(Действующий) ГОСТ Р ИСО/МЭК 17021-1-2017 ТРЕБОВАНИЯ К ОРГАНАМ, ПРОВОДЯЩИМ АУДИТ И...

Докипедия просит пользователей использовать в своей электронной переписке скопированные части текстов нормативных документов. Автоматически генерируемые обратные ссылки на источник информации, доставят удовольствие вашим адресатам.

Действующий
Деятельность по сертификации включает в себя аудит системы менеджмента организации. Фор-
мой подтверждения соответствия системы менеджмента организации определенному стандарту на
систему менеджмента или другим нормативным требованиям обычно является сертификационный до-
кумент или сертификат.
Настоящий стандарт может быть использован при проведении аудита и сертификации любого
типа систем менеджмента. Признано, что некоторые требования и особенно те, которые относятся к
компетентности аудиторов, могут быть дополнены новыми критериями для удовлетворения ожиданий
заинтересованных сторон.
В настоящем стандарте использованы следующие глагольные формы:
  • «должна» — указывает на требование;
  • «следует» — указывает на рекомендацию;
  • «могло бы» — указывает на разрешение;
  • «может» — указывает на способность или возможность.
Дальнейшие сведения можно найти в части 2 Директив ИСО/МЭК.
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Оценка соответствия
ТРЕБОВАНИЯ К ОРГАНАМ, ПРОВОДЯЩИМ АУДИТ
И СЕРТИФИКАЦИЮ СИСТЕМ МЕНЕДЖМЕНТА
Часть 1
ТРЕБОВАНИЯ
Conformity assessment Requirements for bodies providing audit
and certification of management systems. Part 1. Requirements
Дата введения — 2018—04—01
  1. Область применения
Настоящий стандарт содержит принципы и требования, относящиеся к компетентности, последо-
вательности и беспристрастности аудита, а также требования к органам, проводящим аудит и сертифи-
кацию любого типа систем менеджмента.
Органы по сертификации, работающие в соответствии с настоящим стандартом, не обязаны за-
ниматься сертификацией всех типов систем менеджмента.
Сертификация систем менеджмента — это деятельность по оценке соответствия третьей сторо-
ной (ИСО/МЭК 17000:2004, 5.5). и таким образом, органы, осуществляющие эту деятельность, являют-
ся органами по оценке соответствия третьей стороной (называемые в настоящем стандарте органом/
органами по сертификации).
Примечания
  1. В качестве примеров систем менеджмента можно привести системы экологического менеджмента, систе-
    мы менеджмента качества и системы менеджмента информационной безопасности.
  2. В настоящем стандарте сертификация систем менеджмента называется сертификация, а органы по оцен-
    ке соответствия третьей стороной — органы по сертификации
  3. Орган по сертификации может быть неправительственной или правительственной организацией (наделен-
    ной или не наделенной регулирующими полномочиями).
  4. Настоящий стандарт допускается использовать в качестве документа, содержащего критерии аккредита-
    ции, экспертной оценки или других процессов аудита.
  5. Нормативные ссылки
В настоящем стандарте применены следующие международные стандарты. Для недатированных
ссылок применяют последнее издание ссылочного стандарта (включая все изменения).
ИСО 9000 Системы менеджмента качества. Основные положения и словарь (ISO 9000, Quality
management systems — Fundamentals and vocabulary)
ИСО/МЭК 17000 Оценка соответствия. Словарь и общие принципы (ISO/IEC 17000. Conformity
assessment — Vocabulary and general principles)
Издание официальное
  1. Термины и определения
В настоящем стандарте применяют термины по ИСО 9000, ИСО/МЭК 17000, а также следующие
термины.
    1. сертифицированный заказчик (certified client): Организация, система менеджмента которой
      была сертифицирована.
    2. беспристрастность (impartiality): Наличие объективности.
Примечания
  1. Объективность означает, что конфликтов интересов не существует или они разрешены таким образом, что
    не оказывают отрицательного влияния на последующие действия органа по сертификации.
  2. Другими терминами, которые могут быть полезны для передачи сути беспристрастности, являются «неза-
    висимость». «отсутствие конфликта интересов», «отсутствие предвзятости», «отсутствие предубеждений», «ней-
    тралитет», «справедливость», «непредубежденность», «объективность», «отстраненность», «уравновешенность»
    1. консультирование по системе менеджмента (management system consultancy): Участие в
      разработке, внедрении или поддержании в рабочем состоянии системы менеджмента.
Примеры
  1. Подготовка или разработка руководств или процедур.
  2. Предоставление конкретных рекомендаций, инструкций или решений по разработке и внедре-
    нию системы менеджмента.
Примечания
  1. Организация обучения или участие в качестве обучающего не рассматриваются как консультирование
    при условии, если курс обучения, относящийся к системам менеджмента или проведению аудита, ограничивается
    предоставлением общей информации, находящейся а открытом доступе, т. е. обучающий не должен предостав-
    лять заказчику конкретные решения.
  2. Предоставление общей информации, а не конкретных решений по улучшению процессов или систем за-
    казчика. не рассматривается как консультирование. Такая информация может включать в себя:
  3. объяснение значения и сути критериев сертификации;
• идентификацию возможностей для улучшения;
  • объяснение соответствующих теорий, методологий, технических приемов или методов,
  • сообщение неконфиденциальной информации о наилучших практиках;
  • другие аспекты менеджмента, не охватываемые проверяемой системой менеджмента.
    1. сертификационный аудит (certification audit): Аудит, выполняемый проверяющей организа-
      цией, независимой от заказчика или заинтересованных сторон, с цепью сертификации системы менед-
      жмента заказчика.
Примечания
  1. В приведенных ниже определениях термин «аудит» использован для упрощения ссылок на сертификаци-
    онный аудит, проводимый третьей стороной.
  2. Сертификационные аудиты включают в себя первоначальные, надзорные (инспекционные), ресертифика-
    ционные аудиты, а также могут включать специальные аудиты.
  3. Сертификационные аудиты обычно проводят группы аудиторов тех органов, которые проводят сертифика-
    цию соответствия требованиям стандартов на системы менеджмента
  4. Совместный аудит подразумевает проверку одного заказчика с не менее чем двумя проверяющими
    организациями.
  5. Комбинированный аудит подразумевает проверку заказчика одновременно на соответствие требованиям
    не менее чем двух стандартов на системы менеджмента
  6. Комплексный аудит подразумевает проверку заказчика на соответствие требованиям более чем одного
    стандарта, когда заказчик применяет требования не менее чем двух стандартов на системы менеджмента в единой
    интегрированной системе менеджмента.
    1. заказчик (client): Организация, систему менеджмента которой проверяют с целью сертифи-
      кации.
    2. аудитор (auditor): Лицо, проводящее аудит.
    3. компетентность (competence): Способность применять знания и навыки для достижения на-
      меченных результатов.
    4. сопровождающий (guide): Лицо, назначенное заказчиком для содействия аудиторской
      группе.
    5. наблюдатель (observer): Лицо, сопровождающее аудиторскую группу, но не участвующее в
      аудите.
    6. техническая область (technical area): Область, характеризуемая общностью процессов, от-
      носящихся к конкретному типу системы менеджмента и ее предполагаемым результатам.
Примечание —См. примечание к 7.1.2.
    1. несоответствие (nonconformity): Невыполнение требования.
    2. значительное несоответствие (major nonconformity): Несоответствие (3.11), влияющее на
      способность системы менеджмента достигать намеченных результатов.
Примечание — Несоответствия могли бы быть классифицированы как значительные в следующих
случаях:
  • если приходится сомневаться в наличии результативного управления процессами или в том, что продукты
    или услуги будут отвечать установленным требованиям,
  • при наличии серии незначительных несоответствий, связанных с одним и тем же требованием или
    аспектом, когда это может свидетельствовать о системной ошибке и таким образом образовывать значительное
    несоответствие.
    1. незначительное несоответствие (minor nonconformity): Несоответствие (3.11), не влияю-
      щее на способность системы менеджмента достигать намеченных результатов.
    2. технический эксперт (technical expert): Лицо, предоставляющее аудиторской группе свои
      знания или опыт по специальному вопросу.
Примечание — Знание или опыт по специальному вопросу могут быть отнесены к проверяемой органи-
зации, процессу или деятельности.
    1. схема сертификации (certification scheme): Система оценки соответствия, относящаяся к
      системам менеджмента, применительно к которым установлены одинаковые требования, правила и
      процедуры.
    2. общая продолжительность/трудоемкость аудита (audit time): Время, необходимое для
      планирования и результативного выполнения аудита системы менеджмента организации-заказчика.
    3. продолжительность сертификационных аудитов системы менеджмента (duration of
      management system certification audit): Часть времени от общей продолжительности/трудоемкости ауди-
      та (3.16). необходимого на проведение мероприятий аудита, начиная с вводного совещания и заканчи-
      вая заключительным совещанием.
Примечание — Обычно мероприятия аудита включают в себя:
  • проведение вводного совещания;
  • выполнение анализа документации по ходу аудита:
  • обмен информацией в ходе аудита;
  • закрепление за сопровождающими и наблюдателями соответствующих функций и обязанностей;
  • сбор и проверку информации,
  • идентификацию выводов аудита;
  • подготовку заключений аудита;
  • проведение заключительного совещания.
  • Принципы
    1. Общие положения
      1. Принципы, приведенные в настоящем разделе, являются основой для изложенных в на-
        стоящем стандарте функциональных и описательных требований. Настоящий стандарт не содержит
        конкретных требований для всех возможных ситуаций. Эти принципы следует применять в качестве
        руководства при принятии решений, которые могут потребоваться в непредвиденных ситуациях. Прин-
        ципы не являются требованиями.
      2. Глобальная цель сертификации состоит в создании уверенности у всех сторон в том, что
        система менеджмента соответствует установленным требованиям. Ценность сертификации состоит в
определенном уровне общественного доверия, которое было установлено посредством беспристраст-
ной и компетентной оценки третьей стороной. К сторонам, заинтересованным в сертификации, в част-
ности, относятся:
  1. заказчики (клиенты) органов по сертификации;
  2. потребители организаций, системы менеджмента которых были сертифицированы;
  3. правительственные организации;
  4. неправительственные организации;
  5. потребители и другие члены общества.
      1. К принципам, обеспечивающим доверие, относятся:
  6. беспристрастность,
  7. компетентность,
  8. ответственность,
  9. открытость,
  10. конфиденциальность.
  11. реагирование на жалобы,
  12. подход на основе рисков.
Примечание — Настоящий стандарт устанавливает принципы сертификации в разделе 4; соответствую-
щие принципы, относящиеся к процессу аудита, можно найти в ИС0 19011:2011, раздел 4
    1. Беспристрастность
      1. Чтобы проводить сертификацию, заслуживающую доверия, орган по сертификации должен
        быть беспристрастным и должен восприниматься как таковой.
      2. Общепризнано, что источником дохода органа по сертификации является плата заказчика
        за сертификацию, и это является потенциальной угрозой для сохранения беспристрастности.
      3. Для достижения и поддержания доверия необходимо, чтобы решения органа по сертифи-
        кации основывались на объективных свидетельствах соответствия (или несоответствия), полученных
        органом по сертификации, и чтобы на его решения не влияли другие интересы или другие стороны.
      4. Угрозы для сохранения беспристрастности, в частности, могут включать в себя следующее:
  1. собственная выгода: угроза возникает в случае, когда человек или организация действуют в
    личных интересах. В случае сертификации угрозой беспристрастности является финансовый интерес;
  2. анализ собственной деятельности: угроза возникает при анализе человеком или организацией
    собственной работы. Выполнение аудита систем менеджмента заказчика, которому орган по сертифи-
    кации предоставлял консультации по системам менеджмента, может привести к анализу собственной
    работы;
  3. близкие отношения (или доверие): угроза возникает при слишком близких отношениях с лицом
    или организацией или в том случае, когда аудитор слишком доверяет другому лицу вместо того, чтобы
    искать свидетельства аудита;
  4. запугивание: угроза возникает, когда у человека или органа возникает ощущение, что им от-
    крыто или скрытым образом угрожают, например, заменой или сообщением руководству.
    1. Компетентность
      1. Компетентность персонала органа по сертификации во всех работах, связанных с процес-
        сом сертификации, необходима для проведения сертификации, заслуживающей доверие.
      2. Также необходимо, чтобы сертификация поддерживалась системой менеджмента органа по
        сертификации.
      3. Важнейшая задача для руководства органа по сертификации состоит в обеспечении вне-
        дрения процесса для установления критериев компетентности персонала, участвующего в проведении
        аудита и других работах по сертификации, и чтобы компетентность персонала оценивалась согласно
        данным критериям.
    2. Ответственность
      1. Ответственность за достижение соответствия требованиям конкретного стандарта на систе-
        му менеджмента и за соответствие требованиям к сертификации несет сертифицированный заказчик,
        а не орган по сертификации.
      2. Орган по сертификации несет ответственность за оценку достаточности объективных свиде-
        тельств. на основании которых принимается решение о сертификации. На основании выводов аудита
        он принимает решение о выдаче сертификата, если имеются достаточные свидетельства соответствия,
        или о невыдаче сертификата, если нет достаточных свидетельств соответствия.
Примечание — Любой аудит основан на выборке из всей системы менеджмента организации, поэтому
гарантия 100 %-ного соответствия требованиям невозможна.
    1. Открытость
      1. Орган по сертификации должен обеспечивать открытый доступ или своевременно раскры-
        вать соответствующую информацию о процессе аудита и сертификации, а также о статусе сертифи-
        кации (например, о выдаче, подтверждении сертификата, расширении или сужении области действия
        сертификата, об обновлении, о приостановлении действия или отмене сертификата) любой органи-
        зации с целью обеспечения уверенности в добросовестности и достоверности сертификации. Откры-
        тость — это принцип доступности или раскрытия соответствующей информации.
      2. Для обеспечения или поддерживания доверия к сертификации орган по сертификации дол-
        жен предоставлять необходимый доступ или раскрывать неконфиденциальную информацию о резуль-
        татах конкретных аудитов (например, аудитов в ответ на жалобы) определенным заинтересованным
        сторонам.
    2. Конфиденциальность
Для получения преимущественного доступа к информации, требуемой органом по сертификации
для адекватной оценки соответствия требованиям, необходимо, чтобы орган по сертификации не рас-
крывал конфиденциальной информации.