

Орган по сертификации должен оценивать свои финансовые возможности и источники дохода, а также демонстрировать, что на начальном этапе и в дальнейшем коммерческое, финансовое или другое давление не могут поставить под сомнение его беспристрастность.

6. Требования к структуре

6.1. Организационная структура и высшее руководство

6.1.1

Орган по сертификации должен документировать свою организационную структуру, обязанности, ответственность и полномочия руководства и другого персонала, занимающегося сертификацией, а также любых комитетов. Если орган по сертификации является частью юридического лица, его организационная структура должна отражать распределение полномочий и взаимодействие с другими частями этого юридического лица.

6.1.2

Структура и управление органа по сертификации должна обеспечивать беспристрастность его деятельности по сертификации.

6.1.3

Орган по сертификации должен определить высшее руководство (совет, группу лиц или лицо), обладающее всеми полномочиями и несущее полную ответственность за:

a) разработку политик и создание процессов и процедур, связанных с его деятельностью;

b) контроль выполнения политик, процессов и процедур;

c) обеспечение беспристрастности;

d) надзор за финансами органа;

e) разработку услуг и схем по сертификации систем менеджмента;

f) выполнение аудитов и сертификации, а также реагирование на жалобы;

g) принятие решений о сертификации;

h) делегирование полномочий комитетам или лицам для осуществления, если требуется, определенных действий от своего имени;

i) условия заключаемых договоров;

j) выделение необходимых ресурсов для выполнения работ по сертификации.

6.1.4

Орган по сертификации должен иметь официальные правила назначения, определения области компетенции и обеспечения функционирования всех комитетов, вовлеченных в работу по сертификации.

6.2. Управление деятельностью по сертификации

6.2.1

Орган по сертификации должен иметь процесс для эффективного управления работами по сертификации, проводимыми представительствами на местах, компаниями, агентами, получателями франшизы и т.д.независимо от их правового статуса, отношения или местонахождения. Орган по сертификации должен рассматривать риски, связанные с выполнением этих работ, в отношении компетентности, состоятельности и беспристрастности органа по сертификации.

6.2.2

Орган по сертификации должен рассматривать надлежащий уровень и способ управления деятельностью по сертификации, включая осуществляемые процессы, технические области работ органа, компетентность персонала, каналы управления руководством, предоставление отчетности и выполнение операций на удаленном расстоянии, включая управление записями.

7. Требования к ресурсам

7.1. Компетентность персонала

7.1.1

Общие положения

Орган по сертификации должен определить порядок получения персоналом необходимых знаний и навыков по типам систем менеджмента (например, системы экологического менеджмента, системы менеджмента качества, системы менеджмента информационной безопасности), которыми он занимается, и географическим зонам, в которых он осуществляет свою деятельность.

7.1.2

Определение критериев компетентности

Орган по сертификации должен иметь документированную процедуру определения критериев компетентности персонала, участвующего в организации и проведении аудитов и сертификации. Критерии компетентности должны определяться с учетом требований стандарта или технических условий для каждого типа систем менеджмента, для каждой технической области и для каждой функции процесса сертификации.

Выходными данными такого процесса должны быть документально оформленные критерии требуемых знаний и навыков, необходимых для эффективного выполнения задач аудита и сертификации с целью достижения запланированных результатов. В приложении A ГОСТ Р ИСО/МЭК 17021-1-2017 оговорены знания и навыки, которые орган по сертификации должен определить для выполнения конкретных функций.

В случае установления дополнительных критериев компетентности для той или иной схемы сертификации (например, в ИСО/МЭК 17021-2, ИСО/МЭК 17021-3 или ИСО/ТУ 22003) должны применяться эти критерии.

________________

Термин "техническая область" может применяться по-разному в зависимости от рассматриваемого стандарта на системы менеджмента. Что касается любой системы менеджмента, этот термин относится к продукции и процессам с учетом области применения стандарта на системы менеджмента. Техническая область может быть определена конкретной схемой сертификации (например, ИСО/ТУ 22003) или может быть установлена органом по сертификации. Этот термин применяют, чтобы охватить ряд других терминов, таких как "области", "категории", "сектора" и т.д., которые традиционно используют для различных типов систем менеджмента.

7.1.3

Процессы оценивания

Орган по сертификации должен иметь документированные процессы для первоначального оценивания компетентности и осуществлять постоянный мониторинг компетентности и результативности деятельности всего персонала, участвующего в организации и проведении аудитов и сертификации, с использованием установленных критериев компетентности. Орган по сертификации должен демонстрировать результативность своих методов оценивания. Выход этих процессов должен быть связан с выявлением персонала, который продемонстрировал уровень компетентности, требуемый для выполнения различных функций аудита и процесса сертификации. Компетентность сотрудника должна быть подтверждена до того, как на него будет возложена ответственность за надлежащее исполнение работ, проводимых органом по сертификации.

________________

В приложении B ГОСТ Р ИСО/МЭК 17021-1-2017 описан ряд методов оценивания, которые допускается использовать для оценивания компетентности. В приложении C ГОСТ Р ИСО/МЭК 17021-1-2017 приведен пример последовательности операций для определения и поддержания компетентности.

7.1.4

Дополнительные требования

Орган по сертификации должен иметь возможность обратиться к соответствующим техническим специалистам для получения рекомендаций по вопросам, имеющим непосредственное отношение к сертификации, применительно к техническим областям, типам систем менеджмента и географическим зонам, в которых работает орган по сертификации. Такие рекомендации могут быть получены либо со стороны, либо от персонала органа по сертификации.

7.2. Персонал, участвующий в работах по сертификации

7.2.1

Орган по сертификации должен иметь в своем штате персонал, обладающий достаточной компетентностью для осуществления различных программ аудита и выполнения других работ по сертификации.

7.2.2

Орган по сертификации должен иметь возможность привлекать к работе по сертификации достаточное число аудиторов, включая руководителей аудиторских групп и технических экспертов, для охвата всей сферы своей деятельности и выполнения всего объема работ по аудиту.

7.2.3

Орган по сертификации должен четко разъяснять каждому работнику его обязанности, область ответственности и полномочия.

7.2.4

Орган по сертификации должен установить процессы отбора, подготовки, официального наделения полномочиями аудиторов, а также отбора технических экспертов, привлекаемых к работам по сертификации. Первоначальное оценивание уровня компетентности аудитора должно охватывать его умение применять требуемые знания и навыки при проведении аудитов; такое оценивание должен проводить компетентный оценщик, наблюдающий за тем, как аудитор проводит проверку.

________________

В ходе вышеуказанного процесса отбора и подготовки принимают во внимание требуемые личностные характеристики. Это показатели, влияющие на способность сотрудника выполнять конкретные функции. Поэтому знания, касающиеся личностных характеристик сотрудников, позволяют органу по сертификации воспользоваться их сильными сторонами и свести к минимуму влияние их слабых сторон. Требуемые личностные характеристики, имеющие важное значение для персонала, участвующего в работах по сертификации, рассмотрены в приложении D ГОСТ Р ИСО/МЭК 17021-1-2017.

7.2.5

Орган по сертификации должен обеспечить наличие процесса достижения и демонстрации результативного проведения аудита, включая привлечение аудиторов и руководителей аудиторских групп, обладающих как общими знаниями и навыками в области аудита, так и навыками и знаниями, необходимыми для проведения аудита в конкретных технических областях.

7.2.6

Орган по сертификации должен предусмотреть, чтобы аудиторы (и, когда необходимо, технические эксперты) были осведомлены о процессе проведения аудита, требованиях к сертификации и других необходимых требованиях. Орган по сертификации должен предоставлять аудиторам и техническим экспертам доступ к действующим документированным процедурам, содержащим инструкции по проведению аудита и всю необходимую информацию в области сертификации.

7.2.7

Орган по сертификации должен выявлять потребности в обучении и предлагать или делать доступной специальную подготовку, чтобы гарантировать, что его аудиторы, технические эксперты и другой персонал, участвующий в работах по сертификации, компетентны в пределах выполняемых ими функций.

7.2.8

Группа или лицо, принимающие решение о выдаче, отказе в выдаче, подтверждении, возобновлении, приостановлении действия или отмене сертификата, расширении или сужении области сертификации, должны знать положения применяемого стандарта и требования к сертификации и подтвердить свою компетентность в области оценки результатов процессов аудита, включая соответствующие рекомендации аудиторской группы.

7.2.9

Орган по сертификации должен обеспечивать надежную работу всего персонала, участвующего в работах по аудиту и сертификации. Должны быть разработаны документированные процедуры и критерии для мониторинга компетентности и характеристик деятельности всего участвующего в работах персонала, основанные на частоте их привлечения к работам и уровне риска, связанного с их действиями. В частности, орган по сертификации должен проводить анализ и регистрацию компетентности своих работников в связи с выполняемыми ими работами с целью определения потребностей в обучении.

7.2.10

Орган по сертификации должен осуществлять постоянный контроль работы каждого аудитора, рассматривая каждый тип систем менеджмента, в области которых аудитор считается компетентным. Документированные процедуры мониторинга деятельности аудиторов должны включать в себя комбинацию наблюдения и оценивание работы аудитора на месте, анализ отчетов по результатам аудита и информации от заказчиков или ответной реакции рынка. Такой мониторинг должен быть разработан таким образом, чтобы свести к минимуму вмешательство в нормальное протекание процессов сертификации, особенно с точки зрения заказчика.

7.2.11

Орган по сертификации должен периодически проводить наблюдение за работой каждого аудитора на рабочем месте. Периодичность наблюдений на месте должна быть обоснована необходимостью, определяемой на основании всех имеющихся данных по мониторингу.

7.3. Привлечение внешних аудиторов и внешних технических экспертов

7.3

Орган по сертификации должен требовать от внешних аудиторов и внешних технических экспертов заключения письменного соглашения с обязательствами по соблюдению применяемых политик и процедур, установленных органом по сертификации. Соглашение должно касаться вопросов соблюдения конфиденциальности и беспристрастности, а также требовать от внешних аудиторов и технических экспертов уведомления органа по сертификации о любых существующих или имевшихся ранее связях с любой организацией, для проведения аудита в которой они могут быть назначены.

________________

Привлечение отдельных аудиторов и технических экспертов в соответствии с такими соглашениями не считается аутсорсингом.

7.4. Кадровый учет

7.4

Орган по сертификации должен вести актуализированные записи о работниках, включая необходимые данные о квалификации, подготовке, опыте, принадлежности к другим организациям, профессиональном статусе и компетентности. Помимо сотрудников, выполняющих работы по сертификации, эти требования относятся к руководящему и административному персоналу.

7.5. Привлечение соисполнителей (аутсорсинг)

7.5.1

Орган по сертификации должен иметь процесс, устанавливающий условия привлечения сторонних организаций (на основе субподряда, когда часть работ по сертификации выполняется другой организацией от имени органа по сертификации). Орган по сертификации должен заключать юридически действительное соглашение, касающееся организации данной деятельности, с каждым органом, оказывающим подобного рода услуги, в том числе в отношении соблюдения конфиденциальности и отсутствия конфликта интересов.

7.5.2

Привлекаемые сторонние организации не имеют права принимать решения о выдаче, отказе в выдаче, подтверждении, возобновлении, приостановлении действия или отмене сертификата, а также о расширении или сужении области сертификации.

7.5.3

Орган по сертификации должен:

a) нести ответственность за работу, переданную другим организациям на условиях аутсорсинга;

b) убедиться в том, что организация, оказывающая услуги на условиях аутсорсинга, и привлеченные ею лица соответствуют требованиям органа по сертификации и выполняют положения настоящего стандарта, в том числе в отношении компетентности, беспристрастности и конфиденциальности;

c) убедиться в том, что организация, предоставляющая услуги на условиях аутсорсинга, и привлеченные ею лица не связаны непосредственно или через другого работодателя с проверяемой организацией таким образом, чтобы это могло повлиять на их беспристрастность.

7.5.4

Орган по сертификации должен иметь процедуры по одобрению и мониторингу всех организаций, оказывающих услуги на условиях аутсорсинга, которые привлекаются для работ по сертификации, и обеспечивать ведение записей о компетентности всех лиц, участвующих в работах по сертификации.

________________

Применительно к 7.5.1-7.5.4 ГОСТ Р ИСО/МЭК 17021-1-2017 привлечение органом по сертификации на договорной основе отдельных лиц или работников другой организации к выполняемым им работам по сертификации в качестве аудиторов или технических экспертов не считается аутсорсингом (7.3 ГОСТ Р ИСО/МЭК 17021-1-2017).

Применительно к 7.5.1-7.5.4 ГОСТ Р ИСО/МЭК 17021-1-2017 термины "аутсорсинг" и "выполнение работ по субподрядам" являются синонимами.

8. Требования к информации

8.1. Общедоступная информация

8.1.1

Орган по сертификации должен обеспечивать ведение (используя печатные, электронные или другие средства) и делать общедоступной во всех географических зонах, в которых данный орган работает, информацию:

a) о процессах аудита;

b) о процессах, связанных с принятием решения о сертификации, включающих выдачу, отказ в выдаче, подтверждение, возобновление, приостановление действия или отмену сертификата, а также расширение или сужение области сертификации;

c) о типах систем менеджмента, проверяемых органом, и применяемых схемах сертификации;

d) о праве использовать название органа по сертификации и сертификационный знак или логотип;

e) о процессах работы с запросами на получение информации, жалобами и апелляциями;

f) о политике в области обеспечения беспристрастности.

8.1.2

По запросу от любой заинтересованной стороны орган по сертификации должен предоставить информацию:

a) о регионах, в которых данный орган осуществляет свою деятельность;

b) о статусе выданных сертификатов;

c) о названии и адресе (город и страна) сертифицированного заказчика, нормативном документе, области применения выданного сертификата.

________________

В исключительных случаях доступ к определенной информации может быть ограничен по просьбе заказчика (например, по соображениям безопасности).

Орган по сертификации может также и при отсутствии запросов сделать общедоступной информацию, указанную в 8.1.2 ГОСТ Р ИСО/МЭК 17021-1-2017, любым предпочтительным для него способом, например, на своем сайте в Интернете.

8.1.3

Информация, предоставляемая органом по сертификации тому или иному заказчику или поставляемая на рынок, в том числе реклама, должна быть точной и не должна вводить в заблуждение.

8.2. Сертификационные документы

8.2.1

Орган по сертификации должен выдавать сертификационные документы сертифицированному заказчику любым предпочтительным для него способом.

8.2.2

Сертификационный документ (документы) должен (должны) содержать следующее:

a) наименование и географическое местоположение каждого заказчика, система менеджмента которого была сертифицирована (или географическое местоположение его главного офиса и всех производственных площадок, входящих в область сертификации организации с несколькими производственными площадками);

b) дату выдачи, расширения или сужения области применения, возобновления действия сертификата, которая не должна предшествовать дате принятия решения о сертификации;

c) срок действия сертификата или дату проведения ресертификации в соответствии с циклом ресертификации;

d) единый идентификационный номер;

e) обозначение стандарта и/или другого нормативного документа, включая указание статуса издания (например, номер выпуска и/или дата пересмотра), используемого в ходе аудита сертифицированного заказчика;

f) область сертификации, касающаяся вида работ, продукции и услуг относительно каждой производственной площадки;

g) наименование, адрес и сертификационный знак органа по сертификации; другие знаки (например, символ аккредитации, логотип заказчика) допускается использовать таким образом, чтобы не вводить в заблуждение или не допускать неоднозначного толкования;

h) любая другая информация, требуемая стандартом и/или другим нормативным документом, используемым при сертификации;

i) в случае выпуска любых пересмотренных сертификационных документов должны быть предусмотрены средства их отличения от устаревших документов.

________________

Орган по сертификации может по истечении срока действия сертификата сохранять указанную в сертификате первоначальную дату выдачи при условии, что:

- даты начала и окончания текущего цикла сертификации четко обозначены;

- дата окончания заключительного цикла сертификации указана наряду с датой ресертификационного аудита.

8.3. Ссылка на сертификат и использование знаков соответствия

8.3.1

Орган по сертификации должен выработать правила управления любыми знаками соответствия систем менеджмента, разрешенных для использования сертифицированными заказчиками. Среди прочего должна обеспечиваться их прослеживаемость со стороны органа по сертификации. В знаке или в его сопроводительном тексте не должно быть неоднозначности относительно предмета сертификации и органа по сертификации, выдавшего сертификат. Данный знак не допускается использовать на продукции или ее упаковке, которую видит потребитель, или любым другим способом, если он может ошибочно истолковываться как указание на соответствие продукции.

________________

ИСО/МЭК 17030 содержит требования к истолкованию знаков соответствия третьих сторон.

8.3.2

Орган по сертификации не должен разрешать, чтобы сертифицированные заказчики использовали его знаки соответствия в отчетах о лабораторных испытаниях, протоколах калибровки или инспекционного контроля или в своих сертификатах.

8.3.3

Орган по сертификации должен выработать правила, регулирующие использование любых заявлений на упаковке продукции или в сопроводительной информации о том, что сертифицированный заказчик имеет сертифицированную систему менеджмента. Упаковкой продукта считается то, что можно снять без нарушения целостности продукта или без его повреждения. Сопроводительной информацией принято считать то, что можно использовать в отдельности или легко отделить. Этикетки или заводские таблички с основными характеристиками изделия считают частью продукта. Такое заявление не должно подразумевать, что продукт, процесс или услуга таким образом сертифицированы. Заявление должно содержать ссылку:

- на идентификацию (фабричная марка или наименование) сертифицированного заказчика;

- тип системы менеджмента (например, менеджмент качества, экологический менеджмент) и применяемый стандарт;

- орган по сертификации, выдавший сертификат.

8.3.4

Орган по сертификации должен на основе юридически действительных соглашений требовать, чтобы сертифицированный заказчик:

a) выполнял требования органа по сертификации при ссылках на свой статус сертификации в средствах массовой информации, таких как Интернет, брошюры, реклама или другие материалы;

b) не делал или не допускал никаких вводящих в заблуждение заявлений относительно своей сертификации;

c) не использовал или не разрешал использовать документ о сертификации или какую-либо его часть каким-либо образом, вводящим в заблуждение;

d) при приостановлении или отмене действия сертификата прекращал ссылаться на него в рекламных целях, как предписано органом по сертификации (9.6.5 ГОСТ Р ИСО/МЭК 17021-1-2017);

e) вносил коррективы во все рекламные материалы при сужении области сертификации;

f) не допускал использования ссылок на сертификацию своей системы менеджмента каким-либо образом, позволяющим предположить, что орган по сертификации сертифицировал продукцию (включая услугу) или процесс;

g) не давал понять, что действие сертификата распространяется и на деятельность, не охваченную областью сертификации;

h) не использовал свой сертификат таким образом, что это может негативно сказаться на репутации органа по сертификации и/или системы сертификации и привести к потере доверия общественности.

8.3.5

Орган по сертификации должен надлежащим образом осуществлять контроль за правом владения и предпринимать соответствующие действия в ответ на некорректные ссылки на статус сертификации или вводящее в заблуждение использование сертификационных документов, знаков соответствия или отчетов по результатам аудита.

________________

Такие действия могут включать в себя требования к внесению исправлений и проведению корректирующих действий, приостановление, отмену действия сертификации, публикацию информации о нарушениях и, если это необходимо, предъявление судебного иска.

8.4. Конфиденциальность

8.4.1

Орган по сертификации должен на основе юридически действительных соглашений нести ответственность за управление всей информацией, полученной или сформированной в ходе выполнения работ по сертификации на всех уровнях своей структуры, включая комитеты и внешние органы или лиц, действующих от его имени.

8.4.2

Орган по сертификации должен заблаговременно уведомить заказчика о том, какую информацию он предполагает сделать общедоступной. Любая другая информация, кроме той, которая была предана огласке заказчиком, должна рассматриваться как конфиденциальная.

8.4.3

За исключением тех случаев, которые описаны в настоящем стандарте и регулируются его требованиями, информация о конкретном сертифицированном заказчике или частном лице не должна раскрываться третьей стороне без получения письменного согласия данного заказчика или частного лица.

8.4.4

В тех случаях, когда орган по сертификации должен в соответствии с законами предоставить конфиденциальную информацию третьей стороне, заказчик или частное лицо должны быть заранее извещены о предоставлении информации, за исключением случаев, оговоренных в законодательстве.

8.4.5

Информация о заказчике, полученная не от самого заказчика (например, от предъявителя жалобы, от регулятивных органов), должна рассматриваться как конфиденциальная в соответствии с политикой органа по сертификации.

8.4.6

Персонал, включая членов любого комитета, подрядные организации, персонал внешних органов или лиц, действующих от имени органов по сертификации, должен сохранять конфиденциальность всей информации, полученной или сформированной данным органом по сертификации в ходе его деятельности по сертификации, за исключением тех случаев, которые регулируются требованиями законодательства.

8.4.7

Орган по сертификации должен иметь процедуры и, где это применимо, оборудование и средства, обеспечивающие безопасное обращение с конфиденциальной информацией.

8.5. Обмен информацией между органом по сертификации и заказчиками

8.5.1

Информация о деятельности по сертификации и требованиях

Орган по сертификации должен предоставлять заказчикам следующую актуализированную информацию:

a) подробное описание работ по сертификации на начальном и последующем этапах, включая подачу заявки, первоначальные аудиты, надзорные аудиты, а также о порядке выдачи, отказа в выдаче, подтверждения сертификата, расширения или сужения области сертификации, возобновления, приостановления или отмены действия сертификата;

b) нормативные требования к сертификации;

c) информацию о стоимости подачи заявки, первоначальной и последующей сертификации;

d) требования органа по сертификации к заказчикам, а именно:

1) отвечать сертификационным требованиям;

2) принимать все необходимые меры для проведения аудитов, включая предоставление экзаменационной документации и доступ ко всем процессам и участкам, записям и персоналу для проведения первоначальной сертификации, надзорного аудита, ресертификации и анализа жалоб;

3) обеспечивать при необходимости присутствие наблюдателей (например, аудиторов по аккредитации или аудиторов-стажеров);

e) документы, в которых описаны права и обязанности сертифицированных заказчиков, включая требования о том, что в рамках любого информационного взаимодействия ссылки на свой статус сертификации должны соответствовать требованиям 8.3 ГОСТ Р ИСО/МЭК 17021-1-2017;

f) информацию о процедурах рассмотрения жалоб и апелляций.

8.5.2

Уведомление об изменениях со стороны органа по сертификации

Орган по сертификации должен своевременно уведомлять сертифицированных заказчиков о любых изменениях своих требований к сертификации. Орган по сертификации должен проверить, что каждый сертифицированный заказчик соблюдает новые требования.

8.5.3

Уведомление об изменениях со стороны заказчика

Орган по сертификации должен принимать юридически обоснованные меры для обеспечения того, чтобы сертифицированный заказчик незамедлительно информировал орган по сертификации обо всех вопросах, которые могут повлиять на способность системы менеджмента продолжать соответствовать требованиям стандарта, на соответствие которому проводилась сертификация.

Это относится, в частности, к изменениям, касающимся:

a) юридического, коммерческого, организационного статуса или прав собственности;

b) организации и руководства (например, основного управленческого персонала, лиц, принимающих решения, или технических специалистов);

c) контактного адреса и местоположения производственных площадок;

d) области деятельности в рамках сертифицированной системы менеджмента;

e) важных изменений в системе менеджмента и процессах.

При необходимости орган по сертификации должен предпринимать надлежащие меры.

9. Требования к процессу

9.1. Действия перед сертификацией

9.1.1

Подача заявки

Орган по сертификации должен затребовать у уполномоченного представителя организации, подавшей заявку, предоставления необходимой информации, чтобы установить:

a) предполагаемую область сертификации;

b) сведения о подавшей заявку организации, требуемые согласно схеме сертификации, включая ее наименование и адрес (адреса) расположения ее производственных площадок, ее процессы и операции, людские и технические ресурсы, функции, связи в рамках организационной структуры и любые другие имеющие значение юридические обязательства;

c) сведения об аутсорсинговых процессах, используемых организацией и способных оказать влияние на соответствие требованиям;

d) стандарты или другие требования, на соответствие которым подавшая заявку организация намерена сертифицироваться;

e) информацию относительно использования консультативных услуг по системе менеджмента, подлежащей сертификации.

9.1.2

Анализ заявки

9.1.2.1

До проведения аудита орган по сертификации должен проанализировать заявку и дополнительную информацию, имеющую отношение к сертификации, чтобы удостовериться в том, что:

a) информация об организации, подавшей заявку, и ее системе менеджмента является достаточной для проведения аудита;

b) любые известные различия в понимании требований между органом по сертификации и подавшей заявку организацией были урегулированы;

c) орган по сертификации обладает компетентностью и возможностями для выполнения работ по сертификации;

d) приняты во внимание предполагаемая область сертификации, место(а) осуществления деятельности подавшей заявку организации, время, необходимое для проведения аудита, и любые другие обстоятельства, оказывающие влияние на работы по сертификации (язык, условия безопасности, угрозы для обеспечения беспристрастности и т.д.).

9.1.2.2

После анализа заявки орган по сертификации должен либо принять, либо отклонить заявку на проведение сертификации. Если орган сертификации отклоняет заявку в результате ее анализа, причины отклонения заявки должны быть документированы и разъяснены заказчику.

9.1.2.3

На основании данного анализа орган по сертификации должен определить уровень компетенции, необходимый для формирования аудиторской группы и принятия решения о сертификации.

9.1.3

Программа аудита

9.1.3.1

В отношении всего цикла сертификации должна быть разработана программа аудита для четкого определения аудиторской деятельности, требуемой для демонстрации того, что система менеджмента заказчика отвечает требованиям к сертификации по выбранному стандарту(ам) или другому нормативному документу(ам). Программой аудита, разработанной в отношении всего цикла сертификации, должны охватываться все требования, предъявляемые к системе менеджмента.

9.1.3.2

Программа аудита должна включать в себя проведение двухэтапного первоначального аудита, надзорных аудитов в течение первого и второго года после выдачи сертификата и ресертификационного аудита на третий год до истечения срока действия сертификата. Трехлетний цикл сертификации начинается с принятия решения о сертификации. Последующие циклы начинаются с принятия решения о ресертификации (9.6.3.2.3 ГОСТ Р ИСО/МЭК 17021-1-2017). При определении программы аудита и внесении в нее каких-либо поправок должны быть учтены размеры организации-заказчика, область применения и сложность ее системы менеджмента, продукции и процессов, а также продемонстрированный уровень результативности системы менеджмента и результаты предыдущих аудитов.

________________

Приложение E ГОСТ Р ИСО/МЭК 17021-1-2017 содержит блок-схему типичного процесса проведения аудита и сертификации третьей стороной.

В приведенном ниже перечне перечислены дополнительные вопросы, которые могут рассматриваться при разработке или пересмотре программы аудита, а также при определении области аудиторской проверки и при разработке плана аудита:

- жалобы в отношении заказчика, полученные органом по сертификации;

- комбинированный, комплексный или совместный аудит;

- изменения в сертификационных требованиях;

- изменения в законодательных требованиях;

- изменения в аккредитационных требованиях;

- данные о деятельности организации (например, уровень дефектности, данные об основных производственных показателях);

- опасения заинтересованных сторон.

Цикл сертификации может отличаться от трехгодичного, если это установлено определенной схемой сертификации, применяемой в конкретной отрасли экономической деятельности.

9.1.3.3

Надзорные аудиты должны проводиться не реже одного раза в год, кроме тех лет, когда проводятся ресертификационные аудиты.

________________

Может потребоваться скорректировать периодичность надзорных аудитов с учетом сезонных факторов или сертификаций систем менеджмента, рассчитанных на использование в пределах ограниченного периода времени (например, для временной строительной площадки).

9.1.3.4

Если орган по сертификации учитывает уже проведенный у заказчика сертификационный аудит или аудиты, выполненные другим органом по сертификации, он должен собрать и сохранять достаточные свидетельства, такие как отчеты и документы по корректирующим действиям в отношении любого несоответствия. Эта документация должна подтверждать выполнение требований настоящего стандарта. Орган по сертификации на основе полученной информации должен обосновывать и регистрировать любые корректировки в имеющуюся программу аудита и предпринимать корректирующие действия в отношении ранее выявленных несоответствий.

9.1.3.5

Если заказчик работает по сменному графику, то при разработке программы и планов аудита должны рассматриваться аспекты, связанные с проведением работ в рабочие часы смен.

9.1.4

Определение трудоемкости аудита

9.1.4.1

Орган по сертификации должен иметь документированные процедуры по определению трудоемкости аудита. Для каждого заказчика орган по сертификации должен установить время, необходимое для планирования и полного выполнения результативного аудита системы менеджмента заказчика.

9.1.4.2

При установлении трудоемкости аудита орган по сертификации должен, помимо прочего, учитывать следующее:

a) требования соответствующего стандарта на систему менеджмента;

b) размер и сложность организации заказчика и его системы менеджмента;

c) технологические особенности и законодательное регулирование;

d) привлечение соисполнителей (аутсорсинг) для любой деятельности, охватываемой системой менеджмента;

e) результаты любых предыдущих аудитов;

f) число и размеры производственных площадок с учетом их местоположения и особенностей, связанных с проведением на них аудита;

g) риски, связанные с продукцией, процессами или видами деятельности организации;

h) являются ли аудиты комбинированными, совместными или комплексными.

________________

Время, занимаемое на то, чтобы добраться до мест проведения аудита и обратно, не учитывают при расчете числа аудито-дней для проверки системы менеджмента. Орган по сертификации может использовать руководящие указания, установленные в ИСО/МЭК ТУ 17023, для определения трудоемкости аудита при документировании этих процедур.

Если были установлены определенные критерии для конкретной схемы сертификации, например, согласно ИСО/ТУ 22003 или ИСО/МЭК 27006, они должны применяться.

9.1.4.3

Трудоемкость аудита, установленная органом по сертификации, и ее обоснование должны быть зарегистрированы.

9.1.4.4

Трудозатраты любого члена группы, который не является аудитором (т.е. технические эксперты, письменные и устные переводчики, наблюдатели и аудиторы-стажеры), не должны учитываться при расчете трудоемкости аудита.

________________

Использование устных и письменных переводчиков может увеличивать время аудита.

9.1.5

Выборочные проверки производственных площадок

Если в ходе аудита выборочно проверяются производственные площадки, находящиеся в различных местах, и на которых осуществляется аналогичная деятельность, охватываемая системой менеджмента заказчика, орган по сертификации должен разработать программу выборочного контроля, чтобы обеспечить надлежащее проведение аудита системы менеджмента. Обоснование плана проведения выборки для каждого заказчика должно быть документировано. Для некоторых схем сертификации не разрешается проведение выборочных проверок, и в тех случаях, когда были установлены определенные критерии для конкретной схемы сертификации, например согласно ИСО/ТУ 22003 или ИСО/МЭК 27006, они должны применяться.

________________

Выборочные проверки не могут применяться на тех производственных площадках, на которых не осуществляется аналогичная производственная деятельность.

9.1.6

Стандарты на комплексные системы менеджмента

При оказании услуг по сертификации комплексных систем на соответствие требованиям нескольких стандартов планирование аудитов должно обеспечивать достаточный объем мероприятий аудита на местах осуществления деятельности в целях обеспечения доверия к результатам сертификации.

9.2. Планирование аудитов

9.2.1

Определение целей, области и критериев аудита

9.2.1.1

Цели аудита должны быть определены органом по сертификации. Область и критерии аудита, включая любые изменения, устанавливают органы по сертификации после обсуждения с заказчиком.

9.2.1.2

Цели аудита должны указывать на то, что должно быть сделано в процессе аудита, и включают следующее:

a) установление соответствия системы менеджмента заказчика или отдельных ее частей критериям аудита;

b) оценивание способности системы менеджмента обеспечивать выполнение организацией заказчика применяемых законодательных, нормативных и контрактных требований;

c) оценивание результативности системы менеджмента для обеспечения постоянного достижения поставленных целей организацией заказчика;

d) в случае необходимости определение областей для возможного улучшения системы менеджмента.

________________

Сертификационный аудит системы менеджмента не является проверкой соблюдения законов и правовых норм.

9.2.1.3

Область аудита должна устанавливать объем и границы аудита, например, производственные площадки, организационные подразделения, виды деятельности и процессы, подлежащие проверке. Когда первоначальная сертификация или ресертификация включает в себя несколько аудитов (например, на различных объектах), область отдельного аудита может не охватывать всей области сертификации, однако все аудиты вместе взятые должны соответствовать области, определенной в сертификационном документе.

9.2.1.4

Критерии аудита должны использоваться в качестве основы для определения соответствия и включать в себя:

- требования определенного нормативного документа по системам менеджмента;

- определенные процессы и документацию системы менеджмента, разрабатываемые заказчиком.

9.2.2

Отбор членов аудиторской группы и закрепление за ними соответствующих обязанностей

9.2.2.1

Общие положения

9.2.2.1.1

Орган по сертификации должен установить порядок отбора и назначения членов аудиторской группы, включая ее руководителя, с учетом компетентности, необходимой для достижения целей аудита. Если аудит проводится одним человеком, он должен обладать компетентностью, необходимой для выполнения обязанностей руководителя аудиторской группы применительно к данному аудиту. Члены аудиторской группы должны обладать суммарной компетентностью, устанавливаемой органом по сертификации в соответствии с 9.1.2.3 ГОСТ Р ИСО/МЭК 17021-1-2017.

9.2.2.1.2

При принятии решения о размере и составе аудиторской группы необходимо учитывать следующее:

a) цели аудита, область, критерии и расчетные сроки проведения аудита;

b) является ли аудит комбинированным, совместным или комплексным;

c) суммарную компетентность членов аудиторской группы, необходимую для достижения поставленных целей аудита [см. таблицу A.1 (приложение A) ГОСТ Р ИСО/МЭК 17021-1-2017];

d) сертификационные требования (включая любые применяемые законодательные, нормативные или контрактные требования);

e) язык и культуру.

________________

Желательно, чтобы руководитель аудиторской группы, сформированной для проведения комбинированного или комплексного аудита, имел глубокие познания в области применения по меньшей мере одного из используемых стандартов и хорошо знал другие стандарты, используемые при проведении конкретного аудита.

9.2.2.1.3

Необходимые знания и навыки руководителя аудиторской группы и аудиторов могут быть дополнены знаниями и опытом технических экспертов, письменных и устных переводчиков, которые должны работать под руководством аудитора. Если используются письменные и устные переводчики, они должны выбираться таким образом, чтобы не оказывать ненадлежащего влияния на проведение аудита.

________________

Критерии выбора технических экспертов устанавливаются индивидуально в каждом конкретном случае исходя из потребностей аудиторской группы и области аудита.

9.2.2.1.4

Аудиторы-стажеры могут участвовать в проведении аудита при условии, что будет назначен аудитор для проверки их работы. Проверяющий должен быть достаточно компетентным для того, чтобы принять на себя обязанности и нести ответственность за деятельность и выводы аудитора-стажера.

9.2.2.1.5

По согласованию с членами аудиторской группы ее руководитель должен закрепить за каждым членом группы обязанности по проверке конкретных процессов, функций, объектов, участков или работ. При этом необходимо учитывать требуемую компетентность, а также результативность и эффективность использования возможностей аудиторской группы, а также различные функции и обязанности аудиторов, аудиторов-стажеров и технических экспертов. Изменения в рабочие задания могут вноситься по ходу проверки, чтобы обеспечить достижение целей аудита.

9.2.2.2

Наблюдатели, технические эксперты и сопровождающие

9.2.2.2.1

Наблюдатели

Присутствие и обоснованность участия наблюдателей в аудите должны согласовываться органом по сертификации и заказчиком до проведения аудита. Аудиторская группа должна позаботиться о том, чтобы наблюдатели не оказывали влияния или не вмешивались в аудиторскую деятельность и не влияли на результаты аудита.

________________

Наблюдателями могут быть сотрудники организации заказчика, консультанты, персонал органа по аккредитации, взаимодействующего с органом по сертификации, представители регулятивных органов или другие правомерные лица.

9.2.2.2.2

Технические эксперты

Роль технических экспертов в аудите должна согласовываться органом по сертификации и заказчиком до проведения аудита. Технический эксперт не должен исполнять функции аудитора в аудиторской группе. Технические эксперты должны работать вместе с аудиторами.

________________

Технические эксперты могут давать членам аудиторской группы рекомендации по подготовке, планированию и проведению мероприятий аудита.

9.2.2.2.3

Сопровождающие

У каждого аудитора должен быть сопровождающий, если нет иной договоренности между руководителем аудиторской группы и заказчиком. Сопровождающие прикрепляются к аудиторской группе для содействия в проведении аудита. Аудиторская группа должна позаботиться о том, чтобы наблюдатели не оказывали влияния или не вмешивались в аудиторскую деятельность и не влияли на результаты аудита.

________________

В обязанности сопровождающего может входить:

a) установление контактов и определения сроков проведения встреч и бесед;

b) организация посещений конкретных участков или подразделений организации;

c) принятие мер по доведению до сведения членов аудиторской группы правил и процедур обеспечения безопасности на объекте и выполнению этих правил и процедур членами аудиторской группы;

d) засвидетельствование порядка проведения аудита от лица заказчика;

e) предоставление разъяснений или информации по требованию аудитора.

Там, где это применимо, лицо, работа которого проверяется, может выполнять функции сопровождающего.

9.2.3

План аудита

9.2.3.1

Общие положения

Орган по сертификации должен обеспечивать составление плана для каждого аудита, указанного в программе аудита, чтобы создавать основу для соглашения о проведении аудита и графике работ по аудиту.

________________

Органу по сертификации не обязательно разрабатывать план аудита для каждого аудита одновременно с программой аудита.

9.2.3.2

Разработка плана аудита

План аудита должен соответствовать целям и области аудита. План аудита должен, по крайней мере, включать в себя или иметь ссылки на следующее:

a) цели аудита;

b) критерии аудита;

c) область аудита, включая установление организационных и функциональных подразделений или процессов, подлежащих аудиту;

d) сроки проведения аудитов и объекты, подлежащие проверке, включая посещение временных производственных площадок и работы, проводимые без посещения объектов, если это целесообразно;

e) предполагаемые сроки и продолжительность выездных аудитов;

f) функции и обязанности членов аудиторской группы и сопровождающих лиц.

________________

Информация о плане аудита может содержаться в нескольких документах.

9.2.3.3

Предоставление информации о задачах аудиторской группы

Должны быть определены задачи, поставленные перед аудиторской группой. При этом аудиторская группа должна:

a) оценивать и проверять на соответствие требованиям структуру, политики, процессы, процедуры, записи и другие документы организации заказчика, относящиеся к системе менеджмента;

b) определять, удовлетворяют ли процессы всем требованиям в отношении к предполагаемой области сертификации;

c) удостовериться, что процессы и процедуры были разработаны, внедрены и поддерживаются в рабочем состоянии с целью обеспечения доверия к системе менеджмента заказчика;

d) сообщать заказчику для принятия им соответствующих мер о любых противоречиях между политикой, целями и задачами заказчика.

9.2.3.4

Предоставление информации о плане аудита

Информация о плане аудита должна своевременно предоставляться заказчику, и сроки выполнения работ должны быть с ним заблаговременно согласованы.

9.2.3.5

Предоставление информации о членах аудиторской группы

Орган по сертификации должен указать заказчику фамилию и по запросу предоставить общую информацию о каждом члене аудиторской группы таким образом, чтобы у заказчика было время на то, чтобы ознакомиться с предоставленной информацией и в случае возражений выразить свое несогласие с назначением какого-либо члена аудиторской группы, а у органа по сертификации - на то, чтобы переформировать группу при наличии для этого объективных причин.

9.3. Первоначальная сертификация

9.3.1

Аудит первоначальной сертификации

9.3.1.1

Общие положения

Аудит первоначальной сертификации системы менеджмента должен выполняться в два этапа: этап 1 и этап 2.

9.3.1.2

Проведение первого этапа аудита

9.3.1.2.1

Планирование должно обеспечивать достижение целей первого этапа и заказчик должен быть своевременно проинформирован обо всех работах, которые планируется проводить в ходе первого этапа на его территории.

________________

Для первого этапа не требуется разрабатывать и утверждать отдельного плана аудита (см. 9.2.3) ГОСТ Р ИСО/МЭК 17021-1-2017.

9.3.1.2.2

Первый этап аудита должен проводиться с целью:

a) анализа документации системы менеджмента заказчика;

b) оценки специфических условий размещения производственных площадок, а также с целью обсуждения с персоналом заказчика готовности ко второму этапу аудита;

c) анализа состояния заказчика и понимания им требований стандарта, в частности, тех, которые относятся к идентификации ключевых работ, или значимых аспектов, процессов, целей, а также к функционированию системы менеджмента;

d) сбора необходимой информации относительно области применения системы менеджмента, включая:

- местоположение (производственные площадки) заказчика,

- используемые процессы и оборудование,

- установленные уровни управления (особенно для случаев с несколькими производственными площадками),

- применяемые законодательные и нормативные требования;

e) анализа распределения ресурсов для проведения второго этапа аудита и согласования с заказчиком деталей второго этапа аудита;

f) обеспечения правильной расстановки акцентов при планировании второго этапа аудита на основе четкого понимания системы менеджмента заказчика и функционирования производственных площадок в связи со стандартом на системы менеджмента или другим нормативным документом;

g) оценки того, были ли спланированы и проведены внутренние аудиты и анализы со стороны руководства, и что уровень внедрения системы менеджмента является достаточным для признания готовности заказчика к проведению второго этапа аудита.

________________

Для достижения указанных выше целей рекомендуется, чтобы, по крайней мере, часть аудита на первом этапе проводилась на территории заказчика.

9.3.1.2.3

Документированные заключения в отношении первого этапа и готовность к проведению второго этапа аудита должны быть сообщены заказчику, включая указание на проблемные области, которые могли быть классифицированы как несоответствия в ходе второго этапа аудита.

________________

Необязательно, чтобы заключение по результатам первого этапа соответствовало всем требованиям к отчету (см. 9.4.8) ГОСТ Р ИСО/МЭК 17021-1-2017.

9.3.1.2.4

При установлении промежутка времени между проведением первого и второго этапов аудита должны быть рассмотрены потребности заказчика, связанные с устранением проблемных областей, выявленных в ходе первого этапа аудита. Органу по сертификации также может потребоваться скорректировать мероприятия по подготовке второго этапа аудита. В случае внесения серьезных изменений, способных повлиять на функционирование системы менеджмента, органу по сертификации следует рассмотреть вопрос о необходимости повторного проведения части или всех мероприятий первого этапа аудита. Заказчик должен быть проинформирован о том, что результаты, полученные в ходе первого этапа аудита, могут привести к отсрочке или отмене проведения второго этапа аудита.

9.3.1.3

Проведение второго этапа аудита

Целью второго этапа аудита является оценка внедрения системы менеджмента клиента, в том числе ее результативности. Второй этап аудита должен проводиться на территории заказчика. Он должен включать следующее:

a) информацию и свидетельства соответствия всем требованиям применяемого стандарта на системы менеджмента или других нормативных документов;

b) мониторинг, измерение, регистрацию и анализ функционирования по ключевым показателям целей и задач (согласующихся с ожиданиями в применяемом стандарте на системы менеджмента или другом нормативном документе);

c) оценку соответствия системы менеджмента и деятельности заказчика законодательным, нормативным и контрактным требованиям;

d) оценку управления заказчиком своими процессами;

e) проведение внутренних аудитов и анализа со стороны руководства;

f) ответственность руководства за политику организации-заказчика.

9.3.1.4

Заключения первоначального сертификационного аудита

Аудиторская группа должна проанализировать всю информацию и свидетельства аудита, полученные на первом и втором этапах аудита, чтобы на основе результатов аудита прийти к соглашению относительно заключений аудита.