ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ
ГОСТ Р 70508— 2022
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Оценка соответствия
АУДИТ И СЕРТИФИКАЦИЯ СИСТЕМЫ МЕНЕДЖМЕНТА ОРГАНИЗАЦИЙ, ИМЕЮЩИХ НЕСКОЛЬКО МЕСТ ОСУЩЕСТВЛЕНИЯ ДЕЯТЕЛЬНОСТИ
Издание официальное
Москва Российский институт стандартизации 2022
Предисловие
1 ПОДГОТОВЛЕН Ассоциацией по сертификации «Русский Регистр» (Ассоциация «Русский Регистр») на основе официального перевода на русский язык англоязычной версии указанного в пункте 4 документа, который выполнен Федеральным автономным учреждением «Национальный институт аккредитации» (ФАУ НИА)
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 079 «Оценка соответствия»
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 30 ноября 2022 г. № 1420-ст
4 Настоящий стандарт идентичен международному документу IAF MD 1:2018 «Обязательный документ IAF для аудита и сертификации системы менеджмента организаций, имеющих несколько мест осуществления деятельности» (IAF MD 1:2018 «IAF Mandatory Document for the Audit and certification of a management system operated by a multi-site organization», IDT).
Наименование настоящего стандарта изменено относительно наименования указанного международного документа для приведения в соответствие с ГОСТ Р 1.5—2012 (пункт 3.5)
5 ВВЕДЕН ВПЕРВЫЕ
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)
© Оформление. ФГБУ «Институт стандартизации», 2022
Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии
Введение
Международный форум по аккредитации (International Accreditation Forum, Inc. [IAF]) способствует торговле и оказывает поддержку регулирующим органам за счет международной системы взаимного признания среди органов по аккредитации (ОА), практикуемой для обеспечения всемирного признания результатов, выданных органами по оценке соответствия (ООС), которые имеют аккредитацию членов IAF.
Аккредитация снижает уровень риска для бизнеса и его клиентов, гарантируя им, что аккредитованные органы по оценке соответствия (ООС) компетентны в выполняемой ими деятельности в рамках своей области аккредитации. Органы по аккредитации (ОА), которые являются членами IAF, и аккредитованные ими органы по оценке соответствия (ООС) должны соблюдать требования соответствующих международных стандартов и применимых обязательных документов IAF для последовательного применения этих стандартов.
Органы по аккредитации, являющиеся членами Многостороннего соглашения о признании IAF (MLA), регулярно проходят равноправную оценку назначенной группой экспертов, чтобы гарантировать уверенность в функционировании их программ аккредитации. Структура и область IAF MLA подробно описаны в документе IAF PR 4 «Структура IAF MLA и перечень одобренных нормативных документов».
IAF MLA структурировано по 5 уровням. Уровень 1 устанавливает обязательные критерии, применимые ко всем ОА, ISO/IEC 17011. Сочетание видов деятельности уровня 2 и соответствующих нормативных документов уровня 3 является основной областью MLA, а сочетание соответствующих нормативных документов уровня 4 (если применимо) и уровня 5 представляет собой подобласть MLA.
Основная область MLA включает в себя такие виды деятельности, как сертификация продукции, и соответствующие обязательные документы, например ИСО/МЭК 17065. Аттестации, проведенные ООС на уровне основной области, считаются одинаково надежными.
Подобласть MLA включает в себя требования к оценке соответствия, например ИСО 9001 и специальные требования схемы, где применимо, например, ISO TS 22003. Аттестации, проведенные ООС на уровне подобласти, считаются эквивалентными.
IAF MLA придает уверенность, необходимую для признания результатов оценки соответствия на рынке. Аттестация, выданная в рамках области IAF MLA органом, аккредитованным органами по аккредитации, являющимися участниками IAF MLA, может иметь мировое признание, что таким образом способствует развитию международной торговли.
Настоящий стандарт предназначен для аудита и (при необходимости) сертификации систем менеджмента организаций, включающих несколько мест осуществления деятельности (далее — организация, имеющая несколько мест) при наличии единой системы менеджмента. В зависимости от схемы сертификации могут существовать конкретные требования относительно возможности выборки, в частности выборки мест. Цель настоящего стандарта заключается в том, чтобы аудит обеспечивал достаточную степень уверенности в применении системы менеджмента согласно соответствующему стандарту на всех местах, перечисленных в сертификационном документе, и чтобы аудит был реальным и осуществимым в экономическом и оперативном плане.
Настоящий стандарт предназначен для применения в отношении организаций, имеющих несколько мест, отвечающих изложенным ниже критериям. Он связан с другими обязательными документами IAF, в частности IAF MD 5: «Определение времени аудита систем менеджмента качества и систем экологического менеджмента».
Предполагается, что при сертификации организаций, имеющих одно место осуществления деятельности, будет далее использоваться IAF MD 5, но в случае любого противоречия между MD 1 и MD 5 для организаций, имеющих несколько мест, требования MD 1 будут иметь приоритет до пересмотра MD 5.
В настоящем стандарте используются следующие термины к обязательным документам IAF:
«следует» — использован, чтобы указать признанные методы выполнения требований стандарта. ООС может удовлетворять этим требованиям равноценным способом при условии, что это может быть продемонстрировано органу по аккредитации;
«должен» — использован в стандарте, чтобы указать те положения, которые, отражая требования стандарта, являются обязательными.
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Оценка соответствия
АУДИТ И СЕРТИФИКАЦИЯ СИСТЕМЫ МЕНЕДЖМЕНТА ОРГАНИЗАЦИЙ, ИМЕЮЩИХ НЕСКОЛЬКО МЕСТ ОСУЩЕСТВЛЕНИЯ ДЕЯТЕЛЬНОСТИ
Conformity assessment.
Audit and certification of a management system operated by a multi-site organization
Дата введения — 2023—01—01
1 Область применения
Настоящий стандарт является обязательным для органов по сертификации систем менеджмента для последовательного применения раздела 9 стандарта ИСО/МЭК 17021-1:2015 «Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 1. Требования» во всех случаях, кроме обозначенных в документации схем, которые предполагают проведение аудита и сертификации систем менеджмента, используемых организациями, имеющими несколько мест при наличии единой системы менеджмента. Все пункты стандарта ИСО/МЭК 17021-1:2015 остаются в силе, при этом настоящий стандарт не заменяет собой никакие требования указанного стандарта.
Примечание — Единая система менеджмента может удовлетворять требованиям нескольких стандартов систем менеджмента.
Однако соответствующие схемы или стандарты могут также предусматривать конкретные требования по аудиту и сертификации организаций, имеющих несколько мест (например: ИСО/МЭК 27006 «Информационные технологии. Методы и средства обеспечения безопасности. Требования корганам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности», ISO/ TS 22003 «Системы менеджмента безопасности пищевых продуктов. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента безопасности пищевых продуктов», ИСО 50003 «Системы энергетического менеджмента. Требования к органам, проводящим аудит и сертификацию систем энергетического менеджмента»). В этих случаях определенные требования имеют приоритет относительно соответствующих требований настоящего стандарта.
Настоящий стандарт не охватывает организации, имеющие несколько мест, где в рамках организации функционирует несколько систем менеджмента, когда каждое место рассматривается как организация, имеющая одно место, и требует проведения соответствующего аудита.
Настоящий стандарт не подходит для применения в ситуациях, когда независимые организации объединяются с другой независимой организацией (например, консалтинговой компанией или искусственной организацией) в рамках единой системы менеджмента.
2 Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями:
2.1 организация (organization): Лицо или группа лиц, которые имеют собственные функции, обязанности, полномочия и отношения для достижения своих целей.
[Источник: определение 3.1 из приложения SL к директивам ИСО/МЭК]
2.2 постоянное место (permanent site): Место (физическое или виртуальное), где организация заказчика осуществляет работы или откуда оказывает услуги на постоянной основе.
Издание официальное
[Источник: адаптация стандарта ISO/IEC TS 17023:2013 «Оценка соответствия. Руководящие указания по определению продолжительности сертификации систем менеджмента»]
2.3 временное место (temporary site): Место (физическое или виртуальное), где организация заказчика осуществляет определенные работы или откуда оказывает услуги на временной основе, и которое не предназначено для использования в качестве постоянного объекта.
[Источник: ISO/IEC TS 17023:2013]
2.4 организация, имеющая несколько мест (multi-site organization): Организация, охватываемая единой системой менеджмента, включающая определенное центральное подразделение (не обязательно штаб-квартиру организации), где осуществляются планирование и управление конкретными процессами/видами деятельности, и несколько мест (постоянных, временных или виртуальных), где полностью или частично осуществляются такие процессы/виды деятельности.
2.5 центральное подразделение (central function): Подразделение, ответственное за систему менеджмента и осуществляющее централизованное управление (см. раздел 5).
2.6 виртуальное место (virtual site): Виртуальное место, в котором организация заказчика выполняет работу или предоставляет услугу с использованием интерактивной среды, которая позволяет лицам осуществлять процессы независимо от физического местоположения.
Примечания
1 Место не может считаться виртуальным в том случае, если процессы должны выполняться в физической среде (например, складирование, физические испытательные лаборатории, установка или ремонт физической продукции).
2 Примером такого виртуального места является проектно-конструкторская организация, все сотрудники которой выполняют работу удаленно, работая в облачной среде.
3 Виртуальное место (например, внутренняя сеть организации) считается единым объектом при расчете времени аудита.
4 Для получения дополнительной информации см. также IAF MD 4: «Применение информационно-коммуникационных технологий (ИКТ) в целях аудита/оценки».
2 .7 подобласть (sub-scope): область отдельного объекта.
Примечание — Область отдельного объекта может совпадать с полной областью организации, имеющей несколько мест, но также может составлять лишь небольшую часть области организации, имеющей несколько мест.
Примечание — Приведенное выше определение термина «подобласть» применяется в целях выполнения требований настоящего стандарта (в отличие от использования термина в разделе «Введение» настоящего стандарта, где «подобласть» указывается в контексте аккредитации, а не сертификации).
2 .8 высшее руководство (top management): Лицо или группа лиц, которые осуществляют руководство и управление организацией на высшем уровне.
[Источник: ИСО 9000:2015]
3 Применение
3.1 Место
3.1.1 Место может включать всю землю, на которой осуществляются процессы/виды деятельности, находящиеся под управлением организации в данном месте, включая любое связанное или сопутствующее хранение сырья, побочных продуктов, промежуточных продуктов, конечных продуктов и отходов, а также любое оборудование или инфраструктуру, используемые в рамках процессов/видов деятельности, независимо от того, являются ли они стационарными или нет. В качестве альтернативы, если этого требует закон, применяются определения согласно национальным или региональным режимам лицензирования.
3.1.2 В тех случаях, когда практически невозможно определить местонахождение (например, при оказании услуг), область действия сертификации должна учитывать как процессы/виды деятельности головного офиса организации, так и предоставляемые услуги. В соответствующих случаях орган по сертификации может принять решение о том, что сертификационный аудит будет проводиться только в том месте, где организация предоставляет свои услуги. В таких случаях все связи с центральным подразделением должны быть идентифицированы и проверены.
3.2 Временное место
3.2.1 Временные места, охватываемые системой менеджмента организации, должны подлежать аудиту на основании выборки для обеспечения доказательства функционирования и результативности системы менеджмента. Тем не менее они могут быть включены в область действия сертификации нескольких мест и в сертификационный документ при условии согласования между органом по сертификации и организацией заказчика. Если временные места указаны в сертификационном документе, такие места должны быть определены как временные.
3.3 Организация, имеющая несколько мест
3.3.1 Организация, имеющая несколько мест, не обязательно должна быть единым юридическим лицом, но все места должны иметь юридическую или договорную связь с центральным подразделением организации и подчиняться единой системе менеджмента, которая устанавливается, реализуется и подлежит постоянному надзору и внутреннему аудиту со стороны центрального подразделения. Это означает, что центральное подразделение имеет право требовать от мест осуществления деятельности выполнения корректирующих действий при необходимости. В соответствующих случаях это оговаривается в рамках соглашений между центральным подразделением и местами.
4 Обоснование предлагаемого подхода
4.1 Настоящий стандарт ориентирован на аудит организации, имеющей несколько мест, с единой системой менеджмента.
4.2 Каждое отдельное место может полностью или частично осуществлять процессы/виды деятельности, относящиеся к области действия системы менеджмента, и различные места могут относиться или не относиться к одному юридическому лицу.
4.3 Любые правовые соображения относительно системы менеджмента организации, распространяющейся на одно юридическое лицо или несколько юридических лиц, как правило, не имеют отношения к аудиту системы менеджмента и, если не указано иное, не рассматриваются в настоящем стандарте.
4.4 Именно система менеджмента организации подлежит аудиту и сертификации; кроме того, по определению аудит системы менеджмента основывается только на ограниченной выборке имеющейся информации. Однако необходимо продемонстрировать, что система менеджмента способна обеспечить желаемые результаты для всех задействованных объектов.
4.5 Поэтому логично начать с рассмотрения организации и структуры системы менеджмента, а также определения подходящего типа выборки, если это целесообразно.
4.6 В случае организации, имеющей несколько мест, где на каждом месте осуществляются очень схожие процессы/виды деятельности, может быть очевидный случай, когда нужно сделать соответствующую «выборку мест» (например, сеть франчайзинговых магазинов или сеть филиалов банка). С другой стороны, в настоящем стандарте также рассматривается ситуация, когда применение метода выборки мест нецелесообразно. Это может быть обусловлено различными причинами, например:
- все места осуществляют значительно различающиеся процессы/виды деятельности в рамках области применения системы менеджмента;
- заказчик требует аудита каждого места; или
- существует отраслевая схема или нормативное требование, предусматривающее, что каждое место требует систематического аудита.
Между этими двумя крайними случаями существуют различные организации, имеющие несколько мест; при этом часть мест выполняет аналогичные процессы/виды деятельности, в то время как другие места занимаются очень специфическими процессами, которые не выполняют другие подразделения организации. Как и в случае любого процесса выборки, надлежащая выборочная проверка мест ограничивает выборку только теми местами, которые выполняют очень похожие процессы/виды деятельности, которые являются частью области деятельности организации.
5 Приемлемость организации с несколькими местами для сертификации
5.1 Организация должна иметь единую систему менеджмента.
5.2 Организация должна определить свое центральное подразделение. Центральное подразделение является частью организации, и его функции не должны передаваться на субподряд внешней организации.
5.3 Центральное подразделение должно обладать организационными полномочиями для определения, создания и обслуживания единой системы менеджмента.
5.4 Единая система менеджмента организации требует централизованного анализа со стороны руководства.
5.5 На все места распространяется программа внутреннего аудита организации.
5.6 Центральное подразделение отвечает за обеспечение сбора и анализа данных со всех мест и должно быть способно продемонстрировать свои полномочия и способность инициировать организационные изменения в соответствии с требованиями, в частности:
1) изменения системы и системной документации;
2) анализ со стороны руководства;
3) жалобы;
4) оценка корректирующих действий;
5) планирование и оценка результатов внутреннего аудита; и
6) законодательные и нормативные требования, относящиеся к применимым стандартам.
Примечание — Функция центрального подразделения заключается в том, что оперативное управление и полномочия со стороны высшего руководства организации распространяются на каждое место. Отсутствуют требования относительно расположения центрального подразделения в одном месте.
6 Методология
6.1 Методология аудита организации, имеющей несколько мест, с использованием выборки мест
6.1.1 Условия
6.1.1.1 Выборочная проверка ряда мест производится в том случае, если места выполняют очень схожие процессы/виды деятельности.
6.1.1.2 Не все организации, соответствующие определению «организация, имеющая несколько мест», подходят для проведения выборочной проверки.
6.1.1.3 Не все стандарты систем менеджмента подходят для использования при сертификации нескольких мест. Например, метод выборки мест не подходит, если стандарт требует аудита переменных локальных факторов. Определенные правила также применяются в отношении некоторых схем, например, в аэрокосмической (серия AS 9100) или автомобильной отрасли (IATF 16949), и требования таких схем имеют преимущественную силу.
6.1.1.4 Органы по сертификации должны иметь задокументированные процедуры ограничения такой выборки в тех случаях, когда выборочная проверка мест нецелесообразна для обеспечения достаточной уверенности в результативности проверяемой системы менеджмента. Такие ограничения определяются органом по сертификации в отношении следующих факторов:
- сектора области применения или процессов/видов деятельности (т. е. на основе оценки рисков или сложности таких секторов или видов деятельности);
- размеров мест осуществления деятельности, подлежащих аудиту нескольких мест;
- различий в региональном внедрении системы менеджмента для работы с различными процес-сами/видами деятельности или различными договорными или регулирующими системами и
- использования временных мест, функционирующих в рамках системы менеджмента организации, даже если они не указаны в сертификационном документе.
6.1.2 Выборка
6.1.2.1 Выборка должна быть частично избирательной на основе факторов, изложенных ниже, и частично случайной и должна обеспечивать проверку репрезентативного диапазона различных мест и гарантировать аудит всех процессов, охватываемых областью сертификации.
6.1.2.2 Не менее 25 % выборки отбирается случайным образом.
6.1.2.3 С учетом изложенных ниже положений остальная часть отбирается таким образом, чтобы различия между местами, отбираемыми в течение срока действия сертификата, были как можно более значительными.
6.1.2.4 При выборе места необходимо учитывать среди прочих следующие аспекты:
- результаты внутренних аудитов места и анализов со стороны руководства либо предыдущего сертификационного аудита;
- отчеты о жалобах и другие соответствующие аспекты корректирующих и предупреждающих действий;
- значительные различия в размерах мест;
- различия в графиках смен и рабочих процедурах;
- сложность системы менеджмента и процессов, выполняемых на местах;
- изменения, внесенные с момента последнего сертификационного аудита;
- зрелость системы менеджмента и знаний организации;
- экологические проблемы и масштабы проблем и соответствующего воздействия на системы экологического менеджмента;
- различия в культуре, языке и нормативных требованиях;
- географическую рассредоточенность;
- постоянный, временный или виртуальный статус мест.
6.1.2.5 Выбор места не обязательно должен быть сделан в начале процесса аудита. Он может быть также сделан после завершения аудита центрального подразделения. В любом случае центральное подразделение необходимо уведомить о включении мест в выборку. Это может быть сделано в относительно короткие сроки, но необходимо предоставить достаточно времени для подготовки к аудиту.
6.1.3 Размер выборки
6.1.3.1 Орган по сертификации должен иметь документированную процедуру определения размера выборки. При этом необходимо учитывать все факторы, описанные в настоящем разделе.
6.1.3.2 Орган по сертификации должен иметь записи по каждой выборке для каждой организации, имеющей несколько мест, с обоснованием применения данного метода в соответствии с настоящим стандартом.
6.1.3.3 Минимальное количество мест для посещения в рамках одного аудита:
- первоначальный аудит: размер выборки вычисляют по формуле
у = 4*, (1)
где у — количество объектов в выборке, округленное до ближайшего целого числа;
х— общее количество мест;
- надзорный аудит: размер ежегодной выборки вычисляют по формуле
у = 0,6л/х, (2)
где у—количество объектов в выборке, округленное до ближайшего целого числа;
х— общее количество мест;
- ресертификационный аудит: размер выборки соответствует размеру выборки при начальном аудите. Тем не менее, если система менеджмента доказала свою результативность в течение цикла сертификации, размер выборки может быть уменьшен до 0,8 и вычисляется по формуле
у = 0,8>/х, (3)
где у—количество объектов в выборке, округленное до ближайшего целого числа;
х— общее количество мест.
6.1.3.4 Центральное подразделение (согласно разделу 5) проходит аудит во время первичной сертификации и каждый аудит при ресертификации, а также не реже одного раза в календарный год в рамках надзора.
6.1.3.5 Размер или частота выборки должны быть увеличены, если анализ риска процессов/видов деятельности, охватываемых сертифицируемой системой менеджмента, проводимый органом по сертификации, указывает на наличие особых обстоятельств в отношении таких факторов, как:
- размер мест и количество сотрудников;
- сложность или уровень риска процесса/деятельности и системы менеджмента;
- изменения в методах работы (например, сменная работа);
- изменения выполняемых процессов/видов деятельности;
- отчеты о жалобах и другие соответствующие аспекты корректирующих и предупреждающих действий;
- любые многонациональные аспекты; и
- результаты внутреннего аудита и анализа со стороны руководства.
6.1.3.6 Если организация имеет иерархическую систему филиалов (например, головной [центральный] офис, национальные офисы, региональные офисы, местные филиалы), то описанная выше модель выборки для первоначального аудита применяется на каждом уровне.
Пример:
1 головной офис: посещение в течение каждого цикла аудита (первоначальный, надзорный или ресертификационный аудит);
4 национальных офиса: размер выборки = 2: минимум 1 офис выбирается случайно;
27 региональных офисов: размер выборки = 6: минимум 2 офиса выбираются случайно;
1 700 местных филиалов: размер выборки = 42: минимум 11 филиалов выбираются случайно.
Выборка региональных офисов должна включать по меньшей мере по одному региональному офису, который находится под управлением каждого из национальных офисов. Выборка местных филиалов должна включать по меньшей мере по одному местному филиалу, который находится под управлением каждого из региональных офисов. Это может привести к тому, что размер выборки на каждом уровне будет превышать минимальный размер выборки, рассчитанный согласно 6.1.3.3.
6 .1.3.7 Процесс выборки является элементом менеджмента программы аудита. В любое время (т. е. до планирования надзорного аудита, или когда какое-либо место организации меняет свою структуру, или в случае приобретения новых мест, которые будут добавлены в область сертификации) орган по сертификации должен пересмотреть выборку, предусмотренную в программе аудита, для определения необходимости в корректировке размера выборки до проведения выборочного аудита с целью поддержания сертификации.
6.1.4 Дополнительные места
6.1.4.1 При получении заявки на включение новых мест или новой группы мест в состав уже сертифицированной организации с несколькими местами орган по сертификации определяет необходимые мероприятия, которые необходимо выполнить до включения нового(ых) места (мест) в область сертификации. Они должны включать решение вопроса о необходимости проведения аудита нового(ых) места (мест). После включения нового(ых) места (мест) в область сертификации определяется размер выборки для будущих надзорных или ресертификационных аудитов.
6.2 Методология аудита организации, имеющей несколько мест, если выборка мест согласно пункту 6.1 нецелесообразна
6.2.1 Программа аудита должна включать первоначальный аудит и ресертификационный аудит всех мест. В рамках надзорного аудита в течение календарного года проверяется 30 % мест с округлением до целого числа. Каждый аудит включает центральное подразделение. Места, выбранные для второго надзорного аудита, обычно отличаются от мест, выбранных для первого надзорного аудита.
6.2.2 Программа аудита должна обеспечивать аудит всех процессов, относящихся к области сертификации, в рамках каждого цикла.
6.2.3 Дополнительные места
При подаче заявки на включение нового места в состав уже сертифицированной организации, имеющей несколько мест осуществления деятельности, оно подлежит аудиту до включения в область сертификации в дополнение к плановому надзору согласно программе аудита. После включения нового места в область сертификации оно добавляется к предыдущим для определения времени аудита для будущих надзорных или ресертификационных аудитов.
6.3 Методология аудита организации, имеющей несколько мест, включающей места, которые подходят для выборки, и другие места, которые не подходят для выборки
Программа аудита должна быть разработана на основе 6.1 для тех мест, которые подходят для выборки мест, и 6.2 — для остальной части организации, где 6.1 не применяется.
7 Аудит и сертификация
Орган по сертификации должен иметь документированные процедуры проведения аудитов в рамках процедуры для нескольких мест. Такие процедуры определяют способ, которым орган по сертификации удостоверяется в том, что единая система менеджмента регулирует процессы/виды деятельности и фактически применяется на всех местах. Орган по сертификации должен обосновать и задокументировать обоснование для применения любого подхода к аудиту и сертификации организации, имеющей несколько мест.
7.1 Заявка и проверка заявки
7.1.1 Орган по сертификации должен получить необходимую информацию об организации-заявителе в следующих целях:
- подтверждения того, что в организации действует единая система менеджмента;
- определения области применения используемой системы менеджмента и запрашиваемой области сертификации, а также, в соответствующих случаях, подобластей;
- понимания юридических и договорных аспектов для каждого места;
- понимания того, «что где происходит», т. е. какие конкретные процессы/виды деятельности осуществляются на каждом месте, и определения центрального подразделения;
- определения степени централизации процессов/видов деятельности, которые выполняются на всех местах (например, закупки);
- определения взаимосвязей между различными местами;
- определения пригодности или непригодности мест для выборки мест (например, при выполнении очень похожих процессов/видов деятельности);
- принятия во внимание других значимых факторов (см. также IAF MD 4, IAF MD 5, IAF MD 11: «Обязательный документ IAF по применению стандарта ИСО/МЭК 17021 для аудита интегрированных систем менеджмента (IMS)», ISO/IEC TS 17023);
- определения времени аудита для организации;
- определения необходимой компетентности группы (групп) аудита и
- определения сложности и масштаба процессов/видов деятельности (например, одного/одной или нескольких), охватываемых системой менеджмента.
7.2 Программа аудита
7.2.1 В дополнение к требованию 9.1.3 стандарта ИСО/МЭК 17021-1:2015 программа аудита должна по крайней мере включать или ссылаться на следующие аспекты:
- процессы/виды деятельности, выполняемые на каждом месте;
- определение тех мест, которые подходят для выборки и которые не подходят для нее; и
- определение мест, которые вошли или не вошли в выборку.
7.2.2 При определении программы аудита орган по сертификации должен выделить достаточное количество дополнительного времени для проведения мероприятий, которые не входят в расчетное время аудита (например, проезд, обмен информацией между членами аудиторской группы, совещания после аудита и т. д.), в связи с особой конфигурацией организации, подлежащей аудиту.
Примечание — Возможно применение методов удаленного аудита при условии, что удаленный аудит целесообразен с учетом характера проверяемых процессов (см. ИСО/МЭК 17021-1 и IAF MD 4).
7.2.3 Если в любой момент привлекаются аудиторские группы, состоящие из более чем одного члена, орган по сертификации совместно с руководителем группы несет ответственность за определение технической компетентности, необходимой для каждой части аудита и для каждого места, и за назначение соответствующих членов группы для каждой части аудита.
7.3 Расчет времени аудита
7.3.1 Организация, отвечающая критериям приемлемости, может состоять из мест, подходящих для выборки, мест не подходящих для выборки, или их комбинации. Время проведения аудита должно быть достаточным для проведения результативного аудита независимо от состава организации.
Если это не исключается конкретными схемами, сокращение времени аудита на каждое отобранное место не должно превышать 50 %.
Например, 30 % — это максимальное сокращение времени аудита, разрешенное IAF MD 5, в то время как 20 % следует рассматривать как максимальное сокращение, разрешенное для процессов единой системы менеджмента, выполняемых центральным подразделением, и любых потенциальных централизованных процессов (например, закупок).
Время проведения аудита на выбранном месте (независимо от того, подходит ли оно для выборки мест согласно 6.1, не подходит согласно 6.2 или требует применения смешанной методологии согласно 6.3), включая элементы центрального подразделения в соответствующих случаях, рассчитывается для каждого места на основе соответствующих документов IAF (например, IAF MD 5 для систем менеджмента качества и систем экологического менеджмента, IAF MD 11 для интегрированных систем менеджмента) и, при необходимости, любых применимых требований к отраслевым схемам расчета человеко-дней.
7.4 План аудита
7.4.1 В дополнение к требованию 9.2.3 стандарта ИСО/МЭК 17021-1:2015 орган по сертификации должен учитывать при подготовке плана аудита по крайней мере следующие факторы:
- область и подобласти сертификации для каждого места;
- стандарт системы менеджмента для каждого места, если рассматривается несколько стандартов систем менеджмента;
- процессы/виды деятельности, подлежащие аудиту;
- время аудита для каждого места; и
- выделенная аудиторская группа.
7.5 Первоначальный аудит: этап 1
В ходе этапа 1 аудиторская группа собирает информацию:
- для подтверждения программы аудита;
- планирования этапа 2 с учетом процессов/видов деятельности, подлежащих аудиту на каждом месте; и
- подтверждения необходимой компетентности аудиторской группы этапа 2.
7.6 Первоначальный аудит: этап 2
По итогам первоначального аудита аудиторская группа должна задокументировать, какие процессы были проверены на каждом посещаемом месте. Эта информация будет использоваться для корректировки программы аудита и планов аудита для последующих надзорных аудитов.
7.7 Несоответствия и сертификация
7.7.1 При обнаружении несоответствий согласно стандарту ИСО/МЭК 17021-1 на любом отдельном месте в ходе внутреннего аудита организации или аудита, проводимого органом по сертификации, проводится анализ для определения возможного влияния на другие места. Поэтому орган по сертификации должен потребовать от организации проведения анализа несоответствий для определения наличия системного несоответствия, применимого к другим местам. При обнаружении такого несоответствия корректирующие действия должны выполняться и контролироваться как в центральном подразделении, так и на отдельных местах, где они были выявлены. Если обнаруживается, что это не так, организация должна быть способна продемонстрировать органу по сертификации обоснование для ограничения своих последующих корректирующих действий.
7.7.2 Орган по сертификации должен требовать подтверждения этих действий и увеличивать частоту выборки и (или) размер выборки до тех пор, пока он не убедится в восстановлении управления.
7.7.3 Если на момент принятия решения на каком-либо месте имеются значительные несоответствия, в сертификации должно быть отказано всей организации, имеющей несколько мест, до подтверждения результативности корректирующих действий на указанных местах.
7.7.4 Недопустимо, чтобы для преодоления препятствия в связи с наличием несоответствия на одном месте в процессе сертификации организация стремилась исключить из области действия «проблемное» место.
7.8 Сертификационные документы
7.8.1 В сертификационном документе должны быть отражены область сертификации и места и (или) юридические лица (если применимо), на которые распространяется сертификация нескольких мест.
7.8.2 Сертификационные документы должны содержать названия и адреса всех мест, с указанием организации, к которой относятся сертификационные документы. Область или иная ссылка на данные документы должна четко указывать на то, что сертифицированные виды деятельности осуществляются на перечисленных местах. Однако если деятельность места составляет только подобласть от области сертификации организации, сертификационный документ должен включать подобласть места. Если временные места указаны в сертификационном документе, такие места должны быть определены как временные.
7.8.3 При выдаче сертификационных документов для отдельного места они должны включать:
- указание на то, что сертифицирована система менеджмента всей организации;
- виды деятельности, осуществляемые этим конкретным местом/юридическим лицом, на которые распространяется данная сертификация;
- прослеживаемость с основным сертификатом, например код; и
- заявление о том, что «срок действия настоящего сертификата зависит от срока действия основного сертификата».
Ни при каких обстоятельствах данный сертификационный документ не может быть выдан на имя места/юридического лица или свидетельствовать о сертификации данного места/юридического лица (сертифицированной является организация заказчика), а также не должен содержать заявлений о соответствии процессов/видов деятельности места нормативному документу.
7.8.4 Сертификационный документ подлежит отмене в полном объеме, если какое-либо место не выполнит необходимые условия для поддержания сертификации.
7.9 Надзорные аудиты
7.9.1 Надзорные аудиты организаций, имеющих несколько мест, которые могут подлежать выборке, должны осуществляться в соответствии с 6.1. Время аудита для каждого места рассчитывается согласно 7.3.
7.9.2 Надзорные аудиты организаций, имеющих несколько мест, где невозможна выборка мест согласно 6.1, основаны на аудите 30 % мест плюс центральное подразделение. Места, выбранные для второго надзорного аудита в рамках цикла сертификации, обычно не должны включать места, которые были выбраны во время первого надзорного аудита. Время аудита для каждого места рассчитывается согласно 7.3.
7.10 Ресертификационные аудиты
7.10.1 Ресертификационный аудит организаций, имеющих несколько мест, которые могут подлежать выборке, проводится в соответствии с 6.1. Время аудита для каждого места рассчитывается согласно 7.3.
7.10.2 Ресертификационный аудит организаций, имеющих несколько мест, где невозможна выборка мест, проводится в формате первичного аудита, т. е. аудита всех мест плюс центральное подразделение. Время аудита для каждого места и центрального подразделения рассчитывается согласно 7.3.
УДК 658.562:006:354 ОКС 03.120.20
Ключевые слова: сертификация, система менеджмента, органы по сертификации, сертификаты на системы менеджмента, аккредитованные органы по сертификации
Редактор В.Н. Шмельков Технический редактор В.Н. Прусакова Корректор Л. С. Лысенко Компьютерная верстка И.А. Налейкиной
Сдано в набор 08.12.2022. Подписано в печать 23.12.2022. Формат 60x84%. Гарнитура Ариал. Усл. печ. л. 1,86. Уч.-изд. л. 1,64.
Подготовлено на основе электронной версии, предоставленной разработчиком стандарта
Создано в единичном исполнении в ФГБУ «Институт стандартизации» , 117418 Москва, Нахимовский пр-т, д. 31, к. 2.