"СМ N 04.1-1.0010. Руководство по аудиту и сертификации системы менеджмента организаций, имеющих несколько мест осуществления деятельности. Версия 01. Ноябрь 2023 г."
Утверждаю
Руководитель
Федеральной службы по аккредитации
Н.В.СКРЫПНИК
22 ноября 2023 г.
СМ N 04.1-1.0010
ВЕРСИЯ 01. НОЯБРЬ 2023 Г.
РУКОВОДСТВО
ПО АУДИТУ И СЕРТИФИКАЦИИ СИСТЕМЫ МЕНЕДЖМЕНТА ОРГАНИЗАЦИЙ,
ИМЕЮЩИХ НЕСКОЛЬКО МЕСТ ОСУЩЕСТВЛЕНИЯ ДЕЯТЕЛЬНОСТИ
(IAF MD 1:2023, IDT)
ПРЕДИСЛОВИЕ
Настоящее руководство разработано Федеральной службой по аккредитации с учетом требований документа IAFMD 1:2023 и стандарта ГОСТ ISO/IEC 17011-2018 и вводится впервые. Настоящее руководство вводится в действие по истечении десяти рабочих дней со дня его утверждения.
1. Область применения
1.1. Настоящее руководство является обязательным для органов по сертификации систем менеджмента для последовательного применения раздела 9 стандарта ГОСТ Р ИСО/МЭК 17021-1-2017 во всех случаях, кроме обозначенных в документации схем, которые предполагают проведение аудита и сертификации систем менеджмента, используемых организациями, имеющими несколько мест при наличии единой системы менеджмента. Все пункты стандарта ГОСТ Р ИСО/МЭК 17021-1-2017 остаются в силе, при этом настоящее руководство не заменяет собой никакие требования указанного стандарта <1>.
--------------------------------
<1> Единая система менеджмента может удовлетворять требованиям нескольких стандартов систем менеджмента.
Однако соответствующие схемы или стандарты могут также предусматривать конкретные требования по аудиту и сертификации многоместных организаций (например, ГОСТ Р ИСО/МЭК 27006-2020, ISO 22003-1, ГОСТ Р 575 77-2017). В этих случаях определенные требования имеют приоритет относительно соответствующих требований настоящего руководства.
1.2 Настоящее руководство не охватывает многоместные организации, где в рамках организации развернуто несколько систем менеджмента, когда каждый объект рассматривается как одноместная организация и требует проведения соответствующего аудита.
1.3 Настоящее руководство не подходит для применения в ситуациях, когда независимые организации объединяются другой независимой организацией (например, консалтинговой компанией или искусственной организацией) в рамках единой системы менеджмента.
2. Нормативные ссылки
2.1. В настоящем руководстве использованы ссылки на следующие документы:
СМ N 04.1-1.0012
Документ СМ N 04.1-1.0012 "Руководство по определению продолжительности аудита системы менеджмента качества, системы экологического менеджмента, и системы менеджмента охраны здоровья и безопасности труда"
СМ N 04.1-1.0014
Документ СМ N 04.1-1.0014 "Руководство по применению ISO/IEC 17021-1 для аудитов интегрированных систем менеджмента"
СМ N 04.1-1.0016
Документ СМ N 04.1-1.0016 "Руководство по применению стандарта ISO/IEC 17011 при аккредитации органов по сертификации систем менеджмента безопасности пищевых продуктов (СМБПП)"
ГОСТ Р ИСО 9000-2015
Национальный стандарт ГОСТ Р ИСО 9000-2015 (ISO 9000:2015, IDT) "Системы менеджмента качества. Основные положения и словарь"
ГОСТ Р ИСО/МЭК 17021-1-2017
Национальный стандарт ГОСТ Р ИСО/МЭК 17021-1-2017 (ISO/IEC 17021-1:2015, IDT) "Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 1. Требования"
ГОСТ Р ИСО/МЭК 27006-2020
Национальный стандарт ГОСТ Р ИСО/МЭК 27006-2020 (ISO/IEC 27006:2015, IDT) "Информационные технологии. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности"
ГОСТ Р 56399-2015/ISO/IEC TS 17023:2013
Национальный стандарт ГОСТ Р 56399-2015/ISO/IEC TS 17023:2013 (ISO/IEC TS 17023:2013, IDT) "Оценка соответствия. Руководящие указания по определению продолжительности сертификации систем менеджмента"
ГОСТ Р 57577-2017
Национальный стандарт ГОСТ Р 57577-2017 (ISO 50003:2014, IDT) "Системы энергетического менеджмента. Требования для органов, проводящих аудит и сертификацию систем энергетического менеджмента"
ISO 22003-1:2022
Международный стандарт ISO 22003-1:2022 "Безопасность пищевой продукции. Часть 1. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента безопасности пищевой продукции" (ISO 22003-1:2022 "Food safety - Part 1: Requirements for bodies providing audit and certification of food safety management systems")
IAF MD 1:2023
Документ Международного форума по аккредитации IAF MD 1:2023 "Обязательный документ IAF для аудита и сертификации системы менеджмента организаций, имеющих сеть предприятий" (IAF MD 1:2023 "IAF Mandatory Document for the Audit and Certification of a Management System Operated by a Multi-Site Organization")
IAF MD 4:2023
Документ Международного форума по аккредитации IAF MD 4:2023 "Обязательный документ IAF по применению информационно-коммуникационных технологий (ИКТ) в целях аудита/оценки" (IAF MD 4:2023 "IAF Mandatory Document for the Use of Information and Communication Technology (ICT) for Auditing/Assessment Purposes")
IAF MD 5:2023
Документ Международного форума по аккредитации IAF MD 5:2023 "Обязательный документ IAF. Определение продолжительности аудита системы менеджмента качества, системы экологического менеджмента, и системы менеджмента охраны здоровья и безопасности труда" (IAF MD 5:2023 "Determination of Audit Time of Quality, Environmental, and Occupational Health & Safety Management Systems")
IAF MD 11:2023
Документ Международного форума по аккредитации IAF MD 11:2023 "Обязательный документ IAF по применению ISO/IEC 17021-1 для аудитов интегрированных систем менеджмента" (IAF MD 11:2023 "IAF Mandatory Document for the Application of ISO/IEC 17021-1 for Audits of Integrated Management Systems")
IAF MD 16:2023
Документ Международного форума по аккредитации IAF MD 16:2023 "Обязательный документ IAF. Применение стандарта ISO/IEC 17011 при аккредитации органов по сертификации систем менеджмента безопасности пищевых продуктов (СМБПП)" (IAF MD 16:2023 "Application of ISO/IEC 17011 for the Accreditation of Food Safety Management Systems (FSMS) Certification Bodies")
2.2. При применении настоящего руководства следует проверять действие ссылочных документов. Если ссылочный документ заменен, то при применении настоящего руководства следует руководствоваться замененным (измененным) документом.
3. Термины и определения
3.1. В настоящем руководстве применяются следующие термины в соответствии с ГОСТР 56399-2015/ISO/IEC TS 17023:2013, ГОСТР ИСО 9000-2015 а также:
виртуальное место
-
виртуальное место, в котором организация заказчика выполняет работу или предоставляет услугу с использованием интерактивной среды, которая позволяет лицам осуществлять процессы независимо от физического местоположения <1>
временное место
-
место (физическое или виртуальное), где организация заказчика осуществляет определенные работы или откуда оказывает услуги на временной основе, и которое не предназначено для использования в качестве постоянного объекта
высшее руководство
-
лицо или группа лиц, которые осуществляют управление и руководство организацией на высшем уровне
дополнительная область
-
область отдельного объекта <2>
организации, включающие несколько мест (многоместная организация)
-
организация, охватываемая единой системой менеджмента, включающая определенное центральное подразделение (не обязательно штаб-квартиру организации), где осуществляются планирование и управление конкретными процессами/видами деятельности, и несколько мест (постоянных, временных или виртуальных), где полностью или частично осуществляются такие процессы/виды деятельности
организация
лицо или группа лиц, которые имеют собственные функции, обязанности, полномочия и отношения для достижения своих целей
постоянное место
-
место (физическое или виртуальное), где организация заказчика осуществляет работы или откуда оказывает услуги на постоянной основе
центральное подразделение
-
подразделение, ответственное за систему менеджмента и осуществляющее централизованное управление
--------------------------------
<1> Место не может считаться виртуальным в том случае, если процессы должны выполняться в физической среде (например, складирование, физические испытательные лаборатории, установка или ремонт физической продукции).
Примером такого виртуального места является проектно-конструкторская организация, все сотрудники которой выполняют работу удаленно, работая в облачной среде.
Виртуальное место (например, внутренняя сеть организации) считается единым объектом при расчете времени аудита.
Для получения дополнительной информации см. также IAF MD 4.
<2> Область отдельного объекта может совпадать с полной областью многоместной организации, но также может составлять лишь небольшую часть области многоместной организации.
Приведенное выше определение термина "подобласть" применяется в целях выполнения требований настоящего руководства (в отличие от использования термина, где "подобласть" указывается в контексте аккредитации, а не сертификации).
3.2. В настоящем руководстве применяются следующие сокращения
СМ
-
система менеджмента Федеральной службы по аккредитации
IAF
-
Международный форум по аккредитации
4. Проведение аудита и сертификации систем менеджмента организаций, включающих несколько мест
4.1. Настоящее руководство предназначено для аудита и сертификации систем менеджмента многоместной организации, с единой системой менеджмента. В зависимости от схемы сертификации могут существовать конкретные требования относительно возможности выборки, в частности, выборки мест. Цель настоящего руководства заключается в том, чтобы аудит обеспечивал достаточную степень уверенности в применении системы менеджмента согласно соответствующему стандарту на всех местах, перечисленных в сертификационной документации, и чтобы аудит был реальным и осуществимым в экономическом и оперативном плане.
4.2 Настоящее руководство предназначено для применения в отношении многоместных организаций, отвечающим изложенным ниже критериям. Оно связано с другими обязательными документами IAF и документами системы менеджмента Росаккредитации, разработанных с учетом требований обязательных документов IAF, в частности, с документом СМ N 04.1-1.0012 разработанный с учетом требований IAF MD 5.
4.3 Предполагается, что при сертификации одноместных организаций будет далее использоваться документ СМ N 04.1-1.0012, но в случае любого противоречия между настоящим руководством и документом СМ N 04.1-1.0012 для многоместных организаций требования настоящего руководства будут иметь приоритет до пересмотра IAF MD 5 и документа СМ N 04.1-1.0012 соответственно.
5. Применение
5.1 Объект
5.1.1 Объект может включать всю землю, на которой осуществляются процессы/операции, находящуюся под контролем организации в данном месте, включая любое связанное или сопутствующее хранение сырья, побочных продуктов, промежуточных продуктов, конечных продуктов и отходов, а также любое оборудование или инфраструктуру, используемые в рамках процессов/операций, независимо от того, являются ли они стационарными. В качестве альтернативы, если этого требует закон, применяются определения согласно национальным или местным режимам лицензирования.
5.1.2 В тех случаях, когда практически невозможно определить местонахождение (например, при оказании услуг), область действия сертификации должна учитывать процессы/операции главного управления организации, а также предоставление услуг. В соответствующих случаях орган по сертификации может принять решение о том, что сертификационный аудит будет проводиться только в том случае, если организация предоставляет свои услуги. В таких случаях все связи с центральным подразделением должны быть идентифицированы и проверены.
5.2 Временный объект
5.2.1 Временные объекты, охватываемые системой менеджмента организации, подлежат выборочному аудиту для подтверждения функционирования и действенности системы менеджмента. Однако они могут быть включены в область действия многоместной сертификации и в сертификационную документацию при условии согласования между органом по сертификации и клиентской организацией. Если временные объекты указаны в сертификационной документации, такие объекты должны быть определены как временные.
5.2 Многоместная организация
5.3.1 Многоместная организация не обязательно должна быть единым юридическим лицом, но все объекты должны иметь юридическую или договорную связь с центральным подразделением организации и подчиняться единой системе менеджмента, которая устанавливается, реализуется и подлежит постоянному надзору и внутреннему аудиту со стороны центрального подразделения. Это означает, что центральное подразделение имеет право требовать от объектов выполнения корректирующих действий при необходимости. В соответствующих случаях это оговаривается в рамках соглашений между центральным подразделением и объектами.
6. Обоснование предлагаемого подхода
6.1 Настоящее руководство ориентировано на аудит многоместной организации с единой системой менеджмента.
6.2 Каждый отдельный объект может полностью или частично осуществлять процессы/операции, относящиеся к области действия системы менеджмента, и различные объекты могут относиться или не относиться к одному юридическому лицу.
6.3 Любые правовые соображения относительно системы менеджмента организации, распространяющейся на одно юридическое лицо или несколько юридических лиц, как правило, не имеют отношения к аудиту системы менеджмента и, если не указано иное, не рассматриваются в настоящем руководстве.
6.4 Именно система менеджмента организации подлежит аудиту и сертификации; кроме того, по определению аудит системы менеджмента основывается только на ограниченной выборке имеющейся информации. Однако необходимо продемонстрировать, что система менеджмента способна обеспечить желаемые результаты для всех задействованных объектов.
6.5 Поэтому логично начать с рассмотрения организации и структуры системы менеджмента, а также определения подходящего типа выборки, если это целесообразно.
6.6 В случае многоместной организации, где каждое место осуществляет похожие процессы/операции, может быть понятно, что требуется для обеспечения соответствующей "выборочной проверки объектов" (например, сеть франчайзинговых магазинов или сеть филиалов банка). С другой стороны, в настоящем руководстве также рассматривается ситуация, когда применение метода выборочной проверки объектов нецелесообразно.
Это может быть обусловлено различными причинами, например:
- все объекты осуществляют значительно различающиеся процессы/операции в рамках области применения системы менеджмента;
- клиент требует аудита каждого объекта; или
- существует отраслевая схема или нормативное требование, предусматривающее, что каждый объект требует систематического аудита.
Между этими двумя крайними случаями существуют различные Многоместные организации; при этом часть объектов выполняет аналогичные процессы/действия, в то время как другие объекты занимаются очень специфическими процессами, которые не выполняют другие подразделения организации. Как и в случае любого процесса выборки, надлежащая выборочная проверка объектов ограничивает выборку только теми объектами, которые выполняют очень похожие процессы/операции, которые являются частью области деятельности организации.
7. Пригодность многоместной системы для сертификации
7.1 Организация должна иметь единую систему менеджмента.
7.2 Организация должна определить свое центральное подразделение. Центральное подразделение является частью организации, и его функции не должны передаваться на субподряд внешней организации.
7.3 Центральное подразделение должно обладать организационными полномочиями для определения, создания и обслуживания единой системы менеджмента.
7.4 Единая система менеджмента организации требует централизованного контроля со стороны руководства.
7.5 На все объекты распространяется программа внутреннего аудита организации.
7.6 Центральное подразделение отвечает за обеспечение сбора и анализа данных со всех объектов и должно быть способно продемонстрировать свои полномочия и способность инициировать организационные изменения в соответствии с требованиями, в частности:
1) изменения системы и системной документации;
2) анализ со стороны руководства;
3) жалобы (претензии);
4) оценка корректирующих действий;
5) планирование и оценка результатов внутреннего аудита; и
6) законодательные и нормативные требования, относящиеся к применимому(-ым) стандарту(-ам) <1>.
--------------------------------
<1> Функция центрального подразделения заключается в том, что оперативный контроль и полномочия со стороны высшего руководства организации распространяются на каждый объект. Отсутствуют требования относительно расположения центрального подразделения в одном месте.
8. Методология
8.1 Методология аудита многоместной организации путем выборочной проверки объектов
8.1.1 Условия
8.1.1.1 Выборочная проверка ряда объектов производится в том случае, если объекты выполняют очень схожие процессы/операции.
8.1.1.2 Не все организации, соответствующие определению "многоместная организация", подходят для проведения выборочной проверки.
8.1.1.3 Не все стандарты систем менеджмента подходят для использования при многоместной сертификации. Например, метод многоместной выборки не подходит, если стандарт требует аудита переменных локальных факторов. Определенные правила также применяются в отношении некоторых схем, например в аэрокосмической (серия AS 9100) или автомобильной отрасли (IATF 16949), и требования таких схем имеют преимущественную силу.
8.1.1.4 Органы по сертификации должны иметь задокументированные процедуры ограничения такой выборки в тех случаях, когда выборочная проверка объектов нецелесообразна для обеспечения достаточной уверенности в эффективности проверяемой системы менеджмента. Такие ограничения определяются органом по сертификации в отношении следующих факторов:
- сектора области применения или процессы/операции (т. е. на основе оценки рисков или сложности таких секторов или операций);
- размер объектов, подлежащих многоместному аудиту;
- различия в местной реализации системы менеджмента для работы с различными процессами/операциями или различными договорными или регулирующими системами; и
- использование временных объектов, функционирующих в рамках системы менеджмента организации, даже если они не указаны в сертификационной документации.
8.1.2 Выборочная проверка
8.1.2.1 Проверка должна быть частично выборочной на основе факторов, изложенных ниже, и частично случайной, и должна обеспечивать проверку репрезентативного диапазона различных объектов и гарантировать аудит всех процессов, охватываемых областью сертификации.
8.1.2.2 Не менее 25% выборки отбирается случайным образом.
8.1.2.3 С учетом изложенных ниже положений остальная часть отбирается таким образом, чтобы различия между объектами, отбираемыми в течение срока действия сертификата, были как можно более значительными.
8.1.2.4 При выборе места необходимо учитывать, в частности, следующие аспекты:
- результаты внутреннего аудита места, анализа со стороны руководства и (или) предыдущих сертификационных аудитов;
- отчеты о жалобах и другие соответствующие аспекты корректирующих и превентивных мер;
- значительные различия в размерах объектов;
- изменения графика смен и рабочих процедур;
- сложность системы менеджмента и процессов, выполняемых на объектах;
- изменения, внесенные с момента последнего сертификационного аудита;
- стабильность системы управления и полнота информации об организации;
- экологические проблемы и масштабы проблем и соответствующего воздействия на системы экологического менеджмента;
- различия в культуре, языке и нормативных требованиях;
- географическое распределение; и
- постоянный, временный или виртуальный статус объектов.
8.1.2.5 Выбор образцов не обязательно должен быть сделан в начале процесса аудита. Он может быть также сделан после завершения аудита центрального подразделения. В любом случае центральное подразделение необходимо уведомить о включении объектов в выборку. Это может быть сделано в относительно короткие сроки, но необходимо предоставить достаточно времени для подготовки к аудиту.
8.1.3 Размер выборки
8.1.3.1 Орган по сертификации должен иметь задокументированную процедуру определения размера выборки. При этом необходимо учитывать все факторы, описанные в данном разделе настоящего руководства.
8.1.3.2 Орган по сертификации должен иметь записи по каждой выборке для каждой многоместной организации с обоснованием применения данного метода в соответствии с настоящим руководством.
8.1.3.3 Минимальное количество мест для проверки в рамках одного аудита:
- Первичный аудит: размер выборки равен квадратному корню от количества объектов: (), округленному до ближайшего целого числа, где у = количество объектов для выборки, а x = общее количество объектов.
- Инспекционный аудит: размер ежегодной выборки равен квадратному корню от количества объектов с использованием коэффициента ), округленному до ближайшего целого числа.
- Ресертификационный аудит: размер выборки соответствует размеру выборки при начальном аудите. Тем не менее, если система менеджмента доказала свою эффективность в течение цикла сертификации, размер выборки может быть уменьшен до с округлением до ближайшего целого числа.
8.1.3.4 Центральное подразделение (согласно разделу 7 настоящего руководства) проходит аудит во время первичной сертификации и каждого аудита при ресертификации, а также не реже одного раза в календарный год в рамках проверки компетентности.
8.1.3.5 Размер или частота выборки должны быть увеличены, если анализ риска процесса/деятельности, охватываемых сертифицируемой системой менеджмента, проводимый органом по сертификации, указывает на наличие особых обстоятельств в отношении таких факторов, как:
- размер объектов и количество сотрудников;
- сложность или уровень риска процесса/деятельности и системы менеджмента;
- изменения в методах работы (например, сменная работа);
- изменения выполняемых процессов/операций;
- отчеты о жалобах и другие соответствующие аспекты корректирующих и превентивных мер;
- любые многонациональные аспекты; и
- результаты внутреннего аудита и проверки со стороны руководства.
8.1.3.6 Если организация имеет иерархическую систему местных офисов (например, головной (центральный) офис, национальные офисы, региональные офисы, местные филиалы), то описанная выше модель выборки для первичного аудита применяется на каждом уровне.
Пример:
1 головной офис: проверка в течение каждого цикла аудита (первичный, инспекционный или ресертификационный аудит)
4 национальных офиса: размер выборки = 2: минимум 1 офис выбирается случайно
27 региональных офисов: размер выборки = 6: минимум 2 офиса выбираются случайно
1700 местных филиалов: размер выборки = 42: минимум 11 филиалов выбираются случайно
Выборка региональных офисов должна включать по меньшей мере по одному региональному офису, контролируемому каждым национальным офисом. Выборка местных филиалов должна включать по меньшей мере по одному местному филиалу, контролируемому каждым региональным офисом. Это может привести к тому, что размер выборки на каждом уровне будет превышать минимальный размер выборки, рассчитанный согласно пункту 8.1.3.3 настоящего руководства.
8.1.3.7 Процесс выборки является элементом менеджмента программы аудита: В любое время (т.е. до планирования инспекционного аудита, или когда какой-либо объект организации меняет свою структуру, или в случае приобретения нового объекта(-ов), которые будут добавлены в область сертификации) орган по сертификации должен пересмотреть выборку, предусмотренную в программе аудита, для определения необходимости в корректировке размера выборки до проведения выборочного аудита с целью обеспечения сертификации.
8.1.4 Дополнительные объекты
8.1.4.1 При подаче заявки на включение новых объектов или новой группы объектов в состав уже сертифицированной многоместной организации орган по сертификации определяет необходимые мероприятия, которые необходимо выполнить до включения нового(-ых) объекта(-ов) в область сертификации. Сюда относится решение вопроса о необходимости проведения аудита нового(-ых) объекта(-ов). После включения нового(-ых) объекта(-ов) в область сертификации определяется размер выборки для будущих инспекционных или ресертификационных аудитов.
8.2 Методология аудита многоместной организации, если выборочная проверка объектов согласно пункту 8.1 настоящего руководства нецелесообразна
8.2.1 Программа аудита должна включать первичный аудит и ресертификационный аудит всех объектов. В рамках инспекционного аудита в течение календарного года проверяется 30% объектов с округлением до целого числа. Каждый аудит включает центральное подразделение. Объекты, выбранные для второго инспекционного аудита, обычно отличаются от объектов, выбранных для первого инспекционного аудита.
8.2.2 Программа аудита должна обеспечивать аудит всех процессов, относящихся к области сертификации, в рамках каждого цикла.
8.2.3 Дополнительные объекты
При подаче заявки на включение нового объекта в состав уже сертифицированной многоместой организации объект подлежит аудиту до включения в область сертификации в дополнение к плановой проверке компетентности согласно программе аудита. После включения нового объекта в область сертификации он добавляется к предыдущим для определения времени аудита для будущих инспекционных или ресертификационных аудитов.
8.3 Методология аудита многоместной организации, включающей объекты, которые подходят для выборочной проверки, и другие объекты, которые не подходят для выборочной проверки
Программа аудита должна быть разработана на основе пункта 8.1 настоящего руководства для тех объектов, которые подходят для выборочной проверки, и пункта 8.2 настоящего руководства для остальной части организации, где пункт 8.1 настоящего руководства не применяется.
9. Аудит и сертификация
Орган по сертификации должен иметь задокументированные процедуры проведения аудитов в рамках многоместной процедуры. Такие процедуры определяют способ, которым орган по сертификации удостоверяется в том, что единая система менеджмента регулирует процессы/операции и фактически применяется на всех объектах. Орган по сертификации должен обосновать и задокументировать обоснование для применения любого подхода к аудиту и сертификации многоместной организации.
9.1 Заявка и проверка заявки
9.1.1 Орган по сертификации должен получить необходимую информацию об организации-заявителе в следующих целях:
- подтверждение создания единой системы менеджмента внутри организации;
- определение области применения используемой системы менеджмента и запрашиваемой области сертификации, а также, в соответствующих случаях, подобластей;
- понимание правовых и договорных механизмов для каждого объекта;
- понимание "сути происходящего", т.е. факты выполнения определенных процессов/операций на каждом объекте и определение центрального подразделения;
- определение степени централизации процессов/операций, которые выполняются на всех объектах (например, закупки);
- определение взаимосвязей между различными объектами;
- определение пригодности или непригодности объектов для выборочной проверки (например, при выполнении очень похожих процессов/операций);
- принятие во внимание других значимых факторов (см. также IAF MD 4, СМ N 04.1-1.0012, СМ N 04.1-1.0014, ГОСТ Р 56399-2015/ISO/IEC TS 17023:2013);
- определение времени аудита для организации;
- определение необходимой компетенции аудиторской группы; и
- определение сложности и масштаба процессов/операций (например, одного/одной или нескольких), охватываемых системой менеджмента.
9.2 Программа аудита
9.2.1 В дополнение к требованию пункта 9.1.3 стандарта ГОСТР ИСО/МЭК17021-1-2017 программа аудита должна по крайней мере включать или ссылаться на следующие аспекты:
- процессы/операции, выполняемые на каждом объекте;
- определение объектов, подходящих и не подходящих для выборочной проверки; и
- определение объектов, которые подпадают или не подпадают под выборочную проверку.
9.2.2 При определении программы аудита орган по сертификации должен выделить достаточно дополнительного времени для проведения мероприятий, которые не входят в расчетное время аудита (например, поездки, обмен информацией между членами аудиторской группы, встречи после аудита и т.д.), в связи с определенной конфигурацией организации, подлежащей аудиту <1>.
--------------------------------
<1> Возможно применение методов удаленного аудита при условии, что удаленный аудит целесообразен с учетом характера проверяемых процессов (см. ГОСТ Р ИСО/МЭК 17021-1-2017 и IAF MD 4).
9.2.3 Если в любой момент привлекаются аудиторские группы, состоящие из более чем одного члена, орган по сертификации совместно с руководителем группы несет ответственность за определение технической компетенции, необходимой для каждой части аудита и для каждого объекта, и за выделение соответствующих членов группы для каждой части аудита.
9.3 Расчет времени аудита
9.3.1 Организация, отвечающая критериям приемлемости, может состоять из объектов, подходящих для выборочной проверки, объектов, не подходящих для выборочной проверки, или их комбинации. Время проведения аудита должно быть достаточным для проведения эффективного аудита независимо от состава организации.
Если это не исключается конкретными схемами, сокращение времени аудита на каждый отобранный объект не должно превышать 50%.
Например, 30% - это максимальное сокращение времени аудита, разрешенное документом СМ N 04.1-1.0012, в то время как 20% следует рассматривать как максимальное сокращение, разрешенное для процессов единой системы менеджмента, выполняемых центральным подразделением, и любых потенциальных централизованных процессов (например, закупок).
Время проведения аудита на выбранном объекте (независимо от того, подходит ли он для выборочной проверки согласно пункту 8.1 настоящего руководства, не подходит согласно пункту 8.2 настоящего руководства или требует применения смешанной методологии согласно пункту 8.3 настоящего руководства), включая элементы центрального подразделения в соответствующих случаях, рассчитывается для каждого объекта на основе соответствующих документов IAF (например, IAF MD 5 для систем менеджмента качества и систем экологического менеджмента, IAF MD 11 для интегрированных систем менеджмента) и, при необходимости, любых применимых требований к отраслевым схемам расчета человеко-дней.
9.4 План аудита
9.4.1 В дополнение к требованию пункта 9.2.3 стандарта ГОСТ Р ИСО/МЭК 17021-1-2017 орган по сертификации должен учитывать при подготовке плана аудита по крайней мере следующие факторы:
- область и подобласти сертификации для каждого объекта;
- стандарт системы менеджмента для каждого объекта, если рассматривается несколько стандартов систем менеджмента;
- процессы/операции, подлежащие аудиту;
- время аудита для каждого объекта; и
- выделенная аудиторская группа.
9.5 Первичный аудит: Этап 1
В ходе этапа 1 аудиторская группа собирает информацию для:
- подтверждения программы аудита;
- планирования этапа 2 с учетом процессов/операций, подлежащих аудиту на каждом объекте; и
- подтверждения необходимой компетенции аудиторской группы этапа 2.
9.6 Первичный аудит: Этап 2
По итогам первичного аудита аудиторская группа должна задокументировать, какие процессы были проверены для каждого отобранного места. Эта информация будет использоваться для корректировки программы аудита и планов аудита для последующих инспекционных аудитов.
9.7 Несоответствия и сертификация
9.7.1 При обнаружении несоответствий согласно стандарту
ГОСТ Р ИСО/МЭК 17021-1-2017 на любом отдельном объекте в ходе внутреннего аудита организации или аудита, проводимого органом по сертификации, проводится расследование для определения возможного влияния на другие объекты. Поэтому орган по сертификации должен потребовать от организации проведения анализа несоответствий для определения наличия общего дефекта системы, применимого к другим объектам. При обнаружении такого дефекта корректирующие действия должны выполняться и контролироваться как на центральном объекте, так и на отдельных затронутых объектах. При отсутствии такого дефекта организация должна иметь возможность представить органу по сертификации обоснование для ограничения последующих корректирующих действий.
9.7.2 Орган по сертификации должен требовать подтверждения этих действий и увеличивать частоту выборочных проверок и (или) размер выборки до тех пор, пока он не убедится в восстановлении контроля.
9.7.3 Если на момент принятия решения на каком-либо объекте имеются серьезные несоответствия, в сертификации должно быть отказано всей многоместной организации до принятия удовлетворительных корректирующих мер на указанных объектах.
9.7.4 Недопустимо, чтобы для преодоления препятствия в связи с наличием несоответствия на одном месте в процессе сертификации организация стремилась исключить из области действия "проблемное" место.
9.8 Сертификационная документация
9.8.1 В сертификационной документации должна быть отражена область сертификации и места, и (или) юридические лица (в соответствующих случаях), на которые распространяется многоместная сертификация.
9.8.2 Сертификационная документация должна содержать названия и адреса всех объектов, составляющих организацию, к которой относятся сертификационные документы. Область или иная ссылка на данную документацию должна четко указывать на то, что сертифицированные виды деятельности осуществляются объектами, включенными в перечень. Однако если деятельность объекта составляет лишь подобласть от области сертификации организации, сертификационный документ должен включать подобласть объекта. Если временные объекты указаны в сертификационной документации, такие объекты должны быть определены как временные.
9.8.3 При выдаче сертификационной документации для одного объекта они должны включать:
- указание на систему менеджмента всей сертифицируемой организации;
- деятельность, осуществляемую определенным объектом/юридическим лицом, на которую распространяется данная сертификация;
- прослеживаемость основного сертификата, например, код; и
- заявление о том, что "срок действия настоящего сертификата зависит от срока действия основного сертификата".
Ни при каких обстоятельствах настоящая сертификационная документация не может быть выдана на имя объекта/юридического лица или свидетельствовать о сертификации данного объекта/юридического лица (сертифицированной является клиентская организация), а также не должен содержать заявлений о соответствии процессов/операций объекта нормативному документу.
9.8.4 Сертификационная документация подлежит аннулированию в полном объеме, если какой-либо из объектов не выполнит необходимые условия для проведения сертификации.
9.9 Инспекционный аудит
9.9.1 Инспекционный аудит многоместных организаций, где возможна выборочная проверка, проводится в соответствии с пунктом 8.1 настоящего руководства. Время аудита для каждого объекта рассчитывается согласно пункту 8.3 настоящего руководства.
9.9.2 Проверка компетентности многоместных организаций, где невозможна выборочная проверка согласно пункту 8.1 настоящего руководства, основана на аудите 30% объектов и центрального подразделения. Объекты, выбранные для второй проверки компетентности в рамках цикла сертификации, обычно не должны включать объекты, где проводилась выборочная проверка во время первого инспекционного аудита. Время аудита для каждого объекта рассчитывается согласно пункту 8.3 настоящего руководства.
9.10 Ресертификационный аудит
9.10.1 Ресертификационный аудит многоместных организаций, где возможна выборочная проверка, проводится в соответствии с пунктом 8.1 настоящего руководства. Время аудита для каждого объекта рассчитывается согласно пункту 8.3 настоящего руководства.
9.10.2 Ресертификационный аудит многоместных организаций, где невозможна выборочная проверка, проводится в формате первичного аудита, т.е. аудита всех объектов и центрального подразделения. Время аудита для каждого объекта и центрального подразделения рассчитывается согласно пункту 8.3 настоящего руководства.