Процедура
сертификации
1 СФЕРА ЗАСТОСУВАННЯ
1.1 Ця процедура встановлює порядок проведення робіт з сертифікації систем менеджменту органом з сертифікації систем менеджменту (надалі – ОС СМ або орган з сертифікації) ТОВ «ВСЦ «ПІВДЕНТЕСТ» згідно з вимогами ДСТУ EN ISO/IEC 17021- 1, ДСТУ ISO/TS 22003, ДСТУ EN ISO/IEC 17021-3; ДСТУ ISO 19011, які застосовуються для сертифікації систем менеджменту підприємств-заявників.
1.2 Вимоги цієї процедури є обов`язковими для персоналу ОС СМ та осіб сторонніх організацій, які залучаються ОС СМ до виконання окремих робіт з сертифікації систем менеджменту, а також для організацій, системи менеджменту яких сертифікують або сертифіковано
1.3 Аудит та сертифікація систем менеджменту виконується на відповідність ДСТУ ISO 9001, ДСТУ EN ISO 9001, ISO 9001, ДСТУ ISO 22000, ISO 22000.
2 ОПИС ПРОЦЕСУ СЕРТИФІКАЦІЇ СИСТЕМ МЕНЕДЖМЕНТУ
Процес проведення ОС СМ робіт з сертифікації спрямований на те, щоб:
-
продемонструвати дотримання принципів сертифікації, наведених у ДСТУ EN ISO/IEС 17021-1, ДСТУ ISO/TS 22003 для забезпечення довіри до результатів сертифікації;
-
забезпечити результативний аудит;
-
сприяти розвитку та вдосконаленню системи менеджменту заявника;
-
не дозволяти неправильних посилань на сертифікацію;
-
унеможливити розголошення конфіденційної інформації.
Процес сертифікації системи менеджменту складається з таких основних етапів:
-
інформування заявника про умови та процедури проведення сертифікації системи менеджменту;
-
надання Заявником заявки на сертифікацію;
-
розглядання заявки та прийняття рішення щодо сертифікації;
-
готування до оцінювання;
-
проведення первинного аудиту (перший етап);
-
проведення первинного аудиту (другий етап);
-
аналізування результатів і висновків сертифікаційного аудиту;
-
прийняття рішення щодо сертифікації;
-
проведення наглядових аудитів за сертифікованою системою менеджменту у першому та другому році дії сертифіката;
-
проведення повторної сертифікації на третій рік (до закінчення строку дії сертифіката);
- контролювання використовування сертифікатів.
2.1 Передсертифікаційні заходи
2.1.1 Заявка
Організація, яка претендує на сертифікацію системи управління в Системі ПІВДЕНТЕСТ, подає в ОС СМ заявку.
ОС СМ вимагає від уповноваженого представника підприємства-заявника надати необхідну інформацію, щоб уможливити визначення:
а) бажаної сфери сертифікації;
b)доречних деталей щодо підприємства-заявника, як вимагається конкретною схемою сертифікації, включаючи її назву і адресу(и) її ділянки(нок), її процесів та діяльності, людських і технічних ресурсів, функцій і взаємозв’язків і будь-яких доречних юридичних зобов’язань;
с) інформацію стосовно всіх процесів, які використовуються підприємством на умовах аутсорсингу, що впливатимуть на відповідність вимогам;
d) стандартів або інших вимог, на відповідність яким організація-заявник бажає отримати сертифікацію;
e) інформацію щодо того, чи було проведено консультування з питань системи менеджменту і, якщо так, то ким.
Заявка на проведення робіт з сертифікації системи управління повинна мати заповнені всі реквізити, підписана заявником.
2.1.2 Аналізування заявки
2.1.2.1 ОС СМ реєструє заявку в «Журналі реєстрації заявок на сертифікацію систем управління в системі ПІВДЕНТЕСТ та здійснює аналізування заявки і додаткової інформації стосовно сертифікації, щоб упевнитись в тому, що:
a) інформація про організацію-заявника та її систему менеджменту є достатньою для розроблення програми аудиту;
b) будь-які відомі непорозуміння між ОС СМ та організацією-заявником вирішені;
c) ОС СМ має компетентність і спроможність виконувати сертифікацію;
d) бажана сфера сертифікації, місцезнаходження виробничих ділянок організації-заявника, необхідна тривалість для проведення аудиту і будь-які інші питання, що впливають на процес сертифікації, були враховані (мова, умови безпеки, загрози неупередженості тощо).
Результати аналізування оформлюються протоколом аналізування заявки.
Після аналізування заявки ОС СМ приймає рішення за заявкою, яке оформлюється у вигляді протоколу аналізування заявки і надає ґрунтовну інформацію щодо прийняття або відхилення заявки на сертифікацію системи менеджменту. Якщо за результатом аналізування заявки ОС СМ відхиляє заявку на сертифікацію системи менеджменту, причини для відхилення заявки документально оформлюються, чітко аргументуються та доводяться до клієнта.
ОС СМ повідомляє організацію-заявника про прийняте рішення і ознайомлює керівника організації-заявника під підпис з протоколом аналізування заявки. Термін надання клієнту протоколу не повинен перевищувати одного тижня після надання їм заявки.
2.1.2.2 Базуючись на цьому аналізуванні, ОС СМ визначає компетентність, необхідну для групи з аудиту і для прийняття рішення щодо сертифікації, готує проект договору на проведення сертифікації (в разі прийняття заявки на сертифікацію) та надсилає договір організації-заявнику. Дозволяється на вимогу організації-заявника складати договір та здійснювати попередню оплату за весь комплекс послуг з сертифікації систем управління. У разі наявності декількох ділянок клієнта, що сертифікується, ОС СМ забезпечує наявність договору, що має юридичну силу, з всіма філіями клієнта, що охоплені сферою сертифікації.
В разі згоди організація-заявник підписує договір та проводить передоплату робіт, якщо це передбачено договором.
2.1.2.3 Менеджер з якості після реєстрації та за результатами розгляду заявки направляє організації-заявнику опитувальну анкету та перелік вихідних матеріалів, які має надати підприємство для оцінки системи управління.
2.2 Визначення часу аудиту
2.2.1 ОС СМ розроблена, задокументована та впроваджена інструкція І ОС 11 для визначення часу аудиту. Для кожного клієнта ОС СМ визначає час, необхідний для планування і провадження повного і результативного аудиту системи менеджменту клієнта, що зазначається у Часовій діаграмі аудитора.
Тривалість аудиту, визначену органом з сертифікації та його обґрунтування реєструються до затвердження програми аудиту системи управління.
2.3 Програма аудиту
2.3.1 Після підписання договору та надання замовником необхідних документів, заступник керівника ОС СМ розробляє Програму аудиту для повного циклу сертифікації системи управління, яка включає:
- первинну сертифікацію у два етапи;
- наглядові аудити на перший і другий роки;
- повторну сертифікацію на третій рік до закінчення сертифікації.
Перший трирічний цикл сертифікації починається з прийняття рішення щодо сертифікації. Подальші цикли починаються з прийняття рішення щодо повторної сертифікації.
Програма аудиту узгоджується із замовником аудиту і затверджується керівником органу з сертифікації систем менеджменту.
Визначення програми аудиту та будь-які подальші її коригування, за необхідності, повинні враховувати розмір заявника, сферу застосування та складність його системи менеджменту, продукції та процесів, а також продемонструвати рівень результативності системи менеджменту та результати будь-яких попередніх аудитів.
За умови наявності вимог конкретної галузевої схеми сертифікації тривалість циклу сертифікації може бути іншою, ніж три роки.
2.3.2 Наглядові аудити проводяться щонайменше один раз на рік, за винятком років, коли проводиться повторна сертифікація. Дата першого наглядового аудиту, наступного після первинної сертифікації, не повинна бути пізніше, ніж через 12 місяців від дати прийняття рішення щодо сертифікації. В разі виникнення необхідності в зміні періодичності проведення наглядових аудитів з метою прийняття до уваги таких факторів, як пора року або сертифікація систем менеджменту обмеженої тривалості (наприклад, тимчасові будівельні ділянки), заявник звертається до ОС СМ не пізніше ніж за 1 місяць до передбачуваної дати аудиту з обґрунтованими пропозиціями щодо зміни терміну наглядового аудиту.
2.3.3 Якщо ОС СМ бере до уваги вже надану заявнику сертифікацію або аудити, виконані іншим органом з сертифікації, він збирає та зберігає достатню кількість доказів, таких як звіти та задокументовані коригувальні дії щодо будь-якої невідповідності. Документація повинна відповідати вимогам ДСТУ EN ISO/IEC 17021-1. Відповідно до отриманої інформації ОС СМ обґрунтовує та фіксує будь-які зміни до існуючої програми аудиту, беручи також до уваги впровадження коригувальних дій щодо раніше встановлених невідповідностей.
2.3.4. У випадках, коли заявник здійснює діяльність позмінно, заходи, що проходять у різні зміни, беруться до уваги при розробці програми та плану аудиту
2.3.5 Застосування вибірки при розгалуженій структурі
У разі застосування вибірки за розгалуженої структури для проведення аудиту системи менеджменту заявника, яка охоплює однакові види діяльності на різних виробничих об’єктах, ОС СМ (після аналізування матеріалів, одержаних від підприємства-заявника і додаткових відомостей від незалежних джерел) розробляє програму для визначення розміру вибірки, щоб забезпечити належний аудит системи менеджменту. Обґрунтування плану вибірки документується для кожного заявника. За наявності кількох ділянок, що не охоплюють однакову діяльність, вибірка не застосовується. Вибірка не дозволяється деякими конкретними схемами сертифікації, і, таким чином, за наявністю спеціальних критеріїв, встановлених для конкретної схеми сертифікації, наприклад ДСТУ ISO/TS 22003, ISO 22003-1, вони повинні застосовуватись.
2.4 Планування аудитів
2.4.1 Визначення цілей, сфери та критеріїв аудиту
2.4.1.1 Цілі аудиту визначає орган з сертифікації систем менеджменту. Сферу та критерії аудиту, охоплюючи будь-які зміни, орган з сертифікації встановлює після обговорення з клієнтом.
2.4.1.2 Цілі аудиту описують, що повинно бути досягнуто аудитом і охоплюють таке:
а) визначення відповідності системи менеджменту заявника або її частини критеріям аудиту;
b) визначення спроможності системи менеджменту забезпечувати відповідність заявника застосовним законодавчим, регулюючим та договірним вимогам (аудит щодо сертифікації системи менеджменту не є аудитом юридичної відповідності);
c) визначення результативності системи менеджменту з метою впевненості в тому, що заявник може очікувати досягнення конкретних цілей;
d) у разі застосування, виявлення сфер потенційного поліпшення системи управління.
2.4.1.3 Сфера аудиту описує обсяг та межі аудиту, такі як ділянки, підрозділи організації, види діяльності та процеси, які підлягають аудиту. У разі, якщо процес первинної або повторної сертифікації складається більш ніж з одного аудиту (наприклад, охоплює різні ділянки), сфера окремого аудиту може не охоплювати в повному обсязі всю сферу сертифікації, але сукупність аудитів повинна відповідати сфері у документі щодо сертифікації.
2.4.1.4 Критерії аудиту ОС СМ використовує як еталон, у порівнянні з яким визначається відповідність. Критерії аудиту повинні охоплювати:
- вимоги, що визначені НД на систему менеджменту;
- визначені процеси та документація системи менеджменту, що розроблені заявником.
2.4.2 Вибір та призначення групи з аудиту
2.4.2.1 Загальні положення
Для проведення робіт з сертифікації систем менеджменту керівництво ОС СМ призначає групу з аудиту. Керівник групи з аудиту здійснює керування групою та процесом аудиту.
Вибір групи з аудиту здійснюється з урахуванням визначеної компетентності аудиторів і технічних експертів за необхідності, з урахуванням необхідної компетентності для досягнення цілей аудиту і виконання вимог неупередженості. Якщо у групі з аудиту є тільки один аудитор, він обирається таким чином, щоб він мав компетентність для виконання обов'язків керівника групи з аудиту, застосовних для цього аудиту. Група з аудиту повинна мати загальну компетентність, визначену органом з сертифікації для аудиту.
2.4.2.2 При визначенні розміру та складу групи з аудиту, враховують таке:
- цілі аудиту, сферу, критерії та розрахунок тривалості аудиту;
- чи є аудит скомбінованим, інтегрованим або спільним;
- загальну компетентність групи з аудиту, необхідну для досягнення цілей аудиту;
- сертифікаційні вимоги (охоплюючи будь-які застосовні законодавчі, регламентуючі та договірні вимоги);
- необхідність забезпечення незалежності групи з аудиту від діяльності, що перевіряється, та уникнення конфліктів інтересів;
- здатність членів групи з аудиту результативно співпрацювати з об’єктом аудиту;
- мову, соціальні і культурні особливості об’єкта аудиту.
Загальні вимоги до аудиторів встановлені в ПР ОС СМ 03.
2.4.2.3 Необхідні знання та навички керівника групи з аудиту та аудиторів можуть забезпечувати технічні експерти, письмові та усні перекладачі, які повинні працювати під керівництвом аудитора. При залученні письмових або усних перекладачів їх вибирають таким чином, щоб вони не впливали негативно на аудит.
2.4.2.4 Аудитори-стажисти можуть входити до складу групи з аудиту за умови призначення одного з аудиторів оцінювачем. Оцінювач повинен бути компетентним, щоб взяти на себе обов’язки і загальну відповідальність за діяльність та висновки аудитора-стажиста.
2.4.2.5 Керівник групи з аудиту за погодженням з групою з аудиту призначає кожного члена групи відповідальним за проведення аудиту конкретних процесів, функцій, об’єктів, сфер або видів діяльності. При розподілі обов’язків враховується необхідна компетентність та результативне та ефективне використання групи з аудиту, а також різні ролі та обов'язки аудиторів, аудиторів-стажистів і технічних експертів. Щоб забезпечити досягнення цілей аудиту, під час проведення аудиту можна вносити зміни до розподілу обов’язків.
2.4.2.6 До затвердження наказу про склад групи з аудиту керівник/заступник керівника ОС СМ здійснює перевірку керівника та членів групи з аудиту, особливо залученого персоналу, щодо відсутності надання ними консалтингових послуг замовнику протягом останніх 2-х років. Крім того, якщо є підстави, керівник/заступник керівника ОС СМ детально ідентифікує потенційну загрозу неупередженості від скомпрометованого персоналу та, якщо цей персонал не продемонструє, що конфлікт інтересів відсутній, вимагає його заміни. Загрозу неупередженості може становити залучення до аудиту фахівців організацій, системи управління яких сертифіковані ОС СМ, залучення сторонніх аудиторів чи технічних експертів до перевірки свого та споріднених підприємств, конкурентів чи інших організацій, з якими були якісь відносини. Керівник/заступник керівника ОС СМ перевіряє також, щоб основна робота залученого персоналу не несла загрози їхньої неупередженості, наприклад, у випадках, коли є намір з їхнього боку використання результатів аудиту для цілей державного нагляду за сертифікованим підприємством.
Результати визначення складу групи з аудиту реєструються в Протоколі формування групи з аудиту.
2.4.2.7 Керівник/заступник керівника ОС СМ наказом офіційно уповноважує аудиторів на проведення сертифікаційного аудиту. Склад групи з аудиту погоджується з замовником. Після затвердження наказу про склад групи з аудиту проведення подальших робіт організовує призначений керівник групи з аудиту.
2.4.3 Спостерігачі
Присутність та обґрунтування наявності спостерігачів під час аудиторської діяльності узгоджується між ОС СМ і заявником до початку проведення аудиту. Інформація щодо присутності спостерігачів може доводитись до заявника в усній формі, а момент їх участі фіксується у відповідних документах з оцінки системи управління заявника (наприклад: протоколі вступної наради, протоколі заключної наради). Група з аудиту повинна забезпечити, щоб спостерігачі не впливали та не втручались в процес аудиту або результати аудиту. Спостерігачами можуть бути консультанти, спостерігачі від органу акредитації, регуляторні органи або інші особи, присутність яких обґрунтована.
2.4.4 Технічні експерти
Роль технічних експертів під час здійснення діяльності з аудиту погоджується між ОС СМ та заявником до проведення аудиту. Технічний експерт в групі з аудиту не повинен діяти як аудитор. Технічних експертів має супроводжувати аудитор. Технічні експерти можуть надавати поради групі з аудиту щодо підготовки, планування або проведення аудиту.
2.4.5 Супроводжувачі
Кожного аудитора необхідно супроводжувати, якщо інше не погоджено між керівником групи з аудиту і заявником. Супроводжувачів призначають до групи з аудиту для сприяння проведенню аудиту. Група з аудиту повинна забезпечити, щоб супроводжувачі не впливали або не втручались в процес аудиту або результати аудиту.
Обов'язки супроводжувача можуть охоплювати:
а) встановлення контактів та координацію часу проведення співбесід;
-
організацію візитів до певних частин ділянки або організації;
-
забезпечення того, щоб правила, що стосуються охорони праці на місці та процедур забезпечення безпеки, були доведені до відома та виконуються членами групи з аудиту;
-
спостерігання за аудитом від імені заявника;
е) надання роз'яснень або інформації на прохання аудитора.
Коли це доречно, особа щодо якої проводять аудит може виступати в ролі супроводжувача.
2.5 План аудиту
2.5.1 Загальні положення
ОС СМ забезпечує складання плану аудиту до кожного аудиту, визначеного програмою для надання основи для погодження стосовно забезпечення та планування заходів з аудиту.
2.5.2 Підготовка плану аудиту
Керівник групи з аудиту розробляє план першого етапу первинного сертифікаційного аудиту системи управління.
Для забезпечення проведення аудиту «на місці» керівник групи з аудиту готує план проведення другого етапу аудиту системи менеджменту. В плані другого етапу аудиту повинно бути наведено:
а) цілі аудиту;
b) критерії аудиту;
c) сферу аудиту, зокрема ідентифікацію організаційних та функціональних одиниць або процесів, які підлягатимуть аудиту;
d) дати і місця, де буде проводитись аудит на місці, зокрема відвідування тимчасових об’єктів та діяльність з дистанційного аудиту, якщо це застосовно;
e) очікувану тривалість аудиторської діяльності на місці;
f) ролі та обов'язки членів групи з аудиту та супроводжувальних осіб, таких як спостерігачі або перекладачі.
2.5.3 Інформування щодо завдань групи з аудиту
Завдання, поставлені перед групою з аудиту, визначаються і доводяться ОС СМ до відома заявника і вимагають від групи з аудиту:
-
дослідити та перевірити структуру, політики, процеси, процедури, записи і пов'язані документи заявника відповідно до стандарту на систему менеджменту;
-
визначити, чи задовольняють вони всі вимоги, відносно заявленої сфери сертифікації;
-
визначити, чи розроблені, запроваджені та результативно підтримуються процеси і процедури з метою забезпечення основи для довіри до системи менеджменту заявника;
-
повідомляти заявнику, для його реагування, щодо будь-якої неузгодженості між політикою заявника, завданнями і цілями.
2.5.4 Інформування щодо плану аудиту
План аудиту заздалегідь повідомляється заявнику та попередньо узгоджуються з ним дати проведення аудиту (в разі проведення аудиту в приміщенні замовника).
Спірні питання щодо змісту плану та його окремих пунктів мають бути вирішені керівником групи з аудиту та уповноваженим представником заявника.
2.5.5 Інформування стосовно членів групи з аудиту
ОС СМ завчасно повідомляє заявнику імена і, на запит, іншу інформацію стосовно кожного члена групи з аудиту, щоб заявник міг висловити незгоду стосовно призначення будь-якого конкретного члена групи, а ОС СМ змінив склад групи у відповідь на будь-яке вагоме заперечення.
Підприємство-заявник в тижневий термін може запросити додаткову інформацію стосовно кожного члена групи з аудиту та відхилити запропонований склад групи з аудиту, якщо вважає, що здійснення перевірки цим складом може спричинити конфліктні ситуації.
У разі змін новий склад групи з аудиту узгоджується з заявником і затверджується наказом керівника /заступника керівника ОС СМ.
2.6 Первинна сертифікація
2.6.1 Первинний сертифікаційний аудит
2.6.1.1 Загальні положення
Первинний сертифікаційний аудит системи менеджменту проводиться у два етапи: перший етап і другий етап.
2.6.1.2 Перший етап аудиту
2.6.1.2.1 Під час планування ОС СМ забезпечує виконання завдань першого етапу та інформує заявника щодо будь-яких заходів, які будуть проведені «на місці» при проведенні робіт з сертифікації системи керування безпечністю харчових продуктів та, за потреби, при проведенні робіт з сертифікації системи менеджменту якості.
Для проведення першого етапу аудиту ОС СМ складає план проведення першого етапу аудиту системи менеджменту.
2.6.1.2.2 Перший етап аудиту виконується:
- щоб перевірити задокументовану інформацію системи менеджменту замовника;
- щоб оцінити розташування замовника та специфічні умови розташування ділянок, провести обговорення з персоналом замовника з метою визначення готовності для аудиту другого етапу;
- щоб проаналізувати стан замовника і його розуміння вимог стандарту, зокрема стосовно визначення ключових характеристик або істотних аспектів, процесів, цілей і дії системи менеджменту;
- щоб зібрати необхідні відомості щодо сфери системи менеджменту, охоплюючи: місцезнаходження заявника; процеси та обладнання; встановлені рівні контролю (зокрема у випадках заявників з розгалуженою структурою); застосовні законодавчі та регуляторні вимоги.
- щоб проаналізувати розподіл ресурсів для аудиту другого етапу і погодити з замовником деталі аудиту другого етапу;
- щоб забезпечити конкретизацію планування аудиту другого етапу завдяки достатньому розумінню системи менеджменту замовника і діяльності ділянок в контексті стандарту на систему менеджменту або інших нормативних документів;
- щоб оцінити, чи плануються і виконуються внутрішні аудити і аналізування з боку керівництва. і що ступінь запровадження системи управління підтверджує, що клієнт готовий до аудиту другого етапу.
Перший етап первинного сертифікаційного аудиту здійснюється шляхом проведення аналізу опитувальної анкети, вимог НД на продукцію, документів та відомостей про якість продукції, наданих підприємством. Паралельно з аналізом матеріалів, одержаних від підприємства-заявника, група з аудиту організує збір та аналіз додаткових відомостей про якість продукції, стосовно якої проводяться роботи з сертифікації системи управління від незалежних джерел.
Обсяги перевірки при проведенні першого етапу визначаються згідно розробленого плану.
Заходи першого етапу аудиту СУЯ проводяться в ОС СМ, а також, за необхідності, частково можуть бути проведені у заявника.
Перший етап аудиту СКБХП провадиться в приміщенні замовника для досягнення встановлених цілей. За виняткових обставин або подій, весь або частина першого етапу може бути проведена за межами офісу або віддалено з використанням ІКТ, і це повинно бути повністю обґрунтовано.
Примітка 1. Виняткові обставини або події можуть включати дуже віддалене розташування, стихійне лихо, пандемію, коротке сезонне виробництво та інші особливі ситуації.
Примітка 2. Будь-яка частина СКБХП, яка була перевірена під час аудиту на першому етапі і визнана повністю впровадженою, результативною та такою, що відповідає вимогам, не обов'язково потребує повторного аудиту на другому етапі. У цьому випадку звіт про аудит включає ці висновки та чітко зазначає, що відповідність була встановлена під час першого етапу аудиту.
2.6.1.2.3 Перший етап первинного сертифікаційного аудиту завершується підготовкою письмового звіту щодо доцільності (недоцільності) проведення другого етапу з первинної сертифікації системи управління. Звіт аудиту першого етапу обов’язково містить всі дані аудиту, які відповідають затвердженому плану. Звіти готуються у 2-х примірниках: для ОС СМ і для підприємства-заявника.
Призначений виконавець направляє підприємству-заявнику Звіт за результатами першого етапу первинного сертифікаційного аудиту, включаючи визначення будь-яких ділянок, що викликають занепокоєння та які можуть бути класифіковані як невідповідність під час другого етапу аудиту.
У разі негативного рішення за результатами першого етапу первинного сертифікаційного аудиту у Звіті наводяться причини такого рішення та усі невідповідності системи управління, що перевіряється, вимогам відповідних НД. У визначений інтервал між аудитами першого і другого етапів, який не перебільшує шести місяців, ОС СМ приймає до уваги потреби замовника вирішити проблемні питання, які були виявлені протягом першого етапу аудиту. ОС СМ переглядає свої заходи щодо другого етапу. Після чого сторони узгоджують термін початку другого етапу аудита. Усі невідповідності мають бути усунені до проведення другого етапу первинного сертифікаційного аудиту.
Якщо більш тривалий проміжок є необхідним, перший етап проводиться повторно повністю або частково. Повторна перевірка оплачується окремо. ОС СМ інформує заявника про те, що результати першого етапу аудиту можуть привести до відкладання або скасування другого етапу аудиту.
2.6.1.3 Другий етап аудиту
2.7.1.3.1 Подальше проведення робіт з сертифікації системи управління здійснюється групою з аудиту, що проводила перший етап.
Мета другого етапу аудиту - оцінити запровадження, зокрема результативність, системи менеджменту заявника. Другий етап аудиту проводиться на місці(ях) розташування заявника. Він охоплює щонайменше, таке:
- інформацію і докази про відповідність всім вимогам стандарту на систему управління або додаткових нормативних документів;
- здійснення моніторингу, вимірювання, звітування й аналізування щодо ключових завдань і цілей (сумісних з очікуваннями у застосованому стандарті на систему управління або іншому нормативному документі);
- дотримання системою управління замовника і його діяльністю застосовних законодавчих вимог;
- оперативне управління процесами замовника;
- внутрішній аудит і аналізування з боку керівництва;
- відповідальність керівництва замовника за власну політику.
2.6.1.3.2 На підставі результатів аналізу матеріалів, що надійшли від підприємства-заявника на першому етапі, керівник групи з аудиту розробляє план другого етапу первинної сертифікації системи управління (з урахуванням специфіки підприємства, продукції, що випускається, вимог споживачів тощо) та підготовлює необхідні робочі документи.
У випадку розгалуженої структури організації-замовника керівник групи з аудиту керується програмою для визначення розміру вибірки, щоб гарантувати належний аудит системи управління.
2.6.1.3.3 План другого етапу надається підприємству-заявнику за десять днів до перевірки для ознайомлення та узгодження дати аудиту. Спірні питання щодо змісту плану в цілому або деяких його пунктів мають бути вирішені між керівником групи з аудиту і уповноваженим представником клієнта.
2.6.1.3.4 Другий етап первинної сертифікації системи управління включає такі процедури:
- проведення вступної наради;
- збирання та перевіряння інформації;
- ідентифікація та реєстрування даних аудиту;
- підготування висновків аудиту;
- проведення заключної наради;
- складання звіту про аудит.
2.7 Проведення аудитів
2.7.1 Загальні положення
ОС СМ розроблено та впроваджено цю процедуру, що охоплює проведення аудитів та, як елемент, вступну нараду на початку аудиту та заключну нараду наприкінці аудиту.
У випадках, коли будь-яка частина аудиту проводиться за допомогою електронного устаткування або ділянка, аудит якої необхідно провести є віртуальною, ОС СМ забезпечує проведення таких заходів персоналом із відповідною компетентністю. Докази, отримані під час такого аудиту, вважаються достатніми, щоб дозволити аудитору прийняти обґрунтоване рішення щодо відповідності вимогам, що перевіряються.
На додаток до відвідування фактичного(их) місцезнаходження(ень) аудит «на місці» може охоплювати дистанційний доступ до електронної(них) ділянки(ок), що містить(ять) інформацію, яка стосується аудиту системи менеджменту. Також можна розглянути можливість використання електронних засобів для проведення аудиту.
2.7.2 Проведення вступної наради
Офіційна вступна нарада проводиться за участю керівництва заявника і, за необхідності, за участю осіб, які відповідають за функції або процеси, що підлягають аудиту.
Метою вступної наради, яку зазвичай проводить керівник групи з аудиту, є надання короткого пояснення щодо того, як буде здійснено аудит. Ступінь деталізації відповідає обізнаності заявника щодо процесу аудиту та повинна містить щонайменше наступне:
а) представлення учасників, зокрема окреслення їхніх ролей;
b) підтвердження сфери сертифікації;
с) підтвердження плану аудиту (зокрема, тип і сферу аудиту, його цілі і критерії), будь-яких змін та інших відповідних домовленостей з клієнтом, таких як дата і час проведення заключної наради, проміжних нарад групи з аудиту та керівництва клієнта;
d) підтвердження офіційних каналів зв'язку між групою з аудиту і клієнтом;
е) підтвердження забезпеченості групи з аудиту необхідними ресурсами і засобами;
f) підтвердження питань, що стосуються конфіденційності;
g) підтвердження відповідних процедур для групи з аудиту, пов’язаних з охороною праці, надзвичайними ситуаціями та безпекою;
h) підтвердження наявності, ролей та особи будь-кого з супроводжувачів та спостерігачів;
i) метод звітування, зокрема, будь-яку градацію даних аудиту;
j) інформування про умови, за яких аудит може бути достроково припинено;
k) підтвердження того, що керівник групи з аудиту та група з аудиту, яка представляє орган з сертифікації, несе відповідальність за аудит і буде контролювати виконання плану аудиту, охоплюючи діяльність з аудиту та записи аудиту;
l) підтвердження статусу даних попереднього аналізування або аудиту, за наявності;
m) методи та процедури, які будуть використовуватись для проведення аудиту на основі вибірки;
n) підтвердження мови, яка буде використовуватись в ході аудиту;
о) підтвердження того, що під час аудиту, клієнт буде отримувати інформацію про хід аудиту та будь-які проблемні питання;
р) можливість для клієнта задавати питання.
За результатами вступної наради складається протокол. Протокол вступної наради оформлюється в двох екземплярах (по одному для ОС СМ и заявника), який підписується керівником групи з аудиту, а також керівником підприємства-заявника.
2.7.3 Інформування під час аудиту
2.7.3.1 Під час аудиту, група з аудиту періодично оцінює хід аудиту та обмінюється інформацією. Керівник групи з аудиту, в разі необхідності, повинен перерозподілити роботу між членами групи з аудиту і періодично інформувати заявника про хід аудиту та будь-які проблемні питання.
2.7.3.2 У разі, якщо наявні докази аудиту свідчать, що цілі аудиту недосяжні або передбачають наявність безпосереднього та суттєвого ризику (наприклад, пов’язаного з безпекою), керівник групи з аудиту повинен повідомити про це заявнику і, за можливості, ОС СМ, щоб визначити відповідну дію. Такими діями можуть бути повторне підтвердження або внесення змін до плану аудиту, зміна цілей аудиту або сфери аудиту, або припинення аудиту. Керівник групи з аудиту повинен доповісти про результати запроваджених дій ОС СМ.
2.7.3.3 Керівник групи з аудиту разом з заявником аналізує будь-яку необхідність внесення змін до сфери аудиту, яка стає очевидною в ході проведення аудиторської діяльності на місці, та повідомити про це ОС СМ.
2.7.4 Збирання та перевіряння інформації
2.7.4.1 Під час аудиту, застосовуючи належну вибірку, група з аудиту збирає інформацію, яку можна перевірити, щоб вона могла стати доказом аудиту, відповідно до цілей аудиту, сфери аудиту та критеріїв аудиту (зокрема інформацію, що стосується взаємозв’язків між функціями, видами діяльності і процесами).
2.7.4.2 Методи збирання інформації охоплюють але не обмежуються, наступним:
- опитування співробітників підприємства (інтерв’ю);
- спостереження за процесами та діяльністю;
- аналізування документації та записів.
2.7.5 Ідентифікація та реєстрування даних аудиту
2.7.5.1 Дані аудиту, які узагальнюють відповідність і деталізують невідповідності, та їх підтверджувальні докази реєструють та звітують про них, щоб уможливити прийняття обґрунтованого рішення щодо сертифікації або щодо підтвердження сертифікації. Ознаки, які вказують на можливість виникнення невідповідностей, фіксуються і окремо обстежуються. Усі спостереження, зроблені в ході перевірки, документуються.
2.7.5.2 Можливості для поліпшення можуть бути виявлені і зареєстровані, якщо це не заборонено вимогами схеми сертифікації систем менеджменту. Але дані аудиту, які є невідповідностями не реєструються як можливості для поліпшення.
2.7.5.3 Виявлена невідповідність реєструється з посиланням на конкретні вимоги, містить чітке викладення невідповідності та детально визначені об'єктивні докази, на яких ґрунтується невідповідність. Всі виявлені невідповідності фіксуються в Протоколах невідповідностей. Невідповідності обговорюється з заявником з метою забезпечення того, що докази є точними і що невідповідності є зрозумілими. Однак аудитор при цьому зобов’язаний утримуватись від визначення причин невідповідностей або їх вирішення.
2.7.5.4 Керівник групи з аудиту докладає зусиль для узгодження будь-яких розбіжностей у думках між групою з аудиту та заявником щодо доказів або даних аудиту, а неузгодженні питання реєструє.
2.7.6 Підготування висновків аудиту
Група з аудиту під відповідальність керівника групи перед заключною нарадою:
а) аналізує дані аудиту та будь-яку іншу відповідну інформацію, що була зібрана в ході аудиту, на відповідність цілям та критеріям аудиту та класифікує невідповідності;
b) узгоджує висновки аудиту з урахуванням невизначеності, яка властива процесу аудиту;
c) визначає будь-які необхідні подальші дії;
d) підтверджує відповідність програми аудиту або визначає будь-які необхідні зміни, необхідні для майбутніх аудитів (наприклад, щодо сфери, тривалості або дати аудиту, частоти наглядань, компетентності групи аудиту).
2.7.7 Проведення заключної наради
2.7.7.1 Офіційна заключна нарада, на якій реєструються присутні, проводиться за участі керівництва клієнта і, за необхідності, за участі осіб, відповідальних за функції або процеси, за якими проводився аудит. Метою заключної наради, яку зазвичай проводить керівник групи з аудиту, є представлення висновків аудиту, охоплюючи рекомендації щодо сертифікації. Будь-які невідповідності представляються таким чином, щоб вони були зрозумілими, а термін для реагування узгоджується, але не повинен перевищувати 90 днів від дати проведення заключної наради.
Примітка «Зрозуміла» невідповідність не обов'язково означає, що невідповідність була визнана заявником.
Заключна нарада також охоплює визначені далі елементи. Ступінь деталізації повинна відповідати обізнаності заявника щодо процесу аудиту:
а) повідомлення клієнту, що зібрані докази в ході аудиту були засновані на вибірці інформації, тим самим спричинивши елемент невизначеності;
b) спосіб та терміни звітування, зокрема будь-яку градацію результатів аудиту;
c) процес органу з сертифікації щодо поводження з невідповідностями, зокрема, будь-які наслідки, пов’язані із статусом сертифікації клієнта;
d) терміни для клієнта представити план коригування та коригувальних дій щодо будь-яких невідповідностей, виявлених під час аудиту;
е) дії органу з сертифікації після аудиту;
f) інформацію щодо процесів вирішення скарг та розглядання апеляцій.
Зауваження подаються керівником групи з аудиту в усній формі та викладаються в протоколі.
В процесі проведення заключної наради клієнт має змогу ставити запитання. Будь-які неузгодженні думки щодо даних аудиту або висновків аудиту повинні обговорюватись та по можливості бути вирішені. Якщо при проведенні заключної наради вирішити всі неузгоджені думки не вдається, то вони повинні бути зареєстровані в протоколі заключної наради та повідомлені органу з сертифікації.
Проведення наради оформлюється протоколом із вказівкою кількості невідповідностей та критеріїв, яких вони стосуються, який підписують усі члени групи з аудиту. З протоколом ознайомлюється керівництво підприємства, візує його і узгоджує з групою з аудиту термін підготовки звіту про перевірку.
Керівник групи з аудиту в протоколі заключної наради інформує організацію, аудит якої було проведено, якщо будуть необхідні додатковий повний або обмежений аудит або документовані докази (які повинні підтверджуватися протягом майбутніх наглядових аудитів) для підтвердження результативності коригування і коригувальних дій.
Один примірник протоколу зберігається в справі з сертифікації в ОС СМ, другий надається підприємству-заявнику.
2.7.8 Звіт про аудит
2.7.8.1 ОС СМ надає клієнту письмовий звіт щодо кожного аудиту. Група з аудиту визначає можливості для поліпшення, але не пропонує конкретні рішення. ОС СМ підтримує право власності на звіт про аудит.
2.7.8.2 Керівник групи з аудиту забезпечує складання звіту про аудит і відповідає за його зміст. Звіт про аудит включає достовірний, стислий і чіткий опис проведеного аудиту, з тим, щоб уможливити прийняття обґрунтованого рішення щодо сертифікації і містить або посилається на:
а) ідентифікацію органу з сертифікації;
b) назву та адресу клієнта та представника клієнта;
c) тип аудиту (наприклад, первинний, наглядовий або аудит повторної сертифікації або спеціальні аудити);
d) критерії аудиту;
е) цілі аудиту;
f) сферу аудиту, зокрема, визначення організаційних або функціональних підрозділів чи процесів, аудит яких проведено, а також час проведення аудиту;
g) будь-які відхилення від плану аудиту та їх причини;
h) будь-які значні питання, що впливають на програму аудиту;
i) ідентифікацію керівника групи з аудиту, членів групи з аудиту та супроводжувальних осіб;
j) дати і місця, де був проведений аудит (на місці або поза ним, постійні або тимчасові ділянки);
k) результати аудиту, посилання на докази та висновки аудиту, які б відповідали вимогам даного типу аудиту;
l) значні зміни, якщо такі є, що негативно вплинули на систему менеджменту клієнта з часу проведення останнього аудиту;
m) будь-які невирішені питання, за наявності;
n) чи є аудит спільним, комплексним або інтегрованим, якщо застосовно;
o) застережна заява про те, що проведення аудиту ґрунтується на процесі вибірки доступної інформації;
p) рекомендації від групи з аудиту;
q) результативність, з якою клієнт, аудит якого було проведено, контролює використання документів про сертифікацію та знаків, якщо це застосовно;
r) перевірка результативності запроваджених коригувальних дій стосовно невідповідностей, встановлених раніше, якщо це застосовно.
2.7.8.3 Звіт також містить:
а) заяву про відповідність та результативність системи менеджменту разом з підсумком доказів, що відносяться до:
- можливості системи менеджменту відповідати застосовним вимогам та очікуваним результатам;
- внутрішніх аудитів та процесу аналізування з боку керівництва;
b) висновок щодо прийнятності сфери сертифікації;
с) підтвердження того, що цілі аудиту було досягнуто.
2.7.8.4 Термін складання звіту не повинен перевищувати 10 днів після заключної наради. Підприємству-заявнику передається один примірник звіту. Звіт аудиту є конфіденціальним і може передаватися іншим особам тільки за письмовою згодою сертифікованого замовника, крім випадків, передбачених чинним законодавством.
2.7.8.5 Аналізування причин невідповідностей
Орган з сертифікації вимагає від замовника, щоб він проаналізував причини та описав запроваджені або заплановані до виконання конкретні коригування і коригувальні дії у протоколі невідповідностей для усунення виявлених невідповідностей у визначений термін (але не більш ніж 3 місяці).
2.8 Результативність коригування та коригувальних дій
2.8.1 ОС СМ аналізує коригування, визначені причини і коригувальні дії, надані заявником, та визначає їх повноту та придатність. ОС СМ перевіряє результативність будь-яких запроваджених коригувань та коригувальних дій. Докази, що підтверджують усунення невідповідності, реєструються у протоколі невідповідностей. Орган з сертифікації інформує замовника щодо результатів аналізування та перевіряння або у разі потреби в додатковому повному або обмеженому аудиті або щодо надання задокументованих доказів (що будуть підтверджені під час майбутніх аудитів) для перевірки результативності коригувань та коригувальних дій. Перевіряння результативності коригування та коригувальної дії може бути здійснено на основі аналізування документації, наданої заявником, або, у випадку необхідності, шляхом перевіряння на місці. Зазвичай такі дії проводяться членом групи з аудиту.
Якщо усі невідповідності з боку підприємства-заявника у визначений строк було усунуто, керівник/член групи з аудиту складає Акт усунення невідповідності (форма Ф-089 наведена в Каталозі форм ОС СМ, що не увійшли до процедур). Цей акт підписується представником від підприємства-заявника, керівником/членом групи з аудиту та затверджується керівником/заступником керівника ОС СМ.
2.8.2 При виявленні невідповідності в роботі на будь-якій стадії сертифікації менеджер з якості негайно доповідає про це керівнику ОС СМ та його заступнику. Після того плануються та впроваджуються коригувальні дії, які погоджуються, у разі необхідності, з заявником відповідно до ПР ОС 07, в тому числі позаплановий додатковий аудит.
2.9 Дії, що передують прийняттю рішення
Для забезпечення результативного аналізу перед прийняттям рішення щодо надання сертифікації, розширення або скорочення сфери сертифікації, надання повторної сертифікації, призупинення або поновлення, або скасування сертифікації компетентна(і) особа(и), призначена(і) наказом керівника/заступника керівника ОС СМ, аналізує(ють) та відображає(ють) в «Протоколі аналізування Звіту», що:
а) інформація, що надана групою з аудиту, є достатньою стосовно вимог сертифікації та сфери сертифікації;
b) було проведено аналізування, визнання і перевіряння коригування і коригувальних дій для будь-яких суттєвих невідповідностей:
с) було проаналізовано і визнано заплановані заявником коригування і коригувальні дії щодо будь-яких несуттєвих невідповідностей.
2.10 Рішення щодо сертифікації
2.10.1 Загальні положення
2.10.1.1 ОС СМ гарантує що особи або комітети, що приймають рішення щодо надання або відмови у сертифікації, розширення або скорочення сфери сертифікації, призупинення або поновлення сертифікації, скасування сертифікації та надання повторної сертифікації, відрізняються від тих, хто проводив аудит. Для прийняття рішення щодо сертифікації ОС СМ призначає особу(осіб) відповідної компетентності.
2.10.1.2 Особа(и) (виключаючи членів комітетів), що призначена(і) ОС СМ на прийняття рішення щодо сертифікації є штатним(и) співробітником(ками) ОС СМ або заключає(ють) договір, що має юридичну силу, з ОС СМ.
ОС СМ реєструє кожне рішення щодо сертифікації, включаючи будь-яку додаткову інформацію або роз’яснення від групи з аудиту або інших джерел.
У разі позитивного рішення ОС СМ готує проект сертифікату відповідності на систему управління та проект угоди на право використання сертифіката та знака відповідності, які надсилаються заявнику.
Після підписання угоди на право використання сертифіката та знака відповідності та узгодження проекту сертифіката ОС СМ здійснює реєстрацію сертифіката на систему менеджменту у Реєстрі Системи ПІВДЕНТЕСТ.
2.10.2 Інформація для надання первинної сертифікації
2.10.2.1 Інформація, яку надає група з аудиту до ОС СМ для прийняття рішення щодо сертифікації, охоплює щонайменше:
а) звіт про аудит системи менеджменту;
b) коментарі щодо невідповідностей і, де це застосовано, коригувань і коригувальних дій, запроваджених заявником;
с) підтвердження наданої ОС СМ інформації, яку використовували під час аналізування заявки;
d) підтвердження того, що цілей аудиту було досягнуто;
e) рекомендацію щодо надання або ненадання сертифікації, разом з будь-якими умовами або спостереженнями.
2.10.2.2 Якщо ОС СМ не в змозі перевірити впровадження коригувань та коригувальних дій щодо будь-яких суттєвих невідповідностей протягом 6 місяців після останнього дня другого етапу аудиту, ОС СМ проводить ще один другий етап аудиту перед наданням рекомендацій щодо сертифікації.
2.10.2.3 У випадках коли передбачено трансфер сертифікації з одного органу з сертифікації до іншого, ОС СМ, що приймає сертифікацію, повинен мати процес для отримання достатньої інформації з метою прийняття рішення щодо сертифікації. В схемах сертифікації можуть бути зазначені окремі правила щодо трансферу сертифікації.
2.11 Підтримування сертифікації
2.11.1 Загальні положення
ОС СМ підтримує сертифікацію, базуючись на демонстрації того, що заявник продовжує задовольняти вимоги відповідного стандарту на систему менеджменту. ОС СМ може підтримувати сертифікацію заявника, базуючись на позитивному висновку керівника групи з аудиту без подальшого незалежного перевіряння, за умови, що
a) для будь-якої суттєвої невідповідності або іншої ситуації, яка може призвести до призупинення або скасування сертифікації, ОС СМ має систему, яка вимагає, щоб керівник групи з аудиту повідомляв орган з сертифікації про необхідність ініціювати перевірку відповідним компетентним персоналом, таким, що не проводив аудит, щоб визначити, чи можна підтримувати сертифікацію;
b) компетентний персонал ОС СМ контролює його діяльність щодо наглядання, охоплюючи моніторинг звітування.
2.11.2 Діяльність щодо наглядання
ОС СМ планує свою діяльність щодо наглядання таким чином, щоб на регулярній основі проводити моніторинг репрезентативних об’єктів і функцій, які охоплені сферою системи менеджменту, та враховувати зміни у сертифікованого заявника і його системи менеджменту.
З метою підтримування надійного стану сертифікованої системи управління здійснюється наглядовий аудит за нею на протязі терміну дії сертифіката відповідності відповідно до вимог процедури ПР ОС 05.
2.11.3 Повторна сертифікація
Мета повторного сертифікаційного аудиту - підтвердити постійну відповідність і результативність системи менеджменту в цілому, а також її постійну відповідність і придатність для сфери сертифікації. ОС СМ планує і проводить повторний сертифікаційний аудит для того, щоб оцінити постійне виконання всіх вимог відповідного стандарту на систему менеджменту або іншого нормативного документа. Такий аудит планується та проводиться своєчасно з метою забезпечення продовження сертифікації вчасно, до закінчення дії сертифікату.
Термін дії сертифіката на систему управління не продовжується. Для отримання сертифіката на новий термін підприємство не пізніше як за місяць до закінчення терміну його дії надсилає до органу з сертифікації систем менеджменту заявку на повторну сертифікацію.
Порядок повторної сертифікації системи управління визначає орган з сертифікації систем менеджменту в кожному конкретному випадку з урахуванням результатів наглядового аудиту за сертифікованою системою управління. Порядок проведення повторної сертифікації наведено в ПР ОС 10.