Оцінка відповідності – згідно ISO/IEC 17021:2011 · рекомендується використовувати стандарт iso/iec 17021:2011 на

ЗАГАЛЬНИЙ ДОКУМЕНТ

ЗД-08.10.20

Оцінка відповідності - Вимоги згідно ISO/IEC 17021:2011 до органів, що

здійснюють аудит і сертифікацію систем менеджменту

НААУ

Редакція 01 від

15.08.2011

Розробив:

В.Богаєвський

Перевірив:

В.Красюк

Сторінка 1

Всього сторінок 52

Національне агентство

з акредитації України

Затверджено

Наказ НААУ

від 15 серпня 2011 р. № 137-Я

Оцінка відповідності – Вимоги

згідно ISO/IEC 17021:2011

до органів, що здійснюють аудит і

сертифікацію систем менеджменту

Оцінка відповідності - Вимоги згідно ISO/IEC 17021 до органів, що здійснюють аудит і сертифікацію систем менеджменту НААУ

ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 2


ВСТУП

Цей документ розроблений і впроваджений Національним агентством з акредитації України

(далі - НААУ) відповідно до ―Політики НААУ щодо впровадження під час акредитації вимог

міжнародних стандартів‖ (ЗД-08.00.11). Документ опрацьований спільно з Технічним комітетом з

акредитації, фаховими організаціями у сфері оцінки відповідності та ООВ.

Цей документ є неофіційним перекладом та носить інформаційний характер, при цьому

рекомендується використовувати стандарт ISO/IEC 17021:2011 на англійській мові.

Документ рекомендований для використання органами з оцінки відповідності, персоналом з

акредитації, працівниками НААУ, іншими зацікавленими сторонами.


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 3


Оцінка відповідності – Вимоги до органів, що здійснюють аудит і сертифікацію систем менеджменту згідно ISO/IEC 17021:2011

1 Сфера застосування Цей міжнародний стандарт містить принципи та вимоги до компетентності, послідовності та неупередженості аудиту та сертифікації систем менеджменту усіх типів (наприклад, систем менеджменту якості або систем екологічного менеджменту) та до органів, що здійснюють таку діяльність. Діяльність органів сертифікації за цим міжнародним стандартом не вимагає охопити сертифікацією усі види систем менеджменту. Сертифікація систем менеджменту (далі названа в даному міжнародному стандарті – «сертифікація») - це діяльність третьої сторони з оцінки відповідності (див. ISO/IEC 17000:2004, 5.5). Таким чином, органи, які здійснюють таку діяльність, є органами оцінки відповідності третьої сторони (далі названі в даному міжнародному стандарті – «орган(и) сертифікації»). ПРИМІТКА 1 Сертифікація систем менеджменту іноді також називають «реєстрацією», а органи

сертифікації іноді називають «реєстраторами». ПРИМІТКА 2 Орган сертифікації може бути державною або не державною установою (який має

або не має регуляторних повноважень). ПРИМІТКА 3 Цей міжнародний стандарт можна використовувати як документ, у якому визначені

критерії для акредитації, взаємної експертної оцінки або інших процесів аудиту.

2 Нормативні посилання Наведені нижче посилання на документи є обов’язковими для застосування цього документа. Для датованих посилань застосовуються тільки видання, на яке посилаються. Для недатованих посилань застосовують останнє видання документу, на яке посилаються (включаючи будь-які поправки). ISO 9000:2005, Quality management systems — Fundamentals and vocabulary ISO/IEC 17000:2004, Conformity assessment — Vocabulary and general principles

3 Терміни та визначення Для цілей цього документа застосовні терміни та визначення понять, що наведені у ISO 9000, ISO/IEC 17000 а також ті, що наведені нижче 3.1 сертифікований клієнт організація, систему менеджменту якої було сертифіковано 3.2 неупередженість фактична та сприймана наявність об’єктивності ПРИМІТКА 1 Об’єктивність означає відсутність конфліктів інтересів або розв’язання їх у такий

спосіб, який не впливає негативно на діяльність органу сертифікації. ПРИМІТКА 2 Іншими корисними терміни, що характеризують неупередженість, є: об'єктивність,

незалежність, звільненість від конфлікту інтересів, звільненість від упередженої думки, відсутність упередженості, нейтральність, чесність, широта поглядів, безпристрасність, відособленість, урівноваженість.


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 4


3.3 консультування щодо систем менеджменту участь у розроблянні, запроваджуванні або підтримуванні системи менеджменту ПРИКЛАДАМИ є:

а) підготування або розробляння настанов, або процедур, та b) надавання конкретних порад, інструкцій або роз’яснень щодо розробляння і запроваджування системи менеджменту.

ПРИМІТКА Організацію навчання і участь як викладача не вважають консультуванням за умови, якщо

курс стосується систем менеджменту або аудиту, його обмежують поданням загальної інформації, яка вільно доступною для громадськості; тобто, викладач не повинен пропонувати організації конкретні рішення.

3.4 сертифікаційний аудит третьою стороною аудит, проведений аудиторською організацією, незалежною від клієнта та користувача, з метою сертифікації системи менеджменту клієнта ПРИМІТКА 1 У визначеннях, які подані нижче, термін «аудит» використано для спрощення посилання

на сертифікаційний аудит третьою стороною. ПРИМІТКА 2 Сертифікаційні аудити третьою стороною охоплюють первинний аудит, наглядовий

аудит, повторний сертифікаційний аудит, а також може охоплювати спеціальні аудити. ПРИМІТКА 3 Сертифікаційний аудит третьою стороною, зазвичай, проводиться групою з аудиту

тих органів, що здійснюють сертифікацію відповідності вимогам стандартів на системи менеджменту.

ПРИМІТКА 4 Спільний аудит, це коли дві або більше аудиторських організацій співпрацюють з метою проведення аудиту одного клієнта.

ПРИМІТКА 5 Комплексний аудит, це коли проходить аудит клієнта на відповідність вимогам двох або більше стандартів щодо систем менеджменту одночасно.

ПРИМІТКА 6 Інтегрований аудит, це коли клієнт з’інтегрував застосування вимог двох або більше стандартів на системи менеджменту в єдину систему менеджменту, і аудит якої здійснюють на відповідність більш ніж одного стандарту.

3.5 клієнт організація, на якій здійснюється аудит з метою сертифікації 3.6 аудитор особа, яка здійснює аудит 3.7 компетентність здатність застосовувати знання та вміння для досягнення бажаних результатів 3.8 супроводжувач особа, яку призначено клієнтом допомагати групі з аудиту


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 5


3.9 спостерігач особа, яка супроводжує групу з аудиту, але не здійснює аудит 3.10 технічна галузь галузь, яка характеризується подібністю процесів, що мають відношення до конкретного типу системи менеджменту

4 Принципи 4.1 Загальні положення 4.1.1 Ці принципи є основою для викладених в цьому міжнародному стандарті конкретних функційних та описових вимог. Цей міжнародний стандарт не визначає конкретних вимог для всіх можливих ситуацій. Ці принципи слід застосовувати як керівництво для рішень, які можуть знадобитись у непередбачуваних ситуаціях. Принципи не є вимогами. 4.1.2 Основною метою сертифікації є забезпечення впевненості усіх сторін, що система менеджменту відповідає встановленим вимогам. Цінність сертифікації визначають рівнем суспільної впевненості та довіри, який створюється неупередженим і компетентним оцінюванням третьою стороною. Сторонами, які мають зацікавленість у сертифікації, можуть бути, але не обмежуються:

a) клієнтами органів сертифікації, b) замовниками організацій, чиї системи менеджменту сертифіковані, c) урядовими установами, d) неурядовими організаціями, і e) споживачами та іншими членами суспільства.

4.1.3 Принципи, що сприяють довірі, охоплюють:

- неупередженість, - компетентність, - відповідальність, - відкритість, - конфіденційність, та - реагування на скарги.

4.2 Неупередженість 4.2.1 Щоб здійснювати сертифікацію, яка заслуговує на довіру, орган сертифікації має бути неупередженим, і його мають сприймати як неупереджений. 4.2.2 Слід визнати, що джерелом доходів для органу сертифікації є його клієнт, який платить за сертифікацію, і що це є потенційною загрозою для неупередженості. 4.2.3 Щоб завоювати і підтримувати довіру вельми важливо, щоб рішення органу сертифікації ґрунтувалися на об'єктивних доказах відповідності (або невідповідності), отриманих органом сертифікації, і щоб на його рішення не впливали інші інтереси або інші сторони. 4.2.4 Загрози для неупередженості охоплюють таке:


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 6


a) Загрози особистої зацікавленості – загрози, які виникають від особи або органу, що діють у своїх власних інтересах. Стосовно сертифікації, загрозою для неупередженості є особиста фінансова зацікавленість. b) Загрози самоперевіряння – загрози, які походять від особи або органу, що перевіряють роботу, зроблену ними самими. Здійснення аудиту систем менеджменту клієнта, якому орган сертифікації надавав консультування щодо систем менеджменту, може бути загрозою самоперевіряння. с) Загрози від приятельських стосунків (довіри) – загрози, які походять від особи або органу, що перебувають у занадто близьких стосунках або надміру довіряє іншій особі замість того, щоб шукати докази аудиту; d) Загрози залякування – загрози, які походять від особи або органу і сприймаються як пряме чи приховане примушення, як, наприклад, загроза бути заміненим або повідомленим наглядачу. 4.3 Компетентність Компетентність персоналу, що підтримується системою менеджменту органу сертифікації, є необхідною, щоб надавати сертифікацію, яка забезпечує довіру. 4.4 Відповідальність 4.4.1 Організація-клієнт, а не орган сертифікації, несе відповідальність за відповідність вимогам сертифікації. 4.4.2 Орган сертифікації зобов’язаний оцінити достатню кількість об'єктивних доказів, на яких ґрунтується рішення щодо сертифікації. Ґрунтуючись на висновках аудиту, орган сертифікації приймає рішення надати сертифікацію, якщо доказів відповідності достатньо, або не надавати сертифікацію, якщо доказів відповідності недостатньо. ПРИМІТКА Будь-який аудит ґрунтується на вибірці з системи менеджменту організації і, таким чином, не є гарантією 100 % відповідності вимогам. 4.5 Відкритість 4.5.1 Орган сертифікації повинен забезпечувати доступ для громадськості або оприлюднення відповідної і своєчасної інформації щодо процесу аудиту та процесу сертифікації, а також щодо статусу сертифікації (тобто щодо надання, розширення, підтримування, поновлення, призупинення, скорочення галузі або скасування сертифікації) будь-якої організації, для того, щоб забезпечити впевненість у чесності та достовірності сертифікації. Відкритість - це принцип доступності або оприлюднення відповідної інформації. 4.5.2 Щоб забезпечувати або підтримувати довіру до сертифікації, органу сертифікації слід забезпечувати відповідний доступ або оприлюднювати інформацію, яка не є конфіденційною, щодо висновків спеціальних аудитів (наприклад, аудити у відповідь на скарги) для певних зацікавлених сторін. 4.6 Конфіденційність Щоб отримати привілейований доступ до інформації, яка потрібна органу сертифікації, для адекватної оцінки відповідності вимогам сертифікації, вельми важливо, щоб орган сертифікації зберігав конфіденційність будь-якої приватної інформацію про замовника.


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 7


4.7 Реагування на скарги Сторони, які довіряють сертифікації, очікують, що скарги будуть опрацьовані і, якщо їх визнають обґрунтованими, повинні бути впевненими, що скарги будуть належним чином розглянуті і, що будуть ужиті відповідні заходи для вирішення скарги. Ефективне реагування на скарги є важливим засобом захисту для органу сертифікації, його клієнтів та інших користувачів сертифікації від помилок, упущень або неналежної поведінки. Якщо скарги розглядаються належним чином, довіра до сертифікаційної діяльності зберігається. ПРИМІТКА Належний баланс між принципами відкритості і конфіденційності, охоплюючи реагування на скарги, є необхідним для того, щоб продемонструвати чесність і достовірність всім користувачам сертифікації.

5 Загальні вимоги 5.1 Правові питання та питання, пов’язані з договорами 5.1.1 Юридична відповідальність Орган сертифікації повинен бути юридичною особою, або визначеною частиною юридичної особи, і таким чином нести юридичну відповідальність за всю свою сертифікаційну діяльність. Урядовий орган сертифікації вважають юридичною особою на підставі його урядового статусу. 5.1.2 Договір на сертифікацію Орган сертифікації повинен мати договір, що має юридичну силу, для надання послуг з сертифікації своїм клієнтам. Крім того, за наявності філій органу сертифікації або за наявності розгалуженої структури організації-клієнта, орган сертифікації повинен забезпечити наявність договору, що має юридичну силу, між органом сертифікації, що надає сертифікацію і видає сертифікат, і всіма місцями, що охоплені сферою сертифікації. 5.1.3 Відповідальність за рішення щодо сертифікації Орган сертифікації повинен нести відповідальність і повинен мати повноваження для прийняття рішень щодо сертифікації, охоплюючи надання, підтримування, поновлення, розширення, скорочування, призупинювання і скасування сертифікації. 5.2 Менеджмент неупередженості 5.2.1 Найвище керівництво органу сертифікації повинно взяти на себе зобов'язання діяти неупереджено при здійсненні сертифікації систем менеджменту. Орган сертифікації повинен мати загальнодоступну заяву щодо того, що він розуміє важливість неупередженості під час виконання своєї діяльності з сертифікації систем менеджменту, регулює конфлікт інтересів і забезпечує об'єктивність своєї діяльності з сертифікації систем менеджменту. 5.2.2 Орган сертифікації повинен визначати, аналізувати і документувати можливості щодо конфлікту інтересів, що виникає під час провадження сертифікації, охоплюючи будь-які конфлікти, що виникають через його взаємозв’язки. Наявність взаємозв’язків не обов'язково спричиняє конфлікт інтересів для органу сертифікації. Проте, якщо будь-який взаємозв’язок створює загрозу неупередженості, орган сертифікації повинен це задокументувати і бути здатним продемонструвати, як він усуває або мінімізує


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 8


такі загрози. Ця інформація повинна бути доступною для комітету, зазначеному в пункті 6.2. Демонстрування повинно охоплювати всі визначені потенційні джерела конфлікту інтересів, незалежно від того, чи вони виникають в межах органу сертифікації або через діяльність інших осіб, органів або організацій. ПРИМІТКА Взаємозв’язки, які загрожують неупередженості органу сертифікації, можуть мати за основу права власності, владу, управління, персонал, розподіл ресурсів, фінанси, контракти, дослідження ринку і оплату комісійної винагороди з продажів або інші види стимулювання для залучення нових клієнтів тощо. 5.2.3 Коли взаємозв’язки становлять неприпустиму загрозу для неупередженості (наприклад, якщо дочірнє підприємство органу сертифікації замовляє сертифікацію у своєї головної організації), сертифікацію не повинно провадити. ПРИМІТКА Дивись Примітку до 5.2.2. 5.2.4 Орган сертифікації не повинен сертифікувати інший орган сертифікації щодо його діяльності з сертифікації систем менеджменту. ПРИМІТКА Дивись примітку до 5.2.2. 5.2.5 Орган сертифікації та будь-яка його частина як юридичної особи не повинні пропонувати або здійснювати консультування з питань систем менеджменту. Це також стосується тих частин урядових структур, яка ідентифіковані як орган сертифікації. 5.2.6 Орган сертифікації та будь-яка його частина як юридичної особи не повинні пропонувати або здійснювати внутрішні аудити у своїх сертифікованих клієнтів. Орган сертифікації не повинен сертифікувати систему менеджменту, внутрішні аудити якої він здійснював, на протязі двох років від дати закінчення внутрішніх аудитів. Це також стосується урядових структур, які ідентифіковані як орган сертифікації. ПРИМІТКА Дивись примітку до 5.2.2. 5.2.7 Орган сертифікації не повинен сертифікувати систему менеджменту, стосовно якої клієнт отримав консультування щодо системи менеджменту або були проваджені внутрішні аудити, коли взаємозв’язки між консалтинговою організацією та органом сертифікації становлять неприпустиму загрозу для неупередженості органу сертифікації. ПРИМІТКА 1 Наявність мінімального дворічного періоду від дати закінчення консультування щодо системи менеджменту є одним з шляхів зменшення загрози для неупередженості до прийнятного рівня. ПРИМІТКА 2 Дивись примітку до 5.2.2. 5.2.8 Орган сертифікації не повинен залучати до здійснення аудитів консалтингову організацію з питань систем менеджменту, оскільки це становить неприпустиму загрозу для неупередженості органу сертифікації (див. 7.5). Це не стосується фізичних осіб, яких залучають як аудиторів згідно з пунктом 7.3. 5.2.9 Діяльність органу сертифікації не повинна здійснюватись або пропонуватись як діяльність, пов’язану з діяльністю організації, яка надає консультування з питань систем менеджменту. Орган сертифікації повинен ужити заходів, щоб спростувати невідповідні заяви будь-якої консалтингової організації, яка наголошує або натякає, що сертифікація може бути простішою, легшою, швидшою або


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 9


дешевшою, якщо буде залучено певний орган сертифікації. Орган сертифікації не повинен наголошувати або натякати, що сертифікація може бути простішою, легшою, швидшою або дешевшою, якщо буде задіяна певна консалтингова організація. 5.2.10 Щоб забезпечити відсутність конфлікту інтересів, орган сертифікації не повинен залучати до аудиту або іншої сертифікаційної діяльності персонал, зокрема той, що працює на керівних посадах, який здійснював консультування щодо систем менеджменту клієнта впродовж двох років з дати закінчення консультування. 5.2.11 Орган сертифікації повинен вживати заходів, у відповідь на будь-які загрози його неупередженості, які можуть виникнути через дії інших осіб, органів або організацій. 5.2.12 Весь персонал органу сертифікації, як внутрішній, так і зовнішній, або комітети, які можуть впливати на сертифікаційну діяльність, повинні діяти неупереджено і не повинні дозволяти комерційному, фінансовому або будь-якому іншому тиску ставити під загрозу неупередженість. 5.2.13 Органи сертифікації повинні вимагати від персоналу, як внутрішнього, так і зовнішнього, повідомляти про будь-яку відому їм ситуацію, яка може загрожувати їм або органу сертифікації конфліктом інтересів. Органи сертифікації повинні використовувати цю інформацію як дані для визначення загроз для неупередженості, що виникають через дії такого персоналу або організацій, які їх залучають, і не повинні залучати такий персонал, як внутрішній, так і зовнішній, поки він не зможе продемонструвати відсутність конфлікту інтересів. 5.3 Відповідальність та фінансування

5.3.1 Орган сертифікації повинен бути здатним продемонструвати, що він оцінив ризики, які виникають через його дії з сертифікації, а також, що він має відповідні механізми (наприклад, страхування або резервний фонд), щоб забезпечити виконання зобов'язань, які виникають через його дії в кожній зі сфер його діяльності та географічних регіонів, в яких він здійснює діяльність. 5.3.2 Орган сертифікації повинен оцінити свої фінанси та джерела прибутку і продемонструвати комітету, визначеному в п.6.2, що на початковому етапі та в подальшому, комерційний, фінансовий або інший тиск не поставлять під загрозу його неупередженість.

6. Вимоги до структури 6.1 Організаційна структура та найвище керівництво 6.1.1 Орган сертифікації повинен задокументувати свою організаційну структуру, визначивши службові обов’язки, відповідальність та повноваження керівництва, а також іншого персоналу з сертифікації та будь-яких комітетів. Якщо орган сертифікації є певною частиною юридичної особи, структура повинна охоплювати розподіл повноважень і взаємозв’язки з іншими частинами в межах тієї ж юридичної особи. 6.1.2 Орган сертифікації повинен визначити найвище керівництво (раду, групу осіб або особу), що має усі повноваження і повністю відповідає за кожний з наступних пунктів: а) розробляння політик, що стосуються функціонування органу; b) наглядання за упровадження політик і процедур;


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 10


c) наглядання за фінансами органу; d) розробляння послуг і схем сертифікації систем менеджменту; e) провадження аудитів і сертифікації та реагування на скарги; f) рішення щодо сертифікації; g) делегування, за потреби, повноважень комітетам або особам виконувати певну діяльність від його імені; h) договірні умови; i) забезпечення сертифікаційної діяльності відповідними ресурсами. 6.1.3 Орган сертифікації повинен мати офіційні правила щодо призначення, визначення повноважень і функціонування будь-яких комітетів, які залучені до сертифікаційної діяльності. 6.2 Комітет для забезпечення неупередженості 6.2.1 Структура органу сертифікації повинна забезпечувати неупередженість дій органу сертифікації і повинна передбачати комітет, щоб a) сприяти розроблянню політик, що стосуються неупередженості його сертифікаційної діяльності, b) протидіяти будь-якій тенденції з боку органу сертифікації, яка дозволила б комерційним або

іншим міркуванням перешкоджати послідовному об'єктивному здійсненню сертифікаційної діяльності,

c) надавати поради стосовно питань, що впливають на довіру до сертифікації, охоплюючи

відкритість і суспільне сприйняття, і d) проводити аналізування, щонайменше один раз на рік, неупередженості процесів аудиту,

сертифікації та процесів прийняття рішень органу сертифікації. Інші завдання або обов’язки можуть бути доручені комітету, за умови, що ці додаткові завдання або обов’язки не компрометують його головну роль щодо забезпечення неупередженості. 6.2.2 Склад, коло повноважень, обов’язки, права, компетентність членів і відповідальність цього комітету повинні бути офіційно задокументовані та затверджені найвищим керівництвом органу сертифікації для забезпечення: a) наявності балансу інтересів таким чином, щоб жоден з інтересів не переважав (вважається, що

внутрішній або зовнішній персонал органу сертифікації має один інтерес, і він не повинен переважати),

b) доступу до всієї інформації, необхідної, щоб надати комітету можливість виконувати свої функції

(див. також 5.2.2 та 5.3.2), і c) якщо вище керівництво органу сертифікації не бере до уваги пораду цього комітету, комітет

повинен мати право вживати незалежних заходів (наприклад, інформування органів влади,


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 11


органів з акредитації, зацікавлених сторін). Вживаючи незалежних заходів, комітет повинен дотримуватись вимог конфіденційності пункту 8.5 стосовно клієнта та органу сертифікації.

6.2.3 Хоча цей комітет і не може представляти кожний інтерес, органу сертифікації слід визначити і запросити ключові інтереси. Такі можуть бути інтереси: клієнтів органу сертифікації, замовників організацій, чиї системи менеджменту сертифіковані, представників промислових торгівельних асоціацій, представників урядових регуляторних органів або інших урядових структур, або представників неурядових організацій, зокрема організацій споживачів.

7 Вимоги до ресурсів 7.1 Компетентність керівництва та персоналу 7.1.1 Загальні положення В органі сертифікації повинні бути процеси, які забезпечують, що персонал має відповідні знання щодо видів систем менеджменту та географічних регіонів, в яких він здійснює діяльність. Він повинен визначити компетентність, що вимагається для кожної технічної галузі (стосовно конкретної схеми сертифікації), і для кожної функції сертифікаційної діяльності. Він повинен визначити засоби для демонстрування компетентності до початку виконання конкретних функцій. 7.1.2 Визначення критеріїв компетентності Орган сертифікації повинен мати задокументований процес для визначення критеріїв компетентності персоналу, який залучають до керівництва і провадження аудиту та сертифікації. Критерії компетентності повинні бути визначені з урахуванням вимог стандартів або специфікації на кожний тип системи менеджменту, для кожної технічної галузі, і для кожної функції в процесі сертифікації. Результатом процесу повинні бути задокументовані критерії щодо необхідних знань та навичок, які необхідні для ефективного виконання завдань аудиту та сертифікації, які слід виконати для досягнення бажаних результатів. У додатку А зазначені знання та навички, які орган сертифікації повинен визначити для конкретних функцій. У разі, якщо були встановлені додаткові спеціальні критерії компетентності для конкретної схеми сертифікації, наприклад, ISO/TS 22003 (системи менеджменту безпечністю харчових продуктів), вони повинні бути застосовані. ПРИМІТКА Термін «технічна галузь» може мати різне застосування залежно від стандарту на систему менеджменту, який беруть до уваги. Для будь-якої системи менеджменту термін стосується продукції та процесів в контексті сфери застосування стандарту на систему менеджменту. Технічна галузь може бути визначена конкретною схемою сертифікації (наприклад, ISO/TS 22003); або може бути визначена органом сертифікації. Прикладами застосування терміну «технічна галузь» для різних типів систем менеджменту можуть бути:

Для стандарту на систему менеджменту якості, термін «технічна галузь» пов'язаний з процесами, необхідними для задоволення очікувань замовників, а також виконання застосовних законодавчих та регламентуючих вимог до продукції та послуг організації.


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 12


Для стандарту на систему екологічного менеджменту, термін «технічна галузь» пов'язаний з категоріями діяльності, продукції та послуг, пов'язаних з екологічними аспектами, які впливають на повітря, воду, землю, природні ресурси, флору, фауну та людей.

Для стандарту на систему менеджменту безпекою ланцюга постачання, термін «технічна галузь» пов'язаний з процесами в контексті ризиків безпеки постачання, таких, як транспортування, зберігання та інформування.

Для стандарту на систему менеджменту інформаційною безпекою, термін «технічна галузь»

пов'язаний, серед іншого, з категоріями технологій і методів інформаційної безпеки, інформаційно-комунікаційних технологій та підприємницькою діяльністю, що пов'язано з вибиранням адекватних та сумірних засобів безпеки, які захищають інформаційні активи.

7.1.3 Процеси оцінювання Орган сертифікації повинен мати задокументовані процеси для первинного оцінювання компетентності та поточного моніторингу компетентності та дій всіх співробітників, залученого до управління та провадження аудитів і сертифікації, застосовуючи визначені критерії компетентності. Орган сертифікації повинен продемонструвати, що його методи оцінювання є результативними. Результатом цих процесів повинно бути визначення співробітників, які продемонстрували рівень компетентності, необхідний для різних функцій процесів аудиту та сертифікації. ПРИМІТКА Кількість методів оцінювання, які можуть бути використані для оцінювання знань і навичок, описані у додатку В. 7.1.4 Інші положення 7.1.4.1 При визначенні вимог до компетентності свого персоналу, що виконує сертифікацію, орган сертифікації повинен визначитись з функціями управлінського та адміністративного персоналу на додаток до функцій персоналу, який безпосередньо проводить аудит та сертифікацію. 7.1.4.2 Орган сертифікації повинен мати доступ до необхідної технічної експертизи для порад з питань, безпосередньо пов'язаних з сертифікацією у технічних галузях, з типами систем менеджменту та географічних районів, у яких орган сертифікації здійснює свою діяльність. Такі поради можуть надаватись або зовні або персоналом органу сертифікації. 7.2 Персонал, залучений до сертифікаційної діяльності 7.2.1 Орган сертифікації повинен мати, як частину власної організації, персонал, що має достатню компетентність для управління типом і сферою програм аудиту та іншою роботою з сертифікації. 7.2.2 Орган сертифікації повинен мати у штаті або мати можливість залучати достатню кількість аудиторів, включаючи керівників груп з аудиту і технічних експертів, щоб охопити всі види своєї діяльності і керувати об'ємом виконуваних робіт з аудиту. 7.2.3 Орган сертифікації повинен роз’яснити кожному працівнику його обов’язки, відповідальність та повноваження. 7.2.4 Орган сертифікації повинен мати визначені процеси для вибирання, навчання, офіційного уповноваження аудиторів і для вибирання технічних експертів, які використовуються для сертифікації.


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 13


Первинне оцінювання компетентності аудитора повинно охоплювати здатність застосувати необхідні знання і навички під час аудитів, як встановлено компетентним оцінювачем, що спостерігає за аудитором, який здійснює аудит. ПРИМІТКА У процесі вибирання та навчання, що описані вище, можуть братись до уваги бажані особисті якості. Це характеристики, що впливають на здатність особи виконувати конкретні функції. Таким чином, знання особистих якостей осіб дозволяє органу сертифікації скористатися перевагами їх сильних сторін і звести до мінімуму вплив їх слабких сторін. Бажані особисті якості, що мають важливе значення для персоналу, що бере участь у сертифікаційній діяльності, описані в додатку D. 7.2.5 Орган сертифікації повинен мати процес, щоб забезпечити і продемонструвати ефективне проведення аудиту, зокрема використання аудиторами та керівниками групи з аудиту загальних навичок та знань щодо проведення аудиту, а також навичок та знань для проведення аудиту у конкретних технічних галузях. 7.2.6 Орган сертифікації повинен забезпечувати, щоб аудитори (і, за потреби, технічні експерти) були обізнані з власними процесами аудиту, вимогах до сертифікації та іншими доречними вимогами. Орган сертифікації повинен надавати доступ аудиторам і технічним експертам до актуалізованого комплекту задокументованих процедур, в яких наведено інструкції щодо аудиту і всю доречну інформацію стосовно сертифікаційної діяльності. 7.2.7 Орган сертифікації повинен залучати аудиторів і технічних експертів тільки для тих видів діяльності з сертифікації, де вони продемонстрували компетентність. ПРИМІТКА Призначення аудиторів і технічних експертів до складу групи з аудиту для конкретних аудитів визначено в пункті 9.1.3. 7.2.8 Орган сертифікації повинен визначити потреби у навчанні і повинен запропонувати або забезпечити доступ до спеціального навчання своїм аудиторам, технічним експертам та іншому персоналу, залученому до робіт з сертифікації, щоб забезпечити їхню компетентність стосовно функцій, які вони виконують. 7.2.9 Група або особа, яка приймає рішення щодо надання, підтримування, поновлення, розширення, скорочення, призупинення або скасування сертифікації, повинні розуміти застосовуваний стандарт і вимоги до сертифікації, і повинні продемонструвати компетентність, щоб оцінити процеси аудиту і пов'язані рекомендації групи з аудиту. 7.2.10 Орган сертифікації повинен забезпечувати задовільну роботу всього персоналу, залученого до аудиту і робіт з сертифікації. Для моніторингу та вимірювання характеристик діяльності усіх залучених осіб потрібно задокументувати процедури та критерії, базовані на періодичності їх залучення та рівні ризику, пов’язаного з діяльністю цих осіб. Зокрема, орган сертифікації повинен проаналізувати компетентність свого персоналу під час виконання ним робіт для того, щоб визначити потреби у навчанні. 7.2.11 Задокументовані процедури моніторингу для аудиторів повинні поєднувати спостереження на місці, аналізування звітів про аудит і зворотній зв'язок з клієнтами або з ринком, і повинні бути визначені у задокументованих вимогах. Цей моніторинг повинен бути розроблений таким чином, щоб мінімізувати втручання у звичайний процес сертифікації, особливо, з точки зору клієнта.


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 14


7.2.12 Орган сертифікації повинен періодично спостерігати за діяльністю кожного аудитора під час аудиту на місці. Періодичність спостережень повинна ґрунтуватися на потребах, що визначаються на підставі всієї доступної інформації щодо моніторингу. 7.3 Залучення індивідуальних зовнішніх аудиторів та зовнішніх технічних експертів Орган сертифікації повинен вимагати від зовнішніх аудиторів і зовнішніх технічних експертів підписати угоду, в якій вони візьмуть на себе зобов'язання дотримуватись відповідних політик і процедур, визначених органом сертифікації. Угода повинна враховувати аспекти, пов’язані з конфіденційністю та незалежністю від комерційних та інших інтересів, і повинна вимагати від зовнішніх аудиторів і зовнішніх технічних експертів повідомляти орган сертифікації щодо існування будь-яких наявних або колишніх зв’язків з будь-якою організацією, для проведення аудиту якої вони можуть бути призначеними. ПРИМІТКА Залучення індивідуальних аудиторів і технічних експертів за такими угодами не є аутсорсингом, як описано у п. 7.5. 7.4 Записи щодо персоналу Орган сертифікації повинен вести актуальні записи щодо персоналу, охоплюючи записи щодо відповідної кваліфікації, навчання, досвіду, приналежності до інших організацій, професійного статусу, компетентності та будь-яких доречних послуг з консультування, які могли ним надаватись. Це стосується керівного і адміністративного персоналу, на додаток до персоналу, який проводить роботи з сертифікації. 7.5 Аутсорсинг 7.5.1 Орган сертифікації повинен мати процес, в якому описані умови, за яких можливий аутсорсинг (який є субпідрядною діяльністю іншої організації щодо проведення частини робіт з сертифікації від імені органу сертифікації). Орган сертифікації повинен мати юридично оформлену угоду з кожним органом, що надає аутсорсингові послуги, яка містить домовленості, зокрема, щодо конфіденційності і конфлікту інтересів. ПРИМІТКА 1 Це може передбачати аутсорсинг іншим органам сертифікації. Залучення аудиторів і технічних експертів за контрактом визначено у п.7.3. ПРИМІТКА 2 У цьому міжнародному стандарті, терміни «аутсорсинг» та «субпідряд» вважаються синонімами. 7.5.2 Рішення щодо надання, підтримування, поновлення, розширення, скорочення, призупинення або скасування сертифікації ніколи не повинні передаватися на умовах аутсорсингу. 7.5.3 Орган сертифікації повинен a) нести відповідальність за будь-яку діяльність, що передана на умовах аутсорсингу іншому органу, b) забезпечувати, щоб орган, який надає послуги на умовах аутсорсингу, і особи, яких він залучає,

відповідали вимогам органу сертифікації, а також, відповідним положенням цього міжнародного стандарту, охоплюючи компетентність, неупередженість і конфіденційність, та


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 15


c) забезпечувати, щоб орган, який надає послуги на умовах аутсорсингу, і особи, яких він залучає, не були пов’язані, як безпосередньо, так і через будь-якого іншого роботодавця, з організацією, яка підлягає аудиту, таким чином, що це може поставити під загрозу неупередженість.

7.5.4 Орган сертифікації повинен мати задокументовані процедури для кваліфікування та моніторингу всіх органів, які надають послуги на умовах аутсорсингу для використання у сертифікаційній діяльності, і повинен забезпечувати ведення записів стосовно компетентності аудиторів і технічних експертів.

8 Вимоги до інформації 8.1 Загальнодоступна інформація 8.1.1 Орган сертифікації повинен підтримувати і робити загальнодоступною, або надавати на запит, інформацію, що описує його процеси аудиту і процеси сертифікації для надання, підтримування, розширення, поновлення, скорочення, призупинення або скасування сертифікації та інформацію щодо діяльності з сертифікації, видів систем менеджменту і географічних регіонів, в яких він діє. 8.1.2 Інформація, яка надається органом сертифікації будь-якому клієнту або ринку, зокрема реклама, повинна бути точною і не вводити в оману. 8.1.3 Орган сертифікації повинен робити загальнодоступною інформацію щодо наданої, призупиненої або скасованої сертифікації. 8.1.4 На запит будь-якої сторони орган сертифікації повинен передбачити заходи щодо підтвердження чинності наданої сертифікації. ПРИМІТКА 1 Якщо вся інформація розподілена між окремими джерелами (наприклад, у друкованій або електронній формі або їх комбінації), може бути запроваджена система, що забезпечує простежуваність і відсутність неоднозначності між джерелами (наприклад, унікальна система нумерації, або гіперпосилання в Інтернеті). ПРИМІТКА 2 У виняткових випадках доступ до певної інформації може бути обмежено на вимогу клієнта (наприклад, з міркувань безпеки). 8.2 Документи щодо сертифікації 8.2.1 Орган сертифікації повинен надавати документи щодо сертифікації сертифікованому клієнту у будь-який спосіб за його вибором. 8.2.2 Дата надання чинності документу щодо сертифікації не повинна передувати даті рішення щодо сертифікації. 8.2.3 Документ(и) щодо сертифікації повинен(ні) визначати таке: а) назву та місцезнаходження кожного клієнта, чию систему менеджменту сертифіковано (або

місцезнаходження його центрального офісу і будь-яких філій в межах галузі сертифікації, що охоплює розгалужену структуру);

b) дати надання, розширення або поновлення сертифікації; c) дату закінчення або дату повторної сертифікації, що узгоджується з циклом повторної

сертифікації;


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 16


d) унікальний ідентифікаційний код; e) стандарт та/або інший нормативний документ, зокрема номер редакції та/або перегляду, що

використовувався для аудиту сертифікованого клієнта; f) галузь сертифікації стосовно продукції (охоплюючи послуги), процесу тощо, які стосуються

кожної філії; g) назву, адресу і сертифікаційний знак органу сертифікації; інші знаки (наприклад, знак акредитації)

можуть використовуватися за умови, що вони не вводять в оману або не є двозначними; h) будь-яку іншу інформацію, яку вимагає стандарт та/або інший нормативний документ, що

використовується для сертифікації; i) у разі видання будь-яких переглянутих документів щодо сертифікації, спосіб відрізнити

переглянуті документи від попередніх застарілих документів. 8.3 Перелік сертифікованих клієнтів Орган сертифікації повинен підтримувати і робити загальнодоступним або надавати на запит у будь-який спосіб на свій розсуд перелік чинних сертифікацій, який, щонайменше повинен визначати назву, відповідний нормативний документ, галузь і місцезнаходження (наприклад місто і країну) для кожного сертифікованого клієнта (або місцезнаходження головного офісу і будь-яких філій в межах галузі сертифікації, у разі розгалуженої структури). ПРИМІТКА Перелік залишається винятковою власністю органу сертифікації. 8.4 Посилання на сертифікацію та використання знаків 8.4.1 Орган сертифікації повинен мати політику, яка регламентує застосування будь-якого знаку, яким він дозволяє користуватися сертифікованим клієнтам. Серед іншого, це повинно забезпечувати простежуваність до органу сертифікації. Не повинно бути неоднозначності у знаку або в супроводжуючому тексті щодо того, що саме було сертифіковано і який орган сертифікації надав сертифікацію. Цей знак не повинен використовуватись на продукції або її упаковці, яку бачить споживач, або в будь-який інший спосіб, який можна тлумачити як позначання відповідності продукції. ПРИМІТКА Стандарт ISO/IEC 17030 визначає вимоги щодо використання знаків третьої сторони. 8.4.2 Орган сертифікації не повинен дозволяти, щоб його знаки використовувались у звітах лабораторних випробувань, калібрування або інспекційних звітах, оскільки в цьому контексті такі звіти вважатимуться продукцією. 8.4.3 Орган сертифікації повинен вимагати, щоб організація-клієнт а) відповідала вимогам органу сертифікації під час посилання на свій сертифікований статус в

засобах масової інформації, таких як Інтернет, брошури, реклама або інші документи, b) не робила або не допускала оманливих заяв стосовно своєї сертифікації,


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 17


c) не використовувала або не допускала використання документа щодо сертифікації або будь-якої його частини у спосіб, що вводить в оману,

d) у разі призупинення дії або скасування її сертифікації, припиняла використовування всього

рекламного матеріалу, що містить посилання на сертифікацію, як було визначено органом сертифікації (дивіться 9.6.3 і 9.6.6),

e) вносила зміни у весь рекламний матеріал, якщо галузь сертифікації було скорочено, f) не дозволяла, щоб посилання на сертифікацію своєї системи менеджменту використовувалось у

спосіб, який дозволяє припустити, що орган сертифікації сертифікує продукцію (включаючи послугу) або процес,

g) не робила припущень, що сертифікація стосується діяльності, яка не охоплена галуззю

сертифікації, і h) не використовувала її сертифікацію таким чином, що може дискредитувати орган сертифікації

та/або систему сертифікації або призвести до втрати довіри суспільства. 8.4.4 Орган сертифікації повинен здійснювати належний контроль власності і повинен вживати заходів у разі некоректних посилань на статус сертифікації або оманливого застосування документів щодо сертифікації, знаків або звітів про аудит. ПРИМІТКА Такі заходи можуть охоплювати вимоги щодо коригування та коригувальних дій, призупинення дії, скасування сертифікації, публікації про порушення і, якщо необхідно, судовий позов. 8.5 Конфіденційність 8.5.1 Орган сертифікації повинен за допомогою угод, що мають юридичну силу, мати політику і засоби для забезпечення конфіденційності інформації, отриманої або створеної під час виконання діяльності з сертифікації на всіх рівнях організаційної структури, охоплюючи комітети та зовнішні органи або осіб, що діють від його імені. 8.5.2 Орган сертифікації повинен заздалегідь інформувати клієнта щодо інформації, яку він має намір розмістити в загальному доступі. Всю іншу інформацію, за винятком інформації, яку клієнт зробить загальнодоступною, потрібно вважати конфіденційною. 8.5.3 За винятком того, що вимагає цей міжнародний стандарт, інформація щодо конкретного клієнта або особи не повинна надаватися третій стороні без письмової згоди клієнта або особи, якої це стосується. Якщо, відповідно до законодавства, орган сертифікації зобов’язаний надати конфіденційну інформацію третій стороні, про це заздалегідь треба повідомити клієнта або особу, якої це стосується, якщо інше не передбачено законом. 8.5.4 Інформація про клієнта, що отримана з інших джерел, ніж самого клієнта (наприклад, від скаржника, регуляторного органу) повинна вважатись конфіденційною згідно з політикою органу сертифікації. 8.5.5 Персонал, зокрема будь-які члени комітету, підрядники, персонал зовнішніх органів або особи, які діють від імені органу сертифікації, повинен дотримуватися конфіденційності стосовно усієї інформації, отриманої або створеної під час діяльності органу сертифікації.


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 18


8.5.6 Орган сертифікації повинен мати в наявності і використовувати устаткування і засоби, які забезпечують безпечне опрацювання конфіденційної інформації (наприклад, документи, записи). 8.5.7 Коли конфіденційну інформацію роблять доступною іншим органам (наприклад органу акредитації, узгодженій групі за схемою взаємного оцінювання), орган сертифікації повинен інформувати про це клієнта. 8.6 Обмін інформацією між органом сертифікації та його клієнтами 8.6.1 Інформація щодо сертифікаційної діяльності та вимог Орган сертифікації повинен забезпечувати і надавати актуальну інформацію клієнтам щодо: а) детального опису діяльності щодо первинної та подальшої сертифікації, включаючи подання

заявки, первинні аудити, наглядові аудити; і процес для надавання, підтримування, скорочення, розширення, призупинення, скасування сертифікації та повторної сертифікації;

b) нормативних вимог щодо сертифікації; c) сплати за подання заявки, первинну сертифікацію і продовження сертифікації; d) вимог органу сертифікації для майбутніх клієнтів щодо:

1) відповідності вимогам сертифікації, 2) створення усіх необхідних умов для проведення аудитів, надавати документацію для

перевіряння і забезпечувати доступ до всіх процесів і ділянок, записів і персоналу для первинної сертифікації, наглядання, повторної сертифікації та вирішення скарг, і

3) передбачення, у разі необхідності, присутності спостерігачів (наприклад, аудиторів з

акредитації або аудиторів-стажистів); e) документів, що описують права і обов’язки сертифікованих клієнтів, зокрема вимоги щодо

посилань на свою сертифікацію будь-якими засобами комунікацій відповідно до вимог п. 8.4; f) процедур для вирішення скарг і розглядання апеляцій. 8.6.2 Повідомлення про зміни з боку органу сертифікації Орган сертифікації повинен належно заздалегідь повідомляти своїм сертифікованим клієнтам про будь-які зміни у вимогах сертифікації. Орган сертифікації повинен перевірити, що кожний сертифікований клієнт відповідає новим вимогам. ПРИМІТКА Щоб забезпечити виконання цих вимог, можуть бути необхідні договірні умови із сертифікованими клієнтами. Зразок ліцензійної угоди щодо використання сертифікації, зокрема аспекти, пов'язані з інформуванням про зміни, наскільки це може застосовуватись, можна знайти в додатку E ISO/IEC Guide 28:2004. 8.6.3 Повідомлення про зміни з боку клієнта


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 19


Орган сертифікації повинен мати угоди, що мають юридичну силу, для забезпечення того, щоб сертифікований клієнт невідкладно інформував орган сертифікації стосовно питань, які можуть впливати на спроможність системи менеджменту продовжувати відповідати вимогам стандарту, що використовувався для сертифікації. Це охоплює, наприклад, зміни, що пов’язані з: a) юридичним, комерційним, організаційним статусом або правом власності, b) організацією та керівництвом (наприклад, у складі ключового керівного, такого що приймає рішення або технічного персоналу), c) контактною адресою та виробничими об’єктами, d) сферою діяльності згідно із сертифікованою системою менеджменту, і e) суттєвими змінами в системі менеджменту та процесах. ПРИМІТКА Зразок ліцензійної угоди щодо використання сертифікації, включаючи аспекти, пов'язані з інформуванням про зміни, наскільки це може застосовуватись, можна знайти в додатку E ISO/IEC Guide 28:2004. 9 Вимоги до процесу 9.1 Загальні вимоги 9.1.1 Програма аудиту 9.1.1.1 Щоб чітко визначити діяльність з аудиту, яка повинна продемонструвати, що система менеджменту клієнта відповідає вимогам сертифікації згідно з обраним(ими) стандартом(ами) або іншим(ими) нормативнми(ими) документом(ами), потрібно розробити програму аудиту для повного циклу сертифікації. 9.1.1.2 Програма аудиту повинна визначати два етапи первинного аудиту, наглядові аудити в першому і другому році та аудит повторної сертифікації на третій рік до закінчення сертифікації. Трирічний цикл сертифікації починається з рішення щодо сертифікації або повторної сертифікації . Визначення програми аудиту та будь-які подальші коригування повинні враховувати розмір організації-клієнта, сферу застосування та складність його системи менеджменту, продукції та процесів, а також продемонстрований рівень результативності системи менеджменту та результати будь-яких попередніх аудитів. ПРИМІТКА 1 Додаток Е містить блок-схему типового аудиту та сертифікації третьою стороною. ПРИМІТКА 2 У додатку F наведені додаткові елементи, які можна враховувати при розроблянні або переглядання програми аудиту. 9.1.1.3 Якщо орган сертифікації бере до уваги сертифікацію або інші аудити, які вже були проведені у клієнта, він повинен зібрати достатню кількість інформації, яку в свою чергу можна перевірити, для того щоб обґрунтувати та зафіксувати будь-які зміни до програми аудиту. 9.1.2 План аудиту 9.1.2.1 Загальні положення


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 20


Орган сертифікації повинен забезпечувати складання плану аудиту для кожного аудиту, що визначено в програмі аудиту, щоб забезпечити основу для узгодження порядку проведення та планування аудиторської діяльності. Цей план аудиту повинен ґрунтуватись на задокументованих вимогах органу сертифікації. 9.1.2.2 Визначення цілей, сфери та критеріїв аудиту 9.1.2.2.1 Цілі аудиту повинен визначати орган сертифікації. Сферу та критерії аудиту, охоплюючи будь-які зміни, повинні бути встановлені органом сертифікації після обговорення з клієнтом. 9.1.2.2.2 Цілі аудиту повинні описувати, що повинно бути досягнуто аудитом і охоплювати таке: а) визначення відповідності системи менеджменту клієнта або її частини критеріям аудиту; b) оцінювання спроможності системи менеджменту забезпечувати відповідність організації-

клієнта застосовним законодавчим, регламентуючим та контрактним вимогам; ПРИМІТКА Аудит щодо сертифікації системи менеджменту не є аудитом юридичної відповідності. c) оцінювання результативності системи управління щодо забезпечування організацією-клієнтом

постійного досягнення поставлених цілей;

d) у разі застосування, виявлення сфер потенційного поліпшення системи менеджменту. 9.1.2.2.3 Сфера аудиту повинна описувати обсяг та межі аудиту, такі як місця розташування об'єктів, підрозділи організації, види діяльності та процеси, які підлягають аудиту. У разі, якщо процес первинної або повторної сертифікації складається більш ніж з одного аудиту (наприклад, охоплює різні місця), сфера окремого аудиту може не охоплювати в повному обсязі всю сферу сертифікації, але сукупність аудитів повинна відповідати сфері у документі щодо сертифікації. ПРИМІТКА У додатку F наведені додаткові елементи, які можна враховувати при розроблянні або перегляданні сфери аудиту. 9.1.2.2.4 Критерії аудиту повинні використовуватись як еталон, у порівнянні з яким визначається відповідність, та повинні охоплювати:

⎯ вимоги, що визначені нормативним документом на системи менеджменту;

⎯ визначені процеси та документацію системи менеджменту, що розроблені клієнтом. 9.1.2.3 Складання плану аудиту План аудиту повинен відповідати цілям та сфері аудиту. План аудиту, щонайменше, повинен охоплювати або посилатись на наступне: а) цілі аудиту; b) критерії аудиту; c) сферу аудиту, зокрема ідентифікацію організаційних та функційних одиниць або

процесів, які підлягатимуть аудиту; d) дати і місця, де буде проводитись аудит на місці, зокрема відвідування тимчасових об’єктів, якщо

це застосовно; e) очікуваний час і тривалість аудиторської діяльності на місці ;


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 21


f) ролі та обов'язки членів групи з аудиту та супроводжуючих осіб. ПРИМІТКА 1 Інформація щодо плану аудиту може міститися більш ніж в одному документі. ПРИМІТКА 2 У додатку F наведені додаткові елементи, які можна враховувати при розроблянні або перегляданні плану аудиту. 9.1.3 Вибір та призначення групи аудиту 9.1.3.1 Орган сертифікації повинен мати процес відбору та призначення групи з аудиту, зокрема її керівника, з урахуванням необхідної компетентності для досягнення цілей аудиту. Якщо у групі з аудиту є тільки один аудитор, він повинен мати компетентність для виконання обов'язків керівника групи з аудиту, застосовних для цього аудиту. 9.1.3.2 При визначенні розміру та складу групи з аудиту, треба брати до уваги таке: а) цілі аудиту, сферу, критерії та розрахунок тривалості аудиту; b) чи є аудит скомбінованим, інтегрованим або спільним; c) загальну компетентність групи з аудиту, необхідну для досягнення цілей аудиту; d) сертифікаційні вимоги (охоплюючи будь-які застосовні законодавчі, регламентуючи та

договірні вимоги); е) мову та культуру; f) чи проводили члени групи з аудиту раніше аудит системи менеджменту клієнта. 9.1.3.3 Необхідні знання та навички керівника групи з аудиту та аудиторів можуть забезпечувати технічні експерти, письмові та усні перекладачі, які повинні працювати під керівництвом аудитора. При залученні письмових або усних перекладачів, вони повинні бути обрані таким чином, щоб вони не впливали негативно на аудит. ПРИМІТКА Критерії відбору технічних експертів визначають на індивідуальній основі виходячи з потреб групи з аудиту та сфери аудиту. 9.1.3.4 Аудитори-стажисти можуть бути включені в групу з аудиту в якості учасників, за умови призначення аудитора оцінювачем. Оцінювач повинен бути компетентним, щоб взяти на себе обов'язки і загальну відповідальність за діяльність та висновки аудитора-стажиста. 9.1.3.5 Керівник групи з аудиту, за погодженням з групою з аудиту, повинен призначити кожного члена групи відповідальним за проведення аудиту конкретних процесів, функцій, об’єктів, областей або видів діяльності. При розподілі обов’язків потрібно враховувати необхідну компетентність та результативне та ефективне використання групи з аудиту, а також різні ролі та обов'язки аудиторів, аудиторів-стажистів і технічних експертів. Щоб забезпечити досягнення цілей аудиту, під час проведення аудиту можна вносити зміни до розподілу обов’язків. 9.1.4 Визначення тривалості аудиту 9.1.4.1 Орган сертифікації повинен мати задокументовані процедури для визначення тривалості аудиту, і для кожного клієнта орган сертифікації повинен визначати час, необхідний для планування і провадження повного і результативного аудиту системи менеджменту клієнта. Тривалість аудиту, визначену органом сертифікації, та його обґрунтування, потрібно реєструвати. При визначенні тривалості аудиту орган сертифікації повинен враховувати, серед іншого, такі аспекти: a) вимоги відповідного стандарту на систему менеджменту;


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 22


b) розмір і складність; c) технологічні і регуляторні обставини; d) будь-які види діяльності, виконувані на умовах аутсорсингу, які охоплено сферою системи менеджменту; e) результати будь-яких попередніх аудитів; f) кількість філій та розгалуженість структури; g) ризики, пов'язані з продукцією, процесами або видами діяльності організації; h) чи аудит є скомбінований, спільний або інтегрований. У разі, якщо встановлені спеціальні критерії для конкретної схеми сертифікації, наприклад, ISO/TS 22003 або ISO/IEC 27006, їх треба застосовувати. 9.1.4.2 Час, що використано будь-яким членом групи, який не має статусу аудитора (наприклад технічні експерти, письмові та усні перекладачі, спостерігачі і аудитори-стажисти), не повинен зараховуватись у зазначену вище тривалість аудиту. ПРИМІТКА Залучення письмових та усних перекладачів може вимагати додаткового часу для аудиту. 9.1.5 Застосування вибірки при розгалуженій структурі У разі застосування вибірки при розгалуженій структурі для проведення аудиту системи менеджменту клієнта, яка охоплює однакові види діяльностей на різних виробничих об’єктах, орган сертифікації повинен розробити програму для визначення розміру вибірки, щоб забезпечити належний аудит системи менеджменту. Обґрунтування плану вибірки повинно бути задокументовано для кожного клієнта. 9.1.6 Інформування щодо завдань групи з аудиту Завдання, поставлені перед групою з аудиту, повинні бути визначені і доведені до відома організації-клієнта, і повинні вимагати від групи з аудиту: a) дослідити та перевірити структуру, політики, процеси, процедури, записи і пов'язані документи

організації-клієнта, що стосуються системи менеджменту, b) визначити, чи задовольняють вони всі вимоги, відносно заявленої сфери сертифікації, c) визначити, чи розроблені та запроваджені процеси і процедури, та чи результативно їх

підтримують, щоб забезпечити основу для довіри до системи менеджменту клієнта, і d) повідомляти клієнту, для його реагування, щодо будь-якої неузгодженості між політикою клієнта,

завданнями і цілями (узгодженими з очікуваннями відповідного стандарту на систему менеджменту або іншого нормативного документа) та результатами.

9.1.7 Інформування стосовно членів групи з аудиту


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 23


Орган сертифікації повинен завчасно повідомляти організацію-клієнта імена і, на запит, іншу інформацію стосовно кожного члена групи з аудиту, щоб організація-клієнт могла висловити незгоду стосовно призначення будь-якого конкретного аудитора або технічного експерта, а орган сертифікації змінив склад групи у відповідь на будь-яке вагоме заперечення. 9.1.8 Інформування щодо плану аудиту План аудиту потрібно заздалегідь повідомляти організації-клієнту та попередньо узгоджувати з ним дати проведення аудиту. 9.1.9 Провадження аудитів на місці 9.1.9.1 Загальні положення Орган сертифікації повинен мати процес для проведення аудитів на місці. Цей процес повинен охоплювати вступну нараду на початку аудиту та заключну нараду наприкінці аудиту. ПРИМІТКА На додаток до відвідування фактичного(их) місцезнаходження(ень) (наприклад, фабрики), «на місці» може охоплювати дистанційний доступ до електронного(их) сайту(ів), що містить(ять) інформацію, яка стосується аудиту системи менеджменту. 9.1.9.2 Проведення вступної наради Офіційна вступна нарада, де потрібно зареєструвати присутніх, повинна бути проведена за участі керівництва клієнта і, за необхідності, за участі осіб, які відповідають за функції або процеси, які підлягають аудиту. Метою вступної наради, яку, зазвичай, проводить керівник групи з аудиту, є надання короткого пояснення щодо того, як буде здійснюватись аудит і охоплює подані далі елементи. Ступінь деталізації повинна відповідати обізнаності клієнта щодо процесу аудиту: а) представлення учасників, зокрема окреслення їхніх ролей; b) підтвердження сфери сертифікації; с) підтвердження плану аудиту (зокрема, тип і сферу аудиту, його цілі і критерії), будь-яких змін та

інших відповідних домовленостей з клієнтом, таких як дата і час проведення заключної наради, проміжних нарад групи з аудиту та керівництва клієнта;

d) підтвердження офіційних каналів зв'язку між групою з аудиту і клієнтом; е) підтвердження забезпеченості групи з аудиту необхідними ресурсами і засобами; f) підтвердження питань, що стосуються конфіденційності; g) підтвердження відповідних процедур для групи з аудиту, пов’язаних з охороною

праці, надзвичайними ситуаціями та безпекою;

h) підтвердження наявності, ролей та ідентичності будь-кого з супроводжувачів та спостерігачів;

i) метод звітування, зокрема, градацію даних аудиту;


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 24


j) інформування про умови, за яких аудит може бути достроково припинено; k) підтвердження того, що керівник групи з аудиту та група з аудиту,

яка представляє орган сертифікації, несе відповідальність за аудит і буде контролювати виконання плану аудиту, охоплюючи діяльність з аудиту та записи аудиту;

l) підтвердження статусу даних попереднього аналізування або аудиту, за наявності; m) методи та процедури, які будуть використовуватись для проведення аудиту на основі вибірки;

n) підтвердження мови, яка буде використовуватись в ході аудиту; о) підтвердження того, що під час аудиту, клієнт буде отримувати інформацію про хід аудиту та будь-які проблемні питання; р) можливість для клієнта задавати питання. 9.1.9.3 Інформування під час аудиту 9.1.9.3.1 Під час аудиту, група з аудиту повинна періодично оцінювати хід аудиту та обмінюватись інформацією. Керівник групи з аудиту, в міру необхідності, повинен перерозподілити роботу між членами групи з аудиту і періодично інформувати клієнта про хід аудиту та будь-які проблемні питання. 9.1.9.3.2 У разі, якщо наявні докази аудиту свідчать, що цілі аудиту недосяжні або передбачають наявність безпосереднього та суттєвого ризику (наприклад, пов’язаного з безпекою), керівник групи з аудиту повинен повідомити про це клієнтові і, за можливості, органу сертифікації, щоб визначити відповідну дію. Такими діями можуть бути повторне підтвердження або внесення змін до плану аудиту, зміна цілей аудиту або сфери аудиту, або припинення аудиту. Керівник групи з аудиту повинен доповісти про результати запроваджених дій органу сертифікації. 9.1.9.3.3 Керівник групи з аудиту разом з клієнтом повинен проаналізувати будь-яку необхідність внесення змін до сфери аудиту, яка стає очевидною в ході проведення аудиторської діяльності на місці та повідомити про це орган сертифікації. 9.1.9.4 Спостерігачі та супроводжувачі 9.1.9.4.1 Спостерігачі Присутність та обґрунтування спостерігачів під час аудиторської діяльності повинно бути узгоджено між органом сертифікації і клієнтом до початку проведення аудиту. Група з аудиту повинна забезпечити, щоб спостерігачі не впливали або втручались в процес аудиту або результати аудиту. ПРИМІТКА Спостерігачами можуть бути члени організації-клієнта, консультанти, спостерігачі від органу акредитації, регуляторні органи або інші особи, присутність яких обґрунтована. 9.1.9.4.2 Супроводжувачі


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 25


Кожному аудитору повинен допомагати один супроводжувач, якщо інше не погоджено між керівником групи з аудиту і клієнтом. Супроводжувачів призначають до групи з аудиту для сприяння проведенню аудиту. Група з аудиту повинна забезпечити, щоб супроводжувачі не впливали або втручались в процес аудиту або результати аудиту. ПРИМІТКА Обов'язки супроводжувача можуть охоплювати: а) встановлення контактів та координацію часу проведення співбесід; b) організація візитів до певних частин місця або організації; c) забезпечення того, щоб правила, що стосуються охорони праці на місці та процедур

забезпечення безпеки були доведені до відома та виконувались членами групи з аудиту; d) спостерігання за аудитом від імені клієнта; е) надання роз'яснень або інформації на прохання аудитора. 9.1.9.5 Збирання та перевіряння інформації 9.1.9.5.1 Під час аудиту, застосовуючи належну вибірку, потрібно збирати інформацію, яку можна перевірити, щоб вона могла стати доказом аудиту, відповідно до цілей аудиту, сфери аудиту та критеріїв аудиту (зокрема інформацію, що стосується взаємозв’язків між функціями, видами діяльності і процесами). 9.1.9.5.2 Методи збирання інформації охоплюють, не обмежуючись цим: a) співбесіда; b) спостереження за процесами та діяльністю; c) аналізування документації та записів. 9.1.9.6 Ідентифікація та реєстрування даних аудиту 9.1.9.6.1 Дані аудиту, які узагальнюють відповідність і деталізують невідповідності, та їх підтверджувальні докази треба реєструвати та звітувати про них, щоб уможливити прийняття обґрунтованого рішення щодо сертифікації або щодо підтвердження сертифікації. 9.1.9.6.2 Можливості для поліпшення можуть бути виявлені і зареєстровані, якщо це не заборонено вимогами схеми сертифікації систем менеджменту. Але, дані аудиту, які є невідповідностями згідно п. 9.1.15 b) та c), не повинні бути зареєстровані як можливості для поліпшення. 9.1.9.6.3 Виявлена невідповідність повинна бути зареєстрована з посиланням на конкретні вимоги критеріїв аудиту, містити чітке викладення невідповідності та детально визначити об'єктивні докази, на яких ґрунтується невідповідність. Невідповідності повинні бути обговорені з клієнтом, з метою забезпечення того, що докази є правильними і що невідповідності є зрозумілими. Однак, аудитор при цьому повинен утримуватись від визначення причин невідповідностей або їх вирішення.


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 26


ПРИМІТКА Невідповідностям, пов’язаним з вимогами 9.1.15 b), може бути надана градація значної, в той час, як іншим невідповідностям [9.1.15 с)] може бути надана градація незначної. 9.1.9.6.4 Керівнику групи з аудиту треба докладати зусиль для узгодження будь-яких розбіжностей у думках між групою з аудиту та клієнтом щодо доказів або даних аудиту, а неузгодженні питання повинні бути зареєстровані. 9.1.9.7 Підготування висновків аудиту Перед заключною нарадою, група з аудиту повинна: а) проаналізувати дані аудиту та будь-яку іншу відповідну інформацію, що була зібрана в ході аудиту

на відповідність цілям аудиту; b) узгодити висновки аудиту, з урахуванням невизначеності, яка властива процесу аудиту; c) визначити будь-які необхідні подальші дії; d) підтвердити відповідність програми аудиту або визначити будь-які необхідні зміни (наприклад,

щодо сфери, тривалості або дати аудиту, частоти наглядань, компетентності). 9.1.9.8 Проведення заключної наради 9.1.9.8.1 Офіційна заключна нарада, де потрібно зареєструвати присутніх, повинна бути проведена за участі керівництва клієнта і, при необхідності, за участі осіб, відповідальних за функції або процеси, по яким проводився аудит. Метою заключної наради, яку, зазвичай, проводить керівник групи з аудиту, є представлення висновків аудиту, охоплюючи рекомендації щодо сертифікації. Будь-які невідповідності повинні бути представлені таким чином, щоб вони були зрозумілими, а терміни для реагування повинні бути узгоджені. ПРИМІТКА «Зрозумілими» не обов'язково означає, що невідповідності були визнані клієнтом. 9.1.9.8.2 Заключна нарада також повинна охоплювати визначені далі елементи. Ступінь деталізації повинна відповідати обізнаності клієнта щодо процесу аудита: а) повідомити клієнту, що зібрані докази в ході аудиту були засновані на вибірці інформації, тим

самим спричинивши елемент невизначеності; b) спосіб та терміни звітування, зокрема будь-яку градацію даних аудиту; c) процес органу сертифікації щодо поводження з невідповідностями, зокрема, будь-які наслідки,

пов'язані із сертифікаційним статусом клієнта; d) терміни для клієнта представити план коригування та коригувальних дій щодо будь-яких

невідповідностей, виявлених під час аудиту; е) дії органу сертифікації після аудиту; f) інформація щодо процесів вирішення скарг та розглядання апеляцій.


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 27


9.1.9.8.3 Клієнту повинна надаватись можливість ставити запитання. Будь-які неузгоджені думки щодо даних аудиту або висновків аудиту між групою з аудиту та клієнтом повинні обговорюватись та по можливості бути вирішені. Будь-які неузгоджені думки, які не будуть вирішені, повинні бути зареєстровані та повідомлені органу сертифікації. 9.1.10 Звіт про аудит 9.1.10.1 Орган сертифікації повинен надати письмовий звіт щодо кожного аудиту. Група з аудиту може визначати можливості для поліпшення, але не повинна пропонувати конкретні рішення. Орган сертифікації повинен підтримувати право власності на звіт про аудит. 9.1.10.2 Керівник групи з аудиту повинен забезпечити складання звіту про аудит і повинен відповідати за його зміст. Звіт про аудит повинен забезпечувати достовірний, стислий і чіткий опис проведеного аудиту, з тим, щоб уможливити прийняття обґрунтованого рішення щодо сертифікації і повинен містити або посилатися на: а) ідентифікацію органу сертифікації; b) назву та адресу клієнта, та представника керівництва клієнта; c) тип аудиту (наприклад, первинний, наглядовий або аудит повторної сертифікації); d) критерії аудиту; е) цілі аудиту; f) сферу аудиту, зокрема, визначення організаційних або функційних підрозділів чи процесів, аудит

яких проведено, а також час проведення аудиту; g) ідентифікацію керівника групи з аудиту, членів групи з аудиту та супроводжуючих осіб; h) дати і місця, де був проведений аудит (на місці або поза ним); i) дані аудиту, докази та висновки аудиту, які б відповідали вимогам даного типу аудиту; j) будь-які невирішені питання, за наявності. 9.1.11 Аналізування причин невідповідностей Орган сертифікації повинен вимагати від клієнта, щоб він проаналізував причини та описав що запроваджені або заплановані до виконання конкретні коригування і коригувальні дії, для усунення виявлених невідповідностей у визначений термін. 9.1.12 Результативність коригування та коригувальних дій Орган сертифікації повинен проаналізувати коригування, визначені причини і коригувальні дії, представлені клієнтом, щоб визначити їх придатність. Орган сертифікації повинен перевірити результативність будь-яких запроваджених коригувань та коригувальних дій. Докази, що підтверджують усунення невідповідності повинні бути зареєстровані. Клієнта потрібно проінформувати щодо результатів аналізування та перевіряння.


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 28


ПРИМІТКА Перевіряння результативності коригування та коригувальної дії може бути здійснено на основі аналізування документації, наданої клієнтом, або, у випадку необхідності, шляхом перевіряння на місці. 9.1.13 Додаткові аудити Клієнта потрібно проінформувати, якщо буде необхідний додатковий повний аудит, додатковий скорочений аудит або задокументовані докази (які повинні бути підтверджені протягом майбутніх наглядових аудитів), щоб перевірити результативність коригування та коригувальних дій. 9.1.14 Рішення щодо сертифікації Орган сертифікації повинен забезпечувати, щоб особи або комітети, які проводили аудити, не приймали рішення щодо надання сертифікації або повторної сертифікації. 9.1.15 Дії, що передують прийняттю рішення Орган сертифікації перед прийняттям рішення повинен підтвердити, що: а) інформація, що надана групою з аудиту, є достатньою стосовно вимог сертифікації та сфери

сертифікації; b) було проаналізовано, визнано і перевірено результативність коригування і коригувальних дій для

всіх невідповідностей, які відображають:

1) неспроможність виконувати одну або більше вимог стандарту на систему менеджменту, або 2) ситуацію, що викликає значний сумнів щодо спроможності системи менеджменту клієнта досягати запланованих результатів;

с) було проаналізовано і визнано заплановані клієнтом коригування і коригувальну дію щодо будь-

яких інших невідповідностей. 9.2 Первинний аудит та сертифікація

9.2.1 Заявка Орган сертифікації повинен вимагати від уповноваженого представника організації-заявника надати необхідну інформацію, щоб уможливити визначення: а) бажаної сфери сертифікації; b) загальних особливостей організації-заявника, зокрема назву і адресу(и) її фактичного

місцезнаходження, суттєві аспекти її процесів та діяльності, і будь-які доречні юридичні зобов’язання;

c) загальну інформацію стосовно організації-заявника відносно бажаної сфери сертифікації, таку як

види діяльності, людські і технічні ресурси, функції і взаємозв’язки у більшій організації, за наявності;


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 29


d) інформацію стосовно всіх процесів, які використовуються організацією на умовах аутсорсингу,

які впливатимуть на відповідність вимогам; e) стандартів або інших вимог, на відповідність яким організація-заявник бажає отримати

сертифікацію; f) інформацію стосовно використання консультування з питань системи менеджменту. 9.2.2 Аналізування заявки 9.2.2.1 До початку проведення аудиту, орган сертифікації повинен здійснити аналізування заявки і додаткової інформації стосовно сертифікації, щоб упевнитись в тому, що: a) інформація про організацію-заявника та її систему менеджменту є достатньою для проведення

аудиту; b) вимоги до сертифікації чітко визначені, задокументовані і доведені до відома організації-заявника; c) будь-яки відомі непорозуміння між органом сертифікації та організацією-заявником вирішені; d) орган сертифікації має компетентність і спроможність виконувати сертифікацію; e) бажана сфера сертифікації, місцезнаходження виробничих ділянок організації-заявника,

необхідна тривалість для проведення аудиту і будь-які інші питання, що впливають на процес сертифікації, були враховані (мова, умови безпеки, загрози неупередженості тощо);

f) ведуться записи щодо обґрунтування рішення про проведення аудиту. 9.2.2.2 Після аналізування заявки, орган сертифікації повинен або прийняти, або відхилити заявку на сертифікацію. Якщо за результатом аналізування заявки орган сертифікації відхиляє заявку на сертифікацію, причини для відхилення заявки повинні бути документально оформлені і чітко доведені до клієнта. ПРИМІТКА При відхиленні заявки на сертифікацію, орган сертифікації має бути обережним, щоб не вступити в конфлікт з принципами, що зазначені у розділі 4. 9.2.2.3 Базуючись на цьому аналізуванні, орган сертифікації повинен визначити компетентність, необхідну для групи з аудиту і для прийняття рішення щодо сертифікації. 9.2.2.4 Група з аудиту повинна призначатись і складатись з аудиторів (і технічних експертів за необхідністю), які, в сукупності, мають компетентність, визначену органом сертифікації відповідно до п. 9.2.2.2 для сертифікації організації-заявника. Вибір групи потрібно здійснювати з посиланням на визначену компетентність аудиторів і технічних експертів згідно з п. 7.2.5, і він може передбачати залучення як внутрішніх, так і зовнішніх людських ресурсів. 9.2.2.5 Особа(и), яка(і) буде(уть) приймати рішення щодо сертифікації, повинна призначатися таким чином, щоб забезпечити відповідну компетентність (див. 7.2.9 та 9.2.2.4). 9.2.3 Первинний сертифікаційний аудит


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 30


Первинний сертифікаційний аудит системи менеджменту повинен проводитись у два етапи: перший етап і другий етап. 9.2.3.1 Перший етап аудиту 9.2.3.1.1 Перший етап аудиту потрібно проводити, щоб a) перевірити документацію системи менеджменту клієнта; b) оцінити місцезнаходження клієнта і умови розташування виробничих об’єктів, а також здійснити

обговорення з персоналом клієнта з метою визначення готовності для аудиту другого етапу; c) проаналізувати стан клієнта та його розуміння щодо вимог стандарту, зокрема стосовно

визначення ключових характеристик або суттєвих аспектів, процесів, цілей і функціювання системи менеджменту;

d) зібрати необхідну інформацію щодо сфери системи менеджменту, процесів і місцезнаходження

клієнта, пов'язаних законодавчих та регуляторних аспектів, а також їх дотримання (наприклад, аспекти діяльності клієнта у сфері якості, екології, юридичні аспекти, пов'язані ризики тощо);

e) проаналізувати розподіл ресурсів для проведення аудиту другого етапу і погодити з клієнтом

деталі аудиту другого етапу; f) забезпечити конкретизацію планування аудиту другого етапу завдяки досягненню достатнього

розуміння системи менеджменту клієнта і діяльності його дільниць в контексті можливих суттєвих аспектів;

g) оцінити, чи планують і провадять внутрішні аудити і аналізування з боку керівництва, і чи ступень

запровадження системи менеджменту підтверджує готовність клієнта для аудиту другого етапу. Щоб досягти визначених вище цілей, для більшості систем менеджменту рекомендується щонайменше частину аудиту першого етапу провадити у клієнта. 9.2.3.1.2 Дані аудиту першого етапу потрібно задокументувати і повідомити клієнту, зокрема визначення будь-яких проблемних питань, які можуть бути класифіковані як невідповідність під час аудиту другого етапу. 9.2.3.1.3 У визначенні інтервалу між аудитами першого і другого етапів, необхідно прийняти до уваги потреби клієнта вирішити проблемні питання, що були виявлені протягом аудиту першого етапу. Органу сертифікації також може бути необхідним переглянути свої плани щодо другого етапу. 9.2.3.2 Другий етап аудиту Мета аудиту другого етапу - оцінити запровадження, зокрема результативність, системи менеджменту клієнта. Аудит другого етапу потрібно проводити на місці(ях) розташування клієнта. Він повинен охоплювати щонайменше, таке: a) інформацію та докази відповідності всім вимогам застосовного стандарту на систему менеджменту

або іншого нормативного документа;


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 31


b) провадження моніторингу, вимірювання, звітування і аналізування щодо ключових цілей і завдань (узгоджених з очікуваннями у застосованому стандарті на систему менеджменту або іншому нормативному документі);

c) дотримання системою менеджменту клієнта і його діяльністю законодавчих вимог; d) оперативне керування процесами клієнта; e) провадження внутрішніх аудитів і аналізування з боку керівництва; f) відповідальність керівництва клієнта за власні політики; g) зв'язки між нормативними вимогами, політикою, цілями та завданнями функціювання

(узгодженими з очікуваннями у застосованому стандарті на систему менеджменту або іншому нормативному документі), будь-якими застосовними законодавчими вимогами, відповідальністю, компетентністю персоналу, діяльністю, процедурами, показниками роботи та даними і висновками внутрішнього аудиту.

9.2.4 Висновки первинного сертифікаційного аудиту Група з аудиту повинна проаналізувати всю інформацію і докази аудиту, зібрані протягом аудитів першого і другого етапів, щоб проаналізувати дані аудиту і узгодити висновки аудиту. 9.2.5 Інформація для надання первинної сертифікації 9.2.5.1 Інформація, яку надає група з аудиту до органу сертифікації для прийняття рішення щодо сертифікації, повинна, щонайменше, охоплювати: а) звіти про аудит, b) коментарі щодо невідповідностей і, де це застосовно, коригувань і коригувальних дій,

запроваджених клієнтом, c) підтвердження наданої органу сертифікації інформації, яку використовували під час аналізування

заявки (див. 9.2.2), і d) рекомендацію щодо надання або ненадання сертифікації, разом з будь-якими умовами або

спостереженнями. 9.2.5.2 Орган сертифікації повинен ухвалити рішення щодо сертифікації на підставі оцінки отриманих даних аудиту і висновків та будь-якої іншої доречної інформації (наприклад, загальнодоступна інформація, коментарі від клієнта про звіт аудиту). 9.3 Діяльність щодо наглядання 9.3.1 Загальні положення 9.3.1.1 Орган сертифікації повинен спланувати свою діяльність щодо наглядання таким чином, щоб на регулярній основі проводити моніторинг репрезентативних об’єктів і функцій, які охоплені сферою системи менеджменту, а також враховувати зміни у сертифікованого клієнта і його системи менеджменту.


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 32


9.3.1.2 Діяльність щодо наглядання повинна передбачати аудити на місці, під час яких оцінюють дотримання сертифікованою системою менеджменту клієнта встановлених вимог стандарту, на відповідність якому надано сертифікацію. Інші дії щодо наглядання можуть охоплювати: a) запити від органу сертифікації до сертифікованого клієнта щодо аспектів сертифікації, b) аналізування будь-яких заяв клієнта щодо його дій (наприклад, рекламних матеріалів, веб-сайту), c) запити клієнту щодо надання документів і записів (на паперових або електронних носіях), і d) інші заходи моніторингу роботи сертифікованого клієнта. 9.3.2 Наглядовий аудит 9.3.2.1 Наглядові аудити - це аудити на місці, але не обов'язково повні аудити системи, і які повинні плануватися разом з іншими діями щодо наглядання таким чином, щоб орган сертифікації був в змозі підтримувати упевненість в тому, що сертифікована система менеджменту продовжує відповідати вимогам у періоди між повторними сертифікаційними аудитами. Програма наглядових аудитів повинна, щонайменше, охоплювати: a) внутрішні аудити і аналізування з боку керівництва, b) перевіряння дій, ужитих стосовно невідповідностей, що були виявлені під час попереднього

аудиту, c) розглядання скарг, d) результативність системи менеджменту щодо досягнення цілей сертифікованого клієнта, е) хід виконання запланованих дій, спрямованих на постійне поліпшування, f) постійний оперативний контроль, g) перевіряння будь-яких змін, і h) використовування знаків та/або будь-яких інших посилань на сертифікацію. 9.3.2.2 Наглядові аудити потрібно проводити щонайменше один раз на рік. Дата першого наглядового аудиту, наступного після первинної сертифікації, не повинна бути пізніше, ніж через 12 місяців від останнього дня аудиту другого етапу. 9.3.3 Підтримування сертифікації Орган сертифікації повинен підтримувати сертифікацію, базуючись на демонстрації того, що клієнт продовжує задовольняти вимоги стандарту на систему менеджменту. Він може підтримувати сертифікацію клієнта базуючись на позитивному висновку керівника групи з аудиту без подальшого незалежного перевіряння, за умови, що a) у разі будь-якої невідповідності або іншої ситуації, яка може призвести до призупинення або

скасування сертифікації, орган сертифікації має систему, яка вимагає, щоб керівник групи з аудиту повідомляв органу сертифікації про необхідність ініціювати перевірку відповідним компетентним


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 33


персоналом (див. 7.2.9), таким, що не проводив аудит, щоб визначити, чи можна підтримувати сертифікацію, і

b) компетентний персонал органу сертифікації контролює його діяльність щодо наглядання,

охоплюючи моніторинг звітування його аудиторами, щоб підтвердити, що дії стосовно сертифікації виконуються результативно.

9.4 Повторна сертифікація 9.4.1 Планування повторного сертифікаційного аудиту 9.4.1.1 Повторний сертифікаційний аудит потрібно планувати і проводити для того, щоб оцінити постійне виконання всіх вимог відповідного стандарту на систему менеджменту або іншого нормативного документа. Мета повторного сертифікаційного аудиту - підтвердити постійну відповідність і результативність системи менеджменту в цілому, а також її постійну відповідність і придатність для сфери сертифікації. 9.4.1.2 Повторний сертифікаційний аудит повинен враховувати функціонування системи менеджменту на протязі періоду сертифікації, охоплювати аналізування звітів попередніх наглядових аудитів. 9.4.1.3 У ситуаціях, коли відбулись суттєві зміни в системі менеджменту, у клієнта або в контексті функціонування системи менеджменту (наприклад, зміни до законодавства), під час здійснення діяльності щодо повторного сертифікаційного аудиту може виникнути потреба у проведенні аудиту першого етапу. 9.4.1.4 За наявності розгалуженої структури або у разі провадження сертифікації на відповідність декільком стандартам на системи менеджменту, планування аудиту повинно забезпечувати достатнє охоплення об’єктів аудитом на місці, щоб забезпечити довіру до сертифікації. 9.4.2 Повторний сертифікаційний аудит 9.4.2.1 Повторний сертифікаційний аудит повинен охоплювати аудит на місці і враховувати: a) результативність системи менеджменту в цілому з урахуванням внутрішніх і зовнішніх змін та її

постійної відповідності і придатності у сфері сертифікації; b) продемонстроване виконання зобов'язань підтримувати результативність і поліпшувати систему

менеджменту для того, щоб удосконалювати усі показники; c) чи сприяє функціонування сертифікованої системи менеджменту досягненню політики і цілей

організації. 9.4.2.2 Якщо протягом повторного сертифікаційного аудиту виявлено невідповідності або відсутність доказів відповідності, орган сертифікації повинен визначити терміни для коригування і коригувальних дій, які повинні бути запроваджені до закінчення терміну дії сертифікації. 9.4.3 Інформація для надання повторної сертифікації Орган сертифікації повинен ухвалювати рішення щодо повторної сертифікації, ґрунтуючись як на результатах повторного сертифікаційного аудиту, так і на результатах перевіряння системи протягом дії сертифікації та скарг, отриманих від користувачів сертифікації.


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 34


9.5 Спеціальні аудити 9.5.1 Розширення сфери сертифікації Орган сертифікації, у відповідь на заявку щодо розширення сфери вже наданої сертифікації, повинен розпочати аналізування заявки і визначити будь-які дії щодо аудиту, необхідні для вирішення того, чи можна прийняти рішення щодо розширення сфери сертифікації, чи ні. Це може бути проведено у поєднанні з наглядовим аудитом. 9.5.2 Короткострокові аудити Щоб розслідувати скарги (див. 9.8), або у відповідь на зміни (див. 8.6.3), або як подальші дії щодо клієнтів, сертифікацію яких було припинено (див. 9.6), органу сертифікації може бути необхідно проводити аудит сертифікованих клієнтів у стислі строки. В таких випадках: a) орган сертифікації повинен описати і заздалегідь повідомити сертифікованих клієнтів

(наприклад, в документах як описано у 8.6.1) щодо умов, за яких такі короткострокові візити будуть здійснювати, і

b) орган сертифікації повинен приділяти додаткову увагу призначенню групи з аудиту через

відсутність можливості для клієнта заперечити склад групи з аудиту. 9.6 Призупинення, скасування або скорочення сфери сертифікації 9.6.1 Орган сертифікації повинен мати політику і задокументовану(і) процедуру(и) щодо призупинення, скасування або скорочення сфери сертифікації, і повинен визначити свої подальші дії. 9.6.2 Орган сертифікації повинен призупинити сертифікацію у випадках, коли, наприклад:

сертифікована система менеджменту клієнта постійно або суттєво не відповідає вимогам сертифікації, зокрема вимогам щодо результативності системи менеджменту,

сертифікований клієнт не дозволяє проводити наглядові аудити або повторні сертифікаційні аудити з необхідною періодичністю, або

сертифікований клієнт добровільно подав прохання щодо призупинення. 9.6.3 Під час призупинення, сертифікація системи менеджменту клієнта є тимчасово недійсною. Орган сертифікації повинен мати угоди, що мають юридичну силу, зі своїми клієнтами щоб забезпечити, що у разі призупинення, клієнт утримується від подальшого рекламування своєї сертифікації. Орган сертифікації повинен зробити загальнодоступною інформацію про призупинений статус сертифікації (див. 8.1.3) і повинен вжити будь-які інші заходи, які він вважає доцільними. 9.6.4 Неспроможність розв'язати проблеми, які призвели до призупинення сертифікації протягом часу, встановленого органом сертифікації, повинна зумовити скасування або скорочення сфери сертифікації. ПРИМІТКА У більшості випадків призупинення не буде перевищувати 6 місяців. 9.6.5 Орган сертифікації повинен скоротити сферу сертифікації клієнта, щоб виключити частини, які не відповідають вимогам, якщо клієнт постійно або суттєво не відповідає вимогам сертифікації відносно цих


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 35


частин сфери сертифікації. Будь-яке таке скорочення повинно бути узгоджено з вимогами стандарту, що використовується для сертифікації. 9.6.6 Орган сертифікації повинен мати угоди, що мають юридичну силу, з сертифікованим клієнтом стосовно умов скасування [див. 8.4.3.d)], забезпечуючи шляхом повідомлення про скасування сертифікації, що клієнт припиняє використання всього рекламного матеріалу, який містить будь-яке посилання на сертифікований статус. 9.6.7 На запит будь-якої сторони, орган сертифікації повинен чітко повідомляти про статус сертифікованої системи менеджменту клієнта: призупинена, скасована або скорочена. 9.7 Апеляції

9.7.1 Орган сертифікації повинен мати задокументований процес для отримання, оцінювання і

ухвалювання рішення щодо апеляцій.

9.7.2 Опис процесу розгляду апеляцій повинен бути загальнодоступним.

9.7.3 Орган сертифікації повинен нести відповідальність за всі рішення на всіх рівнях процесу

розглядання апеляцій. Орган сертифікації повинен забезпечувати, щоб осіб, які проводили аудити та

приймали рішення щодо сертифікації, не залучали до процесу розглядання апеляцій.

9.7.4 Звернення, розглядання і рішення щодо апеляцій не повинні спричиняти будь-яких

дискримінаційних дій стосовно апелянта.

9.7.5 Процес розглядання апеляцій повинен охоплювати, щонайменше, такі елементи і методи: а) схему процесу отримання, підтвердження і розглядання апеляцій, а також для вирішення того, які

дії необхідно вжити у відповідь на неї, враховуючи результати попередніх подібних апеляцій; b) відстежування і реєстрування апеляцій, зокрема дій, ужитих для їх вирішення; c) забезпечення того, щоб були запроваджені будь-які належні коригування і коригувальну дію. 9.7.6 Орган сертифікації повинен підтверджувати отримання апеляції і повинен надавати апелянту звіти про хід її розглядання та результат. 9.7.7 Рішення, що буде повідомлено апелянту, повинне ухвалюватись або перевірятись і затверджуватись особою(ами), що не були залучені попередньо до предмету апеляції. 9.7.8 Орган сертифікації повинен надати офіційне повідомлення апелянту щодо закінчення процесу розглядання апеляції. 9.8 Скарги


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 36


9.8.1 Опис процесу розглядання скарг повинен бути загальнодоступним. 9.8.2 Після отримання скарги, орган сертифікації повинен підтвердити, чи стосується скарга діяльності щодо сертифікації, за яку несе відповідальність орган сертифікації і, якщо так, повинен працювати з нею. Якщо скарга стосується сертифікованого клієнта, під час її розглядання необхідно враховувати результативність сертифікованої системи менеджменту. 9.8.3 Будь-яку скаргу на сертифікованого клієнта орган сертифікації у належний термін повинен також передавати сертифікованому клієнту, якого ця скарга стосується.. 9.8.4 Орган сертифікації повинен мати задокументований процес отримання, оцінювання і ухвалювання рішення щодо скарг. Цей процес повинен враховувати вимоги щодо конфіденційності, оскільки це стосується скаржника і предмета скарги. 9.8.5 Процес розглядання скарг повинен охоплювати, щонайменше, такі елементи і методи: а) схему процесу отримання, підтвердження, розглядання скарг, а також для прийняття рішення

щодо дій, які необхідно вжити у відповідь на неї; b) відстежування і реєстрування скарг, зокрема дій, що вжиті у відповідь на неї; c) забезпечення того, щоб були вжиті будь які належні коригування і коригувальну дію. ПРИМІТКА стандарт ISO 10002 подає настанови щодо розглядання скарг. 9.8.6 Орган сертифікації, що отримує скаргу, повинен нести відповідальність за збирання і перевіряння всієї необхідної інформації, щоб підтвердити скаргу. 9.8.7 Коли це можливо, орган сертифікації повинен підтверджувати отримання скарги, і повинен надавати скаржнику звіти про хід її розглядання і результат. 9.8.8 Рішення, що буде повідомлено скаржнику, повинно ухвалюватись, або перевірятись і затверджуватись, особою(ами), що не залучалась попередньо до предмету скарги. 9.8.9 Коли це можливо, орган сертифікації повинен надати офіційне повідомлення скаржнику щодо закінчення процесу розглядання скарги. 9.8.10 Орган сертифікації повинен визначати, разом з клієнтом і скаржником, чи потрібно, і якщо так, у якому обсязі, розголошувати предмет скарги та її висновки. 9.9 Записи щодо заявників та клієнтів 9.9.1 Орган сертифікації повинен вести записи щодо аудиту та інших дій стосовно сертифікації для всіх клієнтів, охоплюючи всі організації, які подали заявки, а також всі організації, аудит яких було проведено, які були сертифіковані, або ті, у яких сертифікація була призупинена або скасована. 9.9.2 Записи щодо сертифікованих клієнтів повинні охоплювати: a) інформацію щодо заявки і звітів про первинний та наглядові аудити та про повторний

сертифікаційний аудит;


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 37


b) договір на сертифікацію; c) обґрунтування методології, що використовувалася для вибірки; d) обґрунтування визначення часу для аудиторів (див. 9.1.4); e) перевіряння коригувань і коригувальних дій; f) записи щодо скарг і апеляцій, та будь-яких подальших коригувань або коригувальних дій; g) обговорення і рішення комітету, якщо застосовно; h) документацію стосовно рішень щодо сертифікації; i) документи щодо сертифікації, зокрема сферу сертифікації стосовно продукції, процесу або

послуги, якщо застосовно; j) супутні записи, необхідні для зміцнення довіри до сертифікації, як, наприклад, докази

компетентності аудиторів і технічних експертів. ПРИМІТКА Методологія вибіркового дослідження передбачає застосування вибірки з метою оцінки конкретної системи менеджменту, та/або вибрати виробничі об’єкти у разі оцінювання розгалуженої структури. 9.9.3 Орган сертифікації повинен надійно зберігати записи про заявників та клієнтів для забезпечення того, що інформація зберігається за умов конфіденційності. Записи повинні переміщуватись, передаватись або пересилатись таким чином, щоб конфіденційність дотримувалась. 9.9.4 Орган сертифікації повинен мати задокументовану політику і задокументовані процедури щодо зберігання записів. Записи повинні зберігатися протягом часу, що дорівнює тривалості поточного циклу сертифікації плюс один повний цикл. ПРИМІТКА У деяких сферах, законодавство передбачає, що записи потрібно зберігати довший період часу.

10 Вимоги до системи менеджменту органів сертифікації 10.1 Варіанти Орган сертифікації повинен розробити і підтримувати систему менеджменту, яка здатна забезпечувати і демонструвати узгоджене досягнення вимог цього міжнародного стандарту. На додаток до відповідності вимогам розділів з 5 до 9, орган сертифікації повинен запровадити систему менеджменту відповідно до: a) вимог до системи менеджменту згідно з ISO 9001 (див. 10.2), або b) загальних вимог до системи менеджменту (див. 10.3). 10.2 Варіант 1: Вимоги до системи менеджменту згідно з ISO 9001 10.2.1 Загальні положення


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 38


Орган сертифікації повинен розробити і підтримувати систему менеджменту згідно з вимогами ISO 9001, яка здатна забезпечувати і демонструвати узгоджене досягнення вимог цього міжнародного стандарту, з урахуванням пунктів з 10.2.2 до 10.2.4. 10.2.2 Сфера застосування Для застосування вимог ISO 9001, сфера застосування системи менеджменту повинна охоплювати вимоги до проектування і до розробляння послуг щодо сертифікації. 10.2.3 Орієнтація на замовника Для застосування вимог ISO 9001, при розроблянні своєї системи менеджменту, орган сертифікації повинен брати до уваги довіру до сертифікації та враховувати потреби усіх сторін (як визначено в 4.1.2), які покладаються на послуги щодо аудиту та сертифікації, а не тільки своїх клієнтів. 10.2.4 Аналізування з боку керівництва Для застосування вимог ISO 9001, орган сертифікації повинен охопити аналізуванням з боку керівництва, як вхідні дані, інформацію про відповідні апеляції і скарги від користувачів робіт щодо сертифікації. 10.3 Варіант 2: Загальні вимоги до системи менеджменту 10.3.1 Загальні положення Орган сертифікації повинен розробити, задокументувати, запровадити і підтримувати систему менеджменту, яка здатна забезпечувати і демонструвати узгоджене досягнення вимог цього міжнародного стандарту Найвище керівництво органу сертифікації повинно розробити і задокументувати політики і цілі для своєї діяльності. Найвище керівництво повинно надавати докази щодо виконання своїх зобов’язань стосовно розробляння і запровадження системи менеджменту згідно з вимогами цього міжнародного стандарту. Найвище керівництво повинно забезпечити, щоб політики були зрозумілими, впровадженими і щоб їх підтримували на всіх рівнях організації органу сертифікації. Найвище керівництво органу сертифікації повинно призначити представника керівництва, який, незалежно від інших обов'язків, повинен відповідати і мати повноваження щодо: a) забезпечення встановлення, запровадження та підтримування процесів і процедур, які потрібні

для системи менеджменту, і b) звітування найвищому керівництву щодо функціонування системи менеджменту і будь-якої

потреби щодо поліпшення. 10.3.2 Настанова щодо системи менеджменту Усі застосовні вимоги цього міжнародного стандарту повинні бути визначені або в настанові, або у пов'язаних з нею документах. Орган сертифікації повинен забезпечувати, щоб настанова і відповідні пов'язані з нею документи були доступними для всього відповідного персоналу.


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 39


10.3.3 Контроль документів Орган сертифікації повинен розробити процедури для контролю документів (внутрішні і зовнішні), що стосуються виконання цього міжнародного стандарту. Процедури повинні визначати засоби контролю, які необхідні для: а) затвердження документів як відповідних, перед їх введенням у дію, b) аналізування та, за потреби, актуалізації та повторного затвердження документів, c) забезпечення ідентифікації змін і статусу поточного перегляду документів, d) забезпечення наявності відповідних версій застосовуваних документів у місцях їх використання, e) забезпечення чинності і простоти ідентифікації документів, f) забезпечення ідентифікації документів зовнішнього походження і контролю їх розповсюдження, і g) запобігання ненавмисному використанню застарілих документів і застосування належної їх

ідентифікації, у разі якщо вони зберігаються з будь-якою метою. ПРИМІТКА Документація може бути в будь-якій формі або на будь-якому носії. 10.3.4 Контроль записів Орган сертифікації повинен розробити процедури для визначення засобів контролювання, що потрібні для ідентифікації, зберігання, захисту, відновлювання, терміну зберігання і вилучення записів, що стосуються виконання цього міжнародного стандарту. Орган сертифікації повинен розробити процедури для збереження записів протягом періоду, що узгоджений з договірними і законодавчими зобов'язаннями. Доступ до цих записів повинен бути узгоджений із заходами щодо забезпечення конфіденційності. ПРИМІТКА Стосовно вимог до записів про сертифікованих клієнтів див. також 9.9. 10.3.5 Аналізування з боку керівництва 10.3.5.1 Загальні положення Найвище керівництво органу сертифікації повинно розробити процедури, щоб із запланованою періодичністю аналізувати систему менеджменту для забезпечення її постійної придатності, адекватності і результативності, зокрема задекларовані політики і цілі, що стосуються виконання цього міжнародного стандарту. Такі аналізування повинні проводитись щонайменше раз на рік. 10.3.5.2 Вхідні дані аналізування Вхідні дані аналізування з боку керівництва повинні охоплювати інформацію щодо: а) результатів внутрішніх і зовнішніх аудитів,


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 40


b) зворотного зв'язку з клієнтами і зацікавленими сторонами, що стосуються виконання цього міжнародного стандарту,

c) зворотного зв'язку з комітетом, що забезпечує неупередженість, d) статусу запобіжних і коригувальних дій, e) подальших дій за результатами попереднього аналізування з боку керівництва, f) досягнення цілей, g) змін, які могли б вплинути на систему менеджменту, і h) апеляцій та скарг. 10.3.5.3 Вихідні дані аналізування Вихідні дані аналізування з боку керівництва повинні охоплювати рішення і дії, пов'язані з: а) поліпшуванням результативності системи менеджменту і її процесів, b) удосконаленням послуг щодо сертифікації, що стосуються виконання цього міжнародного

стандарту, і c) потребами у ресурсах. 10.3.6 Внутрішні аудити 10.3.6.1 Орган сертифікації повинен розробити процедури внутрішніх аудитів, щоб перевірити, чи виконує він вимоги цього міжнародного стандарту, і що система менеджменту результативно запроваджена і підтримується. ПРИМІТКА стандарт ISO 19011 містить настанови щодо проведення внутрішніх аудитів. 10.3.6.2 Програма аудиту повинна плануватись, враховуючи важливість процесів і дільниць, що підлягають аудиту, а також результатів попередніх перевірок. 10.3.6.3 Внутрішні аудити повинні виконуватись щонайменше один раз на 12 місяців. Частоту внутрішніх аудитів може бути зменшено, якщо орган сертифікації може продемонструвати, що його система менеджменту продовжує ефективно впроваджуватись відповідно до цього міжнародного стандарту і має доведену стабільність. 10.3.6.4 Орган сертифікації повинен забезпечувати, щоб: а) внутрішні аудити провадив кваліфікований персонал, добре обізнаний у сертифікації, проведенні

аудитів і вимогах цього міжнародного стандарту, b) аудитори не провадили аудит своєї власної роботи, c) персонал, що відповідає за дільницю, піддану аудиту, був поінформований про результати аудиту,


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 41


d) будь-які дії за результатами внутрішніх аудитів виконували своєчасно і належним чином, і e) визначали будь-які можливості для поліпшування. 10.3.7 Коригувальні дії Орган сертифікації повинен розробити процедури для ідентифікації і керування невідповідностями у своїй діяльності. Орган сертифікації повинен також, якщо необхідно, вжити заходів, щоб усунути причини невідповідностей, щоб запобігти їх повторенню. Коригувальні дії повинні бути адекватними наслідкам виявлених проблем. Процедури повинні визначити вимоги щодо: a) ідентифікації невідповідностей (наприклад, від скарг і внутрішніх аудитів), b) визначення причин невідповідності, c) усунення невідповідностей, d) оцінювання необхідності в діях, щоб запобігати повторенню невідповідностей, e) визначення і своєчасного запровадження потрібних дій, f) реєстрування результатів виконаних дій, і g) аналізування результативності коригувальних дій. 10.3.8 Запобіжні дії Орган сертифікації повинен розробити процедури для провадження запобіжних дій, щоб усувати причини потенційних невідповідностей. Запроваджені запобіжні дії повинні бути адекватними можливим наслідкам потенційних проблем. Процедури щодо запобіжних дій повинні визначати вимоги до: a) ідентифікації потенційних невідповідностей і їх причин, b) оцінювання необхідності в діях, щоб запобігти появі невідповідностей, c) визначення і запровадження необхідних дій, d) реєстрування результатів виконаних дій, і e) аналізування результативності виконаних запобіжних дій. ПРИМІТКА Процедури щодо коригувальних і запобіжних дій не обов’язково мають бути окремими.


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 42


Додаток A (нормативний)

Необхідні знання та навички У наведеній таблиці визначаються знання та навички, які орган сертифікації повинен визначати для конкретних функцій щодо сертифікації. X означає, що орган сертифікації повинен установити критерії і глибину знань та навичок. X + вказує на необхідність більш глибоких знань і навичок.

Таблиця A.1 — Таблиця знань та навичок

Функції сертифікації Знання та навички

Проведення аналізування заявки для визначення необхідної компетентності групи з аудиту, обрання членів

групи з аудиту та визначення тривалості

аудиту

Аналізування звітів про аудит та

прийняття рішення щодо сертифікації

Проведення аудиту

Керування групою з аудиту

Знання практики керування бізнесом

X X

Знання принципів аудиту, практики та методів

X X+ X+

Знання конкретних стандартів на системи менеджменту/ нормативних документів

X X X+ X+

Знання процесів органу сертифікації

X X X X

Знання щодо сектору діяльності клієнта

X X X+ X+

Знання продукції, процесів та організації клієнта

X X X

Мовні навички відповідно до усіх рівнів організації клієнта

X X

Навички щодо ведення записів та складання звітів

X X

Навички виступати X X+

Навички проводити співбесіди

X X

Навички керування аудитом

X X+

Щодо знання продукції, процесів та організації клієнта, де група виконує завдання, знання мають бути забезпечені групою або їх може забезпечувати технічний експерт. При проведенні групою будь-якого аудиту рівень потрібних навичок має бути у групі в цілому, а не у кожного окремого члена групи.

Керівнику групи комбінованого або інтегрованого аудиту слід мати поглиблене знання, принаймні, одного із стандартів і він повинен бути обізнаним з іншими стандартами, які використовуються для даного аудиту.

ПРИМІТКА Ризик та складність є іншими чинниками при визначенні рівня спеціальних знань, необхідних для будь-якої з цих функцій.


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 43


Додаток B (інформативний)

Можливі методи оцінювання ВАЖЛИВО — Цей додаток є інформативним і не призначений для застосування у якості вимог B.1 Загальні положення Призначенням цього додатка є наведення прикладів методів оцінювання для допомоги органам сертифікації. Методи оцінювання індивідуальної компетентності можна згрупувати у п'ять основних категорій: аналізування записів, зворотній зв'язок, співбесіди, спостереження та тестування. Вони також можуть бути і далі розподілені на підгрупи. Нижче наводиться короткий опис кожного методу та його корисність і обмеження щодо оцінювання знань і навичок. Малоймовірно, що будь-яким одним методом можна підтвердити компетентність. (Наступні) методи у B.2 до B.6 можуть надати корисну інформацію щодо знань та навичок; вони є більш ефективними, коли їх розробляють для використання з певним критерієм щодо компетентності, що є результатом процесу визначення компетентності, зазначених у 7.1.2 та 7.1.3. Це супроводжується прикладом блок-схеми у Додатку С щодо визначення та підтримування компетентності. B.2 Аналізування записів Деякі записи, такі як резюме чи біографічні дані, характеризують знання, і висвітлюють досвід роботи, аудиторський досвід, освіту та професійну підготовку. Деякі записи, такі як аудиторські звіти, записи про досвід роботи, аудиторський досвід, освіту і професійну підготовку, характеризують навички. Такі записи самі по собі не можуть бути достатнім доказом компетентності. Інші записи, такі як звіт про оцінку діяльності аудитора під час проведення аудиту, є прямим доказом демонстрації компетентності. B.3 Зворотній зв'язок Безпосередній зворотній зв'язок з попереднім роботодавцем може характеризувати знання і навички, але важливо відзначити, що іноді роботодавці спеціально виключають негативну інформацію. Особиста характеристика може характеризувати знання і навички. Малоймовірно, що кандидат буде надавати особисту характеристику, що буде містити негативну інформацію. Зворотній зв'язок з колегами (рівними за статусом) може характеризувати знання і навички. Такий зворотній зв'язок може бути під впливом відносин між колегами. Зворотній зв'язок від клієнтів може характеризувати знання і навички. Для аудитора, на зворотній зв'язок можуть впливати результати аудиту.


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 44


Зворотній зв'язок сам по собі не є задовільним доказом компетентності. B.4 Співбесіди Співбесіди можуть бути корисними для отримання інформації щодо знань та навичок. Робочі співбесіди можуть бути корисними для уточнення інформації з резюме та минулого досвіду роботи стосовно знань і навичок. Співбесіди в рамках аналізування діяльності можуть надавати конкретну інформацію щодо знань та навичок. Співбесіда з групою з аудиту в межах аналізування після аудиту може надавати корисну інформацію щодо знань та навичок аудитора. Це дає можливість зрозуміти, чому аудитор зробив конкретні рішення, обрав конкретні шляхи аудиту тощо. Цей метод може бути використаний після спостереження за аудитом, а також може бути використано пізніше під час розглядання письмових звітів про аудит. Цей метод може бути особливо корисним при визначенні компетентності в конкретній технічній галузі. Прямий доказ демонстрації компетентності може бути досягнуто шляхом структурованих співбесід з веденням відповідних записів стосовно зазначених критеріїв компетентності. Співбесіда може бути використана для оцінки мовних навичок, на навичок комунікативного та міжособистісного спілкування. B.5 Спостереження Спостерігання за особою, яка виконує завдання, може надавати прямі докази компетентності, такі як продемонстроване застосування знань та навичок для досягнення бажаного результату. Цей метод оцінювання є корисним для всіх функцій, адміністративного та управлінського персоналу, а також для аудиторів та осіб, які приймають рішення щодо сертифікації. При спостереганні за аудитором, який проводить аудит, є одне обмеження, яке пов’язано з рівнем проблем, притаманних конкретному аудиту. Періодичне спостерігання за особою є корисним для підтвердження неперервної компетентності. B.6 Тестування Письмові тести можуть надавати переконливі і добре задокументовані докази щодо знань і, залежно від методу, навичок. Усний тест може надавати переконливі докази знань (в залежності від компетентності екзаменатора) та обмежені результати щодо навичок. Практичні тести можуть надавати збалансований результат щодо знань та навичок, в залежності від екзаменаційного процесу та компетентності екзаменатора. Методи можуть охоплювати, наприклад, рольові ігри, аналіз практичних ситуацій, моделювання критичних або робочих ситуацій.


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 45


Додаток C

(інформативний)

Приклад блок-схеми щодо визначення та підтримування компетентності ВАЖЛИВО - Цей додаток є інформативним і не призначений для застосування у якості вимог. Наведена у цьому додатку блок-схема показує один із способів визначення компетентності персоналу шляхом визначення конкретних завдань, які треба виконати; визначення конкретних знань та навичок, необхідних для досягнення бажаних результатів. У таблиці використані методи, зазначені в додатку B.


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 46


ТАК НІ

ТАК

НІ

ТАК

ТАК

НІ

ТАК НІ НІ

НІ

ТАК

ТАК

Цикл PDCA

НІ

ТАК

Рисунок C.1 — Приклад блок-схеми щодо визначення та підтримування компетентності

ТАК НІ

Цикл PDCA

Визначити функції

в межах органу

сертифікації

Установити

критерії

компетентності для

кожної функції

Визначити

метод для

оцінювання

критеріїв

Залучення (за

необхідності)

Визначити

поточну

спроможність

персоналу

Оцінювання

прогалин у

знаннях та

навичок

Аналізування:

- Знання

- Навички

- Досвід

Чи

підходить

кандидат?

Демонстрування

знань та навичок

НІ

Цикл PDCA

Цикл PDCA

Визначити

програму

підготовки/

навчання

Чи

результативне

навчання?

Чи

задовольняють?

Специфічні

сектори?

Критерії,

встановлені на

основі ризику

Залучити

фахівця - аудитора

або технічного

експерта

Чи

відповідає

критеріям?

Чи доцільно

удосконалювати

навички?

Є компетентним

Періодичне

аналізування

компетентності

Чи виявлені

прогалини?

Розробити

навчальну

програму

Чи

результативне

навчання?

Чи

задовольняють

удосконалені

навички?

Розробити

програму

удосконалення

аудитора


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 47


Додаток D


Бажані особисті якості ВАЖЛИВО - Цей додаток є інформативним і не призначений для застосування у якості вимог. Перелічені нижче особисті якості мають важливе значення для персоналу, який бере участь у роботах з сертифікації стосовно будь-яких видів систем менеджменту: а) етичний, тобто справедливий, правдивий, щирий, чесний та розсудливий; b) відкритий, тобто готовий розглянути альтернативні ідеї або точки зору; c) дипломатичний, тобто тактовний у спілкуванні з людьми; d) комунікабельний, тобто ефективно взаємодіє з іншими людьми; е) спостережливий, тобто активно сприймає фізичне оточення та види діяльності; f) сприйнятливий, тобто інстинктивно сприймає і здатний зрозуміти ситуацію; g) різнобічний, тобто легко адаптується до різних ситуацій; h) наполегливий, тобто непохитний і цілеспрямований; i) рішучий, тобто робить своєчасні висновки на основі логічних міркувань та аналізу; j) самостійний, тобто діє та функціонує незалежно; k) професійний, тобто проявляє ввічливість, сумлінність і загальний діловий стиль поведінки на робочому місці; l) морально мужній, тобто готовий діяти відповідально і етично, навіть якщо ці дії можуть не завжди бути популярними і може іноді призвести до розбіжностей або до конфронтації; m) організований, тобто вміє ефективно управляти часом, визначати пріоритети, планувати та бути ефективним. Визначення поведінки носить ситуативний характер, а слабкі сторони можуть проявлятися тільки в конкретному контексті. Органу сертифікації слід вживати належні заходи щодо будь-яких виявлених слабких сторін, що негативно впливають на сертифікаційній діяльності.


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 48


Додаток E (інформативний)

Процес аудиту та сертифікації третьою стороною

ВАЖЛИВО - Цей додаток є інформативним і не призначений для застосування у якості вимог.

На рисунку E.1 представлено типову блок-схему процесу. Можуть проводитися інші види діяльності стосовно аудиту, наприклад, аналізування документів та спеціальні аудити. Щодо різниці між циклом аудиту та сертифікаційним циклом див. 9.1.1.2 та 9.3.2.2..


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 49


Трирічний (3) цикл сертифікації

Рисунок E.1 - Типова блок-схема процесу аудиту та сертифікації третьою стороною

Первинне рішення щодо сертифікації/ рішення щодо повторної сертифікації

Закінчення дії сертифікації

Неперервні дії щодо наглядання

Клієнт подає заявку на первинну

сертифікацію

Первинна сертифікація

Наглядові аудити Перший наглядовий аудит має

відбутись не пізніше 12 місяців після аудиту другого етапу, потім

щонайменше один раз на рік

Повторна сертифікація Дії щодо повторної сертифікації

Потрібно завершити до закінчення дії сертифікації

Обмін інформацією між клієнтом та

органом сертифікації

Аналізування заявки щодо сертифікації

Розробляння програми аудиту

Визначення проблемних питань та

запит додаткової інформації

(у разі необхідності)

Обрання та призначення

компетентної групи з аудиту для першого

етапу

Планування аудиту для

першого етапу

Вирішення проблемних питань

аудиту першого етапу (у разі необхідності)

Проведення аудиту першого

етапу

Підтвердження/ призначення

групи з аудиту для другого етапу

Планування аудиту(ів) для другого етапу

Вирішення проблемних питань за аудитом другого етапу (у разі необхідності)

Провадження аудиту(ів) другого

етапу

Пропозиція щодо сертифікації та підтвердження

програми аудиту

Клієнт та орган сертифікації вступають у формальні

відносини щодо сертифікації

Рішення щодо первинної


Висновки за результатами первинного

сертифікаційного аудиту

Надання первинної сертифікації та видача

документів щодо сертифікації

Обмін інформацією між клієнтом та органом сертифікації (наприклад, зміна сфери сертифікації); визначити необхідність внесення змін до програми

аудиту

Планування аудиту повторної сертифікації

Схвалення програми аудиту та повідомлення клієнту

Підтвердження/призначення компетентної групи з аудиту

Незалежне аналізування сертифікації

(у разі потреби)

Висновки за результатами наглядового

аудиту

Вирішення проблемних питань за

наглядового аудиту (у разі необхідності)

Провадження наглядового

аудиту

Планування наглядового

аудиту

Надання повторної сертифікації та видача

документів щодо сертифікації

Рішення щодо повторної


Висновки за результатами аудиту

повторної сертифікації

Вирішення проблемних питань за аудитом

повторної сертифікації (у разі необхідності)

Проведення аудиту повторної


Планування аудиту повторної


Підтвердження або коригування програми аудиту та відповідного наступного аудиту і дій щодо наглядання, зокрема періодичність та тривалість. Спеціальні аудити також требі брати до уваги


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 50


Додаток F


Рекомендації щодо програми, сфери або плану аудиту

ВАЖЛИВО - Цей додаток є інформативним і не призначений для застосування у якості вимог. F.1 Загальні положення Цей додаток містить перелік питань, які орган сертифікації може брати до уваги при розроблянні або переглядання програми аудиту, сфери або плану аудиту. F.2 Перелік питань для розглядання Цей перелік охоплює: а) сферу та складність системи менеджменту клієнта; b) продукцію та процеси (зокрема послуги); c) розмір організації-клієнта; d) місця, що підлягають аудиту; е) мова спілкування організації-клієнта та мова розмовна і письмова; f) вимоги секторальних або регуляторних схем; g) вимоги та очікування клієнта та його замовників; h) кількість і розподіл часу робочих змін; i) тривалість аудиту, необхідної для кожної діяльності щодо аудиту; j) компетентність кожного з членів групи з аудиту; k) необхідність проведення аудиту на тимчасових об’єктах; l) результати аудиту першого етапу або будь-яких інших попередніх аудитів; m) результати іншої діяльності щодо наглядання; n) продемонстрований рівень результативності системи менеджменту; о) прийнятність для вибірки; р) скарги замовників; q) скарги, що надійшли до органу сертифікації про клієнта;


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 51


r) скомбінований, інтегрований або спільний аудит; s) зміни в організації клієнта, продукції, процесах або системі менеджменту; t) зміни до сертифікаційних вимог; u) зміни до законодавчих вимог; v) зміни у вимогах акредитації; w) ризик та складність; х) дані щодо організаційних показників [наприклад, рівень дефектів, дані щодо ключових показників діяльності (KPI) тощо]; у) думки зацікавлених сторін; z) інформація, отриманау під час попередніх аудитів.


ЗД-08.10.20


15.08.2011

Розробив:


Перевірив:

В.Красюк

Сторінка 52


Бібліографія

[1] ISO 9001, Quality management systems — Requirements [2] ISO 10002, Quality management — Customer satisfaction — Guidelines for complaints handling in

organizations [3] ISO 14001, Environmental management systems — Requirements with guidance for use [4] ISO 19011, Guidelines for quality and/or environmental management systems auditing [5] ISO/IEC 17030, Conformity assessment — General requirements for third-party marks of conformity [6] ISO/IEC Guide 28:2004, Conformity assessment — Guidance on a third-party certification system for products [7] ISO/TS 22003, Food safety management systems — Requirements for bodies providing audit and

certification of food safety management systems [8] ISO/IEC 27006, Information technology — Security techniques — Requirements for bodies providing

audit and certification of information security management systems

Documents

Оцінка відповідності – згідно ISO/IEC 17021:2011 · рекомендується використовувати стандарт iso/iec 17021:2011 на