ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

СИСТЕМЫ МЕНЕДЖМЕНТА БЕЗОПАСНОСТИ ЦЕПИ ПОСТАВОК

Требования к органам, проводящим аудит и сертификацию систем менеджмента безопасности цепи поставок

(ISO 28003:2007, ЮТ)

Издание официальное

Москва

Стандартинформ

2020

Предисловие

1    ПОДГОТОВЛЕН Автономной некоммерческой организацией «Международный менеджмент, качество, сертификация» (АНО «ММКС») совместно с Обществом с ограниченной ответственностью «Палекс» (ООО «Палекс»), Ассоциацией по сертификации «Русский Регистр» на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 010 «Менеджмент риска»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 23 декабря 2019 г. № 1435-ст

4    Настоящий стандарт идентичен международному стандарту ИСО 28003:2007 «Системы менеджмента безопасности цепи поставок. Требования к органам, проводящим аудит и сертификацию систем менеджмента безопасности цепи поставок» (ISO 28003:2007 «Security management systems for the supply chain — Requirements for bodies providing audit and certification of supply chain security management systems», IDT).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные и межгосударственные стандарты, сведения о которых приведены в дополнительном приложении ДА

5    ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к наслюящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (wwiv.gost.ru)

© ISO, 2007 — Все права сохраняются ©Стандартинформ. оформление. 2020

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

тификации к участию в аудите или другой деятельности по сертификации конкретного заказчика в течение двух лет после завершения консультаций данного заказчика.

5.2.11    Орган по сертификации должен предпринимать ответные действия в отношении любых угроз для обеспечения беспристрастности, возникающих ввиду деятельности других лиц. органов или организаций.

5.2.12    Весь персонал органа по сертификации, как внутренний, так и внешний, или комитеты (советы), которые могут оказывать влияние на деятельность по сертификации, должны действовать беспристрастно и не допускать коммерческого, финансового или другого давления, компрометирующего их беспристрастность.

5.2.13    Органы по сертификации должны требовать от персонала, как внутреннего, так и внешнего. сообщать о тех ситуациях, о которых работники знают и которые могут вовлечь их или орган по сертификации в конфликт интересов. Органы по сертификации должны использовать подобную информацию в качестве входных данных при определении угроз для обеспечения беспристрастности вследствие деятельности таких работников или организаций, принявших их на работу, и не должны привлекать персонал, как внутренний, так и внешний, до тех пор пока работники не продемонстрируют отсутствие конфликта интересов.

Примечание — Например, тот факт, что организация наняла аудитора, предоставившего консультации по системе менеджмента безопасности цепи поставок и/или связанной с этим оценкой рисков в системе менеджмента безопасности цепи поставок, в течение двух лет после окончания консультации, вероятно, будет рассматриваться как высокая угроза беспристрастности

5.3 Материальная ответственность и финансирование

5.3.1    Орган по сертификации должен быть способен продемонстрировать, что он оценивает риски. связанные с его деятельностью по сертификации, и что имеются надлежащие условия (например, страхование или наличие резервов) для выполнения обязательств, возникающих в ходе его работ по сертификации в кахщой области деятельности и при нахождении в той географической зоне, в которой он функционирует.

5.3.2    Орган по сертификации должен оценить свои финансы и источники дохода и продемонстрировать комитету (совету), определенному в 6 2. что на начальном этапе и в дальнейшем коммерческое, финансовое или другое давление не поставит под угрозу беспристрастность органа по сертификации.

6 Требования к структуре

6.1    Организационная структура и высшее руководство

6.1.1    Структура органа по сертификации должна быть такой, чтобы обеспечить доверие к оказанию услуг по сертификации.

6.1.2    Орган по сертификации должен определить высшее руководство (совет, группу лиц или лицо), обладающее всеми полномочиями и несущее полную ответственность за нижеследующее:

a)    разработку политики, относящейся к функционированию органа;

b)    надзор за внедрением политики и процедур;

c)    надзор за финансами органа;

d)    проведение аудитов и сертификации, а также реагирование на жалобы;

e)    принятие решений в отношении вопросов по сертификации;

О делегирование полномочий комитетам или лицам для осуществления определенных действий от своего имени, если требуется;

д)за условия заключаемых договоров;

h) за обеспечение деятельности по сертификации соответствующими ресурсами.

6.1.3    Орган по сертификации должен документировать свою организационную структуру с указанием обязанностей, ответственности и полномочий руководства и другого персонала, занимающегося сертификацией, а также комитетов (советов). Если орган по сертификации является частью юридического лица, его организационная структура должна отражать распределение полномочий и взаимодействие с другими частями этого юридического лица.

6.1.4    Орган по сертификации должен иметь внутренние правила по назначению, распределению полномочий и функционированию комитетов (советов), вовлеченных в работу по сертификации.

6.2 Комитет (совет) по обеспечению беспристрастности

6.2.1    Структура органа по сертификации должна обеспечивать беспристрастность его деятельности в области сертификации и предоставлять комитету (совету) возможность:

a)    принимать участие в разработке политики в отношении беспристрастности деятельности органа по сертификации;

b)    противодействовать любым тенденциям части органа по сертификации по коммерческим или другим соображениям препятствовать последовательному и объективному выполнению работ по сертификации;

c)    давать рекомендации по вопросам, затрагивающим доверие к сертификации, включая открытость и восприятие общественностью.

Примечание — Другие задачи или обязанности могут быть внесены в обязанности комитета (совета) с условием, чтобы эти дополнительные задачи или обязанности не препятствовали выполнению его основной роли по обеспечению беспристрастности

6.2.2    Состав, направления деятельности, обязанности, полномочия, компетентность, ответственность членов комитета (совета) должны быть документально оформлены и утверждены высшим руководством органа по сертификации, чтобы обеспечить:

a)    наличие баланса интересов, такого как отсутствие преобладания одного интереса (внутренний или внешний персонал органа по сертификации, рассматриваемый как имеющий свои интересы, не должен преобладать в составе комитета (совета));

b) доступ ко всей информации, необходимой для выполнения функций комитета (совета) (см. также 5.2.2 и 5.3.2);

c)    если высшее руководство органа по сертификации не следует рекомендациям комитета (совета), комитет (совет) должен иметь право предпринять самостоятельное действие (например, информировать органы власти, органы по аккредитации, заинтересованные стороны). Предпринимая самостоятельные действия комитет (совет) должен учитывать требования к конфиденциальности, изложенные в 8.5. по отношению к заказчику и органу по сертификации.

Примечание — Несмотря на то что комитет (совет) не может представлять интересы всех сторон, органу по сертификации следует определить и учесть ключевые интересы, которые могут включать в себя интересы следующих сторон заказчиков органа по сертификации, потребителей организаций, система менеджмента безопасности цепи поставок которых была сертифицирована, представителей торгово-промышленных ассоциаций, представителей правительственных органов управления или других правительственных служб, или представителей неправительственных организаций, включая организации потребителей

7 Требования к ресурсам

7.1    Компетентность руководства и персонала

7.1.1    Орган по сертификации должен обеспечить, чтобы персонал, участвующий в аудите и сертификации компаний — операторов цепи поставок, был компетентен в отношении своих обязанностей.

Орган по сертификации должен установить процессы получения персоналом необходимых знаний по видам систем менеджмента, которыми орган занимается, и географическим зонам, в которых он функционирует.

Орган по сертификации должен определить требуемый уровень компетентности для каждой технической области (относящейся к конкретной схеме сертификации) и для кахедой функции в деятельности по сертификации.

Орган по сертификации должен установить средства для демонстрации компетентности до выполнения конкретных функций. Записи определения компетентности должны быть сохранены.

7.1.2    При определении требований к компетентности своего персонала, осуществляющего сертификацию. орган по сертификации должен учитывать функции руководства и административного персонала. а также тех. кто непосредственно проводит аудит и работы по сертификации.

7.1.3    Орган по сертификации должен иметь возможность обратиться к техническим специалистам для получения рекомендаций по вопросам, имеющим непосредственное отношение к сертификации, применительно к техническим областям, типам систем менеджмента и географическим зонам, в которых работает орган по сертификации. Такие рекомендации могут быть получены либо от третьих лиц, либо от персонала органа по сертификации.

7.2 Персонал, участвующий в деятельности по сертификации

7.2.1    В состав персонала органа по сертификации должны входить специалисты, обладающие достаточной компетентностью для управления типом и диапазоном программ аудита и выполнения других работ по сертификации.

7.2.2    Орган по сертификации должен обеспечить, чтобы персоналу, назначенному для проведения сертификационных аудитов безопасности цепи поставок, а также техническим экспертам можно было доверять для сохранения конфиденциальной информации, так как они имеют доступ к подобного рода данным, полученным в ходе аудита. Орган по сертификации должен обеспечить, чтобы аудиторы и технические эксперты не нанесли вреда безопасности проверяемой организации (см. п. 7.4.)

7.2.3    Персонал, назначенный для проведения аудитов соответствующей системы менеджмента безопасности цепи поставок должен обладать, как минимум, личными высокоморальными качествами, знаниями, навыками и образованием (см. п. 7.2, 7.3.1, 7.3.2 и 7.4 ИСО 19011:2002). относящимися к управлению безопасности цепи поставок и анализу рисков.

7.2.3.1    Аудитор систем менеджмента безопасности цепи поставок должен обладать компетентностью в анализе рисков и критических контрольных точек, а также в методологиях управления рисками и обеспечения конфиденциальности информации, включая, но не ограничиваясь следующим:

a)    пониманием требований стандарта или спецификации по менеджменту безопасности цепи поставок (например. ISO/PAS 28000);

b)    пониманием процесса цепи поставок и анализа критических контрольных точек, знание соответствующих процессов и практик в цепи поставок;

c)    идентификацией угроз, таких как физические, биологические, химические, радиационные и киберугрозы;

d)    оценкой и анализом риска (понимание принципов оценки и анализа риска);

e)    минимизацией, снижением и управлением рисками:

-    понимание принципов минимизации, снижения и управления рисками;

-    знания технологий и методологий безопасности, мероприятий и технологий предупреждения;

О планированием и готовностью к инцидентам:

-    знание роли правительства и лиц. принимающих первые ответные меры.

-    знание протоколов обмена информацией об инцидентах.

-    знания в области минимизации последствий инцидентов, реагирования и восстановления.

7.2.3.2    Каждый аудитор системы менеджмента безопасности цепи поставок должен успешно пройти подготовку (см. приложение В) и должны быть готовым продемонстрировать компетентность в понимании и применении методологий безопасности, анализа рисков и принципов управления. Аудитор систем менеджмента должен быть сертифицирован.

7.2.3.3    Каждый аудитор системы менеджмента безопасности цепи поставок должен проходить соответствующее непрерывное обучение в соответствии с конкретными квалификационными требованиями. Органы по сертификации должны ежегодно разрабатывать план обучения своих аудиторов методологиям безопасности, анализу рисков и принципам управления, анализу критических контрольных точек, методам аудита и требованиям к компетентности, указанным в 7.2.3.1. Это обучение должно:

a)    планироваться в результате анализа потребностей по направлениям и видам компетенции, приведенным выше;

b) быть оформлено в виде записей;

c)    включать проверку проведенных аудитов, позволяющих оценить компетенцию аудитора:

d)    поддерживаться такой информацией, как интерпретация применимости стандартов систем менеджмента. данные относительно часто задаваемых вопросов, протоколы семинаров, стандартная коррекция на базе практических ситуаций. Эта информация должна быть доступна для аудиторов;

e)    оцениваться в соответствии с требованиями к обучению, а органы по сертификации должны принимать надлежащие меры на основе результатов обучения;

О проводиться квалифицированными тренерами.

7.2.3.4    Аудитор систем менеджмента безопасности цепи поставок должен иметь как минимум пять лет практического опыта, связанного с анализом рисков и управлением рисками, два года стажа аудита по лучшим производственным практикам и стандартам.

7.2.3.5    Аудитор систем менеджмента безопасности цепи поставок должен выполнять минимум пять аналогичных аудитов в год и минимум десять аудитодней в год для поддержания квалификации.

7.2.3.6 Орган по сертификации должен предоставить доказательства того, что каждый аудитор имеет соответствующую подготовку и опыт для тех категорий, в рамках которых он считается компетентным. Компетентность должна быть оформлена в виде записей (см. п. 5.5 с) ИСО 19011:2002).

7.2.4    Орган по сертификации должен иметь возможность привлекать к работе по сертификации необходимое количество аудиторов, включая руководителей аудиторских групп и технических экспертов. для надлежащего оказания услуг в рамках своей деятельности и выполнения объема работ по аудиту.

7.2.5    Орган по сертификации должен четко разъяснять каждому сотруднику его обязанности, ответственность и полномочия.

7.2.6    Орган по сертификации должен установить процессы отбора, подготовки, официального наделения полномочиями аудиторов, а также отбора технических экспертов, привлекаемых к работам по сертификации. Первоначальная оценка уровня компетентности аудитора должна включать в себя демонстрацию им соответствующих личных качеств и способности применять требуемые знания и навыки при проведении аудитов на месте. Выполнять такую работу должен компетентный специалист, наблюдающий за аудитором, проводящим аудит.

7.2.7    Орган по сертификации должен установить процесс для достижения и демонстрации результативного проведения аудита, включая привлечение аудиторов и руководителей аудиторских групп, обладающих общими навыками и знаниями как в области аудита, так и в конкретных технических областях. Этот процесс должен быть основан на документально оформленных требованиях, разработанных в соответствии с руководящими указаниями, приведенными в ИСО 19011 (см., в частности, раздел 7 ИСО 19011 2002 и приложение С).

7.2.8    Аудиторы системы менеджмента безопасности цепи поставок должны иметь знания и опыт в области безопасности, применимые к цепи поставок, а также к производственным и другим секторам осуществляемой деятельности, которые они проверяют.

7.2.9    Аудиторы системы менеджмента безопасности цепи поставок должны проходить соответствующую подготовку для приобретения и демонстрации компетенций, перечисленных в приложении D.

7.2.10    Компетентность должна быть подтверждена письменными экзаменами. Экзаменационный балл должен свидетельствовать об отборе тех кандидатов, которые демонстрируют полное понимание содержания модулей и достигают цели курса.

7.2.11    Орган по сертификации должен обеспечить, чтобы аудиторы и. при необходимости, технические эксперты были знакомы с деятельностью по сертификации, требованиями к сертификации, методологией аудита и другими требованиями, посредством предоставления аудиторам и техническим экспертам доступа к обновленному набору документированных процедур, содержащих инструкции по аудиту и всю необходимую информацию о деятельности по сертификации.

7.2.12    Орган по сертификации должен привлекать к работе аудиторов и технических экспертов исключительно для тех мероприятий по сертификации, при участии в которых они продемонстрировали свою компетентность.

Примечание — Назначение аудиторов в команды для проведения аудитов в конкретной области рассматривается в разделе 9

7.2.13    Орган по сертификации должен определить потребности в обучении и предложить или обеспечить возможности получения обучения для того, чтобы его аудиторы, технические эксперты и другие лица, участвующие в деятельности по сертификации, были осведомлены о требованиях и процессах сертификации.

7.2.14    Группа или лицо, принимающие решение о выдаче, подтверждении, обновлении, приостановлении действия сертификата, расширении, сужении области сертификации или отмене сертификата. должны знать положения применяемого стандарта, требования к сертификации и должны иметь продемонстрированную компетентность в оценке процессов аудита и соответствующих рекомендаций аудиторской группы.

7.2.15    Орган по сертификации должен обеспечить надежную работу всего персонала, вовлеченного в деятельность по аудиту и сертификации. С этой целью должны быть разработаны документированные процедуры и критерии для мониторинга и определения характеристик деятельности задействованных работников, основанные на частоте их привлечения к работам и на уровне риска, связанного с их действиями. В частности, орган по сертификации должен проводить анализ компетентности своих работников в рамках выполняемых ими работ с целью определения потребностей в обучении.

7.2.16    Документированные процедуры мониторинга аудиторов должны включать в себя наблюдения за работой на месте, анализ отчетов по результатам аудита, учет сигналов обратной связи от заказчиков или рынка и должны быть основаны на документированных требованиях, разработанных в соответствии с руководящими указаниями, приведенными в ИСО 19011. Данный мониторинг должен быть разработан таким образом, чтобы минимизировать вмешательство в естественное течение процесса сертификации, особенно с точки зрения заказчика.

7.2.17    Орган по сертификации должен периодически проводить наблюдение за работой каждого аудитора на месте. Частота наблюдений на месте должна обосновываться необходимостью, определяемой по всей имеющейся информации по мониторингу.

7.3    Привлечение внешних аудиторов и технических экспертов

Орган по сертификации должен подписать с внешними аудиторами и техническими экспертами соглашение в письменном виде с обязательствами по соблюдению применимой политики и процедур, установленных органом по сертификации. В соглашении должны быть предусмотрены аспекты, связанные с конфиденциальностью и отсутствием коммерческого и других интересов привлекаемых специалистов (аудиторов и технических экспертов), отражена информация относительно существующих или имевшихся ранее взаимоотношениях с организацией, для проведения аудита в которой они могут быть назначены.

Орган по сертификации должен гарантировать, что каждый внешний аудитор и внешний технический эксперт проходит проверку безопасности и соблюдает соглашения о конфиденциальности органа по сертификации.

Примечание — Привлечение отдельных аудиторов и технических экспертов по данным соглашениям не является привлечением соисполнителей (аутсорсингом) (см 7.5.)

7.4    Записи о персонале

Орган по сертификации должен поддерживать в актуализированном состоянии текущие записи обо всех работниках, вовлеченных в деятельность по сертификации, включая их квалификацию, обучение. опыт работы, стаж работы в организации, профессиональный статус, компетентность и любые консультационные услуги, которые могут быть ими оказаны.

7.4.1    Проверка благонадежности

Органы по сертификации устанавливают и документируют процесс проверки безопасности кандидатов для их привлечения в качестве аудиторов безопасности.

Органы по аккредитации также должны обеспечить соответствие своих аудиторов этим требованиям.

Процесс проверки благонадежности аудиторов должен быть задокументирован таким образом, чтобы к нему могли получить доступ организации, подающие заявки на сертификацию или аудит безопасности. и. где это применимо, другие заинтересованные организации.

Аудиторы должны быть проверены соответствующими аудиторскими органами. Процесс проверки безопасности должен включать перечисленное в 7.4.2—7.4.7.

7.4.2    Проверка анкетных данных

Орган по сертификации должен проводить проверку криминального прошлого аудиторов и технических экспертов, которые проводят аудит систем менеджмента безопасности цепи поставок. При возможности эти проверки должны быть проведены с привлечением органов национальной безопасности или органов полиции. В тех случаях, когда это невозможно, орган по сертификации должен обеспечить безупречность и адекватность внутреннего процесса проверки путем анализа документации и проведения собеседования по оценке соответствия требованиям безопасности, которые контролирует высшее руководство организации. Процесс проверки должен включать в себя контроль резюме кандидатов в аудиторские службы безопасности, собеседования и проверки документов, таких как паспорт, удостоверение личности, разрешение на работу, водительские права и справки с места работы. Те специалисты, которые проводит собеседования по безопасности с аудиторами, должны быть назначены и проконтролированы с использованием процесса в 7.4.3.

7.4.3    Интервьюирование

Орган по сертификации должен установить схему интервью, следование которой должно контролировать высшее руководство.

Высшее руководство должно назначить ответственное лицо, которое проверено путем собеседования и проверки объективной позиции как заслуживающие доверие и обладающие необходимой компетенцией и сужением для проверки кандидатов-аудиторов и технических экспертов. Ответственное лицо должно оценивать кандидатов посредством анализа документации, представленной кандидатами. а также собеседований и постоянного мониторинга достоверности и соответствующих поведенческих характеристик кандидатов-аудиторов и технических экспертов.

7.4.4    Опыт работы

Каждый кандидат-аудитор должен предоставить свидетельство о непрерывном стаже работы не менее пяти полных лет. которое должно быть проверено у настоящих или предыдущих работодателей. Кандидаты на должность аудиторов, занимающиеся индивидуальной трудовой деятельностью, должны предоставить другую документацию, которая демонстрирует тот же уровень доверия и достоверности, что и записи о трудоустройстве.

7.4.5    Удостоверение личности

Каждому аудитору должно быть выдано удостоверение личности, содержащее следующее:

-    фотографию;

-    фамилию, имя. отчество;

-    национальность;

-    номер удостоверяющего документа;

-    наименование и логотип сертификационного органа;

-    знаки и отличительные черты, предотвращающие внесение изменений и фальсификацию.

По требованию организаций, проходящих аудит, им должны быть предоставлены соглашения о конфиденциальности, подписанные аудиторами.

7.4.6    Записи

Процедура должна включать процесс, который будет реапизован органом по сертификации для аудиторов, допустивших нарушения. Процедура должна включать применение дисциплинарной ответственности организации, включая отстранение аудиторов во время проведения расследований. Записи должны храниться в течение периодов, которые органы по сертификации считают целесообразными. Национальные, международные и другие нормативно-законодательные требования должны учитываться при определении сроков хранения записей.

7.4.7    Отчетность аудиторов

Аудиторы должны быть осведомлены и письменно подтвердить то. что нарушения могут повлечь за собой дисциплинарные взыскания, гражданскую и уголовную ответственность.

7.5 Привлечение соисполнителей (аутсорсинг)

7.5.1    Орган по сертификации должен разработать процесс, в котором должны быть установлены условия привлечения сторонних организаций (на условиях субподряда для выполнения части работ по сертификации от имени органа по сертификации). Орган по сертификации должен соответствующим образом документально оформлять юридически значимое соглашение, предусматривающее организацию деятельности, в том числе в отношении соблюдения конфиденциальности и отсутствия конфликта интересов с каждым органом, оказывающим подобного рода аутсорсинговые услуги.

Примечания

1    Данное положение относится также к привлечению сторонних органов по сертификации Привлечение на договорной основе аудиторов и технических экспертов описано в 7.3

2    В настоящем стандарте термины «аутсорсинг» и «выполнение работ на условиях субподряда» являются синонимами.

7.5.2    Сторонние организации не имеют права принимать решения о выдаче, подтверждении, обновлении. приостановлении действия сертификата, расширении, сужении области сертификации или отмене сертификата.

7.5.3    Орган по сертификации должен:

a)    нести полную ответственность за работу, выполненную привлеченным сторонним органом;

b)    взять на себя ответственность за предоставление, поддержание, обновление, продление, сокращение. приостановку или отзыв сертификата;

c)    обеспечить соответствие органа, работающего по договору субподряда, и привлеченных им лиц требованиям органа по сертификации и выполнение положений настоящего стандарта, в том числе в отношении компетентности, беспристрастности и конфиденциальности;

d)    убедиться в том. что орган, работающий по договору субподряда, и привпеченные им лица не связаны непосредственно или через другого нанимателя с проверяемой организацией таким образом, что это может повлиять на их беспристрастность;

e)    получить согласие заказчика на использование данного органа, который предоставляет услуги по условиям аутсорсинга;

0    взять на себя ответственность за обработку жалоб/претензий и апелляций.

7.5.4 Орган по сертификации должен установить документированные процедуры по оценке квалификации и мониторингу всех органов, оказывающих услуги по сертификации на условиях аутсорсинга, и обеспечить, чтобы записи о компетентности аудиторов и технических экспертов поддерживались в рабочем состоянии.

8 Требования к информации

8.1    Информация, находящаяся в открытом доступе

8.1.1    Орган по сертификации должен делать общественно доступной или предоставлять по запросу информацию, описывающую его процессы аудита и сертификации, связанные с выдачей, подтверждением. обновлением, приостановлением сертификата, расширением, сужением области сертификации или отменой сертификата. Орган по сертификации должен делать общественно доступной информацию о работах по сертификации, видах систем менеджмента и географических зонах, в пределах которых данный орган осуществляет свою деятельность.

8.1.2    Информация, предоставляемая органом по сертификации заказчикам или рынку, включая рекламу, должна быть точной и не должна вводить в заблумщение.

8.1.3    Орган по сертификации должен обеспечить свободный доступ к информации о выданных, приостановленных или отмененных сертификатах.

8.1.4    По запросу заинтересованной стороны орган по сертификации должен предоставить свидетельства законности проведенной сертификации.

Примечания

1    Если общий обьем информации содержится в нескольких источниках (например, в бумажном или электронном виде), может быть внедрена система обеспечения прослеживаемости и отсутствия двусмысленности между источниками (например, уникальная система нумерации или гиперссылки в Интернет)

2    В исключительных случаях доступ к определенной информации может быть ограничен по просьбе заказчика (например, по соображениям безопасности).

8.2 Сертификационные документы

8.2.1    Орган по сертификации должен выдать сертификационные документы сертифицированному заказчику выбранным им способом (см. примечание 1 к 8.1 4).

8.2.2    Дата вступления в силу сертификационного документа (сертификата) не должна быть более ранней, чем дата принятия решения о сертификации.

8.2.3    В сертификационном документе должно быть определено следующее;

a)    наименование и географическое местоположение каждого заказчика, система менеджмента безопасности цепи поставок которого была сертифицирована (или географическое местоположение его главного офиса и производственных площадок, входящих в область сертификации организации со многими производственными площадками);

b) даты выдачи сертификата, расширения области применения или возобновления действия сертификата;

c)    срок действия сертификата или дата проведения ресертификации в соответствии с циклом прохождения ресертификации;

d)    уникальный идентификационный номер;

e) обозначение стандарта и/или другого нормативного документа, включая номер действующей и/или пересмотренной версии, используемого в ходе аудита сертифицированного заказчика;

О область сертификации в отношении продукции, деятельности по менеджменту безопасности цепи поставок, включая услуги, процессы и т. д., относящиеся к каждой производственной площадке;

д)    наименование, адрес и знак органа по сертификации; другие знаки (например, символ аккредитации) могут быть использованы способом, не вводящим в заблуждение или не допускающим неопределенное толкование.

Примечание — Если орган по сертификации не имеет право сделать это, могут быть использованы другие знаки (например, символ аккредитации). Однако орган по сертификации в качестве органа, выдавшего сертификат, должен обеспечить, чтобы значение знака(ов) не вводило в заблуждение и не было двусмысленным;

h) информация, требуемая стандартом, и/или другим нормативным документом, используемым при сертификации.

8.3    Реестр сертифицированных заказчиков (клиентов)

Орган по сертификации должен поддерживать в рабочем состоянии и предоставлять свободный (или по запросу) доступ к реестру действующих сертификатов с использованием любых средств, которые он выберет. В реестре, как минимум, должны быть приведены наименование, соответствующий нормативный документ, область деятельности и географическое местоположение (например, город или страна) каждого сертифицированного заказчика (или географическое положение его главного офиса и каждой производственной площадки при сертификации организации со многими производственными площадками).

Примечание — Реестр остается в единоличной собственности органа по сертификации

8.4    Ссылка на сертификат и использование знаков соответствия

8 4.1 Орган по сертификации должен установить политику управления знаками соответствия, разрешенными для использования сертифицированными заказчиками. Кроме того, должна быть обеспечена их прослеживаемость со стороны органа по сертификации. В знаке или содержащемся в нем тексте не должно быть неоднозначности относительно предмета сертификации и органа по сертификации, выдавшего сертификат. Данный знак не следует использовать на продукции или ее упаковке, видимой потребителем, или другим путем, который может интерпретироваться как обозначение соответствия продукции.

Примечание — Требования к использованию знаков соответствия третьей стороны приведены в ИСО/ МЭК 17030 [4].

8.4.2 Орган по сертификации не должен допускать использования своих знаков соответствия в отчетах о лабораторных испытаниях, отчетах по калибровке или инспекции, так как в данном случае такие отчеты считаются продукцией.

8 4.3 Орган по сертификации должен требовать, чтобы организация-заказчик:

a)    выполняла требования органа по сертификации при ссылках на свой сертифицированный статус в СМИ. таких как Интернет, брошюры, реклама или другие документы;

b)    не делала и не допускала вводящих в заблуждение высказываний относительно своего сертификата:

c)    не использовала и не допускала использования сертификата или его части каким-либо образом, вводящим в заблуждение;

d) npn приостановлении или отмене действия сертификата не ссылалась на него в рекламных целях, как это установлено органом по сертификации (9.6.3 и 9.6.6);

е)    вносила коррективы в рекламу при сужении области применения ее сертификата;

0 не допускала, чтобы ссылки на ее сертификат на систему менеджмента использовались таким образом, который позволяет предположить, что орган по сертификации сертифицировал продукцию (включая услугу) или процесс;

д)не предполагала, что действие сертификата распространяется и на деятельность, не охваченную областью сертификации;

h) не использовала свой сертификат таким образом, который может негативно сказаться на репутации органа по сертификации и/или сертифицированной системы и привести к потере доверия общества.

8.4    4 Орган по сертификации должен надлежащим образом осуществлять контроль за правом владения и предпринимать действия в ответ на некорректные ссылки на статус сертификации или вводящее в заблуждение использование сертификационных документов, знаков соответствия или отчетов по результатам аудита.

Примечание — Данные действия могут включать в себя требования по проведению коррекций и корректирующих действий, приостановление, отмену действия сертификата, публикацию информации о нарушении и. при необходимости, предъявление судебного иска

8.5 Конфиденциальность

8.5.1    Орган по сертификации должен сформулировать политику и условия, отвечающие действующему законодательству, для обеспечения конфиденциальности информации, полученной в ходе его деятельности по сертификации, на всех уровнях своей структуры, включая комитеты (советы) и внешние органы или лиц. действующих от его имени.

8.5.2    Орган по сертификации должен заблаговременно уведомить заказчика о том. какую информацию (как определено в 4.5.1 и 8.3) он предполагает сделать публичной. Другая информация, кроме той. которая раскрыта заказчиком, должна быть рассмотрена как конфиденциальная.

8.5.3    За исключением тех случаев, которые регулируются требованиями настоящего стандарта и информация о конкретном заказчике не должна быть раскрыта третьей стороне без получения письменного согласия заказчика. Если закон требует от органа по сертификации раскрытия конфиденциальной информации третьей стороне, то заказчик должен быть заблаговременно уведомлен о происходящем, если это не предусмотрено законом или не требуется законодательными органами.

8.5.4    Информация о заказчике, полученная из других источников (например, жалобы, информация от надзорных органов), должна быть рассмотрена как конфиденциальная в соответствии с политикой органа по сертификации.

8.5.5    Персонал, включая членов любого комитета (совета), подрядчики, сотрудников внешних органов или лиц. действующих от имени органа по сертификации, должен сохранять конфиденциальность всей информации, полученной или созданной данным органом в ходе его деятельности по сертификации.

8.5.6    Орган по сертификации должен иметь и использовать оборудование и средства, обеспечивающие безопасность хранения конфиденциальной информации (например, документов, записей).

8.5.7    Если конфиденциальная информация предоставляется другим органам (например, органу по аккредитации, группе соглашения в схеме взаимной оценки), то орган по сертификации должен уведомить об этом заказчика.

8.6 Обмен информацией между органом по сертификации и заказчиками

8.6.1    Информация о деятельности по сертификации и требованиях

Орган по сертификации должен обеспечивать, обновлять и снабжать заказчиков:

a)    подробным описанием деятельности по сертификации в начальном и последующем периодах, включая подачу заявки, первичный аудит, надзорные аудиты (инспекционный контроль), а также процессы выдачи, подтверждения, приостановления действия сертификата, сужения, расширения области сертификации, отмены действия сертификата и ресертификации:

b)    нормативными требованиями к сертификации:

c)    информацией о стоимости подачи заявки, а также первичной и последующей сертификаций;

d)    данными о следующих требованиях органа по сертификации к будущим заказчикам:

1)    соответствие требованиям к сертификации.

2)    выполнение всех условий, необходимых для проведения аудитов, включая предоставление документации для проверки и доступ ко всем процессам и участкам, записям и персоналу для осуществления первичной сертификации, надзорного аудита (инспекционного контроля) и ресертификации, а также анализа жалоб.

3)    обеспечение, при необходимости, присутствия наблюдателей (например, аудиторов по аккредитации или аудиторов-стажеров);

e) документами. в которых описаны права и обязанности сертифицированных заказчиков, включая требования о том, что при коммуникациях любого вида ссылки на свой сертифицированный статус должны быть осуществлены согласно требованиям 8.4;

0 информацией о процедурах рассмотрения жалоб и апелляций.

8.6.2    Информирование об изменениях со стороны органа по сертификации

Орган по сертификации должен своевременно уведомлять сертифицированных заказчиков обо всех изменениях своих требований, предъявляемых к сертификации. Орган по сертификации должен убедиться в том. что каждый сертифицированный заказчик соблюдает новые требования.

Примечание — Для обеспечения выполнения этого пункта могут потребоваться договорные отношения с сертифицированными заказчиками

8.6.3    Уведомление об изменениях со стороны заказчика

Орган по сертификации должен установить юридически обоснованные требования для обеспечения того, чтобы сертифицированный заказчик незамедлительно информировал орган по сертификации обо всех вопросах, которые могут оказать влияние на способность системы менеджмента безопасности цепи поставок продолжать соответствовать требованиям стандарта, на соответствие которому проводилась сертификация. Данное требование предъявляется также к изменениям, связанным с нижеследующим:

a)    юридическим, коммерческим, организационным статусом или формой собственности;

b) структурой организации и управлением (например, с ведущим управленческим персоналом, принимающим решения, или техническим персоналом);

c)    контактным адресом и производственными площадками безопасности цепи поставок;

d)    важными изменениями в системе менеджмента безопасности цепи поставок.

8.6.4    Информация о системе менеджмента безопасности цепи поставок

Орган по сертификации должен иметь процедуры, обеспечивающие безопасный обмен информацией о функционировании системы менеджмента безопасности цепи поставок заказчиков, между заказчиком и другими сторонами, которым разрешен доступ к информации. Орган по сертификации должен обеспечить своевременное информирование заказчиков и другие стороны о данных процедурах.

9 Требования к процессу

9.1    Общие требования, применимые к аудиту

9.1.1    Программа аудита должна включать аудит, состоящий как минимум из двух этапов первоначального аудита, а также инспекционный аудит и ресертификационный аудит. При определении программы аудита и любых последующих корректировок следует учитывать размер организации заказчика, объем и сложность его системы и процессов, а также продемонстрированный уровень эффективности системы и результаты предыдущих аудитов.

9.1.2    Орган по сертификации должен обеспечить, чтобы программа аудита, основанная на руководстве. приведенном в ИСО 19011, трансформировалась в соответствующие документированные требования для подготовки плана аудита. Для кахщого аудита план предоставляет основу для соглашения о проведении аудита и графике действий по аудиту.

9.1.3    Орган по сертификации должен установить процесс отбора и назначения аудиторской группы, включая ее руководителя, принимая во внимание компетентность, необходимую для достижения целей аудита. Этот процесс должен быть основан на требованиях, разработанных и документально оформленных в соответствии с руководящими указаниями, приведенными в ИСО 19011.

9.1.4    Орган по сертификации должен установить официальные правила и/или условия на договорной основе для обеспечения беспристрастного поведения со стороны канщого члена группы. О существующей, прежней или предполагаемой связи с проверяемой организацией каждый член группы должен проинформировать орган по сертификации до принятия назначения аудита (см. также 5.2.9. 5.2.12 и 7.4).

9.1.5    Орган по сертификации должен установить в соответствии с документально оформленными процедурами время проведения аудита для полного и результативного завершения аудита системы менеджмента безопасности цепи поставок заказчика на местах, включенных в область сертификации.

9.1.6    Угрозы безопасности уникальны для каэдого действующего предприятия, поэтому все рабочие площадки, включенные в область сертификации/регистрации организации, подлежат аудиту. Организация должна проводить оценку угроз и рисков для каждого объекта и соответствующим образом внедрять управление операциями. Точно так же угрозы безопасности, применимые к непроизводственным предприятиям, например предоставляющим вспомогательные административные услуги, также являются уникальными, но по характеру предпринимаемых действий могут представлять меньший риск для безопасности цепи поставок. Все производственные площадки следует подвергать проверкам органа по сертификации/регистрации. а риски, выявленные непроизводственными площадками, должны оцениваться и проверяться соразмерно этим рискам. Время аудита, установленное органом по сертификации для каждого участка/местоположения, и его обоснование должны базироваться на требова-

Введение

Настоящий стандарт предназначен для использования органами по сертификации, которые проводят аудит и сертификацию систем управления безопасностью цепи поставок. Сертификация систем менеджмента безопасности цепи поставок является деятельностью по оценке соответствия третьей стороны (см. п. 5.5 ИСО/МЭК 17000:2004). Таким образом, органы, осуществляющие данную деятельность. являются сторонними органами по оценке соответствия, называемыми в настоящем стандарте органами по сертификации. Эта формулировка не должна быть препятствием для использования настоящего стандарта органами с другими названиями, которые осуществляют деятельность в рамках области применения настоящего стандарта. Настоящий стандарт может быть использован любым органом, который принимает участие в оценке систем менеджмента безопасностью цепочки поставок.

Сертификация систем менеджмента безопасности цепи поставок организации является одним из средств внедрения организацией системы менеджмента безопасности цепи поставок в соответствии со своей политикой.

Сертификация систем менеджмента безопасности цепи поставок будет осуществляться органами по сертификации, аккредитованными признанным органом, таким как члены IAF.

Настоящий стандарт устанавливает требования к органам по сертификации. Соблюдение этих требований предназначено для обеспечения того, чтобы органы по сертификации действовали в рамках сертификации систем менеджмента безопасности цепи поставок профессиональным, последовательным и надежным образом, тем самым способствуя признанию таких органов и выданных ими сертификатов на национальном и международном уровнях. Настоящий стандарт является базой для признания результатов сертификации систем менеджмента в интересах международной торговли.

Сертификация системы менеджмента безопасности цепи поставок обеспечивает независимую верификацию того, что система менеджмента безопасности цепи поставок организации:

a)    соответствует установленным требованиям:

b)    способна последовательно достигать своей заявленной политики и целей:

c)    результативно внедрена.

Сертификация системы менеджмента безопасности цепи поставок обеспечивает получение выгоды организацией, ее потребителями и заинтересованными сторонами.

Настоящий стандарт призван стать основой для признания компетенции органов по сертификации в предоставлении ими сертификации системы менеджмента безопасности цепи поставок. Настоящий стандарт может быть использован в качестве основы для признания компетенции органов по сертификации в предоставлении ими сертификации системы менеджмента безопасности цепи поставок (такое признание может быть в форме уведомления, экспертной оценки или прямого признания регулирующими органами или отраслевыми консорциумами).

Деятельность по сертификации включает аудит системы менеджмента безопасности цепи поставок организации. Форма подтверждения соответствия системы менеджмента безопасности цепи поставок организации определенному стандарту (например. ИСО 28000) или другому указанному требованию, как правило, является сертификационным документом или сертификатом.

Настоящий стандарт предназначен для того, чтобы сертифицированная организация разработала собственные системы менеджмента безопасности цепи поставок (включая систему стандартов безопасности цепи поставок ИСО 28000, другие наборы системных требований по цепям поставок, менеджмента безопасности, системы качества, системы охраны окружающей среды, системы обеспечения безопасности труда). Организация вправе сама определять расстановку различных компонентов таких систем (за исключением тех случаев, когда соответствующие законодательные требования предписывают иное). Степень сопряжения различных компонентов системы менеджмента будет колебаться в зависимости от деятельности организации. Поэтому органам по сертификации, которые действуют в соответствии с настоящим стандартом, следует принимать во внимание культуру и методы своих заказчиков относительно внедрения их системы менеджмента безопасности в рамках более широкой организации.

ниях. изложенных в приложениях А. В. и в дальнейшем регистрироваться. При определении времени проведения аудита орган по сертификации должен учитывать в том числе следующие аспекты:

a) требования соответствующего стандарта на систему менеджмента безопасности цепи поставок:

b)    сложность организации;

c)    размер организации;

d) риски;

e) технологические особенности, законодательное регулирование, а также

0    число производственных площадок и предприятия, расположенные разрозненно. Требования к организациям, которые управляют несколькими предприятиями, описаны в приложении В;

д) привлечение соисполнителей (аутсорсинг) для любой деятельности, охватываемой системой менеджмента;

h)    результаты предыдущих аудитов;

i)    число производственных площадок и вопросы, связанные с проведением на них аудита.

Расчет человеко-дней для аудитов должен быть основан на таблицах аудитодней. приведенных в

приложении А. Несмотря на то что приложение А является справочным, маловероятно, что количество человеко-дней аудита системы менеджмента безопасности цепи поставок будет меньше, чем приведено в приложении А.

9.1.7    Таблица аудитодней. приведенная в приложении А. не приемлема, для тех организаций, которые управляют несколькими производственными площадками, даже если их деятельность практически одинакова. Каждый объект, включенный в область сертификации, подлежит аудиту, однако может иметь место сокращение продолжительности аудита на некоторых площадках, где деятельность и система менеджмента безопасности цепи поставок одинаковы, или на непроизводственной площадке, где выполняется административная деятельность, не оказывающая существенного влияния на безопасность цепи поставок. В этих случаях орган по сертификации должен проводить оценку рисков и разрабатывать программу аудита на основе рисков для каждой площадки. Данный процесс должен гарантировать, что орган по сертификации проводит надлежащий аудит системы менеджмента безопасности цепи поставок всей организации, это требование более подробно описано в приложении В.

9.1.8    Если подготовка плана аудита поручается кому-либо, кроме руководителя группы аудита, руководитель группы аудита должен рассмотреть и утвердить план.

9.1.9    Задачи, поставленные перед аудиторской группой, должны быть определены и сообщены организации-заказчику, при этом аудиторская группа должна:

a)    оценить и проверить на соответствие требованиям структуру, политику, процессы, процедуры, записи и другие документы организации-заказчика, относящиеся к системе менеджмента безопасности цепи поставок;

b)    определить, что они соответствуют всем требованиям, относящимся к предполагаемой области сертификации. Определить, удовлетворяют ли процессы всем требованиям в отношении предполагаемой области сертификации;

c)    удостовериться в том. что процессы и процедуры разработаны, внедрены и поддерживаются в рабочем состоянии, с целью обеспечения доверия к системе менеджмента безопасности цепи поставок заказчика;

d)    выявить любые несоответствия между политикой, целями и целевыми показателями и результатами для того, чтобы заказчик предпринял необходимые действия для устранения несоответствий.

9.1.10    Орган по сертификации должен своевременно предоставить организации-заказчику данные по запросу, предоставить любую информацию о каждом члене аудиторской группы, для того чтобы заказчик мог своевременно выразить свое несогласие с назначением какого-либо аудитора или технического эксперта, а орган по сертификации имел возможность переформировать группу при наличии для этого объективных причин.

9.1.11    План и дата проведения аудита должны быть сообщены и согласованы с организацией-за-казчиком заранее.

9.1.12    Орган по сертификации должен разработать и документировать требования к процессу проведения аудитов на месте в соответствии с руководящими указаниями, приведенными в ИСО 19011.

Примечания

1    Термин «на месте» помимо посещения физического местоположения (например, завода) может включать в себя удаленный доступ к веб-сайту(ам), содержащему(им) информацию, имеющую отношение к аудиту системы менеджмента безопасности цепи поставок

Содержание

1    Область применения.................................................................1

2    Нормативные ссылки.................................................................2

3    Термины, определения и сокращения...................................................2

4    Принципы..........................................................................2

4.1    Общие положения................................................................2

4.2    Беспристрастность...............................................................3

4.3    Компетентность..................................................................3

4.4    Ответственность.................................................................3

4.5    Открытость......................................................................4

4.6    Конфиденциальность.............................................................4

4.7    Реагирование на жалобы..........................................................4

5    Общие требования...................................................................4

5.1    Особенности, связанные с законодательством и договорами.............................4

5.2    Управление беспристрастностью....................................................4

5.3    Материальная ответственность и финансирование.....................................6

6    Требования к структуре...............................................................6

6.1    Организационная структура и    высшее руководство.....................................6

6.2    Комитет (совет) по обеспечению беспристрастности....................................7

7    Требования к ресурсам...............................................................7

7.1    Компетентность руководства и персонала............................................7

7.2    Персонал, участвующий в деятельности по сертификации...............................8

7.3    Привлечение внешних аудиторов и технических экспертов.............................10

7.4    Записи о персонале..............................................................10

7.5    Привлечение соисполнителей (аутсорсинг)..........................................11

8    Требования к информации............................................................12

8.1    Информация, находящаяся в открытом доступе......................................12

8.2    Сертификационные документы....................................................12

8.3    Реестр сертифицированных заказчиков (клиентов)....................................13

8.4    Ссылка на сертификат и использование знаков соответствия...........................13

8.5    Конфиденциальность............................................................14

8.6    Обмен информацией между органом по сертификации и заказчиками....................14

9    Требования к процессу...............................................................15

9.1    Общие требования, применимые к аудиту...........................................15

9.2    Первичный аудит и сертификация..................................................17

9.3    Деятельность по инспекционному контролю..........................................21

9.4    Ресертификация................................................................23

9.5    Специальные аудиты............................................................24

9.6    Приостановление, отмена действия сертификата или сужение области сертификации......25

9.7    Апелляции.....................................................................25

9.8    Жалобы.......................................................................26

9.9    Записи о сертифицированных заказчиках............................................26

10 Требования к системе менеджмента органов по сертификации............................27

10.1    Вариант 1. Требования к системе менеджмента в соответствии с ИСО 9001 ..............27

10.2    Вариант 2. Общие требования к системе менеджмента...............................28

Приложение А (справочное) Руководство для процесса определения продолжительности

аудита.................................................................31

Приложение В (обязательное) Критерии для проведения аудита организаций, имеющих

несколько производственных площадок.....................................33

Приложение С (обязательное) Требования к образованию аудиторов, опыту работы

и проведению аудитов....................................................36

Приложение D (обязательное) Требования к компетентности аудиторов.......................37

Приложение ДА (справочное) Сведения о соответствии ссылочных международных

стандартов национальным и межгосударственным стандартам.................39

Библиография.......................................................................40

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

СИСТЕМЫ МЕНЕДЖМЕНТА БЕЗОПАСНОСТИ ЦЕПИ ПОСТАВОК

Требования к органам, проводящим аудит и сертификацию систем менеджмента безопасности цепи поставок

Security management systems for the supply chain Requirements for bodies providing audit and certification of supply chain security management systems

Дата введения — 2020—07—01

1 Область применения

Настоящий стандарт содержит принципы и требования органов, проводящих аудит и сертификацию систем менеджмента безопасности цепи поставок в соответствии со спецификациями и стандартами ИСО 28000.

Настоящий стандарт определяет минимальные требования, предъявляемые к органам по сертификации и связанным с ними аудиторам, признавая уникальную потребность в конфиденциальности при аудите и сертификации/регистрации организации — заказчика.

Требования к системам менеджмента безопасности цепи поставок могут быть изложены в публикациях. и настоящий стандарт разработан для оказания помощи в сертификации систем менеджмента цепи поставок, которые отвечают требованиям ИСО 28000 и других международных стандартов в области менеджмента безопасности цепи поставок.

Настоящий стандарт:

-    обеспечивает согласованное руководство по аккредитации органов по сертификации, подающих заявку на сертификацию/регистрацию ИСО 28000 или требованиям других стандартов менеджмента безопасности цепи поставок:

-    определяет правила, применимые для аудита и сертификации системы менеджмента безопасности цепи поставок на соответствие требованиям стандартов (или набору других требований в отношении менеджмента безопасности цепи поставок);

-    предоставляет потребителям необходимую информацию о том. как проведена сертификация их поставщиков.

Примечания

1    Сертификация систем менеджмента безопасности цепи поставок в определенных случаях может именоваться регистрацией, а органы по сертификации — органами по регистрации

2    Органы по сертификации могут быть правительственными и неправительственными (с участием регулирующих органов или без их участия).

3    Настоящий стандарт может быть использован для аккредитации, коллегиальной оценки или других процессов аудита

Издание официальное

2    Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных ссылок применяют — указанное издание ссылочного стандарта, для недатированных ссылок — последнее издание (включая все изменения к нему):

ISO/IEC 17000:2004, Conformity assessment — Vocabulary and general principles (Оценка соответствия. Словарь и общие принципы)

ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing (Рекомендации no аудиту систем менеджмента качества и/или охраны окружающей среды)

ISO 28000:2007, Specification for security management systems for the supply chain (Спецификация на системы менеджмента безопасности цепи поставок)

3    Термины, определения и сокращения

В настоящем стандарте применены термины по ИСО/МЭК 17000, а также следующие термины с соответствующими определениями:

3.1    сертифицированный заказчик (certified client): Организация, чья система менеджмента безопасности цепи поставок прошла сертификацию/регистрацию у квалифицированной третьей стороны.

3.2    беспристрастность (Impartiality): Фактическое и воспринимаемое присутствие объективности.

Примечания

1    Объективность означает, что отсутствует конфликт интересов или он разрешается таким образом, чтобы не оказывать негативного влияния на последующую деятельность органа по сертификации

2    Другими терминами, которые могут быть полезны для передачи сути беспристрастности, являются «независимость*, «отсутствие конфликта интересов», «отсутствие предвзятости», «отсутствие предубеждений», «нейтралитет», «справедливость», «непредубежденность», «объективность», «отстраненность», «уравновешенность»

3.3    консультирование по системам управления и/или оценка сопутствующих рисков

(management system consultancy and/or associated risk assessments): Участие в проектировании, разработке и поддержании в рабочем состоянии систем менеджмента безопасности цепи поставок и проведении оценки риска.

Примеры:

a)    подготовка или разработка руководств или процедур;

b)    предоставление конкретных советов, инструкций или решений для разработки и внедрения систем менеджмента безопасности цепи поставок;

c)    проведение внутренних аудитов;

d)    проведение анализа и оценки риска.

Примечание — Организация обучения и участие в качестве тренера не считается консультацией, если курс относится к системам менеджмента или контроля систем безопасности цепей поставок или аудита, и курс ограничивается предоставлением общей информации, которая находится в свободном доступе, то есть не предоставляются готовые решения для конкретной компании.

4 Принципы

4.1    Общие положения

4.1.1    Принципы, описанные в данном разделе, создают основу для последующей конкретной деятельности и представления о требованиях настоящего стандарта. Настоящий стандарт не содержит конкретных требований для тех случаев, которые могут иметь место при проведении аудита. Эти принципы спедует применять в качестве руководства для принятия решения о том, какие меры следует принять в непредвиденных ситуациях. Причем принципы не носят обязательный характер.

4.1.2    Сертификация предназначена для гарантии того, что система, процесс, продукция (включая услуги) или цепь поставок соответствуют установленным требованиям. Ценность сертификации определена степенью общественного доверия и уверенностью в том. что она основана на беспристрастной и компетентной оценке, проведенной третьей стороной.

Стороны, проявляющие интерес к сертификации, включают (но не ограничиваются этим):

a)    заказчиков органов по сертификации;

b)    потребителей организаций, чьи системы менеджмента сертифицированы;

c)    органы власти;

d)    неправительственные организации;

e)    покупатели и другие члены общества.

4.1.3 Принципы, направленные на создание доверия, включают:

a)    беспристрастность;

b)    компетентность;

c)    ответственность;

d)    открытость;

e)    конфиденциальность;

О реагирование на претензии/жалобы.

4.2 Беспристрастность

4.2.1    Для того чтобы проводить сертификацию, заслуживающую доверия, орган по сертификации должен быть беспристрастным.

4.2.2    Общепризнано, что источником доходов для органа по сертификации является оплата заказчиков за проведенную сертификацию, в чем заключается потенциальная угроза для беспристрастности.

4.2.3    Для достижения и поддержания доверия необходимо, чтобы решения органа по сертификации основывались на объективных свидетельствах соответствия (или несоответствия), полученных органом по сертификации и чтобы на его решения не влияли другие интересы или другие стороны.

4.2.4    Угрозы для сохранения беспристрастности, в частности, могут включать в себя следующее (но не ограничиваются только этим):

a) собственные выгоды — это угрозы, которые исходят от лиц или органов, действующих в собственных интересах; в отношении сертификации — такие как собственные финансовые интересы;

b)    анализ собственной деятельности — это угрозы, которые исходят от лиц или органов, которые проводят анализ собственной работы. Выполнение аудита систем менеджмента заказчика, которому орган по сертификации предоставлял консультации по системам менеджмента, может привести к анализу собственной работы;

c)    близкие отношения (или доверие) — угроза возникает при слишком близких отношениях с лицом или организацией или в том случае, когда аудитор слишком доверяет другому лицу вместо того, чтобы искать свидетельства аудита;

d)    запугивание — это угрозы, которые исходят от лиц или органов, у которых возникло ощущение, что им открыто или завуалировано угрожают, например угрозой увольнения или направления жалобы в надзорную инстанцию.

4.3    Компетентность

Компетентность персонала, поддерживаемого системой менеджмента органа по сертификации, необходима для проведения сертификации, заслуживающей доверие. Компетентность — это продемонстрированная способность эффективно применять соответствующие знания и навыки.

4.4    Ответственность

4.4.1    Ответственность за достижение соответствия требованиям конкретного стандарта на систему менеджмента и за соответствие требованиям к сертификации несет сертифицированный заказчик, а не орган по сертификации.

4.4.2    Орган по сертификации несет ответственность за оценку достаточного количества объективных свидетельств, на основании которых принимают решение о сертификации. На основании выводов аудита орган по сертификации принимает решение о выдаче сертификата при наличии достаточных свидетельств соответствия или о невыдаче сертификата при их отсутствии.

Примечание — Свидетельства аудита должны быть проверяемыми Они основаны на выборках доступной информации, так как аудит проводят в течение ограниченного периода времени и с ограниченными ресурсами Надлежащее использование выборки тесно связано с уверенностью в объективном заключении по результатам проведенного аудита

4.5    Открытость

4.5.1    Орган по сертификации должен обеспечивать открытый доступ или своевременно раскрывать соответствующую информацию в отношении процесса проведения аудита и сертификации, а также статуса сертификации (например, выдачи, подтверждения, обновления, приостановления сертификата. расширения, сужения области применения или отмены сертификата) любой организации, что будет подтверждением беспристрастности и надежности сертификации. Открытость — это принцип доступности или раскрытия соответствующей информации.

4.5.2    Для обеспечения или поддерживания доверия к сертификации орган по сертификации должен предоставлять необходимый доступ или раскрывать неконфиденциальную информацию о результатах конкретных проведенных аудитов (например, аудитов в ответ на жалобы) заинтересованным сторонам.

4.6    Конфиденциальность

Для обеспечения преимущественного доступа к информации, требуемой органу по сертификации для адекватной оценки соответствия требованиям, необходимо, чтобы орган по сертификации обеспечивал конфиденциальность частных сведений о заказчике и не раскрывал конфиденциальную значимую информацию и/или информацию, имеющую ценность для организации и касающуюся уязвимости системы менеджмента безопасности цепи поставок.

4.7    Реагирование на жалобы

Стороны, которые, полагаясь на проведении сертификации, ожидают, что их жалобы будут рассмотрены. должны быть уверены в том. что. в случае признания их обоснованными, жалобы будут соответствующим образом учтены и будут приложены надлежащие усилия для их разрешения. Результативное реагирование на жалобы — важное средство защиты органа по сертификации, его заказчиков и других пользователей сертификации от ошибок, упущений или ненадлежащего поведения. Доверие к деятельности по сертификации обеспечивается в том случае, если проводится соответствующая работа с жалобами.

Примечание — Требуемый баланс между принципами открытости и конфиденциальности, включая реагирование на жалобы, необходим всем пользователям сертификации для демонстрации целостности и надежности

5 Общие требования

5.1    Особенности, связанные с законодательством и договорами

5.1.1    Юридическая ответственность

Орган по сертификации должен быть юридическим лицом или входящим в состав юридического лица, чтобы нести юридическую ответственность за все действия в области сертификации. Правительственный орган по сертификации является юридическим лицом вследствие его статуса.

5.1.2    Договор на сертификацию

Орган по сертификации должен заключить имеющий юридическую силу договор об оказании заказчику услуг по сертификации. Помимо этого, при наличии нескольких офисов у органа по сертификации или нескольких производственных площадок у заказчика орган по сертификации должен обеспечить заключение, имеющее юридическую силу договора между органом, проводящим сертификацию и выдающим сертификат, и всеми производственными площадками, включенными в область сертификации. В соглашении должно быть четко определено, по какому(им) стандарту(ам) и/или другим нормативным документам будет проведена сертификация.

5.1.3    Ответственность за решения о сертификации

Орган по сертификации сохраняет за собой полномочия и несет ответственность за свои решения. касающиеся сертификации, включая предоставление, поддержание, возобновление, расширение, сужение области сертификации, приостановку и отмену действия сертификата.

5.2 Управление беспристрастностью

5.2.1 Высшее руководство органа по сертификации должно принять на себя обязательства по обеспечению беспристрастности сертификации систем менеджмента безопасности цепи поставок. Ор-4

ган по сертификации должен сделать публично доступное заявление о том. что понимает важность беспристрастности при проведении работ по сертификации системы менеджмента безопасности цепи поставок, управляет конфликтами интересов и гарантирует объективность своих действий по сертификации системы менеджмента.

5.2.2    Орган по сертификации должен определять, анализировать и документировать возможные конфликты интересов, возникающие при проведении сертификации, включая конфликты, вытекающие из его взаимоотношений, но не обязательно вовлекающих орган по сертификации в конфликт интересов. Однако если взаимоотношения создают угрозу для обеспечения беспристрастности, орган по сертификации должен документально оформить и суметь продемонстрировать, каким образом он устраняет или минимизирует угрозы подобного рода. Данная информация должна быть доступной комитету (совету), указанному в 6.2. Демонстрация должна охватывать все выявленные потенциальные источники конфликта интересов как в рамках органа по сертификации, так и в деятельности других лиц. органов или организаций.

5.2.3    Если взаимоотношения становятся недопустимой угрозой для обеспечения беспристрастности (например, запрос на проведение сертификации поступает от дочерней компании органа по сертификации. находящейся в полном его владении), сертификация не допускается.

5.2.4    Орган по сертификации не должен сертифицировать деятельность по сертификации систем менеджмента безопасности цепи поставок другого органа по сертификации.

5.2.5    Орган по сертификации, а также его любая часть не должны предлагать или проводить консультации по системам безопасности цепи поставок и связанную с ней оценку рисков. Это также применимо к той части правительственной структуры, которая идентифицирована как орган по сертификации.

5.2.6    Орган по сертификации, а также его любая часть не должны предлагать или проводить внутренние аудиты у сертифицированных ими заказчиков. Это также применимо к той части правительственной структуры, которая идентифицирована как орган по сертификации.

5.2.7    Орган по сертификации не должен сертифицировать систему менеджмента безопасности цепи поставок, в отношении которой заказчику оказана консультация или проведены внутренние аудиты. если взаимоотношения между организацией, оказавшей консультации, и органом по сертификации представляют недопустимую угрозу для обеспечения беспристрастности последнего.

Примечания

1    Наличие допустимого двухлетнего минимального периода с момента завершения консультаций по системе менеджмента является единственным путем снижения до приемлемого уровня угрозы обеспечения беспристрастности

2    См примечание к 5.2 2 и 5 2 4

Примечание к 5.2.2 и 5.2 4 — Отношения, которые угрожают беспристрастности органа по сертификации, могут быть основаны на владении, руководстве, управлении, персонале, общих ресурсах, финансах, контрактах, маркетинге и оплате комиссионных за продажу или другом побуждении за направление новых заказчиков и т д

Примечание к 526 и 5 2.7 — Внутренние аудиты, в ходе которых аудиторы предлагают решения (для выявления несоответствий или возможностей для улучшения), рассматриваются как неприемлемая угроза беспристрастности

5.2.8    Орган по сертификации не должен передавать право проведения аудитов организациям, консультировавшим по системе менеджмента, так как это представляет недопустимую угрозу для обеспечения беспристрастности органа по сертификации (см. 7.5).

Примечание — Это правило не распространяется на лиц. привлеченных в качестве аудиторов по договору (см 7 3)

5.2.9    Деятельность органа по сертификации не должна быть представлена или предложена как связанная с деятельностью организации, занимающейся консультированием по системам менеджмента безопасности цепи поставок. Орган по сертификации должен предпринимать действия по корректировке неуместных заявлений любой организации, оказывающей консультации и заявляющей или подразумевающей, что сертификация будет более простой, легкой, быстрой или более рентабельной при привлечении этого органа по сертификации. Орган по сертификации не должен заявлять или подразумевать. что сертификация будет более простой, легкой, быстрой или менее дорогостоящей при привлечении определенной консультирующей организации.

5.2.10    Для того чтобы гарантировать отсутствие конфликта интересов, работники, оказывающие консультационные услуги по системе менеджмента безопасности цепи поставок и оценке риска, включая действовавших в пределах управленческих полномочий, не должны привлекаться органом по сер-