До появления единого стандарта каждый орган по сертификации устанавливал собственные правила аудита. Это порождало несопоставимость результатов: сертификат ISO 9001, выданный одним органом, мог означать совсем другой уровень проверки, чем аналогичный документ от другого органа. ГОСТ Р ИСО/МЭК 17021 решает эту проблему, устанавливая единые требования к тому, как орган должен быть устроен, как проводить аудит и как принимать решения о выдаче сертификата.
Для предприятий это означает практическую вещь: сертификат, выданный аккредитованным по ГОСТ Р ИСО/МЭК 17021 органом, признаётся на международном уровне и не требует дополнительного подтверждения при работе с иностранными партнёрами. Именно поэтому при выборе органа первый вопрос — есть ли у него аккредитация по этому стандарту.
Ключевые требования стандарта
Беспристрастность и независимость.
Орган не вправе оказывать консультационные услуги по построению системы менеджмента тем организациям, которые он сертифицирует. Нельзя также привлекать к аудиту специалистов, консультировавших данную организацию в течение двух предшествующих лет. Это не просто формальное требование — орган обязан регулярно анализировать все потенциальные угрозы беспристрастности, документировать их и принимать меры по управлению. Комитет по беспристрастности, предусмотренный стандартом, обеспечивает независимый надзор за этим процессом.
Компетентность персонала.
Аудиторы органа должны иметь подтверждённую компетентность сразу по двум направлениям: по требованиям конкретного стандарта системы менеджмента и по отраслевой области аудируемой организации. Недостаточно быть хорошим специалистом по ISO 9001 — если аудируется металлургическое предприятие, аудитор должен понимать специфику металлургических процессов. Орган ведёт подробное досье на каждого аудитора: образование, обучение, опыт, результаты наблюдений за работой, оценки компетентности. Компетентность подтверждается регулярно, а не однократно при найме.
Расчёт продолжительности аудита.
Одно из принципиальных требований стандарта — минимальное время аудита рассчитывается по установленной методике, учитывающей численность персонала организации, сложность деятельности, количество площадок, степень автоматизации процессов. Орган не вправе произвольно сокращать продолжительность в угоду заявителю — это прямо влияет на достоверность оценки. Слишком короткий аудит физически не позволяет охватить все требования стандарта. Когда орган предлагает провести аудит крупного производства за один день — это явный сигнал несоответствия требованиям.
Двухэтапный процесс сертификации.
Стандарт детально описывает схему аудита. Первый этап — документарный: аудиторы анализируют документацию системы менеджмента, оценивают готовность организации к полноценному аудиту, выявляют области повышенного внимания. Второй этап — выездной: проверка реального функционирования системы на площадке организации через интервью с персоналом, наблюдение за процессами, анализ записей. По итогам каждого этапа составляется отчёт с описанием выявленных несоответствий — значительных и малозначительных.
Работа с несоответствиями.
При выявлении значительного несоответствия сертификат не выдаётся до его устранения и верификации. Малозначительные несоответствия фиксируются, заявитель обязан разработать корректирующие действия, орган проверяет их выполнение. Стандарт устанавливает чёткие сроки — орган не может бесконечно откладывать проверку устранения несоответствий.
Надзорные аудиты и ресертификация.
Сертификат выдаётся на три года, но это не означает трёхлетнего отсутствия контроля. Орган обязан проводить надзорные аудиты не реже одного раза в год — они короче первоначального, но охватывают ключевые процессы и области, где ранее выявлялись проблемы. По истечении трёх лет проводится полный ресертификационный аудит. Продление сертификата без повторной оценки стандартом не предусмотрено.
Система менеджмента самого органа.
Требования стандарта распространяются и на внутреннюю организацию работы органа: управление документацией, записями, внутренние аудиты, работу с жалобами и апелляциями от заявителей, анализ со стороны руководства. Орган должен управлять собой так же системно, как требует от своих клиентов.
Структура стандарта
ГОСТ Р ИСО/МЭК 17021 состоит из нескольких частей:
- 17021-1 — основная часть, общие требования к органам по сертификации систем менеджмента. Применяется всегда, независимо от типа системы
- 17021-2 — требования к компетентности при аудите систем экологического менеджмента ISO 14001
- 17021-3 — требования к компетентности при аудите систем менеджмента качества ISO 9001
Для других стандартов систем менеджмента — ISO 45001, ISO 22000, ISO 27001 — существуют аналогичные отраслевые документы серии ISO/IEC TS, которые применяются совместно с основной частью 17021-1 и уточняют требования к компетентности аудиторов в конкретной области.
Как проверить, что орган работает по стандарту
Аккредитация органа по ГОСТ Р ИСО/МЭК 17021 проводится Росаккредитацией. Проверить актуальный статус органа можно в реестре аккредитованных лиц на сайте fsa.gov.ru — там указываются стандарты, по которым орган аккредитован, области применения и история проверок.
Два практических ориентира при проверке: статус аккредитации должен быть «Действует», а в области аккредитации должны быть указаны конкретные стандарты систем менеджмента и отраслевые коды IAF, соответствующие деятельности вашей организации. Общая аккредитация «по всем стандартам и отраслям» без конкретики — повод задать дополнительные вопросы.
FAQ
Обязателен ли ГОСТ Р ИСО/МЭК 17021 для всех органов по сертификации систем менеджмента?
Да, для всех органов, претендующих на аккредитацию в России. Без соответствия этому стандарту аккредитацию Росаккредитации получить невозможно.
Распространяется ли стандарт на сертификацию продукции?
Нет. ГОСТ Р ИСО/МЭК 17021 регулирует только сертификацию систем менеджмента. Для органов по сертификации продукции действует другой стандарт — ГОСТ Р ИСО/МЭК 17065.
Признаётся ли сертификат, выданный по ГОСТ Р ИСО/МЭК 17021, за рубежом?
Аккредитованные органы, входящие в международную организацию по аккредитации IAF, выдают сертификаты с взаимным признанием. Российская Росаккредитация является членом IAF, поэтому сертификаты аккредитованных российских органов признаются в большинстве стран.
Что такое коды IAF и зачем они нужны?
Коды IAF — это международный классификатор отраслевых областей применения систем менеджмента. Они определяют, предприятия каких отраслей вправе сертифицировать данный орган. Например, код 17 — производство резиновых и пластмассовых изделий, код 28 — здравоохранение. Орган аккредитуется в конкретных кодах IAF, и сертифицировать организации вне этих кодов он не вправе.
ГОСТ Р ИСО/МЭК 17021 и система ПромТехСтандарт
Органы системы ПромТехСтандарт, проводящие сертификацию систем менеджмента, работают в соответствии с требованиями ГОСТ Р ИСО/МЭК 17021. Это означает стандартизированный двухэтапный процесс аудита, подтверждённую компетентность аудиторов по стандарту и отраслевой области, а также сертификаты, которые вносятся в публичный реестр системы и могут быть проверены любым участником рынка.
Если вы хотите понять, какие требования стандарт предъявляет к вашей организации, как подготовиться к аудиту и чего ожидать от процедуры — специалисты ПТС проконсультируют и помогут пройти сертификацию.
