Удовлетворение потребителя - ничто, лояльность - все. (Дж. Гитомер)

Новый стандарт ИСО/МЭК 17021:2006 для органов по сертификации систем менеджмента

Хохлявин С.А.

Для людей самое сложное не признать новые идеи, а позабыть старые
Мейнард Кейнс

15 сентября прошлого года был опубликован новый стандарт ИСО/МЭК 17021:2006 Оценка соответствия Требования для органов, выполняющих аудит и сертификацию систем менеджмента (Conformity assessment -Requirements for bodies providing audit and certification of management systems). В декабре, накануне 2007 года, Международный форум по аккредитации (IAF) и Международная организация по стандартизации (ISO) выпустили совместное коммюнике [1], согласно которому установлен глобальный двухлетний переходный период по выполнению его требований до 15 сентября 2008 года.

В статье [2] в самых общих чертах было представлено содержание Нового стандарта ИСО/МЭК 17021:2006 и его значение для обеспечения доверия к сертификации самых разных систем менеджмента (качества, экологического менеджмента, менеджмента информационной безопасности, менеджмента безопасности пищевых продуктов). Ниже дано более развернутое изложение его норм, которые, напомним, заменили собой Руководство ИСО/МЭК 62:1996 (в России - ГОСТ Р ИСО/ МЭК 62-2000) и Руководство ИСО/МЭК 66:1999 (далее по тексту Руководства 62 и 66).
С изменением статуса (вместо руководства стандарт) и интеграцией норм в рамки одного документа последний приобрел достаточно простую и понятную внутреннюю структуру, фундаментом которой являются 6 принципов сертификации (рис.1).

ПРИНЦИПЫ ДЛЯ ОРГАНОВ ПО СЕРТИФИКАЦИИ

В Руководствах 62 и 66 такого раздела не существовало вовсе, принципы излагались в рамках предъявляемых требований, будучи разбросаны по другим разделам. В Новом стандарте обращено внимание на то, чтопринципы не есть требования, они базис для выполнения требований, предусмотренных в настоящем стандарте (табл.1). Учитывая, что он не содержит исчерпывающих требований для всех ситуаций, которые могут произойти, принципы должны применяться как руководство к принятию решений, в том числе и в непредвиденных случаях.
Стандарт формулирует главную цель сертификации системы менеджмента обеспечение всем сторонам уверенности в том, что система менеджмента выполняет заданные требования (п.4.1.2).

Таблица 1 Принципы для органов по сертификации систем менеджмента

Беспристрастность (Impartiality)	Чтобы заслужить и поддерживать доверие, важно, чтобы решения органа по сертификации базировались на объективно полученном свидетельстве соответствия (или несоответствия) и на их принятие не влияли другие интересы или другие стороны (п.4.2.2).
Компетентность (Competence)	Чтобы обеспечить доверие, необходимо иметь свидетельство компетентности персонала, поддерживаемое системой менеджмента органа по сертификации. Компетентность - это демонстрируемая способность эффективно применять соответствующие знания и навыки (п.4.3).
Ответственность (Responsibility)	Ответственность за соответствие требованиям для сертификации несет организация клиента. Орган по сертификации несет ответственность за выполнение объективной оценки достаточности свидетельства о соответствии. Базируясь на заключениях аудита, он принимает решение выдать сертификат, если есть достаточное свидетельство о соответствии, или не выдать, если нет достаточного свидетельства о соответствии (п.4.4). Любой аудит базируется на осуществлении выборки лишь в рамках системы менеджмента организации и потому не является гарантией 100%-го соответствия требованиям.
Открытость (Openness)	Открытость - это доступ или раскрытие соответствующей информации. Орган по сертификации должен обеспечить публичный доступ или раскрытие соответствующей актуализированной информации о процессах аудита и сертификации и о статусе сертификации для любой организации (т.е. о предоставлении, отмене, приостановлении, возобновлении, расширении или сужении области), чтобы иметь доверие к надежности и точности состоявшейся сертификации (п.4.5). Чтобы заслужить и поддерживать доверие, орган по сертификации должен обеспечить определенным заинтересованным сторонам соответствующий доступ или раскрытие неконфиденциальной информации о заключениях отдельных аудитов (например, аудиты в ответ на жалобы).
Конфиденциальность (Confidentiality)	Чтобы получить доступ к информации, которая необходима органу по сертификации для оценки соответствия заданным требованиям, существенно, чтобы орган по сертификации сохранял конфиденциальной любую частную информацию о клиенте (п.4.6).
Внимание к жалобам (Responsiveness to complaints)	Заинтересованные стороны должны быть уверены, что с жалобами будут соответственно обращаться и определенные усилия будут приложены для разрешения жалобы. Эффективный живой отклик на жалобы - важное средство защиты органов по сертификации, его клиентов и других пользователей от ошибок, упущений и т.п. (п.4.7).

ОБЩИЕ ТРЕБОВАНИЯ

Включенные в этот раздел нормы, касающиеся юридических и договорных вопросов, остались практически без изменений. Так, орган по сертификации должен:

• быть юридическим лицом или такой его составной частью, которая позволяет считать его юридически ответственным за все действия по сертификации;
• быть ответственным за принятие решений, касающихся сертификации, включая предоставление, отмену, приостановление, возобновление, расширение и сужение области;
• иметь юридически осуществимое соглашение (legally enforceable agreement) с клиентом относительно условий действий по сертификации.

Стандарт лишь уточняет, что там, где существуют многочисленные офисы органов по сертификации или у сертифицируемого клиента имеется множество участков (площадок), орган по сертификации должен гарантировать, что такое соглашение существует также между органами, принимающими решение о сертификации и выдающими сертификат, и весь участок охвачен областью сертификации (п.5.1.2).

В целях реализации принципа беспристрастности в Новый стандарт включен весьма объемный пункт 5.2 Менеджмент беспристрастности . Руководства 62 и 66 в этой части содержали лишь общие и часто расплывчатые формулировки.

Беспристрастность(impartiality) это фактическое и субъективно воспринятое наличие объективности. Объективность означает, что конфликта интересов нет или он решен¹, что исключает негативное влияние на последующие действия органа по сертификации. Другие термины, которые могут быть полезны в передаче элемента беспристрастности, объективность, независимость, свобода от конфликта интересов, нейтралитет, справедливость, непредубежденность.

Теперь орган по сертификации должен прежде всего иметь обязательство высшего руководства о беспристрастности его действий по сертификации системы менеджмента, но главное же он долженидентифицировать, анализировать и документировать возможности для конфликта интересов, являющиеся результатом его действий, включая любые конфликты как результат его взаимоотношений.

Очевидно, что само по себе наличие этих отношений не всегда свидетельствует о наличии конфликта интересов. Однако если отношения создают угрозу беспристрастности, орган по сертификации должен их документировать и быть способен продемонстрировать, как он устраняет или минимизирует такую угрозу (эта информация должна быть доступной Комитету по обеспечению беспристрастности). Об угрозах беспристрастности, необходимости наличия публично доступного заявления о понимании важности беспристрастности, целях деятельности этого Комитета, его статусе, составе и полномочиях рассказано в статье [2].

Уточним, что демонстрация должна охватывать все потенциальные источники конфликта интересов, независимо от того, возникают ли они внутри самого органа по сертификации или в результате действий иных лиц, органов или организаций (п.5.2.2). В схематичном виде механизм противодействия угрозам беспристрастности показан на рис.2.

Среди других важных новых норм: орган по сертификации должен принять меры, чтобы ответить на любые угрозы его беспристрастности, являющиеся результатом действий иных лиц, органов или организаций. Весь персонал органа по сертификации, внутренний и внешний, не должен позволять коммерческому, финансовому или иному давлению ставить под угрозу беспристрастность. Органы по сертификации должны требовать от персонала, внутреннего и внешнего,сообщить о любой известной им ситуации, которая может создать конфликт интересов.

Как известно, Руководства 62 и 66 содержали запрет органу по сертификации предлагать или предоставлять консалтинговые (консультационные) услуги, направленные на получение и поддержку сертификации, а также услуги по разработке, внедрению или поддержанию в рабочем состоянии систем качества (Руководство 62), систем экологического менеджмента и связанных с ними систем (Руководство 66). Сохранив эти требования в целях обеспечения беспристрастности, Новый стандарт уточнил их и дополнил ограничениями, в частности:

1. Орган по сертификациине должен сертифицироватьсистему менеджмента действий по сертификации другого органа по сертификации (п.5.2.4).
2. Орган по сертификации и любая часть этого же юридического лицане должны предлагать или обеспечивать консультирование по системе менеджмента(п.5.2.5).

В этом плане стандарт поясняет, что консультирование по системе менеджмента это участие в разработке проекта, внедрении и поддержании системы менеджмента в рабочем состоянии (например, подготовка или создание руководств, процедур, предоставление совета, инструкций или решений по разработке и выполнению системы менеджмента) (п.3.3).

Интересно, что организация обучения и участие в нем в качестве тренера не является консультированием при условии, если курс относительно систем менеджмента или аудита ограничен рамками общей информации, которая свободно доступна, т.е. тренер не должен обеспечивать определенные компанией решения.

3. Орган по сертификациине должен сертифицироватьсистему менеджмента организации клиента (п.5.2.7), если клиент ранее получил у него консультирование по системе менеджмента или у него этим органом проводились внутренние аудиты. Причина отношения между организацией, выполнившей консультирование, и органом по сертификациисоздают недопустимую угрозубеспристрастности органа по сертификации. Один из способов снижения этой угрозы до приемлемого уровня установление минимального периодав два годапосле окончания консультирования и проведения внутренних аудитов.
4. Орган по сертификации и любая часть этого же юридического лицане должны предлагать или обеспечивать внутренние аудиты сертифицируемым им клиентам(п.5.2.6).
5. Орган по сертификациине должен привлекать организацию консультирования по системе менеджмента к аудиту на условиях аутсорсинга(см. о нем далее), поскольку это также создает недопустимую угрозу беспристрастности органа по сертификации (п.5.2.8). Однако этот запрет не применяется в отношении индивидуальных внешних аудиторов (п.7.3).

В части, касающейсяфинансовых вопросов, требования, изложенные в Новом стандарте, существенно детализированы по сравнению с Руководствами 62 и 66 (табл.2).

Таблица 2. Регламентация вопросов финансового характера в Руководствах 62 и 66 и Новом стандарте

Руководства 62 и 66	ИСО/МЭК 17021:2006 (п.5.3)
Орган по сертификации должен:
иметь финансовую стабильность и средства, необходимые для функционирования системы сертификации (п.4.1.2)	быть способен демонстрировать, что он оценил риски, являющиеся результатом его действий по сертификации, и имеет адекватные меры (например, страхование или резервы), чтобы погасить задолженность, являющуюся результатом его действий в каждой из его областей деятельности и географических областей, в которых он работает; оценить свои финансы и источники дохода и демонстрировать Комитету по обеспечению беспристрастности, что и первоначально и в перспективе воздействия коммерческого, финансового или иного рода не ставят под угрозу его беспристрастность.

СТРУКТУРНЫЕ ТРЕБОВАНИЯ

По сравнению с нормами, включенными в Руководства 62 и 66, эти требования остались практически без изменений. Так, согласно Новому стандарту, орган по сертификации должен:

• документировать организационную структуру, показав в ней обязанности и полномочия менеджмента и другого персонала, а также любых образованных комитетов (п.6.1);
  
• иметь формальные правила, регулирующие деятельность любых образованных комитетов, которые вовлечены в действия по сертификации.

Когда орган по сертификации выступает как часть юридического лица, структура должна включать взаимоотношения с другими частями в рамках этого юридического лица. Он также должен идентифицировать высшее руководство (правление, группа лиц или одно лицо), имеющее властные полномочия и несущее ответственность за каждое из следующих действий:

• разработка политики относительно действий органа по сертификации и контроль выполнения политики и процедур;
• контроль финансового состояния;
• разработка схем и правил оказания услуг по сертификации системы менеджмента;
• выполнение аудитов, сертификации и процедур разрешения жалоб;
• решения относительно сертификации;
• делегирование полномочий комитетам или, если требуется отдельным лицам, чтобы те предприняли определенные действия от своего лица;
• договорные меры;
• обеспечение адекватных ресурсов для действий по сертификации.

РЕСУРСНЫЕ ТРЕБОВАНИЯ

Требования, касающиеся компетентности менеджмента и персонала, и раньше занимали особое место в Руководствах 62 и 66. В Новом стандарте они собраны в отдельный раздел, сгруппированы и конкретизированы применительно к категории персонала и тем действиям, которые он выполняет. Так, орган по сертификации в отношении всего персонала должен (п.7.1):

• иметь процессы, чтобы гарантировать, что персонал имеет знания, соответствующие типам систем менеджмента и географических областей, в которых он работает;
• определить компетентность, требуемую для каждой технической области (для определенной схемы сертификации) и для каждой функции деятельности по сертификации;
• определить средства для демонстрации компетентности до выполнения определенных функций.

Очевидно, что именно лица, вовлеченные в действия по сертификации, обеспечивают успех
их проведения. Эти лица ключ для функционирования органа по сертификации и удовлетворения запросов клиентов. Имея это в виду, стандарт обращает внимание на то, чтобы орган по сертификации (п.7.2):

• имел в штате персонал, обладающий достаточной компетентностью для выполнения программ аудита различного типа и диапазона и другой работы по сертификации;
• нанял или обеспечил иным образом достаточное чис о аудиторов и технических экспертов, чтобы охватить все его действия и обращаться со всем объемом работы по аудиту;
• дал каждому лицу ясные представления относительно его обязанностей и полномочий.

Наряду с этим он должен:

• определить процессы для отбора, обучения и формального назначения аудиторов, а также для выбора технических экспертов, привлекаемых к действиям по сертификации;
• иметь процесс, обеспечивающий выполнение на базе ISO 19011:20022 эффективного аудита с использованием аудиторов, обладающих как общими знаниями и навыками аудита, так и навыками и знаниями для аудита в определенных технических областях;
• гарантировать, что аудиторы (и если необходимо, технические эксперты) хорошо осведомлены относительно процессов аудита, сертификационных и других уместных требований;
• использовать аудиторов и технических экспертов лишь для тех действий, в которых они компетентны;
• идентифицировать потребности в обучении и обеспечить специальное обучение, гарантирующее его аудиторам, техническим экспертам и иным лицам, вовлеченным в действия по сертификации, компетентное выполнение их функций; группа или отдельное лицо, принимающие решение о предоставлении, приостановлении, возобновлении, отмене, расширении или сужении области сертификации, должны понимать применимый стандарт и сертификационные требования, а также демонстрировать компетентность в оценке процессов аудита и рекомендаций группы аудита;
• гарантировать удовлетворительную работу всего персонала, вовлеченного в действия по сертификации и аудиту, для чего иметь документированные процедуры и критерии для мониторинга и измерения работы лиц, основанные на частоте их использования и уровне риска, связанного с их действиями; процедуры контроля для аудиторов должны включать комбинацию наблюдения на месте , обзор отчетов об аудите и обратной связи с клиентами и должны базироваться на ISO 19011:2002. Этот контроль необходимо разработать таким образом, чтобы минимизировать нарушение нормальных процессов сертификации, особенно с точки зрения клиента;
• периодически наблюдать за работой каждого аудитора на месте . При этом частота наблюдений должна определяться исходя из всей доступной для контроля информации.

ПРИВЛЕЧЕНИЕ ВНЕШНИХ АУДИТОРОВ И ТЕХНИЧЕСКИХ ЭКСПЕРТОВ

В отличие от Руководств 62 и 66 в Новом стандарте прописаны условия их привлечения, направленные на реализацию принципов беспристрастности и конфиденциальности. Так, орган по сертификации должен иметь письменное соглашение с внешними аудиторами и техническими экспертами, по которому они дают согласие на выполнение политики и процедур, определенных органом по сертификации.

Соглашение должно обращаться к аспектам, касающимся конфиденциальности и независимости от коммерческих и иных интересов, и требовать от внешних аудиторов и технических экспертов уведомления органа по сертификации о любой существующей или предшествующей связи с любой организацией, которую им может быть поручено аудировать (п.7.3). При этом привлечение индивидуальных аудиторов и технических экспертов согласно таким соглашениям не является аутсорсингом.

Аутсорсинг (outsourcing) это заключение субподрядного договора с другой организацией (аут-сорсером), чтобы обеспечить часть действий по сертификации от имени органа по сертификации. Очевидно, что на практике его применение ведет к угрозам компетентности, беспристрастности и конфиденциальности. Поэтому большинство требований, касающихся субподряда (subcontracting), с небольшими изменениями, обусловленными использованием нового термина аутсорсинг , заимствовано из Руководств 62 и 66 и включено в Новый стандарт (п.7.5). Так, как и ранее, орган по сертификации должен:

• иметь юридически осуществимое соглашение с каждым органом, которое обеспечивает услуги аутсорсинга, в котором должны быть предусмотрены меры сохранения конфиденциальности информации и предотвращения конфликта интересов;
• принять на себя ответственность за все действия, выполняемые на условиях аутсорсинга; при этом решения по предоставлению, приостановлению, возобновлению, расширению и сужению области или отмене сертификации не должны приниматься на условиях аутсорсинга;
• гарантировать, что орган, который обеспечивает услуги аутсорсинга, и лицо, им привлекаемое, соответствуют его требованиям и применимым условиям настоящего стандарта, включая компетентность, беспристрастность и конфиденциальность;
• гарантировать, что орган, который обеспечивает услуги аутсорсинга, и лицо, им привлекаемое, не вовлечены прямо или косвенно через любого другого нанимателя в контакт с организацией, которая аудируется, так, что беспристрастность может быть поставлена под угрозу. Единственное исключение: в Новый стандарт
  из Руководств 62 и 66 не включено требование о необходимости получения согласия заявителя
  (клиента) на привлечение аутсорсера.

Однако включено два новых требования. Так, орган по сертификации должен:

• иметь процесс, описывающий условия, при наличии которых может иметь место аутсорсинг;
• документировать процедуры поддержания квалификации и мониторинга всех органов, которые обеспечивают услуги аутсорсинга, и гарантировать, что записи о компетентности аудиторов и технических экспертов актуализируются.

ЗАПИСИ О ПЕРСОНАЛЕ

Данное требование, закрепленное в Руководствах 62 и 66, изменилось в сторону расширения предмета записей в целях опять же обеспечения реализации принципа беспристрастности. Так, орган по сертификации должен поддерживать в актуализированном состоянии записи о персонале, касающиеся не только его квалификации, обучения, опыта, профессионального статуса, компетентности, но ифакта аффинирования³и любого уместного консультирования, которое, возможно, было выполнено(п.7.4). Причем это требование относится не только к лицам, производящим действия по сертификации, но и к административному персоналу и менеджменту.

Окончание следует

1. Конфликт интересов - ситуация противоречия интересов между интересами организации и отдельного частного лица, при которой его личная заинтересованность влияет или может повлиять на объективное выполнение им его обязанностей.
2. Ссылки на стандарт ISO 19011:2002 адресуются к аудиту всех других типов систем менеджмента, а не только систем менеджмента качества и экологического менеджмента.
3. Аффилирование - влияние или воздействие в той или иной форме со стороны частного лица на результаты деятельности предприятия. Быть аффилированным лицом - значит иметь возможность контролировать или иным образом оказывать влияние на принятие решения.

Использованная литература

1. Joint IAF-ISO Communique Migration to ISO 17021:2006 and end of accreditation to ISO/IEC Guide 62:1996 and ISO/IEC Guide 66:1999.
2. Хохлявин С.А.Соблюдение стандарта ИСО/ МЭК 17021:2006 гарантия доверия к сертификации систем менеджмента // Методы оценки соответствия. - 2007. - 1. - С. 38-41.

Опубликовано в "Методы оценки соответствия"

Также на сайте:
Еще один взгляд на интеграцию систем менеджмента промышленных предприятий
От сертифицированной системы менеджмента качества к бережливому производству

Новое на форуме

Наши рассылки

на Subscribe.Ru (описание):

на Mail.ru(описание):

О проекте

quality.eup.ru - один из самых старых в рунете ресурсов, посвященных менеджменту качества во всем его разнообразии.

Нам более 7 лет, и все это время ресурс пополняется новыми и новыми материалами, почти ежедневно. Если вы ищете информацию о менеджменте вообще и управлении качеством в частности, скорее всего, вы найдете эту информацию здесь.

Кроме отличной и действительно большой подборки статей, действует живой форум по менеджменту качества.

Добавить в "Избранное"

Реклама на сайте