ГОСТ Р 56482-2015
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Воздушный транспорт. Система управления безопасностью вертолетной деятельности. Менеджмент риска
РУКОВОДСТВО ПО МЕТОДАМ ОПРЕДЕЛЕНИЯ СООТВЕТСТВИЯ СИСТЕМЕ УПРАВЛЕНИЯ БЕЗОПАСНОСТЬЮ ВЕРТОЛЕТНОЙ ДЕЯТЕЛЬНОСТИ ПОСТАВЩИКОВ ОБСЛУЖИВАНИЯ ПРИ ОБЕСПЕЧЕНИИ ВЕРТОЛЕТНОЙ ДЕЯТЕЛЬНОСТИ
Основные положения
Air transport. Safety management system of helicopter activity. Risk management. The guide on methods for determination of conformity to SMS HA of service providers in the provision of helicopter activity. Main provisions
ОКС 03.220.50
Дата введения 2016-03-01
Предисловие
1 РАЗРАБОТАН Открытым акционерным обществом "Авиатехприемка" (ОАО "Авиатехприемка")
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 034 "Воздушный транспорт"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 19 июня 2015 г. N 757-ст
4 ВВЕДЕН ВПЕРВЫЕ
5 ИЗДАНИЕ (февраль 2020 г.) с Поправкой (ИУС 7-2016)
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Введение
Проверка систем управления (менеджмента), например системы менеджмента качества, системы управления (менеджмента) безопасностью вертолетной деятельности (СУБ ВД) или экологического менеджмента поставщиков обслуживания, на соответствие требованиям стандартов, национальных или отраслевых стандартов является одним из средств обеспечения гарантий того, что данный поставщик обслуживания внедрил систему управления безопасностью (СУБ) соответствующих видов своей деятельности в соответствии со своей политикой.
Проверка и оценка СУБ ВД поставщика обслуживания на соответствие приложению 19* Конвенции о международной гражданской авиации, Руководству по управлению безопасностью полетов, международным стандартам должна проводиться независимой или уполномоченной организацией, которая выполняет свою деятельность по определенным методологическим и технологическим требованиям. Настоящий стандарт содержит требования, по которым осуществляется оценка соответствия по единому методу и единым правилам у всех различных поставщиков обслуживания.
________________
* Документ в информационных продуктах не содержится. За информацией о документе Вы можете обратиться в Службу поддержки пользователей. - .
Настоящий стандарт содержит требования для организаций, проводящих проверки СУБ ВД на соответствие. Правила и методы проверки должны позволять одинаково эффективно применяться в различных системах управления и по различным стандартам, по которым разрабатываются и внедряются системы управления. Соблюдение этих требований призвано гарантировать, что организации, проводящие оценки соответствия систем менеджмента, будут действовать компетентно, последовательно и беспристрастно, таким образом облегчая признание вышеупомянутых организаций и принятия выданных ими свидетельств и сертификатов поставщиков обслуживания на национальном и международном уровнях.
Проверка на соответствие (иначе называемая аудитом) системы менеджмента, в частности СУБ, является независимым подтверждением того, что система управления данной организации:
- соответствует указанным требованиям;
- способна к последовательному достижению заявленной политики и целей;
- результативно внедрена.
Таким образом, оценка соответствия, в результате которой выдается документ (свидетельство или сертификат), подтверждающий соответствие системы управления поставщика обслуживания применяемым стандартам, имеет ценность для самой организации, ее клиентов и заинтересованных сторон.
В разделе 4 описаны принципы, лежащие в основе заслуживающей доверия проверки соответствия, которые помогают понять процессы сертификации, а также являются основой применения требований по методам и технологии проверки соответствия из разделов 5-10. Данные принципы являются основой для всех требований настоящего стандарта. В разделе 10 описаны два варианта того, как организация по проверке на соответствие может подтвердить и продемонстрировать постоянное выполнение требований настоящего стандарта через внедрение у себя системы менеджмента.
Настоящий стандарт предназначен для использования организациями, осуществляющими аудит и сертификацию систем менеджмента, вне зависимости от области управления и содержит обобщенные требования для организации по сертификации при проведении аудита и сертификации в области систем менеджмента качества, экологического менеджмента, систем менеджмента безопасности, систем менеджмента промышленной безопасности и других видов систем менеджмента. В настоящем стандарте такие организации называются организациями по сертификации.
Как упоминалось ранее, формой признания соответствия системы менеджмента организации определенному стандарту по системе управления либо другим нормативным требованиям обычно является сертификат или свидетельство.
1 Область применения
Настоящий стандарт содержит принципы и требования в отношении компетентности, последовательности и беспристрастности организаций по оценке соответствия при проведении аудита и сертификации всех видов систем менеджмента (например, систем менеджмента качества, систем менеджмента безопасности или систем экологического менеджмента). Организациям по сертификации, работающим в соответствии с настоящим стандартом, не обязательно предлагать сертификацию всех систем менеджмента.
Цель настоящего стандарта - обеспечить единый подход организаций к оценке соответствия для различных поставщиков обслуживания СУБ ВД, в том числе для интеграции в единую СУБ Авиационного комплекса Российской Федерации.
Требования настоящего стандарта являются общими и предназначены для применения всеми организациями независимо от их юридической формы и масштабов деятельности.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ ISO 9000 Системы менеджмента качества. Основные положения и словарь
ГОСТ ISO 9001 Системы менеджмента качества. Требования
ГОСТ Р 55368-2012/ISO/IEC Guide 28:2004 Оценка соответствия. Методические указания по системе сертификации продукции третьей стороной
ГОСТ Р ИСО 10002 Менеджмент организации. Удовлетворенность потребителя. Руководство по управлению претензиями в организациях
ГОСТ Р ИСО 14001 Системы экологического менеджмента. Требования и руководство по применению
ГОСТ Р ИСО 19011 Руководящие указания по аудиту систем менеджмента
ГОСТ Р ИСО/МЭК 17030 Общие требования к знакам соответствия при оценке, проводимой третьей стороной
Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.
3 Термины и определения
3.1 В настоящем стандарте применены термины и определения по ГОСТ ISO 9000, ГОСТ Р ИСО 14001, а также следующие термины с соответствующими определениями:
3.1.1 оценка соответствия (conformity assessment): Доказательство того, что заданные требования (3.1) к продукции (3.3), процессу, системе, лицу или органу выполнены.
3.1.2 сертифицированный клиент: Организация, система менеджмента которой прошла сертификацию.
3.1.3 беспристрастность: Фактически присутствующая и воспринимаемая объективность.
Примечания
1 Объективность означает отсутствие конфликта интересов или их решение с целью не допустить неблагоприятного воздействия на последующие действия организации по сертификации.
2 К прочим терминам, помогающим передать суть беспристрастности, относятся следующие: объективность, независимость, отсутствие конфликта интересов, отсутствие предубежденности, отсутствие предвзятости, нейтралитет, справедливость, непредубежденность, равное отношение, бесстрастность, уравновешенность.
3.1.4 консультирование по системам менеджмента: Участие в проектировании, разработке, внедрении и применении, а также в поддержании системы управления в рабочем состоянии.
Примеры
1 Руководство работами по подготовке, созданию Руководства СМБ ВД и документированных процедур, регламентов и процессного бюджетирования.
2 Предоставление конкретных вариантов решений по структуре СУБ ВД, процессам, мониторингу и предложений по внедрению системы управления.
Примечание - Организация обучения или участие в нем в качестве преподавателя не считаются консультированием при условии, что там, где курс касается систем менеджмента или аудита, все ограничивается предоставлением свободно доступной общей информации; то есть преподаватель не должен давать компании конкретные, подходящие именно для нее решения.
3.1.5 компетентность: Продемонстрированная способность применять знания и навыки.
3.1.6 поставщики обслуживания: Утвержденные образовательные учреждения по подготовке авиационных кадров, подверженные факторам риска для безопасности авиационной деятельности в процессе предоставления ими соответствующих услуг, эксплуатанты воздушных судов, утвержденные организации по техническому обслуживанию, организации, ответственные за конструкцию типа и/или изготовление воздушных судов, поставщики организации воздушного движения и сертифицированные аэродромы.
3.1.7 система: Совокупность различных взаимосвязанных и взаимодействующих элементов, в которых реализуются процессы деятельности, направленные на достижение заданных целей.
3.1.8 регулирование безопасности: Применение норм и правил воздействия на процесс функционирования авиационной транспортной системы в целях обеспечения приемлемого уровня безопасности АД.
3.1.9 безопасность: Состояние системы, при котором риск снижен до приемлемого уровня и поддерживается на этом либо более низком уровне посредством непрерывного процесса выявления угроз, контроля факторов риска и управления состоянием.
3.1.10 риск: Мера количества опасности, измеряемая в форме экспертного значения сочетания двух величин - нормированной частоты или меры возможности случайного появления опасных событий и возможного ущерба от них.
3.1.11 приемлемость риска: Степень готовности общества к принятию данного риска.
3.1.12 организация: Корпорация, холдинговая компания (интегрированная структура), организация (предприятие) поставщиков обслуживания Авиационного комплекса Российской Федерации.
4 Принципы оценки соответствия
4.1 Общие положения
4.1.1 Приведенные здесь принципы являются основанием для последующего конкретного применения настоящего стандарта и его методологических и технологических требований. В настоящем стандарте не содержится конкретных требований для всех возможных ситуаций. Изложенными принципами следует руководствоваться в решениях, которые, возможно, придется принимать в непредвиденных ситуациях.
4.1.2 Итоговая цель проверки соответствия, аудита или сертификации состоит в том, чтобы дать всем сторонам уверенность в соответствии системы менеджмента указанным требованиям. Ценность соответствия состоит в том уровне общественной уверенности и доверия, который достигается посредством беспристрастной и компетентной оценки. В число заинтересованных в проверке соответствия сторон входят:
- клиенты организации по сертификации;
- заказчики организаций с сертифицированной системой менеджмента;
- правительственные учреждения;
- неправительственные организации;
- потребители и прочие члены общества.
4.1.3 Принципы, обеспечивающие уверенность, включают следующие:
- беспристрастность;
- компетентность;
- ответственность;
- открытость;
- конфиденциальность;
- своевременное реагирование на жалобы.
4.2 Беспристрастность
4.2.1 Для того чтобы проводить проверку и оценку соответствия с выдачей свидетельств, которым доверяют, необходимо, чтобы организация по аудиту была беспристрастной и воспринималась как беспристрастная.
4.2.2 Оплачивая оценку соответствия, клиенты являются источником дохода для организации по аудиту, и это представляет потенциальную угрозу ее беспристрастности.
4.2.3 В целях обретения и поддержания уверенности важно, чтобы в своих решениях организация по аудиту основывалась на полученных объективных свидетельствах соответствия (или несоответствия) и чтобы на ее решения не влияли другие интересы или другие стороны.
4.2.4 К угрозам беспристрастности относятся:
- угрозы, обусловленные личными интересами и возникающие, когда человек или организация действуют в собственных интересах. Опасность, угрожающая беспристрастности при аудите и сертификации, заключается в личной финансовой заинтересованности;
- угрозы, связанные с самопроверкой и возникающие, когда человек или организация выполняют самопроверку проделанной работы. Проведение аудита систем менеджмента клиента, которого организация по сертификации консультировала по системам менеджмента, является угрозой, обусловленной самопроверкой;
- угрозы, обусловленные дружескими отношениями (или доверием) и возникающие, когда человек или организация хорошо знакомы с другим человеком или слишком ему доверяют вместо того, чтобы искать свидетельства аудита;
- угрозы, обусловленные боязнью и возникающие, когда у человека или организации возникает впечатление, что их открыто либо тайно принуждают к чему-либо, например под угрозой того, что найдут замену или сообщат руководству.
4.3 Компетентность
Для проведения вызывающих доверие аудита и сертификации необходим персонал, чья компетентность поддерживается системой менеджмента организации. Компетентность - это продемонстрированная способность применять знания и навыки.
4.4 Ответственность
4.4.1 Ответственность за соответствие сертификационным требованиям лежит на организации клиента, а не на организации сертификации.
4.4.2 Организация по сертификации отвечает за проведение оценки соответствия достаточного количества объективных свидетельств, на основании которой принимается решение по аудиту или по сертификации. Исходя из заключений аудита организация по сертификации принимает положительное решение о выдаче свидетельства при условии наличия достаточных свидетельств соответствия или отрицательное - при отсутствии достаточных свидетельств соответствия.
Примечание - Любой аудит проводят на основе выборки в пределах системы управления организации, а потому не дает гарантий 100%-ного соответствия требованиям.
4.5 Открытость
4.5.1 Организация по сертификации должна обеспечить надлежащий и своевременный открытый доступ либо раскрытие информации касательно своего процесса аудита и процесса сертификации, а также о статусе сертификации (то есть выдаче, продлении, сохранении, возобновлении, приостановке, сужении области применения или отзыве сертификата) любого поставщика обслуживания с целью завоевания доверия к честности и достоверности сертификации. Открытость является принципом доступа к соответствующей информации или ее раскрытию.
4.5.2 Для завоевания и поддержания доверия к сертификации организация по сертификации должна обеспечить соответствующий доступ определенным заинтересованным сторонам к неконфиденциальной информации или ее раскрытие в части, касающейся аудиторских заключений (например, аудиты, проведенные в ответ на жалобы).
4.6 Конфиденциальность
В целях получения привилегированного доступа к информации, необходимой организации по сертификации для адекватной оценки соответствия требованиям стандартов по СУБ ВД, важно, чтобы организации по сертификации сохраняли конфиденциальность любой служебной информации в отношении клиентов.
4.7 Реагирование на жалобы
Стороны, полагающиеся на сертификацию, ожидают, что по жалобам будет произведено расследование, а в случае признания их обоснованными должны быть уверены в том, что будет проведена соответствующая работа и что будут предприняты разумные усилия для их решения. Результативное реагирование на жалобы является важным инструментом защиты организации по сертификации, ее клиентов и других пользователей сертификации от ошибок, упущений или необоснованных действий. Надлежащая работа с жалобами поддерживает доверие к сертификационной деятельности.
Примечание - Для демонстрации честности и достоверности оценки соответствия перед всеми использующими ее сторонами необходим надлежащий баланс между принципами открытости и конфиденциальности, в том числе и при реагировании на жалобы.
5 Общие требования
5.1 Юридические и контрактные вопросы
5.1.1 Организация по сертификации должна быть либо самостоятельным юридическим лицом либо его определенной частью, чтобы быть юридически ответственной за всю проводимую ею аудиторскую и сертификационную деятельность. Государственная организация по сертификации считается юридическим лицом в силу своего государственного статуса.
5.1.2 Организация по сертификации должна иметь юридически действительный договор на проведение аудиторской и сертификационной деятельности в отношении клиента.
5.1.3 Организация по аудиту и сертификации должна нести ответственность за свою деятельность и сохранять полномочия в отношении касающихся аудита решений, включая решения о выдаче, сохранении, возобновлении, продлении, сужении области применения, приостановке или отзыве сертификата.
5.2 Обеспечение беспристрастности
5.2.1 Руководство организации по сертификации обязано строго придерживаться беспристрастности при проведении сертификации систем менеджмента. У организации по сертификации должно быть доступное для общественности заявление о понимании организацией важности беспристрастности при проведении сертификации систем менеджмента о том, как она управляет конфликтом интересов и обеспечивает объективность своих действий при сертификации систем менеджмента.
5.2.2 Организация по сертификации обязана выявлять, анализировать и документировать возможности для возникновения конфликта интересов, появляющиеся при проведении сертификации, включая и любые конфликты, являющиеся результатом существующих в организации отношений. Наличие отношений не обязательно означает, что у организации по сертификации возникнет конфликт интересов. Тем не менее, если какие-либо отношения ставят под угрозу беспристрастность, организация по сертификации обязана документально оформить и быть в состоянии продемонстрировать то, как она устраняет или сводит к минимуму такие угрозы. К подобной информации должна иметь доступ комиссия, определенная в 6.2. Упомянутая выше демонстрация должна охватить все идентифицированные потенциальные источники конфликта интересов, будь то вызванные внутренними причинами в организации по сертификации или связанные с действиями прочих лиц и организаций.
Примечание - В основе отношений, угрожающих беспристрастности организации по сертификации, могут лежать право собственности, управление, руководство, персонал, общие ресурсы, финансы, контракты, маркетинг и выплата комиссионных с продажи или какое-либо иное вознаграждение за направление новых клиентов и т.д.
5.2.3 Сертификация не может быть осуществлена, если существующие у организации по сертификации отношения создают недопустимую угрозу ее беспристрастности (например, в тех случаях, когда один из филиалов, являющийся 100%-ной собственностью организации по сертификации, запрашивает проведение сертификации у своей материнской компании).
Примечание - См. примечание к 5.2.2.
5.2.4 Организация по сертификации не может сертифицировать другую организацию по сертификации на проведение последней сертификации своей системы менеджмента.
Примечание - См. примечание к 5.2.2.
5.2.5 Ни организация по сертификации, ни какое-либо из подразделений ее юридического лица не имеют права предлагать или проводить консультирование по системам менеджмента. Это также относится и к государственному ведомству, определенному в качестве организации по сертификации.
5.2.6 Ни организация по сертификации, ни какое-либо из подразделений ее юридического лица не имеют права предлагать или проводить внутренние аудиты сертифицированных ими клиентов. Организация по сертификации не имеет права сертифицировать систему менеджмента, в отношении которой ею проводились внутренние аудиты, в течение двух лет после окончания внутренних аудитов. Это также относится и к государственному ведомству, определенному в качестве организации по сертификации.
Примечание - См. примечание к 5.2.2.
5.2.7 Организация по сертификации не должна сертифицировать систему менеджмента, в отношении которой клиенту была предоставлена консультация либо проведен внутренний аудит, в тех случаях, если отношения между консультирующей организацией и организацией по сертификации представляют недопустимую угрозу для беспристрастности организации по сертификации.
Примечания
1 Одним из способов снижения угрозы для беспристрастности до приемлемого уровня является введение минимального периода сроком в два года после окончания консультирования в отношении системы менеджмента.
2 См. примечание к 5.2.2.
5.2.8 Организация по сертификации не может отдавать проведение аудитов на внешний подряд (аутсорсинг) организациям, занимающимся консультированием по системам менеджмента, поскольку это представляет недопустимую угрозу беспристрастности организации по сертификации (см. 7.5). Вышесказанное не распространено на физических лиц, принимаемых по контракту в качестве аудиторов в соответствии с 7.3.
5.2.9 Запрещено проводить маркетинг либо предлагать работу организации по сертификации, увязывая ее с деятельностью организации, предоставляющей консультирование в области систем менеджмента. Организация по сертификации должна принять меры для исправления неприемлемых притязаний со стороны консультирующей организации, заявляющей, что сертификация пройдет проще, легче, быстрее или дешевле при обращении в данную организацию по сертификации либо в какую-либо указанную консультирующую организацию.
5.2.10 Во избежание любого конфликта интересов организация по сертификации не должна привлекать к проведению аудита или иной сертификационной деятельности персонал, участвовавший в консультировании по системе менеджмента данного клиента, включая задействованных руководителей, в течение двух лет после окончания подобного консультирования.
5.2.11 Организация по сертификации должна принять меры в ответ на любую угрозу своей беспристрастности, вызванную действиями других лиц организации.
5.2.12 Весь персонал организации по сертификации (собственный и привлекаемый) и ее комиссии, которые могут повлиять на сертификационную деятельность, должны действовать беспристрастно и не позволять коммерческому, финансовому или иному давлению подорвать доверие к беспристрастности организации по сертификации.
5.2.13 Организация по сертификации должна требовать как от собственного, так и от привлекаемого внешнего персонала сообщать о любых известных им ситуациях, которые могут создать либо для них самих, либо для организации по сертификации конфликт интересов. Организация по сертификации должна использовать подобную информацию в качестве "входных данных" (входа) для выявления угроз в отношении беспристрастности, вызванных действиями такого персонала или нанимающих их организаций, и не привлекать таких сотрудников либо привлекаемый внешний персонал, если данные работники не смогут продемонстрировать отсутствие конфликта интересов.
5.3 Ответственность и финансирование
5.3.1 Организация по сертификации должна быть в состоянии продемонстрировать, что ею была проведена оценка рисков, возникающих в связи с сертификационной деятельностью, и приняты адекватные меры (например, страхование или резервы) для покрытия обязательств, возникающих в результате ее операций в каждой из областей своей деятельности и географических территорий ее работы.
5.3.2 Организация по сертификации должна оценить имеющиеся у нее финансы и источники дохода и продемонстрировать комиссии, определенной в 6.2, что ни в начале, ни в любой момент своей дальнейшей деятельности никакое коммерческое, финансовое либо любое другое давление не поставят под угрозу ее беспристрастность.
6 Требования к структуре
6.1 Организационная структура и руководство
6.1.1 Организация по сертификации должна документально оформить свою организационную структуру с указанием обязанностей, ответственности и полномочий руководства и прочего сертификационного персонала, а также любых учрежденных комиссий. В тех случаях, когда организация по сертификации является определенной частью юридического лица, должны включаться порядок подчиненности и взаимоотношения с другими частями в рамках данного юридического лица.
6.1.2 Организация по сертификации должна указать руководство (правление, группу лиц или одно физическое лицо), обладающее всеми полномочиями и ответственностью в отношении любого из ниже перечисленного:
- разработка политики работы организации по сертификации;
- контроль за выполнением политики и процедур;
- надзор за финансами организации по сертификации;
- развитие услуг и разработка схем по сертификации систем менеджмента;
- проведение аудитов и сертификации, а также реагирование на жалобы;
- принятие сертификационных решений;
- делегирование полномочий комиссиям или отдельным физическим лицам, если это требуется, для проведения определенных действий от его имени;
- заключение контрактов;
- предоставление адекватных ресурсов для ведения сертификационной деятельности.
6.1.3 Организация по сертификации должна иметь официальные правила в отношении назначения, компетенции и условий работы любых участвующих в сертификационной работе комиссий.
6.2 Комиссия по обеспечению беспристрастности
6.2.1 Структура организации по сертификации должна охранять беспристрастность в работе организации по сертификации и предусматривать наличие комиссии, которая призвана:
- способствовать разработке политики, касающейся беспристрастности ее сертификационной деятельности;
- противодействовать любой тенденции со стороны организации по сертификации позволить коммерческим либо иным соображениям помешать постоянной объективности в проведении сертификационной работы;
- советовать по вопросам, затрагивающим уверенность в сертификации, включая открытость и восприятие обществом;
- проводить не реже одного раза в год анализ беспристрастности процессов аудита, сертификации и принятия решений в организации по сертификации.
Комиссии может быть поручено выполнение и других задач и обязанностей при условии, что подобные дополнительные задачи и обязанности не ставят под угрозу ее главную роль, заключающуюся в обеспечении беспристрастности.
6.2.2 Состав, мандат, обязанности, полномочия, компетентность членов, а также ответственность данной комиссии должны быть официально оформлены и утверждены руководством организации по сертификации, гарантируя:
- создание баланса, при котором не преобладает ни один из существующих интересов (собственный и привлекаемый со стороны персонал организации по сертификации считается одной заинтересованной стороной, которая не должна преобладать);
- доступ ко всей необходимой информации, позволяющей комиссии выполнять свои функции (см. также 5.2.2 и 5.3.2);
- в тех случаях, если руководство организации по сертификации не следует рекомендациям вышеупомянутой комиссии, последняя должна иметь право на самостоятельные действия (например, информирование властей, организации по аккредитации, прочих заинтересованных сторон). При проведении самостоятельных действий комиссии должны соблюдать требования о конфиденциальности 8.5 по отношению к клиенту и организации по сертификации.
6.2.3 Комиссия не в состоянии представить абсолютно все интересы, поэтому организация по сертификации должна выявить и пригласить к участию главные заинтересованные стороны, в число которых могут входить клиенты организации по сертификации, клиенты организаций с сертифицированными системами менеджмента, представители отраслевых организаций производителей и дилеров, представители государственных регулирующих организаций, а также представители неправительственных организаций, в том числе и организаций-потребителей.
7 Требования к ресурсам
7.1 Компетентность руководства и персонала
7.1.1 В организации по сертификации должны существовать процессы, обеспечивающие наличие у персонала соответствующих знаний касательно типов систем менеджмента, с которыми работает организация по сертификации, а также географических регионов работы.
Организация по сертификации должна определить компетентность, необходимую по каждой технической области (как того требует конкретная схема сертификации) и для каждой функции в рамках сертификационной деятельности.
Организация по сертификации должна определить средства подтверждения компетентности до начала выполнения определенных функций.
7.1.2 При определении требований к компетентности своего персонала, осуществляющего сертификацию, организация по сертификации помимо функций тех, кто непосредственно выполняет аудит и ведет сертификационную работу, должна также рассмотреть и функции, выполняемые руководством и администрацией.
7.1.3 Организация по сертификации должна иметь доступ к необходимым техническим знаниям и опыту для получения рекомендаций по вопросам, непосредственно связанным с сертификацией в технических областях, типах систем менеджмента и в географических регионах своей работы. Такие рекомендации могут предоставляться как внешней стороной, так и собственным персоналом организации по сертификации.
7.2 Персонал, участвующий в сертификационной деятельности
7.2.1 Организация по сертификации должна иметь у себя в штате персонал, компетентность которого достаточна для управления видами и диапазоном аудиторских программ и другой проводимой сертификационной работой.
7.2.2 Организация по сертификации должна либо содержать в штате, либо иметь возможность привлечь достаточное число аудиторов, включая руководителей аудиторской группы и технических экспертов, для обеспечения всех осуществляемых ею действий и выполнения объема проводимой аудиторской работы.
7.2.3 Организация по сертификации должна ясно изложить каждому задействованному лицу его обязанности, ответственность и полномочия.
7.2.4 Организация по сертификации должна иметь установленные процессы отбора, обучения, официального наделения полномочиями аудиторов, а также отбора технических экспертов, участвующих в сертификационной деятельности. Начальная оценка компетентности аудитора должна включать демонстрацию надлежащих личных качеств и способности применять требуемые знания и навыки в ходе аудита, что устанавливается компетентным оценщиком, наблюдающим за тем, как данный аудитор проводит аудит.
7.2.5 Организация по сертификации должна иметь процесс в отношении того, как добиться результативного проведения аудитов и как это продемонстрировать, что должно включать использование аудиторов и руководителей аудиторских групп, обладающих как общими аудиторскими знаниями и навыками, так и знаниями и навыками, требуемыми для проведения аудита в определенных технических областях. Данный процесс должен быть оформлен документально и составлен в соответствии с надлежащими руководящими указаниями стандарта ГОСТ Р ИСО 19011.
7.2.6 Организация по сертификации должна гарантировать, что аудиторы (и, где необходимо, технические эксперты) знают процессы аудита, требования к сертификации и прочие надлежащие требования. Организация по сертификации должна предоставить аудиторам и техническим экспертам доступ к актуализированному пакету документально оформленных процедур, содержащих инструкции по аудиту и всю полагающуюся для сертификационной работы информацию.
7.2.7 Организация по сертификации должна использовать аудиторов и технических экспертов только в тех видах сертификационной работы, где они продемонстрировали свою компетентность.
Примечание - Назначение аудиторов и технических экспертов в состав аудиторских групп для проведения конкретных аудитов рассматривается в 9.1.3.
7.2.8 Организация по сертификации должна идентифицировать потребности в обучении и предлагать либо обеспечивать доступ к определенному обучению для обеспечения того, чтобы ее аудиторы, технические эксперты и другой персонал, участвующий в сертификационной работе, были компетентны в исполнении своих функций.
7.2.9 Группа или отдельное лицо, принимающие решение о выдаче, сохранении, возобновлении, продлении, сужении области применения, приостановке или отзыве сертификата, должны понимать применимый стандарт и сертификационные требования, а также продемонстрировать компетентность в оценке процессов аудита и соответствующих рекомендаций аудиторской группы.
7.2.10 Организация по сертификации должна обеспечить удовлетворительную работу всего персонала, участвующего в проведении аудитов и сертификационной деятельности. Должны существовать документально оформленные процедуры и критерии мониторинга и измерения показателей работы всех участвующих лиц, исходя из частоты их привлечения и уровня риска, связанного с их действиями. В частности, организация по сертификации должна рассмотреть компетентность своего персонала с точки зрения показанных ими результатов работы в целях выявления потребностей в обучении.
7.2.11 Документально оформленные процедуры мониторинга в отношении аудиторов должны включать в себя наблюдения за проводимым аудитом на местах в сочетании с анализом аудиторских отчетов и получаемой обратной связи от клиентов или рынка и фиксироваться в документально оформленных требованиях, составленных на основании соответствующих руководящих указаний ГОСТ Р ИСО 19011. Подобный мониторинг следует организовать таким способом, чтобы свести к минимуму вмешательство в обычные процессы сертификации, особенно с точки зрения клиента.
7.2.12 Организация по сертификации должна периодически наблюдать за работой каждого из аудиторов при проведении аудита на местах. Частота проведения наблюдений на местах должна исходить из потребности, определяемой на основании всей имеющейся информации мониторинга.
7.3 Привлечение внешних аудиторов и внешних технических экспертов
Организация по сертификации должна требовать заключения письменных договоров с внешними аудиторами и внешними техническими экспертами, обязывающих их следовать соответствующим политике и процедурам, как это определено организацией по сертификации. Подобные договоры должны регулировать аспекты, касающиеся конфиденциальности и независимости от коммерческих и прочих интересов, а также требовать от привлекаемых со стороны аудиторов и технических экспертов (физических лиц) уведомлять организацию по сертификации о любых существующих или прошлых связях с любой организацией, где им может быть поручено провести аудит.
Примечание - Привлечение аудиторов и технических экспертов (физических лиц) по таким договорам не является аутсорсингом, рассматриваемым в 7.5.
7.4 Записи данных по персоналу
Организация по сертификации должна вести и поддерживать в актуальном состоянии записи данных по персоналу, в том числе и записи о соответствующей квалификации, обучении, опыте работы, принадлежности к каким-либо организациям, профессиональном статусе, компетентности и о любых оказанных в этой области консультациях. Вышесказанное относится не только к персоналу, осуществляющему сертификационную работу, но и к руководству и административному персоналу.
7.5 Аутсорсинг
7.5.1 У организации по сертификации должен быть процесс, описывающий условия, на которых может происходить аутсорсинг (т.е. передача организации по сертификации части своей сертификационной работы в другую организацию). Организацией по сертификации должен быть заключен имеющий юридическую силу договор, устанавливающий условия, в том числе относительно конфиденциальности и конфликта интересов с каждой из организаций, поставивших услуги в рамках аутсорсинга.
Примечания
1 Вышесказанное может включить передачу по аутсорсингу в другие организации по сертификации. Привлечение аудиторов и технических экспертов по контракту рассмотрено в 7.3.
2 В рамках настоящего стандарта термины "аутсорсинг" и "субподряд" являются синонимами.
7.5.2 Ни при каких обстоятельствах не разрешается отдавать в аутсорсинг принятие решений о выдаче, сохранении, возобновлении, продлении, сужении области применения, приостановке или отзыве сертификата.
7.5.3 Организация по сертификации обязана:
- принять на себя ответственность за любую деятельность, переданную на аутсорсинг в другую организацию;
- обеспечить, чтобы организация, выполняющая услуги, переданные на аутсорсинг, или привлекаемые ею к работе лица соблюдали требования организации по сертификации, равно как и применимые положения настоящего стандарта, включая требования к компетентности, беспристрастности и конфиденциальности;
- обеспечить, чтобы организация, выполняющая услуги, переданные на аутсорсинг, равно как и привлекаемые ею к работе лица не были прямо или через другого работодателя связаны с планируемой к аудиту организацией способом, который мог бы поставить под сомнение его беспристрастность.
7.5.4 В организации по сертификации должны существовать документированные процедуры для определения соответствия квалификационным требованиям и мониторинга всех организаций, оказывающих передаваемые на аутсорсинг услуги, а также обеспечить ведение записей относительно компетентности аудиторов и технических экспертов.
8 Требования к информации
8.1 Публично доступная информация
8.1.1 Организация по сертификации должна вести и обеспечивать открытый доступ или предоставлять по запросу информацию, описывающую ее процессы проведения аудита и сертификации при выдаче, сохранении, продлении, возобновлении, сужении области применения, приостановке и отзыве сертификата, а также о видах сертификационных работ, типах систем менеджмента и географии ее работы.
8.1.2 Организация по сертификации должна предоставлять точную и не вводящую в заблуждение информацию всем своим клиентам и рынку в целом, что касается в том числе и рекламы.
8.1.3 Организация по сертификации должна сделать доступной для общественности информацию о предоставленных, приостановленных или отозванных сертификатах.
8.1.4 По запросу любой стороны организация по сертификации обязана предоставить средства, подтверждающие действительность той или иной сертификации.
Примечания
1 Если полный объем информации распределен между несколькими источниками (например, существует в печатном или электронном виде либо частично в том и другом), то возможно внедрение системы, обеспечивающей прослеживаемость и отсутствие каких-либо неясностей между такими источниками (например, система уникальной нумерации или гиперссылки в Интернете).
2 В исключительных случаях доступ к некоторой информации может быть ограничен и предоставлен по запросу клиента (например, из соображений безопасности).
8.2 Сертификационные документы
8.2.1 Организация по сертификации обязана предоставить документы о сертификации прошедшему сертификацию клиенту любым выбранным им способом.
8.2.2 Указанная на сертификационном документе дата вступления в силу не может быть ранее, чем дата принятия решения о сертификации.
8.2.3 В документе(ах) о сертификации должно быть указано следующее:
- название и географическое местонахождение всех клиентов с сертифицированной системой менеджмента (или географическое местонахождение их главных офисов и любых площадок в рамках области сертификации при сертификации нескольких объектов);
- даты предоставления, продления или возобновления сертификации;
- дата истечения срока или дата обязательной ресертификации в соответствии с циклом проведения ресертификации;
- уникальный идентификационный код;
- стандарт и/или другой нормативный документ, включая номер выпуска и/или пересмотра, использованный для аудита сертифицированного клиента;
- область сертификации применительно к продукции (в том числе и к услугам), процессу и т.д. в соответствии с тем, что применимо на каждом из объектов;
- название, адрес и сертификационный знак организации по сертификации; использование других знаков (например, символа аккредитации) допускается при условии, что они не вводят в заблуждение и не являются двусмысленными;
- любая другая информация, требуемая по стандарту и/или другому нормативному документу, использованному для сертификации;
- средство для различения пересмотренных документов от любых других выданных ранее и устаревших документов (в случае выдачи документов о сертификации после внесения правок).
8.3 Перечень сертифицированных клиентов
Организация по сертификации должна любым удобным ей способом вести реестр (перечень) действующих сертификатов: держать его публично доступным или обеспечивать доступ к нему по запросу. В подобном перечне должны быть как минимум указаны название, соответствующий нормативный документ, область и географическое местонахождение (например, город и страна) для каждого прошедшего сертификацию клиента (или географическое местонахождение его главного офиса и любых площадок в рамках области сертификации при сертификации нескольких объектов).
Примечание - Реестр является исключительной собственностью организации по сертификации.
8.4 Ссылка на сертификацию и использование знаков
8.4.1 В организации по сертификации должна существовать политика относительно любых знаков, которые она разрешает использовать сертифицированным клиентам. Помимо прочего подобная политика должна обеспечить обратную прослеживаемость до организации по сертификации. Ни сам знак, ни сопровождающий его текст не должны содержать никакой неоднозначности относительно предмета сертификации или организации по сертификации, ее предоставившего. Вышеупомянутый знак не разрешается использовать на продукции или ее упаковке, где его увидит потребитель, или другим способом, если это может быть интерпретировано как обозначение соответствия продукции.
Примечание - ГОСТ Р ИСО/МЭК 17030 содержит требования относительно использования знаков при оценке, проводимой третьей стороной.
8.4.2 Организация по сертификации не должна разрешать использование своих знаков в отчетах о лабораторных испытаниях, калибровке или инспекциях, поскольку в этом контексте подобные отчеты считаются продукцией.
8.4.3 Организация по сертификации должна требовать от организации-клиента:
- соблюдать требования организации по сертификации при ссылках на свой сертифицированный статус в средствах информирования (Интернет, брошюры и реклама или прочие документы);
- не делать и не позволять употребление вводящих в заблуждение утверждений относительно своей сертификации;
- не использовать и не разрешать использование сертификационного документа или любой его части вводящим в заблуждение образом;
- после приостановки или отзыва своего сертификата прекратить использовать его в рекламных материалах, имеющих ссылку на сертификацию, в соответствии с тем, как будет указано организацией по сертификации (см. 9.6.3 и 9.6.6);
- внести исправления во все рекламные материалы при сужении области сертификации;
- не допускать использования ссылок на сертификацию своей системы менеджмента способом, создающим впечатление, что организация по сертификации сертифицировала продукцию (включая услуги) или процесс;
- не допускать толкования о том, что сертификация распространяется на виды деятельности, находящиеся вне области сертификации;
- не использовать полученную сертификацию таким способом, который бы привел организацию по сертификации и/или систему сертификации к потере репутации или общественного доверия.
8.4.4 Организация по сертификации должна осуществлять надлежащий контроль и учет собственности и принимать меры в случае неподобающей ссылки на статус сертификации или при использовании документов сертификации, знаков и отчетов об аудите вводящим в заблуждение образом.
Примечание - К таким мерам могут относиться требование о проведении коррекции или корректирующего действия, приостановка или отзыв сертификата, опубликование информации о нарушении и, если необходимо, судебный иск.
8.5 Конфиденциальность
8.5.1 Посредством заключенных юридически действительных договоров в организации по сертификации должны существовать политика и система мер по охране конфиденциальности информации, полученной или созданной в ходе сертификационных действий, на всех уровнях его структуры, включая комитеты, сторонние организации или физических лиц, выступающих от лица организации по сертификации.
8.5.2 Организация по сертификации должна заранее сообщать клиенту о той информации, которую он намеревается открыть для доступа общественности. Любая другая информация (за исключением той, что была сделана публично доступной самим клиентом) будет считаться конфиденциальной.
8.5.3 За исключением требуемого, в настоящем стандарте информация об определенном клиенте или физическом лице не может разглашаться третьему лицу без письменного на то согласия самого клиента или физического лица. В тех случаях, когда закон требует от организации по сертификации раскрыть конфиденциальную информацию третьему лицу, такой клиент или физическое лицо должны быть заранее уведомлены о предоставляемой информации, если данный момент не регулируется законодательством.
8.5.4 К информации, поступающей о клиенте из других источников, помимо самого клиента (например, от подателя жалобы, регулирующих организаций), следует относиться как к конфиденциальной в соответствии с политикой организации по сертификации.
8.5.5 Персонал организации по сертификации, включая членов любых комиссий, подрядчиков, персонал сторонних организаций или физических лиц, выступающий от имени организации по сертификации, должен соблюдать конфиденциальность любой информации, полученной либо созданной в ходе выполнения организацией по сертификации своей работы.
8.5.6 Организация по сертификации должна иметь в наличии и использовать оборудование и материальную базу, гарантирующие защищенность используемой в работе конфиденциальной информации (например, документов, отчетов).
8.5.7 Организация по сертификации должна сообщать своим клиентам о случаях предоставления конфиденциальной информации другим организациям (например, организациям по аккредитации, договорной группе в составе программы экспертной оценки).
8.6 Обмен информацией между организацией по сертификации и клиентами
8.6.1 Информация о сертификационной деятельности и требования к сертификации
Организация по сертификации должна предоставлять клиентам следующую информацию и сообщать о ее изменении:
- подробное описание работы при первичной сертификации и последующих сертификационных действиях, включая заявление, первоначальный аудит, надзорный аудит и процесс выдачи, сохранения, сужения области применения, продления, приостановки, отзыва сертификата, а также о ресертификации;
- нормативные требования к сертификации;
- плата за рассмотрение заявления, первичную сертификацию и поддержание сертификации;
- требования организации по сертификации к потенциальным клиентам относительно:
а) исполнения сертификационных требований,
б) выполнения всех условий, необходимых для проведения аудита, включая предоставление документации для анализа и доступ ко всем процессам и участкам, записям и персоналу в целях первоначальной сертификации, надзора, ресертификации и рассмотрения жалоб,
в) создание условий (там, где применимо) для возможного присутствия наблюдателей (например, аудиторов организации по аккредитации или аудиторов-стажеров);
- документы, описывающие права и обязанности сертифицированных клиентов, включая требования при ссылках на полученную сертификацию в любого рода сообщениях в соответствии с требованиями 8.4;
- информацию о порядке работы с жалобами и апелляциями.
8.6.2 Уведомление об изменениях со стороны организации по сертификации
Организация по сертификации должна надлежащим образом уведомлять своих сертифицированных клиентов о любых изменениях в своих сертификационных требованиях. Организация по сертификации должна проверять, чтобы каждый из сертифицированных им клиентов выполнял новые требования.
Примечание - В обеспечение выполнения подобных требований, возможно, потребуется заключение договоров с сертифицированными клиентами. Типовое лицензионное соглашение на использование сертификации, включая аспекты, связанные с уведомлением об изменениях (насколько это применимо), представлено в приложении E руководства ГОСТ Р 55368-2012.
8.6.3 Уведомление об изменениях со стороны клиента
У организации по сертификации должны быть юридически действительные договоренности, обеспечивающие незамедлительное сообщение сертифицированным клиентом в организацию по сертификации обо всех вопросах, которые могут повлиять на способность системы менеджмента продолжать выполнение требований стандарта, использованного при сертификации. Вышеуказанное включает, например, изменения, касающиеся:
а) юридического, коммерческого, организационного статуса или формы собственности;
б) организации и менеджмента (например, ключевых фигур среди управленцев, лиц, принимающих решения или технического персонала);
в) адресов и веб-сайтов для связи;
г) области деятельности в рамках сертифицированной системы менеджмента;
д) значительных изменений в системе менеджмента и процессах.
Примечание - Типовое лицензионное соглашение на использование сертификации, включая аспекты, связанные с уведомлением об изменениях (насколько это применимо), представлено в приложении E руководства ГОСТ Р 55368-2012.
9 Требования к процессам
9.1 Общие требования
9.1.1 В программу аудита должны входить: первоначальный аудит (состоящий из двух этапов), надзорные аудиты в течение первого и второго года и ресертификационный аудит в течение третьего года до момента окончания срока действия сертификата. Трехлетний сертификационный цикл начинается с принятия решения о сертификации или ресертификации. При формировании программы аудита и ее любой последующей корректировке необходимо учитывать размер организации-клиента, область применения и сложность его системы менеджмента, продукции и процессов, равно как и продемонстрированный уровень результативности системы менеджмента и результаты любых предыдущих аудитов. В тех случаях, где организация по сертификации принимает во внимание полученную сертификацию или уже проведенные у клиента аудиты, от него требуется собрать достаточную информацию для обоснования и регистрации любых изменений в программе аудита.
9.1.2 Организация по сертификации должна обеспечить наличие плана проверки для каждого аудита, который служит основанием для согласования проведения и графика работ в составе аудита. Такой план должен строиться на основании документально оформленных требований организации по сертификации, составленных согласно соответствующим руководящим указаниям, содержащимся в ГОСТ Р ИСО 19011.
9.1.3 В организации по сертификации должен существовать процесс отбора и назначения аудиторской группы, в том числе и ее руководителя, с учетом компетентности, требуемой для достижения целей аудита. Данный процесс должен строиться на основании документально оформленных требований организации по сертификации, составленных согласно соответствующим руководящим указаниям, содержащимся в ГОСТ Р ИСО 19011.
9.1.4 В организации по сертификации должны существовать документально оформленные процедуры, позволяющие определить время, необходимое для аудита. Для каждого клиента организации по сертификации должно быть определено время, необходимое для планирования и проведения полного и результативного аудита его системы менеджмента. Следует обязательно документально регистрировать как аудитовремя, определенное организацией по сертификации, так и его обоснование. При определении времени проведения аудита организация по сертификации среди прочих должна учесть следующие аспекты:
- требования соответствующего стандарта системы менеджмента;
- размеры организации-клиента и степень сложности процессов;
- технологический и регулирующий контексты;
- передача на аутсорсинг любых видов деятельности, входящих в область применения системы менеджмента;
- результаты любых предыдущих аудитов;
- количество площадок и учет особенностей аудита нескольких объектов.
9.1.5 При проведении выборки на нескольких объектах, применяемой в ходе аудита системы менеджмента, охватывающей одну и ту же деятельность на разных площадках, организация по сертификации должна разработать программу проведения выборки, в целях гарантирования надлежащего аудита системы менеджмента. По каждому клиенту обязательно наличие документально оформленного обоснования плана осуществления выборки.
9.1.6 Аудиторская группа должна получить четко поставленные задачи, которые обязательно сообщаются организации клиента и требуют от аудиторской группы:
а) изучения и проверки структуры, политики, процессов, процедур, записей и соответствующих документов организации клиента, связанных с системой менеджмента;
б) принятия решения о том, отвечает ли все указанное в пункте а) всем требованиям применительно к планируемой области сертификации;
в) определения того, что установлены, внедрены и результативно поддержаны процессы и процедуры, создавая основания для уверенности в системе менеджмента клиента;
г) сообщения клиенту для принятия им соответствующих мер о любых расхождениях между его политикой, целями, задачами (в соответствии с ожиданиями в надлежащем стандарте системы менеджмента или другом нормативном документе) и результатами.
9.1.7 Организация по сертификации должна назвать поименно и, если попросят, предоставить информацию о каждом участнике аудиторской группы, предоставив достаточно времени для того, чтобы организация клиента смогла высказать возражения против конкретного аудитора или технического эксперта, а организация по сертификации смогла переформировать группу в ответ на любое обоснованное возражение.
9.1.8 План аудита должен сообщаться, а даты проведения аудита должны согласовываться с организацией клиента заблаговременно.
9.1.9 В организации по сертификации должен существовать процесс проведения аудита на местах, расписанный в документально оформленных требованиях, составленных в соответствии с надлежащими руководящими указаниями в ГОСТ Р ИСО 19011.
Примечания
1 В дополнение к посещению самой(их) площадки(ок) (например, фабрики) "аудит на местах" может включать удаленный доступ к электронной(ым) площадке(ам), которая(ые) содержит(ат) информацию, имеющую отношение к аудиту системы менеджмента.
2 Термин "проверяемая сторона" используется в ГОСТ Р ИСО 19011 в значении "проверяемая организация".
9.1.10 По каждому аудиту организация по сертификации должна составлять письменный отчет на основании соответствующих руководящих указаний, содержащихся в ГОСТ Р ИСО 19011. Группе аудиторов разрешено отметить возможности улучшения, но она не должна рекомендовать конкретные решения. Право собственности на отчет по аудиту остается у организации по сертификации.
9.1.11 Организация по сертификации должна требовать от клиента провести анализ причины и точно описать коррекцию и выполненные (запланированные к выполнению) корректирующие действия, направленные на устранение выявленных несоответствий в рамках установленного промежутка времени.
9.1.12 Организация по сертификации должна проанализировать вышеуказанные коррекции и корректирующие действия, представленные клиентом, с целью определения их приемлемости.
9.1.13 Проверяемую организацию должны информировать о необходимости проведения дополнительного полного аудита, дополнительного ограниченного аудита или предоставления документальных свидетельств (подлежащих подтверждению в ходе последующих надзорных аудитов), которые могут потребоваться для подтверждения результативности коррекции и корректирующих действий.
9.1.14 Организация по сертификации должна обеспечить, чтобы решения о сертификации или ресертификации принимались людьми или комиссиями, не участвовавшими в проведении аудита.
9.1.15 До принятия своего решения организация по сертификации должна удостовериться в том, что:
- информации, предоставленной аудиторской группой, достаточно относительно требований сертификации и области сертификации;
- организация проанализировала, приняла и проверила результативность коррекции и корректирующих действий для всех несоответствий, которые представляют собой:
а) неспособность выполнить одно или более требований стандарта системы менеджмента,
б) ситуацию, которая вызывает серьезные сомнения в способности системы менеджмента клиента достигнуть поставленных перед ней "выходов".
9.2 Первоначальный аудит и сертификация
9.2.1 Заявление
Организация по сертификации должна потребовать у уполномоченного представителя организации-заявителя предоставления необходимой информации, позволяющей установить:
а) запрашиваемую область сертификации;
б) общую характеристику организации-заявителя, в том числе ее название и адрес(а) реального местонахождения (площадок), существенные аспекты ее процессов и операций, а также любые имеющие отношение к делу юридические обязательства;
в) общую информацию, имеющую отношение к запрашиваемой области сертификации относительно организации-заявителя, как то: виды ее деятельности, человеческие и технические ресурсы, функциональные подразделения и отношения в рамках большой корпорации, если таковые имеются;
г) информацию относительно всех процессов, отданных организацией в аутсорсинг, которые повлияют на соответствие требованиям;
д) стандарты или иные требования, на соответствие которым организации необходима сертификация;
е) информацию относительно использования консультирования, касающегося системы менеджмента организации.
9.2.2 Рассмотрение заявления
9.2.2.1 Перед аудитом организация по сертификации должна рассмотреть заявление и дополнительную информацию по сертификации в обеспечение:
а) достаточности информации об организации-заявителе и ее системы менеджмента для проведения аудита;
б) точности определения и документального оформления сертификационных требований и их предоставления организации-заявителю;
в) разрешения любого известного расхождения в понимании между организацией по сертификации и организацией-заявителем;
г) компетентности и способности организации по сертификации выполнить сертификационную работу;
д) учета запрашиваемой области сертификации, местоположения(й) операционных площадок организации-заявителя, времени, необходимого для выполнения аудита, и любых других моментов, влияющих на сертификационную работу (язык, условия безопасности, угрозы для беспристрастности и т.д.);
е) ведения записей в обоснование решения о проведении аудита.
9.2.2.2 Исходя из проведенного анализа, организация по сертификации должна определить те знания, умения и навыки (компетентность), которые следует иметь аудиторской группе для принятия решения по сертификации.
9.2.2.3 Аудиторская группа должна назначаться и состоять из аудиторов (и, при необходимости, технических экспертов), которые совместно обладают всей совокупностью компетентностей, идентифицированных организацией по сертификации в соответствии с 9.2.2.2 для сертификации организации-заявителя. Отбор в группу должен вестись со ссылкой на указанную компетентность аудиторов и технических экспертов согласно 7.2.5 и может включать как внутренний, так и внешний персонал.
9.2.2.4 В целях обеспечения надлежащей компетентности должно(ы) назначаться лицо(а), которое(ые) будет(ут) принимать решение о сертификации (см. 7.2.9 и 9.2.2.2).
9.2.3 Первичный сертификационный аудит
Первичный сертификационный аудит системы менеджмента должны проводить в два этапа.
9.2.3.1 Аудит. Первый этап
9.2.3.1.1 Первый этап аудита проводится с целью:
а) проверки документации системы менеджмента клиента;
б) оценки местоположения клиента и условий, характерных для той или иной площадки, а также для общения с персоналом клиента с целью определения готовности ко второму этапу аудита;
в) анализа положения дел клиента относительно требований стандарта и понимания им требований стандарта, в особенности касательно идентификации ключевых показателей работы и существенных аспектов, процессов, целей и функционирования системы менеджмента;
г) сбора необходимой информации относительно области применения системы менеджмента, процессов и местоположения(ий) площадки(ок) клиента, а также информации по соответствующим юридическим и регулятивным аспектам и соответствиям (например, качество, экологические, юридические аспекты работы клиента, связанные риски и т.д.);
д) анализа ресурсов, выделяемых для второго этапа аудита, и подробного согласования с клиентом проведения второго этапа аудита;
е) направленного планирования второго этапа аудита, получив достаточное понимание системы менеджмента клиента и его операций на площадке в свете возможных существенных аспектов;
ж) оценки того, планируются и выполняются ли внутренние аудиты и анализ со стороны руководства, а также того, что уровень внедрения системы менеджмента показывает, что клиент готов к проведению второго этапа аудита.
Для достижения вышеупомянутых целей рекомендуется хотя бы частичное проведение первого этапа аудита на территории клиента для большинства систем менеджмента.
9.2.3.1.2 Обязательно документальное оформление и сообщение клиенту результатов первого этапа аудита, в том числе и информирование его о любых выявленных проблемных областях, которые могут быть классифицированы как несоответствия в ходе второго этапа аудита.
9.2.3.1.3 При определении интервала между первым и вторым этапами аудита следует учитывать стоящую перед клиентом необходимость решить вопросы в проблемных областях, выявленных в ходе первого этапа аудита. Организации по сертификации может также потребоваться пересмотреть запланированные для второго этапа аудита мероприятия.
9.2.3.2 Аудит. Второй этап
Цель второго этапа аудита состоит в том, чтобы оценить внедрение, в том числе и результативность, системы менеджмента клиента. Второй этап аудита обязательно проводится в месте расположения площадки(ок) клиента и должен включать следующий минимум:
а) информацию и свидетельства соответствия всем требованиям применяемого к системе менеджмента стандарта или другого нормативного документа;
б) наблюдение за показателями работы, их измерение, сообщение и анализ относительно основных целей и задач в области показателей работы (соответственно ожидаемому в применяемом стандарте системы менеджмента или другом нормативном документе);
в) систему менеджмента клиента и его показатели работы в свете соответствия законодательству;
г) оперативное управление процессами клиента;
д) внутренний аудит и анализ со стороны руководства;
е) ответственность руководства за политику организации-клиента;
ж) связи между нормативными требованиями, политикой, целями и задачами по показателям работы (соответственно ожидаемому в применяемом стандарте системы менеджмента или другом нормативном документе), любыми применимыми законодательными требованиями, обязанностями, компетентностью персонала, операциями, процедурами, данными о показателях работы и результатами и заключениями внутренних аудитов.
9.2.4 Заключения по результатам первичного сертификационного аудита
Аудиторская группа должна проанализировать всю собранную в ходе первого и второго этапов аудита информацию и свидетельства аудита, для того чтобы провести анализ его результатов и согласовать заключения аудита.
9.2.5 Информация, необходимая для предоставления сертификата при первичной сертификации
9.2.5.1 Для решения вопроса о выдаче сертификата аудиторская группа должна предоставить в организацию по сертификации информацию в составе как минимум:
- отчетов по аудиту;
- сообщений о несоответствиях и, если применимо, предпринятых клиентом коррекциях и корректирующих действиях;
- подтверждения информации, предоставленной организации по сертификации и использованной при рассмотрении заявления (см. 9.2.2);
- рекомендации о том, выдавать или нет сертификат, одновременно с любыми условиями или замечаниями.
9.2.5.2 Организация по сертификации должна принимать решение о выдаче сертификата на основании оценки результатов и заключений аудита, а также любой другой имеющей отношение к вопросу информации (например, общедоступной информации, комментариях клиента относительно аудиторского отчета).
9.3 Надзорная работа
9.3.1 Общие положения
9.3.1.1 Организация по сертификации должна строить свою надзорную работу таким образом, чтобы обеспечить регулярный мониторинг репрезентативных областей и функций, входящих в область применения системы менеджмента, с учетом изменений, происходящих у сертифицированного клиента и в его системе менеджмента.
9.3.1.2 В состав надзорной работы должны входить аудиты на местах, призванные оценить выполнение системой менеджмента сертифицированного клиента установленных требований относительно стандарта, в соответствии с которым была предоставлена сертификация. Прочие действия в рамках надзорной работы могут включать:
а) запросы, направляемые организацией по сертификации в адрес сертифицированного клиента по различным аспектам сертификации;
б) рассмотрение любых утверждений клиента о своей деятельности (например, рекламных материалов, веб-сайта);
в) запросы в адрес клиента о предоставлении документов и записей (на бумажных или электронных носителях);
г) другие средства мониторинга работы сертифицированного клиента.
9.3.2 Надзорный аудит
9.3.2.1 Надзорный аудит - это аудит на местах, но не обязательно полный аудит всей системы. Надзорные аудиты должны планировать совместно с прочей надзорной работой, чтобы позволить организации по сертификации сохранять уверенность в том, что сертифицированная система менеджмента продолжает выполнять требования в промежутках между проведением ресертификационных аудитов. В состав программы надзорного аудита должны входить как минимум:
а) внутренние аудиты и анализ со стороны руководства;
б) анализ действий, предпринятых в отношении несоответствий, выявленных в ходе предыдущего аудита;
в) работа с жалобами;
г) результативность системы менеджмента относительно достижения сертифицированным клиентом своих целей;
д) успешность выполнения запланированных действий, нацеленных на непрерывное улучшение;
е) постоянный операционный контроль;
ж) анализ любых изменений;
з) использование знаков и/или любого другого указания на сертификацию.
9.3.2.2 Надзорные аудиты должны проводить не реже одного раза в год. Первый надзорный аудит, следующий за первичной сертификацией, должен состояться не позднее 12 мес с даты последнего дня второго этапа аудита.
9.3.3 Сохранение сертификации в силе
Организация по сертификации оставляет сертификацию в силе, если клиент продемонстрировал, что продолжает удовлетворять требованиям стандарта системы менеджмента. Организация по сертификации может оставить сертификацию клиента в силе на основании положительного заключения руководителя аудиторской группы без дальнейшего независимого анализа при условии, что:
а) в отношении любого несоответствия или иной ситуации, которая может вести к приостановке или отзыву сертификата, в организации по сертификации имеется система, требующая от руководителя аудиторской группы сообщать в организации по сертификации о необходимости начала персоналом соответствующей компетентности (см. 7.2.9), не участвовавшим в проведении аудита, анализа в целях выяснения, возможно ли сохранение сертификации в силе;
б) надзорную деятельность организации по сертификации контролирует его компетентный персонал, что включает в себя мониторинг аудиторских отчетов с целью подтверждения результативного ведения сертификационной деятельности.
9.4 Ресертификация
9.4.1 Планирование ресертификационного аудита
9.4.1.1 Ресертификационный аудит должны планировать и проводить для оценки того, что клиент продолжает выполнять все требования соответствующего стандарта системы менеджмента или другого нормативного документа. Ресертификационный аудит призван подтвердить, что вся система менеджмента как единое целое сохраняет свое соответствие и результативность, оставаясь актуальной и применимой к области сертификации.
9.4.1.2 Ресертификационный аудит призван рассмотреть работу системы менеджмента на протяжении периода сертификации, включая анализ отчетов предшествующих ему надзорных аудитов.
9.4.1.3 Возможно, что работа в рамках ресертификационного аудита потребует проведения первого этапа аудита в тех случаях, где система менеджмента, сам клиент или контекст функционирования его системы менеджмента (например, законодательство) претерпели существенные изменения.
9.4.1.4 В том случае, если организация по сертификации сертифицирует несколько объектов или проводит сертификацию сразу по нескольким стандартам системы менеджмента, планирование аудита должно обеспечить адекватный охват при аудите на местах, чтобы гарантировать уверенность в сертификации.
9.4.2 Ресертификационный аудит
9.4.2.1 Ресертификационный аудит должен включать аудит на тех местах, где рассматривают следующие вопросы:
а) результативность всей системы менеджмента как единого целого в свете внутренних и внешних изменений и ее постоянная адекватность и применимость относительно области сертификации;
б) демонстрируемая приверженность поддержанию результативности и работе над улучшением системы менеджмента с целью повышения общих показателей работы;
в) вносит ли работа сертифицированной системы менеджмента вклад в реализацию политики организации и ее целей.
9.4.2.2 При выявлении в ходе ресертификационного аудита случаев несоответствия или отсутствия свидетельств соответствия организация по сертификации должна определить сроки для проведения коррекции и корректирующих действий до момента истечения срока действия сертификата.
9.4.3 Информация, необходимая для положительного решения вопроса о ресертификации
Решения о возобновлении сертификата должны приниматься организацией по сертификации на основании результатов ресертификационного аудита, а также результатов анализа системы на протяжении периода действия сертификата и жалоб, полученных от пользователей сертификации.
9.5 Специальные аудиты
9.5.1 Расширение области применения
В ответ на заявление о расширении области в отношении уже полученной сертификации организация по сертификации должна проанализировать заявление и определиться с принятием аудиторских действий, необходимых для решения вопроса о том, возможно или нет санкционировать расширение области сертификации. Подобная работа может быть приурочена к проведению надзорного аудита.
9.5.2 Аудит без заблаговременного уведомления
Организации по сертификации может потребоваться провести аудит сертифицированных клиентов без заблаговременного предупреждения с целью рассмотрения жалоб (см. 9.8) в ответ на изменения (см. 8.6.3) либо в качестве последующей работы в отношении клиентов с приостановленным сертификатом (см. 9.6). В таких случаях:
а) организация по сертификации должна описать и заранее сообщить сертифицированным клиентам (например, в документах, приведенных в 8.6.1) условия, в соответствии с которыми будут проводиться такие аудиты без заблаговременного уведомления;
б) организация по сертификации должна уделять особое внимание назначениям в составе аудиторской группы из-за отсутствия у клиента возможности возразить против кого-либо из ее членов.
9.6 Приостановка или отзыв сертификата и сужение области сертификации
9.6.1 Организация по сертификации должна иметь политику и документально оформленную(ые) процедуру(ы) приостановки или изъятия сертификата или сужения области сертификации, а также указывать осуществляемые им последующие действия.
9.6.2 Организация по сертификации должна приостановить действие сертификата в тех случаях, когда:
- сертифицированная система менеджмента клиента не выполняет или оказалась существенно не в состоянии выполнить сертификационные требования, включая требования к результативности системы менеджмента;
- сертифицированный клиент не позволил проведение надзорных либо ресертификационных аудитов с требуемой частотой;
- сертифицированный клиент добровольно запросил приостановить действие сертификата.
9.6.3 При приостановке сертификат системы менеджмента клиента временно считается недействительным. Организация по сертификации должна иметь исполнимые в обязательном порядке договоренности со своими клиентами, гарантирующие, что в случае приостановки сертификата клиент воздерживается от дальнейшей рекламы своей сертификации. Организация по сертификации должна сделать общественно доступной информацию о приостановленном статусе сертификации (см. 8.1.3) и предпринять любые другие меры, которые она сочтет соответствующими.
9.6.4 В том случае, если проблемы, приведшие к приостановке действия сертификата, не удастся разрешить в течение установленного организацией по сертификации времени, сертификат либо отзывается, либо сужается область сертификации.
Примечание - Для большинства случаев приостановка не превышает 6 мес.
9.6.5 Организация по сертификации должна сузить область сертификации клиента, для того чтобы исключить части, не отвечающие требованиям, в тех случаях, когда клиент не выполняет или оказался не в состоянии выполнить сертификационные требования в отношении этих частей области сертификации. Любое подобное сужение должно соответствовать требованиям использованного при сертификации стандарта.
9.6.6 Организация по сертификации должна иметь со своими клиентами исполнимые в обязательном порядке договоренности касательно отзыва сертификата (см. 8.4.3.), гарантирующие, что после получения уведомления об отзыве сертификата клиент прекращает использование любых рекламных материалов, в которых упомянут сертифицированный статус.
9.6.7 При получении запроса от любой стороны организация по сертификации должна назвать истинный статус сертификации системы менеджмента своего клиента, как то: приостановленный, отозванный или суженный.
9.7 Апелляции
9.7.1 В организации по сертификации должен существовать документально оформленный процесс получения и оценки апелляций и принятия решений по ним.
9.7.2 Описание процесса рассмотрения апелляций должно быть общедоступно.
9.7.3 Организация по сертификации несет ответственность за все решения, принимаемые на любом из уровней процесса работы с апелляциями. Организация по сертификации должна гарантировать, что лица, участвующие в процессе рассмотрения апелляций, не были задействованы в проведении данного аудита и принятии сертификационного решения.
9.7.4 Подача, рассмотрение и принятие решений по апелляциям не должны приводить к актам дискриминации в отношении подателя апелляции.
9.7.5 Процесс работы с апелляциями должен включать как минимум следующие элементы и методы:
а) общий порядок процесса получения, признания достоверности (валидации) и расследования апелляции, а также принятия решений в отношении ответных действий с учетом результатов предыдущих подобных апелляций;
б) отслеживание и регистрация апелляций, в том числе и действий, предпринятых для их разрешения;
в) обеспечение проведения любых соответствующих коррекций и корректирующих действий.
9.7.6 Организация по сертификации должна подтвердить получение апелляции и сообщать подателю апелляции о ходе работы и достигнутом результате.
9.7.7 Решение, сообщаемое подателю апелляции, должно приниматься (или рассматриваться и утверждаться) лицом(ами), ранее не задействованным(и) в предмете апелляции.
9.7.8 Организация по сертификации должна направить подателю апелляции официальное уведомление об окончании процесса рассмотрения апелляции.
9.8 Жалобы
9.8.1 Описание процесса рассмотрения жалоб должно быть общедоступно.
9.8.2 Получив жалобу, организация по сертификации должна подтвердить, касается ли жалоба сертификационных действий, за которые она отвечает, и если да, то начать с ней работу. Если жалоба касается сертифицированного клиента, то при проверке жалобы должна рассматриваться результативность его сертифицированной системы менеджмента.
9.8.3 Любая жалоба в отношении сертифицированного клиента также должна своевременно направляться организации по сертификации в адрес данного сертифицированного клиента.
9.8.4 В организации по сертификации должен существовать документально оформленный процесс получения и оценки жалоб и принятия решений по ним. Данный процесс должен учитывать требования конфиденциальности как в отношении подателя жалобы, так и ее предмета.
9.8.5 Процесс работы с жалобами должен включать как минимум следующие элементы и методы:
а) общий порядок процесса получения, признания достоверности и расследования жалобы, а также принятия решений в отношении ответных действий;
б) отслеживание и регистрацию жалоб, в том числе и действий, предпринятых в качестве реагирования на них;
в) обеспечение проведения любых соответствующих коррекций и корректирующих действий.
Примечание - ГОСТ Р ИСО 10002 содержит руководящие указания по работе с жалобами.
9.8.6 Получив жалобу, организация по сертификации должна собрать и проверить всю необходимую для подтверждения обоснованности жалобы информацию.
9.8.7 Всегда, когда это возможно, организация по сертификации должна подтвердить получение жалобы и сообщать подателю жалобы о ходе работы и достигнутом результате.
9.8.8 Решение, сообщаемое подателю жалобы, должно приниматься (или рассматриваться и утверждаться) лицом(ами), ранее не задействованным(и) в предмете жалобы.
9.8.9 Всегда, когда это возможно, организация по сертификации должна направлять подателю жалобы официальное уведомление об окончании процесса рассмотрения жалобы.
9.8.10 Организация по сертификации должна совместно с клиентом и подателем жалобы определить, будут ли предмет жалобы и принятое по ней решение обнародованы, и если да, то в какой степени.
9.9 Записи в отношении заявителей и клиентов
9.9.1 Организация по сертификации должна вести записи по аудитам и другим сертификационным действиям в отношении всех своих клиентов, в том числе: по всем организациям, подавшим заявления, всем проверенным и сертифицированным организациям, по всем организациям с приостановленным или отозванным сертификатом.
9.9.2 В состав записей по сертифицированным клиентам должны входить:
а) информация заявителя, а также отчеты о первоначальном, надзорном и ресертификационном аудитах;
б) договор на проведение сертификации;
в) обоснование использованной для выборки методологии;
г) обоснование при определении аудитовремени (см. 9.1.4);
д) верификация коррекции и корректирующих действий;
е) записи в отношении жалоб и апелляций, а также любой последовавшей коррекции или корректирующих действий;
ж) обсуждения в рамках комиссии и принятые ею решения (если применимо);
з) документация решений о сертификации;
и) сертификационные документы, включая область сертификации применительно к продукции, процессу или услуге, в соответствии с применимым;
к) соответствующие записи, необходимые для обеспечения уверенности в полученной сертификации, как то: доказательства компетентности аудиторов и технических экспертов.
Примечание - Методология выборки включает выборку, использованную для оценки конкретной системы менеджмента и/или выбора объектов в случае аудита организации, размещающейся на нескольких площадках.
9.9.3 Организация по сертификации должна обеспечить безопасность ведущихся записей по заявителям и клиентам в целях сохранения конфиденциальности информации. Записи следует транспортировать, пересылать или передавать таким образом, чтобы обеспечить сохранение их конфиденциальности.
9.9.4 В организации по сертификации должна существовать документально оформленная политика и документально оформленные процедуры по тому, какие записи организации оставляет у себя. Записи должны храниться на протяжении текущего цикла сертификации плюс один полный цикл сертификации.
Примечание - В некоторых юрисдикциях законом предусмотрены более длительные сроки хранения записей.
10 Требования системы менеджмента для организации по сертификации
10.1 Варианты требований к системе менеджмента
Организация по сертификации должна внедрить и поддерживать в рабочем состоянии систему менеджмента, способную соответствовать требованиям настоящего стандарта и продемонстрировать стабильное их выполнение. В дополнение к выполнению требований, изложенных в разделах 5-9, организация по сертификации должна внедрить систему менеджмента, соответствующую одному из нижеперечисленного:
а) требованиям системы менеджмента в соответствии с ГОСТ Р ИСО 9001;
б) общим требованиям к системе менеджмента.
10.2 Требования к системе менеджмента в соответствии с ГОСТ Р ИСО 9001
10.2.1 Общие положения
Организация по сертификации должна внедрить и поддерживать в рабочем состоянии систему менеджмента, соответствующую требованиям ГОСТ Р ИСО 9001, которая способна обеспечить требования настоящего стандарта (усиленного 10.2.2-10.2.5) и продемонстрировать их стабильное выполнение.
10.2.2 Область применения
При применении требований ГОСТ Р ИСО 9001 в область применения системы менеджмента организации по сертификации должны быть включены проектирование и разработка требований к предлагаемым им сертификационным услугам.
10.2.3 Направленность на потребителя
При применении требований ГОСТ Р ИСО 9001 при разработке своей системы менеджмента организация по сертификации должна учитывать доверие к сертификации и рассматривать потребности всех сторон (в соответствии с указанным в 4.1.2), полагающихся на проводимый ею аудит и сертификационные услуги, а не только своих клиентов.
10.2.4 Анализ со стороны руководства
При применении требований ГОСТ Р ИСО 9001 в качестве входных данных для анализа со стороны руководства организации по сертификации должна быть включена информация по соответствующим апелляциям и жалобам, поступившим от пользователей сертификационных мероприятий.
10.2.5 Проектирование и разработка
При применении требований ГОСТ Р ИСО 9001 при разработке новой схемы сертификации системы менеджмента или адаптации существующей схемы к особым обстоятельствам организация по сертификации должна обеспечить включение в качестве входных данных руководящих указаний, содержащихся в ГОСТ Р ИСО 19011, применимых к ситуациям оценки третьей стороной.
10.3 Общие требования к системе менеджмента
10.3.1 Общие положения
Организация по сертификации должна разработать, документально оформить, внедрить, поддерживать в рабочем состоянии систему менеджмента, способную обеспечить требования настоящего стандарта и продемонстрировать их стабильное выполнение.
Руководство организации по сертификации должно разработать и документально оформить политику и цели работы организации по сертификации. Руководство должно представить доказательства своей приверженности разработке и внедрению системы менеджмента в соответствии с требованиями настоящего стандарта. Руководство должно гарантировать, что политика понимается, внедрена и проводится на всех уровнях организации по сертификации.
Руководство организации по сертификации должно назначить члена руководства, который, независимо от других возложенных на него обязанностей, должен нести ответственность и иметь полномочия, включающие:
- обеспечение разработки, внедрения и поддержания в рабочем состоянии процессов и процедур, необходимых для системы менеджмента;
- предоставление отчета руководству о работе системы менеджмента и о любой необходимости ее улучшения.
10.3.2 Руководство по системе менеджмента
Все применимые требования настоящего стандарта должны рассматриваться либо в руководстве по системе менеджмента, либо в связанных с ним документах. Организация по сертификации должна обеспечить доступность такого руководства и соответствующих, прилагающихся к нему документов всему персоналу.
10.3.3 Управление документами
Организация по сертификации должна установить процедуры, позволяющие управлять документами (внутренними и внешними), касающимися соблюдения настоящего стандарта. Процедуры должны определять необходимые меры контроля:
а) утверждение документов на адекватность до их выпуска;
б) анализ и актуализацию по мере необходимости, а также переутверждение (т.е. повторное одобрение) документов;
в) обеспечение идентификации изменений и текущего статуса пересмотра документов;
г) обеспечение доступности в местах использования соответствующих версий применяемых документов;
д) обеспечение сохранения документов четкими и легко идентифицируемыми;
е) обеспечение идентификации документов внешнего происхождения и управления процессами их распространения;
ж) предупреждение непреднамеренного использования устаревших документов и использование подходящей формы их идентификации, если эти документы оставлены для каких-либо целей.
Примечание - Документация может существовать в любой форме и на любом типе носителя.
10.3.4 Управление записями
Организация по сертификации должна разработать процедуры, устанавливающие необходимые меры контроля для идентификации, хранения, защиты, извлечения, сроков хранения и уничтожения записей, связанных с выполнением настоящего стандарта.
Организация по сертификации должна разработать процедуры по хранению записей на период, согласующийся с его договорными и юридическими обязательствами. Доступ к подобным записям должен соответствовать мерам по обеспечению конфиденциальности.
Примечание - Касательно записей по сертифицированным клиентам см. также 9.9.
10.3.5 Анализ со стороны руководства
10.3.5.1 Общие положения
Руководство организации по сертификации должно учредить процедуры для анализа своей системы менеджмента через запланированные промежутки времени, чтобы гарантировать ее постоянную пригодность, адекватность и результативность, что касается в том числе и заявленных политики и целей, связанных с выполнением настоящего стандарта. Такой анализ должен проводиться не реже одного раза в год.
10.3.5.2 Входные данные для анализа
Входные данные анализа со стороны руководства должны включать следующую информацию:
а) результаты внутренних и внешних аудитов;
б) обратную связь от клиентов и заинтересованных сторон относительно выполнения настоящего стандарта;
в) обратную связь от комиссии, стоящей на защите объективности;
г) статус предупреждающих и корректирующих действий;
д) действия, предпринятые после проведения предыдущих анализов со стороны руководства;
е) достижение целей;
ж) изменения, которые могли затронуть систему менеджмента;
з) апелляции и жалобы.
10.3.5.3 Выходные данные для анализа
Выходные данные для анализа со стороны руководства должны включать решения и действия, имеющие отношение:
а) к улучшению результативности системы менеджмента и ее процессов;
б) улучшению сертификационных услуг, связанных с выполнением настоящего стандарта;
в) ресурсным потребностям.
10.3.6 Внутренние аудиты
10.3.6.1 Организация по сертификации должна учредить процедуры проведения внутренних аудитов в целях подтверждения того, что она выполняет требования настоящего стандарта и что система менеджмента результативно внедрена и поддерживается в рабочем состоянии.
Примечание - В ГОСТ Р ИСО 19011 содержатся руководящие указания по проведению внутренних аудитов.
10.3.6.2 Программу аудитов должны планировать с учетом важности процессов и сфер деятельности, подлежащих проверке, а также с учетом результатов предыдущих аудитов.
10.3.6.3 Внутренние аудиты должны проводить не реже одного раза в 12 мес. Частота проведения внутренних аудитов может быть уменьшена, если организация сумеет продемонстрировать, что ее система менеджмента продолжает оставаться результативно внедренной согласно настоящему стандарту и доказала свою стабильность.
10.3.6.4 Организация по сертификации обязана обеспечить, чтобы:
а) внутренние аудиты выполнялись квалифицированным персоналом, хорошо знакомым с вопросами сертификации, аудита и требованиями настоящего стандарта;
б) аудиторы не проводили аудит собственной работы;
в) персонал, ответственный за проверяемую область, информировали о результатах проведенного аудита;
г) своевременно и соответствующим образом проводились действия, следующие из внутренних аудитов;
д) идентифицировались любые возможности для проведения улучшений.
10.3.7 Корректирующие действия
Организация по сертификации должна установить процедуры для идентификации и управления несоответствиями в своей деятельности. Там, где это необходимо, организация по сертификации должна предпринимать действия для устранения причин несоответствий, чтобы предупредить их повторное появление. Корректирующие действия должны соответствовать воздействию выявленных проблем. В таких процедурах должны быть определены требования:
а) по выявлению несоответствий (например, на основании жалоб и внутренних аудитов);
б) определению причин несоответствия;
в) исправлению несоответствий;
г) оценке необходимости действий, гарантирующих исключение появления повторных несоответствий;
д) определению и своевременному осуществлению необходимых действий;
е) записям результатов предпринятых действий;
ж) анализу результативности корректирующих действий.
10.3.8 Предупреждающие действия
Организация по сертификации должна установить процедуры для проведения предупреждающих действий, чтобы устранить причины потенциальных несоответствий. Предпринятые предупреждающие действия должны соответствовать возможному воздействию потенциальных проблем. В процедурах предупреждающих действий должны определяться требования:
а) по выявлению потенциальных несоответствий и их причин;
б) оценке потребности в действии по предупреждению возникновения несоответствий;
в) определению и осуществлению необходимого действия;
г) записи результатов предпринятых действий;
д) анализу результативности предпринятых предупреждающих действий.
Примечание - Обязательно разделять процедуры для корректирующих и предупреждающих действий.
УДК 629.735.083:006.354 | ОКС 03.220.50 |
Ключевые слова: система управления безопасностью, обеспечение безопасности, определение соответствия, сертификация |
Электронный текст документа
и сверен по:
, 2020