"СМ N 04.1-1.0018. Руководство по контролю за деятельностью юридических лиц, действующих от имени аккредитованных органов по сертификации систем менеджмента. Версия 01. Январь 2024 г."

Утверждаю

Руководитель

Федеральной службы по аккредитации

Н.В.СКРЫПНИК

30 января 2024 г.

СМ N 04.1-1.0018

ВЕРСИЯ 01. ЯНВАРЬ 2024 Г.

РУКОВОДСТВО

ПО КОНТРОЛЮ ЗА ДЕЯТЕЛЬНОСТЬЮ ЮРИДИЧЕСКИХ ЛИЦ,

ДЕЙСТВУЮЩИХ ОТ ИМЕНИ АККРЕДИТОВАННЫХ ОРГАНОВ

ПО СЕРТИФИКАЦИИ СИСТЕМ МЕНЕДЖМЕНТА

(IAF MD 23:2023, IDT)

ПРЕДИСЛОВИЕ

Настоящее руководство разработано Федеральной службой по аккредитации с учетом требований документа IAFMD 23:2023 и стандарта ГОСТ ISO/IEC 17011-2018 и вводится впервые. Настоящее руководство вводится в действие по истечении десяти рабочих дней со дня его утверждения.

1. Область применения

1.1 Настоящее руководство касается юридических лиц, осуществляющих деятельность и (или) управляющих деятельностью по сертификации систем менеджмента от имени ОС, имеющих аккредитацию, которые не являются полностью или частично принадлежащими или нанятыми ОС. Юридические лица могут находиться или не находиться в той же стране, где находится главный офис ОС, и могут быть представителями, агентствами, получателями франшизы или отделами продаж ОС или любыми юридическими лицами, которые имеют договорные отношения с ОС для осуществления сертификационной деятельности.

2. Нормативные ссылки

2.1 В настоящем руководстве использованы ссылки на следующие документы:

СМ N 04.1-1.0015

Документ СМ N 04.1-1.0015 "Руководство по сбору данных с целью представления сведений для определения эффективности органов по сертификации систем менеджмента"

ГОСТ ISO/IEC 17011-2018

Межгосударственный стандарт ГОСТ ISO/IEC 17011-2018 (ISO/IEC 17011:2017, IDT) "Оценка соответствия. Требования к органам по аккредитации, аккредитующим органы по оценке соответствия"

ГОСТ Р ИСО/МЭК 17021-1-2017

Национальный стандарт ГОСТ Р ИСО/МЭК 17021-1-2017 (ISO/IEC 17021-1:2015, IDT) "Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 1. Требования"

IAF MD 12:2023

Документ Международного форума по аккредитации IAF MD 12:2023 "Оценка аккредитации органов по оценке соответствия, осуществляющих деятельность в нескольких странах" (IAF MD 12:2023 "Accreditation Assessment of Conformity Assessment Bodies with Activities in Multiple Countries")

IAF MD 15:2023

Документ Международного форума по аккредитации IAF MD 15:2023 "Обязательный документ IAF для сбора данных с целью представления сведений для определения эффективности органов по сертификации систем менеджмента" (IAF MD 15:2023 "IAF mandatory document for the Collection of Data to Provide Indicators of Management System Certification Bodies' Performance")

IAF MD 23:2023

Документ Международного форума по аккредитации IAF MD 23:2023 "Контроль за деятельностью юридических лиц, действующих от имени аккредитованных органов по сертификации систем менеджмента" (IAF MD 23:2023 "Control of Entities Operating on Behalf of Accredited Management Systems Certification Bodies")

2.2 При применении настоящего руководства следует проверять действие ссылочных документов. Если ссылочный документ заменен, то при применении настоящего руководства следует руководствоваться замененным (измененным) документом.

3. Термины и определения

3.1 В настоящем руководстве применяются следующие термины в соответствии с ГОСТ ISO/IEC 17011-2018, ГОСТ Р ИСО/МЭК 17021-1-2017.

3.2 В настоящем руководстве применяются следующие сокращения

ОС

-

орган по сертификации

СМБПП

-

система менеджмента безопасности пищевых продуктов

СМБТиОЗ

-

система менеджмента охраны здоровья и безопасности труда

СЭМ

-

система экологического менеджмента

IAF

-

Международный форум по аккредитации

4. Обязательства органов по сертификации

4.1 Оценка рисков в отношении юридических лиц-кандидатов

Прежде чем заключать какое-либо соглашение, ОС должен провести комплексную оценку рисков в отношении юридического лица-кандидата в стране, в которой это лицо находится, и в странах, в которых оно будет действовать от имени ОС. Если он выявляет неприемлемый риск, который невозможно контролировать, ОС не должен продолжать выполнять соглашение.

Риски должны рассматриваться в отношении беспристрастности, компетентности, последовательности, независимости и на уровне локальных рисков для сертификационной деятельности в стране, в которой по планам ОС будет вести свою деятельность юридическое лицо (см. Приложение 1). Может учитываться действующая аккредитация юридического лица.

4.2 Составление соглашения, имеющего юридическую силу

ОС должен составить соглашение, имеющее юридическую силу, с юридическим лицом-кандидатом, которое включает, но не ограничивается следующим:

1) юридическое лицо-кандидат должно соответствовать применимым требованиям, включая правовой статус, беспристрастность, требования к компетентности, требования к процессу и системе менеджмента ОС, в той степени, в которой юридическое лицо-кандидат участвует в предоставлении услуг по сертификации.

- юридическое лицо-кандидат должно осуществлять свою деятельность в рамках системы менеджмента ОС и (или) в рамках собственной аккредитации.

- по мере необходимости на основе оценки риска должны быть определены и внедрены дополнительные меры контроля.

2) юридическое лицо подлежит аудиту, который осуществляется ОС на постоянной основе. Аудиты должны включать все виды деятельности, осуществляемые юридическим лицом от имени ОС. Частота проведения и методология аудита зависит от оценки рисков и результатов предыдущих аудитов.

3) обязательная годовая отчетность по ключевым показателям эффективности, включая те, что указаны в документе СМ N 04.1-1.0015.

4) предоставление доступа к контролю и мониторингу Росаккредитацией ОС по мере необходимости.

5) подробная информация о деятельности, которая должна быть предоставлена юридическим лицом.

6) обязанности, полномочия и ответственность каждой из сторон.

7) обеспечение ресурсами, обучение, постоянное профессиональное развитие.

8) интеллектуальная собственность и ее защита.

9) перед передачей на аутсорсинг любой деятельности, которая выполняется от имени ОС, юридическое лицо должно получить согласие ОС.

ОС должны сообщать Росаккредитации обо всех видах деятельности юридических лиц, которые были уполномочены предоставлять услуги по сертификации от имени ОС, и о рынках, на которых они работают.

В случае расторжения соглашения ОС обязан сообщить Росаккредитации о причинах расторжения.

4.3 Соответствие деятельности юридических лиц применимым требованиям, а также системе менеджмента ОС и руководящим документам

Требование в отношении соответствия применимым требованиям аккредитации распространяется на юридическое лицо в отношении услуг, которые оно оказывает от имени ОС.

ОС должен осуществлять мониторинг текущей деятельности юридического лица, в том числе проведение внутренних аудитов (включая свидетельские аудиты, которые могут проводиться на местах, в удаленном формате или комбинации этих методов) юридических лиц, в отношении соответствия требованиям аккредитации системы менеджмента ОС, руководящих документов ОС и других применимых документов в отношении деятельности, осуществляемой от имени ОС.

5. Обязательства органов по аккредитации

5.1 Мониторинг юридических лиц, осуществляемый Росаккредитацией

Когда Росаккредитация получает уведомление о том, что ОС планирует использовать такое юридическое лицо, Росаккредитация должна поделиться этой информацией (пункт 7.8.1 стандарта ГОСТ ISO/IEC 17011-2018) с местными органами по аккредитации и может запрашивать информацию у них с учетом требований раздела 8 стандарта ГОСТ ISO/IEC 17011-2018.

В случае получения соответствующей информации местные органы по аккредитации должны идентифицировать юридических лиц, аккредитованных иностранными органами по аккредитации, ведущих свою деятельность на местном рынке, и сообщать эту информацию иностранным органам по аккредитации.

Росаккредитация, аккредитовавшая ОС, должна принять решение касательно программы оценки своих юридических лиц в соответствии с требованиями стандарта ГОСТ ISO/IEC 17011-2018 и IAF MD 12. Оценка при аккредитации органов по оценке соответствия, осуществляющих деятельность в разных странах, а также других применимых документов и в случае необходимости сообщить местному органу по аккредитации.

Росаккредитация, аккредитовавшая ОС, должен сообщать местному органу по аккредитации о случаях расторжения соглашения между ОС и юридическим лицом в связи с мошенничеством или неэтичным поведением.

5.2 Оценка деятельности юридических лиц, осуществляемая Росаккредитацией

Росаккредитация должна определить частоту проведения оценки для каждого ОС и его юридических лиц в рамках цикла аккредитации на основе требований стандарта ГОСТ ISO/IEC 17011-2018 и применимых документов IAF.

Росаккредитация, аккредитовавшая ОС, может инициировать визиты к юридическим лицам для изучения конкретных ситуаций, вызванных неблагоприятными тенденциями (включая показатели, которые определяются юридическими лицами и ОС и регулярно сообщаются Росаккредитации), или реакцией рынка, таких как:

- внезапное изменение количества сертификатов, выданных ОС.

- юридическое лицо выявляет небольшое количество несоответствий или их отсутствие в течение длительного периода времени, например, в течение цикла сертификации, если юридическое лицо выполняет аудиты.

- ситуации, которые ставят под сомнение достоверность аккредитованной сертификации.

- жалобы от клиентов сертифицированных организаций или других заинтересованных сторон, свидетельствующие об озабоченности по поводу результативности процесса сертификации юридического лица.

- негативное освещение в СМИ: т.е. вопросы, поднятые средствами массовой информации относительно конкретного продукта, организации или юридического лица в отношении определенных технических областей; проблемы, выявленные через сайты социальных сетей; определенные негативные отзывы со стороны неправительственных организаций относительно выполнения аккредитованной сертификации; вмешательство или отрицательные отзывы со стороны регулирующих органов.

- выявление юридическим лицом системных вопросов и проблем в ходе оценки, зафиксированной в результате проведения наблюдения Росаккредитацией для клиента, когда такие полученные результаты не были зафиксированы в ходе предыдущих аудитов того же клиента, особенно тем же аудитором/группой.

- доказательства того, что соблюдение нормативных требований, касающихся систем менеджмента, особенно чувствительных к нормативному регулированию, таких как СМБПП, СЭМ или СМБТиОЗ, не подвергается надлежащему аудиту, особенно если это оказывает непосредственное влияние на здоровье или безопасность людей <1>.

--------------------------------

<1> Приложение 2 может использоваться для содействия расследованию таких ситуаций.

В случае неудовлетворительной работы юридического лица (что может быть вызвано жалобами местных органов по аккредитации, регулирующих органов или других заинтересованных сторон, плохим ведением учета, неэффективным обучением и оценкой местного персонала и т.д.) у Росаккредитации может возникнуть потребность в изменении программы оценки ОС, например, путем планирования дополнительных специальных оценок, которые могут проводиться на местах, в удаленном формате или комбинации этих методов.

Информация, относящаяся к юридическим лицам, неудовлетворительно осуществляющими свою роботу, должна передаваться Росаккредитации, и необходимо направить запрос в Росаккредитацию в отношении сотрудничества для осуществления каких-либо последующих действий по согласованию с ОС.

Приложение 1

ЭЛЕМЕНТЫ, КОТОРЫЕ МОГУТ БЫТЬ ПРОВЕРЕНЫ

ВО ВРЕМЯ ОЦЕНКИ РИСКОВ

(ИНФОРМАТИВНОЕ)

Элементы, которые могут быть проверены во время оценки рисков, включают, в частности <1>:

--------------------------------

<1> Источником информации может быть местный орган по аккредитации.

- собственность и владельцев, а также их взаимосвязь (бизнес и др.);

- связанные предприятия, включая отношения с консалтинговыми компаниями;

- чистые досье в отношении отсутствия судимости владельцев и юридических лиц;

- потенциальные проблемы с властями, нарушения, действия, запреты, налоговый учет, учет социального обеспечения;

- прежние отношения с другими ОС, если таковые имеются, текущий статус, причины прекращения отношений;

- количество официальных сотрудников, включая внешние ресурсы; - сферы компетенции аудиторов, аудиторские досье, действующие договоры;

- финансовая стабильность.

Приложение 2

ИНСТРУМЕНТАРИЙ ДЛЯ СПЕЦИАЛЬНОЙ

ИССЛЕДОВАТЕЛЬСКОЙ ОЦЕНКИ ДЕЯТЕЛЬНОСТИ

ЮРИДИЧЕСКИХ ЛИЦ

(ИНФОРМАТИВНОЕ)

В случае необходимости специальной исследовательской оценки ниже приведен рекомендуемый список тем, подлежащих проверке, для оценки доказательств соответствия деятельности юридических лиц:

- юридическая информация, регистрация, право собственности, юридические документы компании и владельцев/руководителей;

- другие виды деятельности, осуществляемые юридическим лицом;

- связанные юридические лица через общую собственность и связи между владельцами;

- структура управления и управление конфликтом интересов;

- информация о налогах и социальном обеспечении и соотношение с объемом работ;

- аудиторские ресурсы - доказательства касательно их существования и подтвержденной компетентности;

- финансовые аспекты;

- перекрестная проверка дат проведения аудиторских проверок и убедительные доказательства присутствия аудиторов (например, что дорожные квитанции, счета в отелях, платежные реквизиты не пересекаются с другими аудиторскими проверками);

- подтверждение клиентами наличия/присутствия аудиторских групп, аудито-дней, продолжительности аудитов и т.д;

- фактическое состояние компании;

- проверка соответствия тарифов прямым затратам;

- проверка крупных субподрядчиков-консультантов - крупные суммы, выплачиваемые субподрядчикам; платежи аудиторам, договоры с аудиторами, платежи компаниям для проведения аудитов.

При необходимости могут быть добавлены другие темы для проведения проверки.