ГОСТ Р 56245-2014
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Рекомендации по разработке стандартов на системы менеджмента
Guidelines for the management system standards development
ОКС 03.120.10*
______________
* По данным официального сайта Росстандарт
ОКС 03.120.01. - .
Дата введения 2015-09-01
Предисловие
1 РАЗРАБОТАН Открытым акционерным обществом "Всероссийский научно-исследовательский институт сертификации" (ОАО "ВНИИС")
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 076 "Системы менеджмента"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 19 ноября 2014 г. N 1685-ст
4 ВВЕДЕН ВПЕРВЫЕ
5 ПЕРЕИЗДАНИЕ. Февраль 2020 г.
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Введение
В последние годы в области стандартизации систем менеджмента на международном и национальном уровнях прослеживаются две тенденции.
Первая заключается в разработке новых стандартов на системы менеджмента по различным аспектам деятельности организаций. К уже популярным стандартам на системы менеджмента качества (ИСО 9000*), охраны окружающей среды (ИСО 14000), охраны труда (OHSAS 18000) добавляются стандарты на системы менеджмента защиты информации (ИСО 27000), системы энергоменеджмента (ИСО 50000), системы менеджмента безопасности цепи поставок (ИСО 28000) и др.
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - .
Вторая тенденция - развитие стандартов на системы менеджмента организаций по отраслевому направлению. Так международные и национальные стандарты на системы менеджмента качества с дополнительными (по отношению к ИСО 9001) требованиями созданы уже более чем для 20 отраслей.
С одной стороны появление большого числа стандартов на системы менеджмента способствует внедрению организациями лучшего мирового опыта в этой области. Однако одновременное внедрение разных по структуре и формулировкам стандартов создает трудности для предприятий при интеграции их требований в общую систему менеджмента организаций.
С целью решения этой проблемы международной организацией по стандартизации (ИСО) разработаны и опубликованы для использования во всех разрабатываемых ИСО стандартах на системы менеджмента: структура верхнего уровня, основной общий текст, общие термины и основные определения (приложение SL9 Директив ИСО/МЭК, часть 1 "Сводные дополнения ИСО. Специальные процедуры ИСО").
В России работы по стандартизации в области систем менеджмента проводятся многими техническими комитетами по стандартизации. Настоящий стандарт разработан на основе приложения SL9 "Структура верхнего уровня, основной общий текст, общие термины и основные определения для использования в стандартах на системы менеджмента" Директив ИСО/МЭК, часть 1, с целью улучшения согласованности разрабатываемых в России стандартов (как идентичных международным, так и оригинальных) на различные системы менеджмента. Он устанавливает унифицированную структуру верхнего уровня и идентичный основной текст стандартов на системы менеджмента. Текст настоящего стандарта, адресованный только разработчикам стандартов и не предназначенный для включения в текст разрабатываемых стандартов, выделен курсивом.
1 Область применения
Настоящий стандарт содержит рекомендации по структуре верхнего уровня и общему тексту для разработчиков стандартов на системы менеджмента по различным аспектам (дисциплинам) деятельности организаций: системы менеджмента качества, охраны окружающей среды, безопасности труда и охраны здоровья, защиты информации и др.
Наименования и текст разделов настоящего стандарта (за исключением текста, выделенного курсивом) предназначены для непосредственного включения в текст разрабатываемых стандартов на системы менеджмента. В разрабатываемых стандартах в состав каждого раздела могут быть добавлены необходимый текст и подразделы следующего уровня.
Приведенное в тексте настоящего стандарта обозначение XXX означает, что в стандарте на конкретную систему менеджмента вместо этого обозначения следует указать аспект (дисциплину), для которого разрабатывается стандарт, например качество, охрана окружающей среды и др.
За исключением текста, набранного курсивом, везде, где в тексте разделов используется выражение "настоящий стандарт", подразумевается разрабатываемый стандарт на систему менеджмента XXX.
В разрабатываемом стандарте на систему менеджмента XXX данный раздел определяет характерную для этого стандарта область применения.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие документы:
Руководство ИСО 73:2009 Менеджмент рисков. Словарь
ГОСТ Р ИСО 19011 Руководящие указания по аудиту систем менеджмента
В разрабатываемом стандарте на систему менеджмента XXX дополнительно к указанным могут быть приведены дополнительные ссылки, необходимые для разрабатываемого стандарта.
Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.
3 Термины и определения
Приведенные ниже термины и определения включаются в текст разрабатываемого стандарта на систему менеджмента XXX. При необходимости в этот раздел разрабатываемого стандарта могут быть добавлены дополнительные термины и определения.
3.1 организация (organization): Лицо или группа людей, связанных определенными отношениями, имеющих ответственность, полномочия и выполняющих свои функции для достижения их целей (3.8).
Примечание - Понятие организации включает в себя, но не ограничивается следующими примерами: индивидуальный предприниматель, компания, корпорация, фирма, предприятие, орган власти, товарищество, благотворительное учреждение, а также их подразделения или комбинация из них, инкорпорированная или нет, государственная или частная.
3.2 заинтересованная сторона (interested party) (предпочтительный термин); пайщик (stakeholder) (допустимый термин): Лицо или организация (3.1), которые могут воздействовать на осуществление деятельности или принятие решения, быть подверженными их воздействию или воспринимать себя в качестве таковых.
3.3 требование (requirement): Потребность или ожидание, которое установлено, обычно предполагается или является обязательным.
Примечания
1 Слова "обычно предполагается" означают, что это общепринятая практика организации и заинтересованных сторон при рассмотрении потребности или ожидания.
2 Установленным является такое требование, которое определено, например, в документированной информации.
3.4 система менеджмента (management system): Совокупность взаимосвязанных или взаимодействующих элементов организации (3.1) для разработки политик (3.7), целей (3.8) и процессов (3.12) и достижения этих целей.
Примечания
1 Система менеджмента может относиться к одной или нескольким дисциплинам.
2 Элементы системы менеджмента определяют структуру организации, роли и ответственность, планирование, функционирование и т.д.
3 Область применения системы менеджмента может охватывать всю организацию, специфические или определенные функции организации, специфические или определенные части организации, одну или более функций группы организаций.
3.5 высшее руководство (top management): Лицо или группа работников, осуществляющих руководство и управление организацией (3.1) на высшем уровне.
Примечания
1 Высшее руководство имеет право делегировать полномочия и предоставлять ресурсы в рамках организации.
2 Если область применения системы менеджмента (3.4) охватывает только часть организации, под высшим руководством подразумевают тех, кто осуществляет руководство и управляет этой частью организации.
3.6 результативность (effectiveness): Степень реализации запланированной деятельности и достижения запланированных результатов.
3.7 политика (policy): Намерения и направление организации (3.1), официально сформулированные ее высшим руководством (3.5).
3.8 цель (objective): Результат, который должен быть достигнут.
Примечания
1 Цель может быть стратегической, тактической или оперативной.
2 Цели могут относиться к разным дисциплинам (такие, как финансовые цели, цели в области экологии, здоровья и безопасности), а также применяться на разных уровнях [например, стратегическом, организации в целом, проекта, продукции и процесса (3.12)].
3 Цель может быть выражена разными способами, например, в виде ожидаемого результата, намерения, критерия работы, цели в области XXX или другими словами со схожими значениями (например, целевая установка, заданная величина, задача).
4 В контексте системы менеджмента XXX цели в области XXX, устанавливаемые организацией, согласуются с политикой в области XXX для достижения соответствующих результатов.
3.9 риск (risk): Влияние неопределенности.
Примечания
1 Влияние является отклонением от ожидаемого - позитивным или отрицательным.
2 Неопределенность является состоянием, даже частичным, связанным с недостатком информации, понимания или знания о событии, его последствиях и вероятности.
3 Риск часто определяют по отношению к потенциальным событиям (Руководство ИСО 73:2009, 3.5.1.3) и их последствиям (Руководство ИСО 73:2009, 3.6.1.3), или их комбинации.
4 Риск часто выражается в терминах комбинации последствий события (включая изменения в обстоятельствах) и связанной с ним вероятности (Руководство ИСО 73:2009, 3.6.1.1) возникновения.
3.10 компетентность (competence): Способность применять знания и навыки для достижения ожидаемых результатов.
3.11 документированная информация (documented information): Требуемая информация, которая должна управляться и поддерживаться организацией (3.1), и носитель, который ее содержит.
Примечания
1 Документированная информация может быть любого формата и на любом носителе, а также из любого источника.
2 Документированная информация может относиться:
- к системе менеджмента (3.4), включая соответствующие процессы (3.12);
- к информации, созданной для функционирования организации (документация);
- к свидетельствам достигнутых результатов (записи).
3.12 процесс (process): Совокупность взаимосвязанных или взаимодействующих видов деятельности, преобразующая входы в выходы.
3.13 результаты деятельности (performance): Измеримый итог.
Примечания
1 Результаты деятельности могут относиться к количественным или качественным данным.
2 Результаты деятельности могут относиться к менеджменту, процессу (3.12), продукции (включая услуги), системам или организациям (3.1).
3.14 передача процесса (outsource): Заключение соглашения, в соответствии с которым внешняя организация (3.1) выполняет часть функции или процесса (3.12) организации.
Примечание - Внешняя организация не входит в область применения системы менеджмента (3.4), хотя переданная функция или процесс подпадают под область применения системы менеджмента.
3.15 мониторинг (monitoring): Определение состояния системы, процесса (3.12) или действия.
Примечание - Для определения состояния может возникнуть необходимость проверить, проконтролировать или отследить.
3.16 измерение (measurement): Процесс (3.12) определения величины.
3.17 аудит (audit): Систематический, независимый и документированный процесс (3.12) получения свидетельств аудита и их объективного оценивания для установления степени выполнения критериев аудита.
Примечания
1 Аудит может быть внутренним (аудит первой стороной) или внешним (аудит второй или третьей стороной), а также аудит может быть комплексным (объединяющим две и более дисциплины).
2 "Свидетельство аудита" и "критерий аудита" определены в ГОСТ Р ИСО 19011.
3.18 соответствие (conformity): Выполнение требования (3.3).
3.19 несоответствие (nonconformity): Невыполнение требования (3.3).
3.20 коррекция (correction): Действие, предпринятое для устранения обнаруженного несоответствия (3.19).
3.21 корректирующее действие (corrective action): Действие, предпринятое для устранения причины обнаруженного несоответствия (3.19) и предотвращения его повторного возникновения.
3.22 постоянное улучшение (continual improvement): Повторяющаяся деятельность по улучшению результатов деятельности (3.13).
4 Среда организации
4.1 Понимание организацией своей среды
Организация должна определить внешние и внутренние факторы, относящиеся к ее целям и влияющие на ее способность достигать целевого результата(ов) ее системы менеджмента XXX.
4.2 Понимание потребностей и ожиданий заинтересованных сторон
Организация должна определять:
- заинтересованные стороны, имеющие отношение к системе менеджмента XXX;
- требования этих заинтересованных сторон.
4.3 Определение области применения системы менеджмента XXX
Организация должна определить границы системы менеджмента XXX и охватываемую ею деятельность, чтобы установить область ее применения.
При определении области применения организация должна рассматривать:
- внешние и внутренние факторы, указанные в 4.1;
- требования, указанные в 4.2.
Область применения должна быть доступна в виде документированной информации.
4.4 Система менеджмента XXX
Организация должна разработать, внедрить, поддерживать в рабочем состоянии и постоянно улучшать систему менеджмента XXX, включая необходимые процессы и их взаимодействие, в соответствии с требованиями настоящего стандарта.
5 Лидерство руководства
5.1 Лидерство и приверженность
Высшее руководство должно демонстрировать свое лидерство и приверженность в отношении системы менеджмента XXX посредством:
- обеспечения разработки политики XXX и целей XXX, согласуемых со стратегией организации;
- обеспечения интеграции требований системы менеджмента XXX в бизнес-процессы организации;
- обеспечения ресурсами, необходимыми для системы менеджмента XXX;
- распространения в организации понимания важности результативного менеджмента XXX и соответствия требованиям системы менеджмента XXX;
- обеспечения достижения системой менеджмента XXX целевых результатов;
- руководства и оказания поддержки работникам в их участии в обеспечении результативности системы менеджмента XXX;
- содействия постоянному улучшению;
- поддержки других соответствующих руководителей в демонстрации ими лидерства в сфере их ответственности.
Примечание - Слово "бизнес" следует понимать в широком смысле, как отображение видов деятельности, которые являются ключевыми для целей существования организации.
5.2 Политика
Высшее руководство должно разработать политику в области XXX, которая:
- соответствует целям организации;
- создает основу для установления целей в области XXX;
- включает в себя обязательство соответствовать применимым требованиям;
- включает в себя обязательство постоянно улучшать системы менеджмента XXX.
Политика в области XXX должна быть:
- доступной в документированном виде;
- доведенной до сведения персонала организации;
- доступной для заинтересованных сторон, насколько это применимо.
5.3 Роли, функции, ответственность и полномочия в организации
Высшее руководство должно обеспечить определение и доведение до персонала организации ответственности и полномочий для выполнения соответствующих функций.
Высшее руководство должно распределить ответственность и полномочия для:
а) обеспечения соответствия системы менеджмента XXX требованиям настоящего стандарта;
б) предоставления отчетов высшему руководству о результатах функционирования системы менеджмента XXX.
6 Планирование
6.1 Действия в отношении рисков и возможностей
При планировании в системе менеджмента XXX организация должна рассмотреть вопросы, сформулированные в 4.1, и требования, указанные в 4.2, и определить риски и возможности, подлежащие рассмотрению для:
- обеспечения уверенности в том, что система менеджмента XXX может достичь своих целевых результатов;
- предотвращения или уменьшения нежелательных результатов;
- достижения постоянного улучшения.
Организация должна планировать:
а) действия в отношении этих рисков и возможностей;
б) каким образом:
- интегрировать и внедрять эти действия в процессы системы менеджмента XXX;
- оценивать результативность этих действий.
6.2 Цели в области XXX и планирование их достижения
Организация должна установить цели в области XXX для соответствующих функций и уровней организации.
Цели в области XXX должны:
- быть согласованными с политикой в области XXX;
- быть измеримыми (если это осуществимо на практике);
- учитывать применимые требования;
- подлежать мониторингу;
- быть доведенными до персонала;
- актуализироваться по мере необходимости.
Организация должна сохранять документированную информацию о целях в области XXX.
При планировании действий по достижению целей в области XXX организации необходимо определить:
- что должно быть сделано;
- какие потребуются ресурсы;
- кто будет нести ответственность;
- когда эти действия будут завершены;
- каким образом будут оцениваться результаты.
7 Средства обеспечения
7.1 Ресурсы
Организация должна определить и обеспечивать ресурсы, необходимые для разработки, внедрения, поддержания в рабочем состоянии и постоянного улучшения системы менеджмента XXX.
7.2 Компетентность
Организация должна:
- определять необходимую компетентность лиц(а), выполняющих(его) работу под ее управлением, которая оказывает влияние на результаты системы менеджмента XXX;
- обеспечивать компетентность этих лиц на основе соответствующего образования, подготовки или опыта;
- где это возможно, предпринимать действия, направленные на получение требуемой компетентности, и оценивать результативность предпринятых действий;
- сохранять соответствующую документированную информацию, подтверждающую компетентность.
Примечание - Предпринимаемые действия могут включать, например, проведение обучения, наставничество или перераспределение обязанностей среди имеющегося персонала; или же наем лиц, обладающих требуемым уровнем компетентности.
7.3 Осведомленность
Лица, выполняющие работу под управлением организации, должны быть осведомлены:
- о политике в области XXX;
- о своем вкладе в результативность системы менеджмента XXX, включая преимущества от улучшения результатов в области XXX;
- о последствиях несоответствия требованиям системы менеджмента XXX.
7.4 Обмен информацией
Организация должна определить потребность во внутреннем и внешнем обмене информацией в связи с системой менеджмента XXX, включая:
- какая информация будет передаваться;
- когда будет передаваться информация;
- кому будет передаваться информация.
7.5 Документированная информация
7.5.1 Общие положения
Система менеджмента XXX организации должна включать в себя:
- документированную информацию, требуемую настоящим стандартом;
- документированную информацию, определенную организацией как необходимую для обеспечения результативности системы менеджмента XXX.
Примечание - Степень потребности и объем документированной информации в системе менеджмента XXX одной организации может отличаться от другой в зависимости от:
- размера организации и вида ее деятельности, процессов, продукции и услуг;
- сложности процессов и их взаимодействия;
- компетентности персонала.
7.5.2 Создание и актуализация
При создании и актуализации документированной информации организация должна соответствующим образом обеспечить:
- идентификацию и описание (например, название, дата, автор, ссылочный номер);
- формат (например, язык, версия программного обеспечения, графические средства) и носитель (например, бумажный или электронный);
- анализ и официальное одобрение с точки зрения достаточности и пригодности.
7.5.3 Управление документированной информацией
Документированная информация, требуемая системой менеджмента XXX и настоящим стандартом, должна находиться под управлением в целях обеспечения:
- доступности и пригодности, где и когда она необходима;
- достаточной защиты (например, от несоблюдения конфиденциальности, от ненадлежащего использования или потери целостности).
Для управления документированной информацией организация должна предусматривать следующие действия в той степени, насколько это применимо:
- распределение, обеспечение доступности, восстановление и использование;
- хранение и обеспечение сохранности, включая четкость;
- управление изменениями (например, управление версиями);
- сохранение документов в течение установленных сроков, а также их удаление.
Документированная информация внешнего происхождения, определенная организацией как необходимая для планирования и функционирования системы менеджмента XXX, должна быть соответствующим образом идентифицирована и находиться под управлением.
Примечание - Доступ подразумевает разрешение просмотра документированной информации или разрешение просмотра с полномочиями по внесению изменений в документированную информацию.
8 Деятельность
8.1 Планирование и управление
Организация должна планировать, внедрять процессы, необходимые для выполнения требований и для выполнения действий, определенных в 6.1, и осуществлять управление этими процессами посредством:
- установления критериев для процессов;
- управления процессами в соответствии с установленными критериями;
- сохранения документированной информации в объеме, необходимом для обеспечения уверенности в том, что процессы выполнялись так, как это было запланировано.
Организация должна управлять запланированными изменениями и анализировать последствия непредусмотренных изменений, предпринимая, при необходимости, меры действия по смягчению любых негативных воздействий.
Организация должна обеспечить, чтобы процессы, переданные внешним организациям, находились под управлением.
9 Оценка результатов деятельности
9.1 Мониторинг, измерение, анализ и оценка
Организация должна определить:
- что должно подлежать мониторингу и измерениям;
- методы мониторинга, измерения, анализа и оценки в той степени, насколько они применимы, в целях обеспечения достоверности результатов;
- когда должны проводиться мониторинг и измерения;
- когда результаты мониторинга и измерений должны быть проанализированы и оценены.
Организация должна сохранять соответствующую документированную информацию как свидетельства полученных результатов.
Организация должна оценивать результаты, связанные с деятельностью в области XXX, и результативность системы менеджмента XXX.
9.2 Внутренние аудиты
Организация должна проводить внутренние аудиты через запланированные интервалы времени для получения информации, что система менеджмента XXX:
а) соответствует:
- собственным требованиям организации к ее системе менеджмента XXX,
- требованиям настоящего стандарта;
б) результативно внедрена и поддерживается в рабочем состоянии.
Организация должна:
а) планировать, разрабатывать, внедрять и поддерживать в рабочем состоянии программу аудитов, включая периодичность и методы проведения аудитов, а также ответственность, требования, касающиеся планирования, и предоставление отчетности. Программа аудитов должна разрабатываться с учетом важности и значения проверяемых процессов и результатов, полученных при проведении предыдущих аудитов;
б) определять критерии аудитов и область проверки для каждого аудита;
в) выбирать аудиторов и проводить аудиты так, чтобы обеспечивалась объективность и беспристрастность процесса аудита;
г) обеспечивать передачу информации о результатах аудитов соответствующим руководителям;
д) сохранять документированную информацию, как свидетельства, подтверждающие внедрение программы аудитов и полученные результаты аудитов.
9.3 Анализ со стороны руководства
Высшее руководство должно анализировать через запланированные интервалы времени систему менеджмента XXX в целях обеспечения ее постоянной пригодности, достаточности и результативности.
Этот анализ должен включать в себя рассмотрение:
а) статуса действий по результатам предыдущих анализов со стороны руководства;
б) изменений во внешних и внутренних факторах, имеющих важное значение для системы менеджмента XXX;
в) информации о результатах деятельности в области XXX, включая тенденции, относящиеся к:
- несоответствиям и корректирующим действиям;
- результатам мониторинга и измерений, и
- результатам аудитов;
г) возможностей для постоянного улучшения.
Выходные данные анализа со стороны руководства должны включать в себя решения, относящиеся к возможностям для постоянного улучшения и к любым необходимым изменениям системы менеджмента XXX.
Организация должна сохранять документированную информацию как свидетельства, подтверждающие результаты анализов со стороны руководства.
10 Улучшение
10.1 Несоответствия и корректирующие действия
При появлении несоответствия, организация должна:
а) реагировать на данное несоответствие и если это применимо, предпринимать действия:
- по управлению и устранению выявленного несоответствия,
- в отношении последствий данного несоответствия;
б) оценивать необходимость действий по устранению причин данного несоответствия, с тем чтобы избежать его повторного появления или появления в другом месте посредством:
- анализа несоответствия,
- определения причин, вызвавших появление несоответствия,
- определения наличия другого аналогичного несоответствия или возможности его возникновения;
в) выполнить любое необходимое действие;
г) проанализировать результативность любого предпринятого корректирующего действия;
д) внести при необходимости изменения в свою систему менеджмента XXX.
Корректирующие действия должны соответствовать последствиям выявленных несоответствий.
Организация должна сохранять документированную информацию как свидетельство:
- характера выявленных несоответствий и последующих предпринятых действий;
- результатов любого корректирующего действия.
10.2 Постоянное улучшение
Организация должна постоянно улучшать пригодность, адекватность и результативность системы менеджмента XXX.
УДК 658.562.014:006.354 | ОКС 03.120.10 |
Ключевые слова: стандарт, система менеджмента, требования к системе менеджмента, лидерство руководства, менеджмент ресурсов, процессы, мониторинг, измерение, улучшение |
Электронный текст документа
и сверен по:
, 2020