ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

НАЦИОНАЛЬНЫЙ

СТАНДАРТ

РОССИЙСКОЙ

ФЕДЕРАЦИИ

Оценка соответствия

ТРЕБОВАНИЯ К ОРГАНАМ, ПРОВОДЯЩИМ АУДИТ И СЕРТИФИКАЦИЮ СИСТЕМ МЕНЕДЖМЕНТА

Часть 1

ТРЕБОВАНИЯ

(ISO/IEC 17021-1:2015, ЮТ)

Издание официальное

Москва

Стандартинформ

2017

Предисловие

1    ПОДГОТОВЛЕН Акционерным обществом «Всероссийский научно-исследовательский институт сертификации» (АО «ВНИИС») на основе официального перевода на русский язык англоязычной версии международного стандарта, указанного в пункте 4

2    ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 4 июля 2017 г№ 640-ст

4    Настоящий стандарт идентичен международному стандарту ИСО/МЭК 17021-1:2015 «Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 1. Требования» (ISO/IEC 17021-1:2015 «Conformity assessment — Requirements for bodies providing audit and certification of management systems — Part 1: Requirements». IDT).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5    ВЗАМЕН ГОСТ Р ИСО/МЭК 17021-2012

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

© Стандартинформ. 2017

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

II

ГОСТ Р ИСО/МЭК 17021-1—2017

4 .4.2 Орган по сертификации несет ответственность за оценку достаточности объективных свидетельств. на основании которых принимается решение о сертификации. На основании выводов аудита он принимает решение о выдаче сертификата, если имеются достаточные свидетельства соответствия, или о невыдаче сертификата, если нет достаточных свидетельств соответствия.

Примечание — Любой аудит основан на выборке из всей системы менеджмента организации, поэтому гарантия 100 %-ного соответствия требованиям невозможна

4.5    Открытость

4.5.1    Орган по сертификации должен обеспечивать открытый доступ или своевременно раскрывать соответствующую информацию о процессе аудита и сертификации, а также о статусе сертификации (например, о выдаче, подтверждении сертификата, расширении или сужении области действия сертификата, об обновлении, о приостановлении действия или отмене сертификата) любой организации с целью обеспечения уверенности в добросовестности и достоверности сертификации. Открытость — это принцип доступности или раскрытия соответствующей информации.

4.5.2    Для обеспечения или поддерживания доверия к сертификации орган по сертификации должен предоставлять необходимый доступ или раскрывать неконфиденциальную информацию о результатах конкретных аудитов (например, аудитов в ответ на жалобы) определенным заинтересованным сторонам.

4.6    Конфиденциальность

Для получения преимущественного доступа к информации, требуемой органом по сертификации для адекватной оценки соответствия требованиям, необходимо, чтобы орган по сертификации не раскрывал конфиденциальной информации.

4.7    Реагирование на жалобы

Стороны, которые полагаясь на сертификацию, ожидают, что их жалобы будут рассмотрены, должны быть уверены, что в случае признания их обоснованными орган по сертификации надлежащим образом учтет эти жалобы и приложит надлежащие усилия для их разрешения. Результативное реагирование на жалобы — важное средство защиты органа по сертификации, его заказчиков и других пользователей сертификации от ошибок, упущений или ненадлежащего поведения. Доверие к деятельности по сертификации обеспечивается в том спучае. если проводится соответствующая работа с жалобами.

Примечание — Правильный баланс между принципами открытости и конфиденциальности, включая реагирование на жалобы, необходимо соблюдать для демонстрации обоснованности и достоверности процесса всем пользователям сертификации

4.8    Подход на основе рисков

Органы по сертификации должны учитывать риски, связанные с проведением компетентной, непротиворечивой и беспристрастной сертификации. Риски могут быть, в частности, связаны с:

-    целями аудита;

-    выборкой, применяемой для целей аудита;

-    беспристрастностью;

-    юридическими и другими обязательными требованиями, включая обязательства сторон;

-    проверяемой организацией и условиями деятельности заказчика;

-    влиянием аудита на заказчика и его деятельность;

-    здоровьем и безопасностью членов аудиторской группы;

-    восприятием заинтересованных сторон;

-    недостоверными сообщениями сертифицируемого заказчика;

• использованием знаков.

5

5 Общие требования

5.1    Особенности, связанные с законодательством и договорами

5.1.1    Юридическая ответственность

Орган по сертификации должен быть юридическим лицом или определенной частью юридического лица, чтобы нести юридическую ответственность за все свои действия в области сертификации. Правительственный орган по сертификации рассматривается как юридическое лицо вследствие его правительственного статуса.

5.1.2    Договор на проведение работ по сертификации

Орган по сертификации должен заключить с каждым заказчиком имеющий юридическую силу договор об оказании услуг по сертификации в соответствии с требованиями настоящего стандарта. Кроме того, при наличии нескольких офисов у органа по сертификации или нескольких производственных площадок у заказчика орган по сертификации должен предусмотреть заключение имеющего юридическую силу договора между выдающим сертификат органом и заказчиком, действие которого распространяется на все производственные площадки, подлежащие сертификации.

Примечание — Договор может включать несколько договорных соглашений, связанных между собой посредством ссылок или иным образом

5.1.3    Ответственность за решения о сертификации

Орган по сертификации должен нести ответственность и иметь полномочия для принятия решений в области сертификации, включая выдачу, отказ в выдаче, подтверждение, возобновление сертификата. расширение или сужение области действия сертификата, приостановку и прекращение действия сертификата.

5.2 Управление беспристрастностью

5.2.1    Работы по оценке соответствия должны проводиться беспристрастным образом. Орган по сертификации должен нести ответственность за обеспечение беспристрастности в ходе работ по оценке соответствия, и он не должен допускать коммерческого, финансового или другого давления, компрометирующего его беспристрастность.

5.2.2    Высшее руководство органа по сертификации должно взять на себя обязательства по обеспечению беспристрастности в ходе работ по сертификации систем менеджмента. Орган по сертификации должен иметь политику с заявлением о том. что, понимая важность беспристрастности при выполнении работ по сертификации систем менеджмента, он управляет ситуациями, связанными с конфликтом интересов, и гарантирует объективность своих действий по сертификации систем менеджмента.

5.2.3    Орган по сертификации должен на постоянной основе идентифицировать, анализировать, оценивать, регулировать, контролировать и документировать риски, связанные с конфликтом интересов. возникающие при проведении сертификации, включая конфликты, вытекающие из его взаимоотношений. Если взаимоотношения создают угрозу для обеспечения беспристрастности, орган по сертификации должен документально оформить и суметь продемонстрировать, как он устраняет или минимизирует такие угрозы, а также задокументировать сведения о любом остающемся риске. Такая демонстрация должна охватывать все выявленные потенциальные источники конфликта интересов как в рамках органа по сертификации, так и в деятельности других лиц, органов или организаций. Если взаимоотношения становятся недопустимой угрозой для обеспечения беспристрастности (например, в случае, когда запрос на проведение сертификации поступает от дочерней компании органа по сертификации. находящейся в полном его владении), сертификация не допускается.

Высшее руководство должно анализировать любой остающийся риск на предмет его допустимости.

Работа по оценке рисков должна включать в себя идентификацию заинтересованных сторон и консультирование с ними по поводу аспектов, оказывающих влияние на обеспечение беспристрастности. включая открытость и восприятие общественностью. Консультирование с заинтересованными сторонами должно быть сбалансированным, не допускающим преобладания интересов одной из сторон.

Примечания

1 Взаимоотношения, представляющие угрозу для обеспечения беспристрастности органа по сертификации, могут быть связаны с правами собственности, властными полномочиями, менеджментом, персоналом, совместно

6

ГОСТ Р ИСО/МЭК 17021-1—2017

используемыми ресурсами, финансированием, контрактами, маркетингом, уплатой комиссионных с продаж или с другим поощрением за привлечение новых заказчиков и т д

2    Заинтересованными сторонами могут быть работники и заказчики органа по сертификации, потребители организаций, системы менеджмента которых проверяют в целях сертификации, представители торгово-промышленных ассоциаций, представители правительственных регулирующих органов и других правительственных учреждений или представители неправительственных организаций, включая организации потребителей

3    Одним из способов выполнения требования настоящего раздела, касающегося необходимости проведения консультирования, является создание комитета с участием заинтересованных сторон

5.2.4    Орган по сертификации не должен сертифицировать какой-либо другой орган по сертификации в отношении его деятельности по сертификации систем менеджмента.

5.2.5    Орган по сертификации и любая часть того же юридического лица, а также любое юридическое лицо под организационным управлением органа по сертификации [см. перечисление Ь) 9.5.1.2] не должны предлагать или проводить консультации по системам менеджмента. Это также применимо к той части правительственной структуры, которая идентифицирована как орган по сертификации.

Примечание — Это не исклкмает возможности обмена информацией (например, объяснение содержания выводов или требований) между органом по сертификации и его заказчиками

5.2.6    Проведение внутренних аудитов органом по сертификации может представлять серьезную угрозу для обеспечения беспристрастности Орган по сертификации и любая часть того же юридического лица, а также любое юридическое лицо под организационным управлением органа по сертификации [см. перечисление Ь) 9.5.1.2]. не должны предлагать или проводить внутренние аудиты у сертифицированных им заказчиков. Орган по сертификации не должен сертифицировать систему менеджмента, внутренние аудиты которой он проводил, как минимум два года после завершения внутренних аудитов. Это также применимо к той части правительственной структуры, которая идентифицирована как орган по сертификации.

Примечание —См примечание 1 к5.2.3.

5.2.7    Если заказчику оказывалась консультативная помощь организацией, имеющей связи с органом по сертификации, то это представляет серьезную угрозу для обеспечения беспристрастности. Одним из признанных способов снижения этой угрозы является установление двухлетнего маратория на проведение сертификации системы менеджмента с момента завершения консультаций.

Примечание —См примечание 1 к5.2.3.

5.2.8    Орган по сертификации не должен передавать право проведения аудитов организации, занимающейся консультированием по системам менеджмента, поскольку это представляет неприемлемую угрозу для обеспечения беспристрастности органа по сертификации (см. 7.5). Это не распространяется на лиц. привлеченных в качестве аудиторов по договору (см. 7.3).

5.2.9    Услуги органа по сертификации не должны предлагаться на рынке во взаимосвязи с услугами организации, занимающейся консультированием по системам менеджмента. Орган по сертификации должен принимать меры по устранению неуместных ссылок или заявлений любой консалтинговой организации, утверждающих или подразумевающих, что проведение сертификации будет проще, легче, быстрее или дешевле при привлечении данного органа по сертификации. Орган по сертификации не должен делать заявления, утверждающие или подразумевающие, что выполнение сертификации будет проще, легче, быстрее или дешевле при привлечении определенной консалтинговой организации.

5.2.10    Чтобы исключить конфликт интересов, работники, оказывающие консультационные услуги по системам менеджмента, включая сотрудников на руководящих позициях, не должны привлекаться органом по сертификации к участию в аудите или других работах по сертификации в течение двух лет после завершения консультирования данного заказчика.

5.2.11    Орган по сертификации должен предпринять ответные действия в отношении любых угроз для обеспечения беспристрастности, возникающих в связи с действиями других лиц. органов или организаций.

5.2.12    Весь персонал органа по сертификации как внутренний, так и внешний, или комитеты, которые могут оказывать влияние на работы в области сертификации, должны действовать беспристрастно и не должны допускать коммерческого, финансового или другого давления, компрометирующего их беспристрастность.

7

5.2.13 Органы по сертификации должны требовать от персонала как внутреннего, так и внешнего. предоставлять информацию о любых известных им ситуациях, которые могут вовлечь их или орган по сертификации в конфликт интересов. Органы по сертификации должны использовать данную информацию в качестве исходных данных при определении угроз для обеспечения беспристрастности вследствие деятельности таких работников или организаций, принявших их на работу, и не должны привлекать такой персонал как внутренний, так и внешний, пока работники не смогут продемонстрировать отсутствия конфликта интересов.

5.3 Обязательства и финансирование

5.3.1    Орган по сертификации должен быть способен продемонстрировать, что он оценивает риски. связанные с его деятельностью по сертификации, и что он располагает достаточными средствами (например, страхование или наличие резервов) для выполнения обязательств, возникающих в ходе его работ по сертификации в каждой области деятельности и географической зоне, в которой он осуществляет свою деятельность.

5.3.2    Орган по сертификации должен оценивать свои финансовые возможности и источники дохода. а также демонстрировать, что на начальном этапе и в дальнейшем коммерческое, финансовое или другое давление не могут поставить под сомнение его беспристрастность.

6 Требования к структуре

6.1    Организационная структура и высшее руководство

6.1.1    Орган по сертификации должен документировать свою организационную структуру, обязанности. ответственность и полномочия руководства и другого персонала, занимающегося сертификацией. а также любых комитетов. Если орган по сертификации является частью юридического лица, его организационная структура должна отражать распределение полномочий и взаимодействие с другими частями этого юридического лица.

6.1.2    Структура и управление органа по сертификации должна обеспечивать беспристрастность его деятельности по сертификации.

6.1.3    Орган по сертификации должен определить высшее руководство (совет, группу лиц или лицо), обладающее всеми полномочиями и несущее полную ответственность за:

a)    разработку политик и создание процессов и процедур, связанных с его деятельностью;

b)    контроль выполнения политик, процессов и процедур;

c)    обеспечение беспристрастности;

d)    надзор за финансами органа;

e)    разработку услуг и схем по сертификации систем менеджмента;

О выполнение аудитов и сертификации, а также реагирование на жалобы;

д) принятие решений о сертификации;

h) делегирование полномочий комитетам или лицам для осуществления, если требуется, определенных действий от своего имени;

О условия заключаемых договоров;

j) выделение необходимых ресурсов для выполнения работ по сертификации.

6.1    4 Орган по сертификации должен иметь официальные правила назначения, определения области компетенции и обеспечения функционирования всех комитетов, вовлеченных в работу по сертификации.

6.2    Управление деятельностью по сертификации

6.2.1    Орган по сертификации должен иметь процесс для эффективного управления работами по сертификации, проводимыми представительствами на местах, компаниями, агентами, получателями франшизы и т. д. независимо от их правового статуса, отношения или местонахождения. Орган по сертификации должен рассматривать риски, связанные с выполнением этих работ, в отношении компетентности. состоятельности и беспристрастности органа по сертификации.

6.2.2    Орган по сертификации должен рассматривать надлежащий уровень и способ управления деятельностью по сертификации, включая осуществляемые процессы, технические области работ органа. компетентность персонала, каналы управления руководством, предоставление отчетности и выполнение операций на удаленном расстоянии, включая управление записями.

ГОСТ Р ИСО/МЭК 17021-1—2017

7 Требования к ресурсам

7.1    Компетентность персонала

7.1.1    Общие положения

Орган по сертификации должен определить порядок получения персоналом необходимых знаний и навыков по типам систем менеджмента (например, системы экологического менеджмента, системы менеджмента качества, системы менеджмента информационной безопасности), которыми он занимается. и географическим зонам, в которых он осуществляет свою деятельность.

7.1.2    Определение критериев компетентности

Орган по сертификации должен иметь документированную процедуру определения критериев компетентности персонала, участвующего в организации и проведении аудитов и сертификации. Критерии компетентности должны определяться с учетом требований стандарта или технических условий для каждого типа систем менеджмента, для каждой технической области и для каждой функции процесса сертификации Выходными данными такого процесса должны быть документально оформленные критерии требуемых знаний и навыков, необходимых для эффективного выполнения задач аудита и сертификации с целью достижения запланированных результатов. В приложении А оговорены знания и навыки, которые орган по сертификации должен определить для выполнения конкретных функций. В случае установления дополнительных критериев компетентности для той или иной схемы сертификации (например. в ИСО/МЭК 17021-2, ИСО/МЭК 17021-3 или ИСО/ТУ 22003) должны применяться эти критерии.

Примечание — Термин «техническая область» может применяться по-разному в зависимости от рассматриваемого стандарта на системы менеджмента Что касается любой системы менеджмента, этот термин относится к продукции и процессам с учетом области применения стандарта на системы менеджмента Техническая область может быть определена конкретной схемой сертификации (например. ИСО/ТУ 22003) или может быть установлена органом по сертификации Этот термин применяют, чтобы охватить ряд других терминов, таких как «области», «категории». «сектора» и т. д., которые традиционно используют для различных типов систем менеджмента

7.1.3    Процессы оценивания

Орган по сертификации должен иметь документированные процессы для первоначального оценивания компетентности и осуществлять постоянный мониторинг компетентности и результативности деятельности всего персонала, участвующего в организации и проведении аудитов и сертификации, с использованием установленных критериев компетентности. Орган по сертификации должен демонстрировать результативность своих методов оценивания. Выход этих процессов должен быть связан с выявлением персонала, который продемонстрировал уровень компетентности, требуемый для выполнения различных функций аудита и процесса сертификации. Компетентность сотрудника должна быть подтверждена до того, как на него будет возложена ответственность за надлежащее исполнение работ, проводимых органом по сертификации.

Примечания

1    В приложении В описан ряд методов оценивания, которые допускается использовать для оценивания компетентности.

2    В приложении С приведен пример последовательности операций для определения и поддержания компетентности.

7.1.4    Дополнительные требования

Орган по сертификации должен иметь возможность обратиться к соответствующим техническим специалистам для получения рекомендаций по вопросам, имеющим непосредственное отношение к сертификации, применительно к техническим областям, типам систем менеджмента и географическим зонам, в которых работает орган по сертификации. Такие рекомендации могут быть получены либо со стороны, либо от персонала органа по сертификации.

7.2 Персонал, участвующий в работах по сертификации

7.2.1    Орган по сертификации должен иметь в своем штате персонал, обладающий достаточной компетентностью для осуществления различных программ аудита и выполнения других работ по сертификации.

7.2.2    Орган по сертификации должен иметь возможность привлекать к работе по сертификации достаточное число аудиторов, включая руководителей аудиторских групп и технических экспертов, для охвата всей сферы своей деятельности и выполнения всего объема работ по аудиту.

9

7.2.3    Орган по сертификации должен четко разъяснять каэдому работнику его обязанности, область ответственности и полномочия.

7.2.4    Орган по сертификации должен установить процессы отбора, подготовки, официального наделения полномочиями аудиторов, а также отбора технических экспертов, привлекаемых к работам по сертификации. Первоначальное оценивание уровня компетентности аудитора должно охватывать его умение применять требуемые знания и навыки при проведении аудитов; такое оценивание должен проводить компетентный оценщик, наблюдающий за тем. как аудитор проводит проверку.

Примечание — В ходе вышеуказанного процесса отбора и подготовки принимают во внимание требуемые личностные характеристики Это показатели, влияющие на способность сотрудника выполнять конкретные функции Поэтому знания, касающиеся личностных характеристик сотрудников, позволяют органу по сертификации воспользоваться их сильными сторонами и свести к минимуму влияние их слабых сторон Требуемые личностные характеристики, имеющие важное значение для персонала, участвующего в работах по сертификации, рассмотрены в приложении D

7.2.5    Орган по сертификации должен обеспечить наличие процесса достижения и демонстрации результативного проведения аудита, включая привлечение аудиторов и руководителей аудиторских групп, обладающих как общими знаниями и навыками в области аудита, так и навыками и знаниями, необходимыми для проведения аудита в конкретных технических областях.

7.2.6    Орган по сертификации должен предусмотреть, чтобы аудиторы (и. когда необходимо, технические эксперты) были осведомлены о процессе проведения аудита, требованиях к сертификации и других необходимых требованиях. Орган по сертификации должен предоставлять аудиторам и техническим экспертам доступ к действующим документированным процедурам, содержащим инструкции по проведению аудита и всю необходимую информацию в области сертификации.

7.2.7    Орган по сертификации должен выявлять потребности в обучении и предлагать или делать доступной специальную подготовку, чтобы гарантировать, что его аудиторы, технические эксперты и другой персонал, участвующий в работах по сертификации, компетентны в пределах выполняемых ими функций.

7.2.8    Группа или лицо, принимающие решение о выдаче, отказе в выдаче, подтверждении, возобновлении. приостановлении действия или отмене сертификата, расширении или сужении области сертификации, должны знать положения применяемого стандарта и требования к сертификации и подтвердить свою компетентность в области оценки результатов процессов аудита, включая соответствующие рекомендации аудиторской группы.

7.2.9    Орган по сертификации должен обеспечивать надежную работу всего персонала, участвующего в работах по аудиту и сертификации. Должны быть разработаны документированные процедуры и критерии для мониторинга компетентности и характеристик деятельности всего участвующего в работах персонала, основанные на частоте их привлечения к работам и уровне риска, связанного с их действиями. В частности, орган по сертификации должен проводить анализ и регистрацию компетентности своих работников в связи с выполняемыми ими работами с целью определения потребностей в обучении.

7.2.10    Орган по сертификации должен осуществлять постоянный контроль работы кахедого аудитора. рассматривая каждый тип систем менеджмента, в области которых аудитор считается компетентным. Документированные процедуры мониторинга деятельности аудиторов должны включать в себя комбинацию наблюдения и оценивание работы аудитора на месте, анализ отчетов по результатам аудита и информации от заказчиков или ответной реакции рынка. Такой мониторинг должен быть разработан таким образом, чтобы свести к минимуму вмешательство в нормальное протекание процессов сертификации, особенно с точки зрения заказчика.

7.2.11    Орган по сертификации должен периодически проводить наблюдение за работой каждого аудитора на рабочем месте. Периодичность наблюдений на месте должна быть обоснована необходимостью. определяемой на основании всех имеющихся данных по мониторингу.

7.3 Привлечение внешних аудиторов и внешних технических экспертов

Орган по сертификации должен требовать от внешних аудиторов и внешних технических экспертов заключения письменного соглашения с обязательствами по собпюдению применяемых политик и процедур, установленных органом по сертификации. Соглашение должно касаться вопросов соблюдения конфиденциальности и беспристрастности, а также требовать от внешних аудиторов и технических

ГОСТ Р ИСО/МЭК 17021-1—2017

Содержание

1    Область применения.................................................................1

2    Нормативные ссылки.................................................................1

3    Термины и определения...............................................................2

4    Принципы..........................................................................3

4.1    Общие положения................................................................3

4.2    Беспристрастность...............................................................4

4.3    Компетентность..................................................................4

4.4    Ответственность.................................................................4

4.5    Открытость......................................................................5

4.6    Конфиденциальность.............................................................5

4.7    Реагирование на жалобы..........................................................5

4.8    Подход на основе рисков..........................................................5

5    Общие требования...................................................................6

5.1    Особенности, связанные с законодательством и договорами.............................6

5.1.1    Юридическая ответственность.................................................6

5.1.2    Договор на проведение работ по сертификации...................................6

5.1.3    Ответственность за решения о сертификации....................................6

5.2    Управление беспристрастностью....................................................6

5.3    Обязательства и финансирование...................................................8

6    Требования к структуре...............................................................8

6.1    Организационная структура и    высшее руководство.....................................8

6.2    Управление деятельностью по сертификации.........................................8

7    Требования к ресурсам...............................................................9

7.1    Компетентность персонала.........................................................9

7.1.1    Общие положения...........................................................9

7.1.2    Определение критериев компетентности.........................................9

7.1.3    Процессы оценивания........................................................9

7.1.4    Дополнительные требования..................................................9

7.2    Персонал, участвующий в работах по сертификации...................................9

7.3    Привлечение внешних аудиторов и внешних технических экспертов......................10

7.4    Кадровый учет..................................................................11

7.5    Привлечение соисполнителей (аутсорсинг)..........................................11

8    Требования к информации............................................................11

8.1    Общедоступная информация......................................................11

8.2    Сертификационные документы....................................................12

8.3    Ссылка на сертификат и использование знаков соответствия...........................12

8.4    Конфиденциальность............................................................13

8.5    Обмен информацией между органом по сертификации и заказчиками....................14

8.5.1    Информация о деятельности по сертификации и требованиях......................14

8.5.2    Уведомление об изменениях со стороны органа по сертификации...................14

8.5.3    Уведомление об изменениях со стороны заказчика...............................14

9    Требования к процессу...............................................................15

9.1 Действия перед сертификацией....................................................15

ГОСТ Р ИСО/МЭК 17021-1—2017

9.1.1    Подача заявки..............................................................15

9.1.2    Анализ заявки..............................................................15

9.1.3    Программа аудита..........................................................15

9.1.4    Определение трудоемкости аудита............................................16

9.1.5    Выборочные проверки производственных площадок..............................17

9.1.6    Стандарты на комплексные системы менеджмента...............................17

9.2    Планирование аудитов...........................................................17

9.2.1    Определение целей, области и критериев аудита.................................17

9.2.2    Отбор членов аудиторской группы и закрепление за ними соответствующих

обязанностей...................................................................17

9.2.3    План аудита...............................................................19

9.3    Первоначальная сертификация....................................................19

9.3.1    Аудит первоначальной сертификации..........................................19

9.4    Проведение аудитов на местах....................................................21

9.4.1    Общие положения..........................................................21

9.4.2    Проведение предварительного совещания......................................21

9.4.3    Обмен информацией в ходе аудита............................................21

9.4.4    Сбор и проверка информации.................................................22

9.4.5    Идентификация и регистрация выводов аудита..................................22

9.4.6    Подготовка заключений аудита................................................22

9.4.7    Проведение заключительного совещания.......................................22

9.4.8    Отчет по аудиту............................................................23

9.4.9    Анализ причин несоответствий................................................24

9.4.10    Результативность коррекций и корректирующих действий.........................24

9.5    Решение о сертификации.........................................................24

9.5.1    Общие положения..........................................................24

9.5.2    Действия, осуществляемые до принятия решения................................24

9.5.3    Информация, необходимая для признания действительными результатов

первоначальной сертификации....................................................25

9.5.4    Информация, необходимая для признания действительными результатов

ресертификации................................................................25

9.6    Подтверждение сертификации.....................................................25

9.6.1    Общие положения..........................................................25

9.6.2    Деятельность по инспекционному контролю.....................................25

9.6.3    Ресертификация............................................................26

9.6.4    Специальные аудиты........................................................27

9.6.5    Приостановление, отмена действия сертификата или сужение области

сертификации..................................................................27

9.7    Апелляции.....................................................................28

9.8    Жалобы.......................................................................28

9.9    Записи о заказчиках.............................................................29

10 Требования к системам менеджмента органов по сертификации...........................30

10.1    Варианты.....................................................................30

10.2    Вариант А. Общие требования к системам менеджмента..............................30

10.2.1    Общие положения.........................................................30

10.2.2    Руководство по системе менеджмента.........................................30

IV

ГОСТ Р ИСО/МЭК 17021-1—2017

10.2.3    Управление документами...................................................30

10.2.4    Управление записями......................................................30

10.2.5    Анализ со стороны руководства..............................................31

10.2.6    Внутренние аудиты.........................................................31

10.2.7    Корректирующие действия..................................................31

10.3 Вариант В. Требования к системам менеджмента, установленные в ИСО 9001............32

10.3.1    Общие положения.........................................................32

10.3.2    Область применения.......................................................32

10.3.3    Ориентация на потребителя.................................................32

10.3.4    Анализ со стороны руководства..............................................32

Приложение А (обязательное) Требуемые знания и навыки..................................33

Приложение В (справочное) Возможные методы оценивания............................... 36

Приложение С (справочное) Пример последовательности операций для определения

и поддержания компетентности............................................38

Приложение D (справочное) Необходимые личностные качества.............................40

Приложение Е (справочное) Процесс аудита и сертификации............................... 41

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов

национальным стандартам...............................................43

Библиография.......................................................................

V

Введение

Сертификация системы менеджмента организации, такой как система экологического менеджмента. система менеджмента качества или система менеджмента информационной безопасности, является одним из средств подтверждения того, что организация внедрила систему управления соответствующими аспектами своей деятельности, продукции и услуг согласно принятой ею политики и требованиями соответствующего международного стандарта к внедренной ею системы менеджмента.

Настоящая часть ИСО/МЭК 17021 (далее — настоящий стандарт) устанавливает требования к органам, проводящим аудит и сертификацию систем менеджмента. Настоящий стандарт содержит общие требования к таким органам, проводящим аудит и сертификацию в области качества, экологии и других областях применения систем менеджмента. Такие органы называются органами по сертификации Выполнение этих требований позволяет гарантировать, что органы по сертификации выполняют сертификацию систем менеджмента компетентным, последовательным и беспристрастным образом, тем самым способствуя признанию таких органов и выданных ими сертификатов на национальном и международном уровнях. Настоящий стандарт является базой для признания результатов сертификации систем менеджмента в интересах международной торговли.

Сертификация системы менеджмента обеспечивает независимое свидетельство того, что система менеджмента организации:

a)    соответствует установленным требованиям;

b)    позволяет последовательно реализовывать принятую политику и достигать поставленных целей;

c)    внедрена результативно.

Тем самым оценка соответствия, такая как сертификация системы менеджмента, обеспечивает получение выгоды организацией, ее потребителями и заинтересованными сторонами.

Раздел 4 настоящего стандарта содержит описание принципов, которые лежат в основе заслуживающей доверия сертификации. Эти принципы помогают читателю понять суть сертификации и служат необходимой предпосылкой к разделам 5-10. Эти принципы служат обоснованием требований настоящего стандарта, но сами по себе они не являются предметом аудиторской проверки. В разделе 10 представлены два альтернативных пути поддерживания и демонстрации постоянного выполнения требований настоящего стандарта посредством создания системы менеджмента органом по сертификации.

Деятельность по сертификации состоит из отдельных работ, которые формируют процесс сертификации. начиная с анализа заявки до завершения работ по сертификации. Приложение Е содержит иллюстрацию того, каким образом различные работы по сертификации могут быть связаны между собой.

Деятельность по сертификации включает в себя аудит системы менеджмента организации. Формой подтверждения соответствия системы менеджмента организации определенному стандарту на систему менеджмента или другим нормативным требованиям обычно является сертификационный документ или сертификат.

Настоящий стандарт может быть использован при проведении аудита и сертификации любого типа систем менеджмента. Признано, что некоторые требования и особенно те. которые относятся к компетентности аудиторов, могут быть дополнены новыми критериями для удовлетворения ожиданий заинтересованных сторон.

В настоящем стандарте использованы следующие глагольные формы:

-    «должна» — указывает на требование;

-    «следует» — указывает на рекомендацию;

-    «могло бы» — указывает на разрешение;

-    «может» — указывает на способность или возможность.

Дальнейшие сведения можно найти в части 2 Директив ИСО/МЭК.

VI

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Оценка соответствия

ТРЕБОВАНИЯ К ОРГАНАМ, ПРОВОДЯЩИМ АУДИТ И СЕРТИФИКАЦИЮ СИСТЕМ МЕНЕДЖМЕНТА

Часть 1

ТРЕБОВАНИЯ

Conformity assessment Requirements for bodies providing audit and certification of management systems Part 1 Requirements

Дата введения — 2018—04—01

1 Область применения

Настоящий стандарт содержит принципы и требования, относящиеся к компетентности, последовательности и беспристрастности аудита, а также требования к органам, проводящим аудит и сертификацию любого типа систем менеджмента.

Органы по сертификации, работающие в соответствии с настоящим стандартом, не обязаны заниматься сертификацией всех типов систем менеджмента.

Сертификация систем менеджмента — это деятельность по оценке соответствия третьей стороной (ИСО/МЭК 17000:2004. 5.5). и таким образом, органы, осуществляющие эту деятельность, являются органами по оценке соответствия третьей стороной (называемые в настоящем стандарте органом/ органами по сертификации).

Примечания

1    В качестве примеров систем менеджмента можно привести системы экологического менеджмента, системы менеджмента качества и системы менеджмента информационной безопасности

2    В настоящем стандарте сертификация систем менеджмента называется сертификация, а органы по оценке соответствия третьей стороной — органы по сертификации

3    Орган по сертификации может быть неправительственной или правительственной организацией (наделенной или не наделенной регулирующими полномочиями)

4    Настоящий стандарт допускается использовать в качестве документа, содержащего критерии аккредитации, экспертной оценки или других процессов аудита

2 Нормативные ссылки

В настоящем стандарте применены следующие международные стандарты. Для недатированных ссылок применяют последнее издание ссылочного стандарта (включая все изменения).

ИСО 9000 Системы менеджмента качества. Основные положения и словарь (ISO 9000. Quality management systems — Fundamentals and vocabulary)

ИСО/МЭК 17000 Оценка соответствия. Словарь и общие принципы (ISO/IEC 17000, Conformity assessment — Vocabulary and general principles)

Издание официальное

3 Термины и определения

В настоящем стандарте применяют термины по ИСО 9000. ИСО/МЭК 17000, а также следующие термины.

3.1    сертифицированный заказчик (certified client): Организация, система менеджмента которой была сертифицирована.

3.2    беспристрастность (impartiality): Наличие объективности.

Примечания

1    Объективность означает, что конфликтов интересов не существует или они разрешены таким образом, что не оказывают отрицательного влияния на последующие действия органа по сертификации

2    Другими терминами, которые могут быть полезны для передачи сути беспристрастности, являются «независимость». «отсутствие конфликта интересов», «отсутствие предвзятости», «отсутствие предубеждений*, «нейтралитет», «справедливость», «непредубежденность», «объективность», «отстраненность», «уравновешенность*

3.3    консультирование по системе менеджмента (management system consultancy): Участие в разработке, внедрении или поддержании в рабочем состоянии системы менеджмента.

Примеры

1    Подготовив или разработка руководств или процедур.

2    Предоставление конкретных рекомендаций, инструкций или решений по разработке и внедрению системы менеджмента.

При мечания

1    Организация обучения или участие в качестве обучающего не рассматриваются как консультирование при условии, если курс обучения, относящийся к системам менеджмента или проведению аудита, ограничивается предоставлением общей информации, находящейся в открытом доступе, т е обучающий не должен предоставлять заказчику конкретные решения

2    Предоставление общей информации, а не конкретных решений по улучшению процессов или систем заказчика. не рассматривается как консультирование Такая информация может вклкхать в себя

-    объяснение значения и сути критериев сертификации;

-    идентификацию возможностей для улучшения;

-    объяснение соответствующих теорий, методологий, технических приемов или методов.

-    сообщение неконфиденциальной информации о наилучших практиках.

-    другие аспекты менеджмента, не охватываемые проверяемой системой менеджмента

3.4    сертификационный аудит (certification audit): Аудит, выполняемый проверяющей организацией, независимой от заказчика или заинтересованных сторон, с целью сертификации системы менеджмента заказчика.

Примечания

1    В приведенных ниже определениях термин «аудит» использован для упрощения ссылок на сертификационный аудит, проводимый третьей стороной

2    Сертификационные аудиты включают в себя первоначальные, надзорные (инспекционные), ресертификационные аудиты, а также могут включать специальные аудиты.

3    Сертификационные аудиты обычно проводят группы аудиторов тех органов, которые проводят сертификацию соответствия требованиям стандартов на системы менеджмента

4    Совместный аудит подразумевает проверку одного заказчика с не менее чем двумя проверяющими организациями

5    Комбинированный аудит подразумевает проверку заказчика одновременно на соответствие требованиям не менее чем двух стандартов на системы менеджмента

6    Комплексный аудит подразумевает проверку заказчика на соответствие требованиям более чем одного стандарта, когда заказчик применяет требования не менее чем двух стандартов на системы менеджмента в единой интегрированной системе менеджмента

3.5    заказчик (client): Организация, систему менеджмента которой проверяют с целью сертификации.

3.6    аудитор (auditor); Лицо, проводящее аудит.

3.7    компетентность (competence): Способность применять знания и навыки для достижения намеченных результатов.

2

ГОСТ Р ИСО/МЭК 17021-1—2017

3.8    сопровождающий (guide): Лицо, назначенное заказчиком для содействия аудиторской группе.

3.9    наблюдатель (observer): Лицо, сопровожаающее аудиторскую группу, но не участвующее в аудите.

3.10    техническая область (technical area): Область, характеризуемая общностью процессов, относящихся к конкретному типу системы менеджмента и ее предполагаемым результатам.

Примечание—См примечание к7.1.2.

3.11    несоответствие (nonconformity): Невыполнение требования.

3.12    значительное несоответствие (major nonconfomiity): Несоответствие (3.11), влияющее на способность системы менеджмента достигать намеченных результатов.

Примечание — Несоответствия могли бы быть классифицированы как значительные в следующих случаях:

-    если приходится сомневаться в наличии результативного управления процессами или в том, что продукты или услуги будут отвечать установленным требованиям,

-    при наличии серии незначительных несоответствий, связанных с одним и тем же требованием или аспектом, когда это может свидетельствовать о системной ошибке и таким образом образовывать значительное несоответствие

3.13    незначительное несоответствие (minor nonconformity): Несоответствие (3.11). не влияющее на способность системы менеджмента достигать намеченных результатов.

3.14    технический эксперт (technical expert): Лицо, предоставляющее аудиторской группе свои знания или опыт по специальному вопросу.

Примечание — Знание или опыт по специальному вопросу могут быть отнесены к проверяемой организации. процессу или деятельности

3.15    схема сертификации (certification scheme): Система оценки соответствия, относящаяся к системам менеджмента, применительно к которым установлены одинаковые требования, правила и процедуры.

3.16    общая продолжительность/трудоемкость аудита (audit time): Время, необходимое для планирования и результативного выполнения аудита системы менеджмента организации-заказчика.

3.17    продолжительность сертификационных аудитов системы менеджмента (duration of management system certification audit): Часть времени от общей продолжительности/трудоемкости аудита (3.16). необходимого на проведение мероприятий аудита, начиная с вводного совещания и заканчивая заключительным совещанием.

Примечание — Обычно мероприятия аудита включают в себя

-    проведение вводного совещания.

-    выполнение анализа документации по ходу аудита.

-    обмен информацией в ходе аудита.

-    закрепление за сопровождающими и наблюдателями соответствующих функций и обязанностей:

-    сбор и проверку информации.

-    идентификацию выводов аудита.

-    подготовку заключений аудита;

-    проведение заключительного совещания

4 Принципы

4.1    Общие положения

4.1.1    Принципы, приведенные в настоящем разделе, являются основой для изложенных в настоящем стандарте функциональных и описательных требований. Настоящий стандарт не содержит конкретных требований для всех возможных ситуаций. Эти принципы следует применять в качестве руководства при принятии решений, которые могут потребоваться в непредвиденных ситуациях. Принципы не являются требованиями.

4.1.2    Глобальная цель сертификации состоит в создании уверенности у всех сторон в том, что система менеджмента соответствует установленным требованиям. Ценность сертификации состоит в

3

определенном уровне общественного доверия, которое было установлено посредством беспристрастной и компетентной оценки третьей стороной. К сторонам, заинтересованным в сертификации, в частности. относятся:

a)    заказчики (клиенты) органов по сертификации;

b)    потребители организаций, системы менеджмента которых были сертифицированы;

c)    правительственные организации;

d)    неправительственные организации;

e)    потребители и другие члены общества.

4.1.3 К принципам, обеспечивающим доверие, относятся:

-    беспристрастность.

-    компетентность.

-    ответственность.

-    открытость.

-    конфиденциальность,

-    реагирование на жалобы.

-    подход на основе рисков.

Примечание — Настоящий стандарт устанавливает принципы сертификации в разделе 4, соответствующие принципы, относящиеся к процессу аудита, можно найти в ИСО 19011 2011, раздел 4

4.2 Беспристрастность

4.2.1    Чтобы проводить сертификацию, заслуживающую доверия, орган по сертификации должен быть беспристрастным и должен восприниматься как таковой.

4.2.2    Общепризнано, что источником дохода органа по сертификации является плата заказчика за сертификацию, и это является потенциальной угрозой для сохранения беспристрастности.

4.2.3    Для достижения и поддержания доверия необходимо, чтобы решения органа по сертификации основывались на объективных свидетельствах соответствия (или несоответствия), полученных органом по сертификации, и чтобы на его решения не влияли другие интересы или другие стороны.

4 2 4 Угрозы для сохранения беспристрастности, в частности, могут включать в себя следующее:

a)    собственная выгода: угроза возникает в случае, когда человек или организация действуют в личных интересах В случае сертификации угрозой беспристрастности является финансовый интерес:

b)    анализ собственной деятельности: угроза возникает при анализе человеком или организацией собственной работы. Выполнение аудита систем менеджмента заказчика, которому орган по сертификации предоставлял консультации по системам менеджмента, может привести к анализу собственной работы;

c)    близкие отношения (или доверие): угроза возникает при слишком близких отношениях с лицом или организацией или в том случае, когда аудитор слишком доверяет другому лицу вместо того, чтобы искать свидетельства аудита;

d)    запугивание: угроза возникает, когда у человека или органа возникает ощущение, что им открыто или скрытым образом угрожают, например, заменой или сообщением руководству.

4.3    Компетентность

4.3.1    Компетентность персонала органа по сертификации во всех работах, связанных с процессом сертификации, необходима для проведения сертификации, заслуживающей доверие.

4.3.2    Также необходимо, чтобы сертификация поддерживалась системой менеджмента органа по сертификации.

4.3.3    Важнейшая задача для руководства органа по сертификации состоит в обеспечении внедрения процесса для установления критериев компетентности персонала, участвующего в проведении аудита и других работах по сертификации, и чтобы компетентность персонала оценивалась согласно данным критериям.

4.4 Ответственность

4 4.1 Ответственность за достижение соответствия требованиям конкретного стандарта на систему менеджмента и за соответствие требованиям к сертификации несет сертифицированный заказчик, а не орган по сертификации.