"СМ N 04.1-1.0014. Руководство по применению ГОСТ Р ИСО/МЭК 17021-1-2017 для аудитов интегрированных систем менеджмента (IAF MD 11:2023, IDT). Версия 01. Октябрь 2023 г."

Утверждаю

Руководитель

Федеральной службы по аккредитации

Н.В.СКРЫПНИК

17 октября 2023 г.

СМ N 04.1-1.0014

ВЕРСИЯ 01. ОКТЯБРЬ 2023 Г.

РУКОВОДСТВО

ПО ПРИМЕНЕНИЮ ГОСТ Р ИСО/МЭК 17021-1-2017 ДЛЯ АУДИТОВ

ИНТЕГРИРОВАННЫХ СИСТЕМ МЕНЕДЖМЕНТА (IAFMD 11:2023, IDT)

ПРЕДИСЛОВИЕ

Настоящее руководство разработано Федеральной службой по аккредитации с учетом требований документа IAF MD 11:2023 и стандарта ГОСТ ISO IEC 17011-2018 и вводится впервые. Настоящее руководство вводится в действие по истечении десяти рабочих дней со дня его утверждения.

1. Область применения

1.1 Настоящее руководство является обязательным и устанавливает требования, касающиеся последовательного применения пункта 9.1.6 стандарта ГОСТ Р ИСО МЭК 17021-1-2017 для планирования и проведения аудитов ИСМ ОС.

1.2 В настоящем руководстве приведены требования к применению ГОСТ Р ИСО МЭК 17021-1-2017 для планирования и проведения аудитов ИСМ и, если позволительно, сертификации системы (систем) менеджмента организации по двум или более наборам критериев/стандартов аудита. Все положения ГОСТ Р ИСО МЭК 17021-1-2017 продолжают применяться, и настоящее руководство не заменяет ни одно из требований этого стандарта <1>.

--------------------------------

<1> Под критериями аудита подразумеваются стандарты системы менеджмента, используемые в качестве основы при проведении оценки соответствия и процедур сертификации (например, ГОСТ Р ИСО 9001-2015, ГОСТ Р ИСО 14001-2016, серия стандартов ISO/IEC 20000, ГОСТ Р ИСО 22000-2019, ISO/IEC 27001:2022 ИТ. д.).

1.3 Настоящее руководство может быть применимо также к отраслевым стандартам/стандартам, содержащим схемы, если это специально не запрещено в данных стандартах.

1.4 Следует отметить, что приложение в конце настоящего руководства также является частью требований и должно учитываться как таковое.

2. Нормативные ссылки

2.1 В настоящем руководстве использованы ссылки на следующие документы:

СМ N 04.1-1.0012

Документ СМ N 04.1-1.0012 "Руководство по определению продолжительности аудита системы менеджмента качества, системы экологического менеджмента, и системы менеджмента охраны здоровья и безопасности труда"

ГОСТ Р ИСО 9001-2015

Национальный стандарт ГОСТ Р ИСО 9001-2015 (ISO 9001:2015, IDT) "Системы менеджмента качества. Требования"

ГОСТ Р ИСО 14001-2016

Национальный стандарт ГОСТ Р ИСО 14001-2016 (ISO 14001:2015, IDT) "Системы экологического менеджмента. Требования и руководство по применению"

ГОСТ Р ИСО/МЭК

17021-1-2017

Национальный стандарт ГОСТ Р ИСО/МЭК 17021-1-2017 (ISO/IEC 17021-1:2015, IDT) "Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 1. Требования"

ГОСТ Р ИСО 22000-2019

Национальный стандарт ГОСТ Р ИСО 22000-2019 (ISO 22000:2018, IDT) "Системы менеджмента безопасности пищевой продукции. Требования к организациям, участвующим в цепи создания пищевой продукции"

ГОСТ Р ИСО/МЭК 27006-2020

Национальный стандарт ГОСТ Р ИСО/МЭК 27006-2020 (ISO/IEC 27006:2015, IDT) "Информационные технологии. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности"

ISO 22003-1:2022

Международный стандарт ISO 22003-1:2022 "Безопасность пищевой продукции. Часть 1. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента безопасности пищевой продукции" (ISO 22003-1:2022 "Food safety - Part 1: Requirements for bodies providing audit and certification of food safety management systems")

ISO/IEC 27001:2022

Международный стандарт ISO/IEC 27001:2022 "Информационная безопасность, кибербезопасность и защита частной жизни. Системы менеджмента информационной безопасности. Требования" (ISO/IEC 27001:2022 "Information security, cybersecurity and privacy protection - Information security management systems - Requirements")

IAF MD 5:2023

Документ Международного форума по аккредитации IAF MD 5:2023 "Обязательный документ IAF. Определение продолжительности аудита системы менеджмента качества, системы экологического менеджмента, и системы менеджмента охраны здоровья и безопасности труда" (IAF MD 5:2023 "Determination of Audit Time of Quality, Environmental, and Occupational Health & Safety Management Systems")

IAFMD 11:2023

Документ Международного форума по аккредитации IAF MD 11:2023 "Обязательный документ IAF по применению ISO/IEC 17021-1 для аудитов интегрированных систем менеджмента" (IAF MD 11:2023 "IAF Mandatory Document for the Application of ISO/IEC 17021-1 for Audits of Integrated Management Systems")

2.2 При применении настоящего руководства следует проверять действие ссылочных документов. Если ссылочный документ заменен, то при применении настоящего руководства следует руководствоваться замененным (измененным) документом.

3. Термины и определения

3.1 В настоящем руководстве применяются следующие термины в соответствии с ГОСТ Р ИСО/МЭК 17021-1-2017, а также:

аудит интегрированной

-

аудит системы менеджмента организации на предмет

системы менеджмента

-

соответствия двум или более наборам критериев/стандартов аудита, проводимый одновременно

интегрированная система

-

единая система менеджмента, управляющая

менеджмента

-

множеством аспектов деятельности организации для удовлетворения требований более чем одного стандарта менеджмента на заданном уровне интеграции. Система менеджмента может варьироваться от комбинированной системы, включающей отдельные системы менеджмента для каждого набора критериев аудита/стандарта, до интегрированной системы менеджмента, совместно применяющей единую системную документацию, элементы системы менеджмента и обязанности

уровень интеграции

-

уровень, на котором организация использует одну единую систему менеджмента для управления несколькими аспектами деятельности организации для удовлетворения требований более чем одного стандарта на систему менеджмента. Интеграция относится к способности системы менеджмента интегрировать документацию, соответствующие элементы системы менеджмента и обязанности в отношении двух или более наборов критериев аудита/стандартов

3.2 В настоящем руководстве применяются следующие сокращения

ИСМ

-

интегрированная система менеджмента

ОС

-

орган по сертификации

IAF

-

Международный форум по аккредитации

4. Применение

4.1 ОС должен обеспечить следующее:

1) При разработке программы аудита учитывается уровень интеграции системы (систем) менеджмента.

2) Планы аудита охватывают все области и виды деятельности, применимые к каждому стандарту/спецификации системы менеджмента, охватываемому областью аудита, и рассматриваются компетентным(-ыми) аудитором(-ами).

3) Аудиторская группа в целом должна удовлетворять требованиям компетентности, установленным ОС для каждой технической сферы, соответствующей каждому стандарту/спецификации системы менеджмента, охватываемому областью аудита ИСМ.

4) Аудит должен проводиться руководителем группы, компетентным как минимум в одном из проверяемых стандартов/спецификаций.

5) Выделяется достаточно времени для проведения полного и результативного аудита системы менеджмента организации на предмет стандартов/спецификаций системы менеджмента, охватываемых областью аудита.

4.1.1 Чтобы определить время аудита ИСМ, охватывающего два или более стандарта/спецификации системы менеджмента, например, A + B + C, ОС должен:

1) Рассчитать необходимое время аудита для каждого(-ой) стандарта/спецификации системы менеджмента отдельно (приметая все соответствующие факторы, предусмотренные соответствующими используемыми документами и/или правилами схемы для каждого стандарта, например, СМ N 04.1-1.0012, ISO 22003-1:2022, ГОСТ Р ИСО/МЭК 27006-2020).

2) Рассчитать начальную точку Т продолжительности аудита ИСМ путем сложения суммы отдельных частей (например, Т = A + B + C).

3) Скорректировать исходную цифру, приняв во внимание факторы, которые могут увеличить или уменьшить (см. Приложение 1) время, необходимое для аудита.

Факторы, влияющие на снижение времени, включают, помимо прочего:

а) Уровень интеграции системы менеджмента организации.

6) Способность персонала организации отвечать на вопросы, касающиеся более чем одного стандарта систем менеджмента.

в) Наличие аудитора(-ов), компетентного(-ых) проводить аудит на более чем один стандарт/спецификации системы менеджмента.

Факторы, влияющие на увеличение времени, включают, помимо прочего:

а) Сложность аудита ИСМ по сравнению с аудитом системы менеджмента.

4) Информировать клиента о том, что продолжительность аудита ИСМ исходя из заявленного уровня интеграции системы менеджмента организации может подлежать корректировке на основании подтверждения уровня интеграции на первом этапе и последующих аудитах.

4.1.2 При проведении аудита ИСМ может понадобиться увеличение продолжительности, но если требуется сократить время, то оно не должно превышать 20% от начальной точки Т (подпункт 2 пункта 4.1.1 настоящего руководства).

4.1.3 Первоначальное значение и обоснование увеличения или уменьшения времени проведения аудита должны быть задокументированы.

4.2 Существующие применимые документы (например, обязательные документы IAF), относящиеся к аудиту стандартов/спецификаций систем менеджмента, необходимо учитывать при разработке программы аудита и планов аудита ИСМ.

4.3 Все применимые требования каждого стандарта/спецификации системы менеджмента, относящиеся к области применения ИСМ, должны быть проверены.

4.4 Отчеты об аудите могут быть интегрированными или отдельными в зависимости от проверяемых систем менеджмента. Каждый вывод, представленный в интегрированном отчете, должен прослеживаться до применимого стандарта(-ов)/спецификации(-й) системы менеджмента.

4.5 ОС должен рассмотреть влияние, которое несоответствие, обнаруженное для одного из стандарта(-ов)/спецификации(-ий) системы менеджмента, оказывает на соответствие другому стандарту(-ам)/спецификации(-ям) системы менеджмента.

5. Первичный аудит и сертификация

5.1 Заявка заказчика

Заявка заказчика должна включать информацию, касающуюся уровня интеграции, включая уровень интеграции документов, элементов системы менеджмента и обязанностей (см. Приложение 1).

5.2 Первый этап аудита

В ходе первого этапа аудита аудиторская группа должна подтвердить уровень интеграции ИСМ. ОС должен пересмотреть и при необходимости изменить продолжительность аудита, основываясь на информации, предоставленной на этапе подачи заявки.

6. Инспекционный контроль и ресертификациии

ОС должен подтвердить, что уровень интеграции остается неизменным на протяжении всего цикла сертификации, чтобы гарантировать применимость установленных сроков аудита.

7. Приостановление, сокращение, отмена

Если сертификация по одному или нескольким стандартам/спецификациям системы менеджмента подлежит приостановке, сокращению или отмене, ОС должен изучить влияние этого на сертификацию по другим стандартам/спецификациям системы менеджмента.

Приложение 1

СОКРАЩЕНИЕ ВРЕМЕНИ АУДИТА

Рисунок 1

Рисунок (не приводится)

Возможность проведения комбинированного аудита %

Рисунок 1: Настоящий рисунок иллюстрирует сокращение (%) продолжительности комплексного аудита и его связь с:

Вертикальная ось: Уровень интеграции системы менеджмента организации, который должен включать анализ способности проверяемой организации отвечать на многоаспектные вопросы. ИСМ возникает, когда организация использует одну единую систему менеджмента для управления несколькими аспектами деятельности организации. Она характеризуется (но не ограничивается) следующим:

1. Комплексный набор документации, включая рабочие инструкции на хорошем уровне разработки, при необходимости.

2. Анализы со стороны руководства, в которых рассматривается общая бизнес-стратегия и план.

3. Комплексный подход к внутреннему аудиту.

4. Комплексный подход к политике и целям.

5. Комплексный подход к системным процессам.

6. Комплексный подход к механизмам улучшения (корректирующие и предупреждающие действия; измерение и постоянное улучшение).

7. Комплексная управленческая поддержка и ответственность.

ОС должен принять решение о процентном уровне интеграции, исходя из того, насколько система управления организации соответствует вышеуказанным критериям, и

Горизонтальная ось: Степень, выраженная в виде коэффициента, который необходимо умножить на коэффициент 100, чтобы получить степень, выраженную в процентах, по которым квалифицированы отдельные члены аудиторской группы:

Где

XI, 2, 3...n - количество стандартов, по которым имеет квалификацию аудитор, соответствующих области интегрированного аудита;

Y - количество стандартов систем менеджмента, подлежащих комплексному аудиту;

Z - количество аудиторов.

Пример:

Единая аудиторская группа из трех аудиторов, охватывающая три различных стандарта систем менеджмента. Один аудитор имеет квалификацию по всем трем стандартам; один аудитор имеет квалификацию по двум стандартам, а другой аудитор имеет квалификацию по одному стандарту.

Процентное значение, которое будет использоваться для горизонтальной оси, равно:

Благодаря имеющейся компетенции каждого аудитора по более чем одному набору критериев/стандартов аудита, достигается эффективность, которая учитывается при расчете возможного сокращения времени в приведенной выше формуле. К ней относится:

1. Экономия времени благодаря одному вступительному и одному заключительному совещанию.

2. Экономия времени за счет подготовки единого интегрированного аудиторского отчета.

3. Экономия времени за счет оптимизации логистики.

4. Экономия времени на собраниях группы аудиторов.

5. Экономия времени при одновременном аудите общих элементов, например, при контроле документов.