Оцінка відповідності – Вимоги до органів, що здійснюють аудит і сертифікацію систем менеджменту згідно ISO/IEC 17021:2011 (стр. 2 )

Він повинен визначити засоби для демонстрації компетентності до початку виконання конкретних функцій.

7.1.2 Визначення критеріїв компетентності

Орган сертифікації повинен мати задокументований процес для визначення критеріїв компетентності персоналу, який залучається до управління та проведення аудиту та сертифікації. Критерії компетентності повинні бути визначені з урахуванням вимог кожного типу стандарту для системи менеджменту або специфікації, для кожної технічної галузі, і для кожної функції в процесі сертифікації. Результатом процесу повинні бути задокументовані критерії необхідних знань та навичок, що необхідні для ефективного виконання завдань аудиту та сертифікації, які належить виконати для досягнення бажаних результатів. Додаток А обумовлює знання та навички, які

орган сертифікації повинен визначити для конкретних функцій. У разі, якщо були встановлені додаткові спеціальні критерії компетентності для конкретної схеми сертифікації, наприклад, ISO/TS 22003 (системи менеджменту харчової безпеки), вони повинні бути застосовані.

ПРИМІТКА Термін «технічна область» може по-різному застосовуватись в залежності від стандарту системи менеджменту, який розглядається. Для будь-якої системи менеджменту, термін стосується продукції та процесів в контексті сфери застосування стандарту системи менеджменту. Технічна область може бути визначена конкретної схемою сертифікації (наприклад, ISO/TS 22003); або може бути визначена органом сертифікації. Приклади застосування терміну «технічна область» для різних типів систем менеджменту є такі:

·  Для стандарту системи менеджменту якості, термін «технічна область» пов'язано з процесами, необхідними для задоволення очікувань споживачів, а також відповідних законодавчих та нормативних вимог до продукції та послуги організації.

·  Для стандарту системи екологічного менеджменту, термін «технічна область» пов'язано з категоріями діяльності, продукції та послуг, пов'язаних з екологічними аспектами, які впливають на повітря, воду, землю, природні ресурси, флору, фауни та людей.

·  Для стандарту системи менеджменту безпекою поставок, термін «технічна область» пов'язано з процесами в контексті загроз безпеки поставок, таких, як транспортування, зберігання та інформація.

·  Для стандарту системи менеджменту інформаційною безпекою, термін «технічна область» пов'язано, серед іншого, з категоріями технологій і методів інформаційної безпеки, інформаційно-комунікаційних технологій та підприємницькою діяльністю, що пов'язано з вибором адекватного та пропорційного контролю безпеки, який захищає інформаційні активи.

7.1.3 Процеси оцінювання

Орган сертифікації повинен мати задокументовані процеси для первісного оцінювання компетентності та поточного моніторингу компетентності та дій всіх співробітників, що беруть участь в управлінні та проведенні аудитів та сертифікації, застосовуючи визначені критерії компетентності. Орган сертифікації повинен продемонструвати, що його методи оцінювання є ефективними. Результатом цих процесів повинно бути виявлення співробітників, які продемонстрували рівень компетентності, необхідний для різних функцій процесів аудиту та сертифікації.

ПРИМІТКА Кількість методів оцінки, які можуть бути використані для оцінки знань і навичок, описані у

7.1.4 Інші положення

7.1.4.1 При визначенні вимог до компетентності свого персоналу, що виконує сертифікацію, орган сертифікації повинен визначитись з функціями управлінського та адміністративного персоналу на додаток до функцій персоналу, який безпосередньо проводить аудит та сертифікацію.

7.1.4.2 Орган сертифікації повинен мати доступ до необхідної технічної експертизи для порад з питань, безпосередньо пов'язаних з сертифікацією у технічних областях, з типами систем менеджменту та географічних районів, у яких орган сертифікації здійснює свою діяльність. Такі поради можуть надаватись або зовні або персоналом органу сертифікації.

7.2 Персонал, залучений до сертифікаційної діяльності

7.2.1 Орган сертифікації повинен мати, як частину власної організації, персонал, що має достатню компетентність для управління типом і множиною програм аудиту та іншою роботою з сертифікації.

7.2.2 Орган сертифікації повинен мати у штаті або мати можливість залучати достатню кількість аудиторів, включаючи керівників груп з аудиту і технічних експертів, щоб охопити всі види своєї діяльності і керувати об'ємом виконуваних робіт з аудиту.

7.2.3 Орган сертифікації повинен чітко довести до кожної особи її обов’язки, відповідальність та повноваження.

7.2.4 Орган сертифікації повинен мати визначені процеси для відбору, навчання, офіційного уповноваження аудиторів і для вибору технічних експертів, які використовуються для сертифікації. Первинне оцінювання компетентності аудитора повинно включати здатність застосувати необхідні знання і навички під час аудитів, як встановлено компетентним оцінювачем, що спостерігає, як аудитор виконує аудит.

ПРИМІТКА У процесі відбору та навчання, що описані вище, можуть розглядатись бажані особисті поведінки. Це характеристики, які впливають на здатність людини виконувати конкретні функції. Таким чином, знання про поведінку окремих осіб дозволяє органу сертифікації скористатися їх сильними сторонами і звести до мінімуму вплив їх слабких сторін. Бажані особисті поведінки, що мають важливе значення для персоналу, що бере участь в діяльності з сертифікації описано в Додатку D.

7.2.5 Орган сертифікації повинен мати процес, щоб забезпечити і продемонструвати ефективне проведення аудиту, включаючи використання аудиторами та керівниками групи з аудиту загальних вмінь та знань з аудиту, а також вмінь та знань для проведення аудиту у конкретних технічних областях.

7.2.6 Орган сертифікації повинен забезпечити, щоб аудитори (і, за потреби, технічні експерти) були обізнані у власних процесах аудиту, вимогах до сертифікації та інших доречних вимогах. Орган сертифікації повинен надати доступ аудиторам і технічним експертам до актуалізованого комплекту задокументованих процедур, що визначають правила аудиту і до всієї доречної інформації стосовно діяльності з сертифікації.

7.2.7 Орган сертифікації повинен залучати аудиторів і технічних експертів тільки для тих видів діяльності з сертифікації, де вони продемонстрували компетентність.

ПРИМІТКА Призначення аудиторів і технічних експертів у групи для конкретних аудитів визначено в пункті 9.1.3.

7.2.8 Орган сертифікації повинен ідентифікувати потреби у навчанні і повинен запропонувати або забезпечити доступ до особливого навчання, щоб забезпечити, що його аудитори, технічні експерти і інший персонал, залучений до сертифікації, є компетентними стосовно функцій, які вони виконують.

7.2.9 Група або особа, яка приймає рішення щодо надання, підтримування, поновлення, розширення, скорочення, призупинення або скасування сертифікації, повинна розуміти відповідні вимоги стандарту і вимоги сертифікації, і повинна продемонструвати компетентність для оцінювання процесів аудиту і пов'язаних рекомендацій з боку групи з аудиту.

7.2.10 Орган сертифікації повинен забезпечити задовільну діяльність всього персоналу, залученого до аудиту і сертифікації. Для моніторингу та оцінювання діяльності усіх залучених осіб потрібно задокументувати процедури та критерії, засновані на періодичності їх використання та рівні ризику, пов’язаного з діяльністю цих осіб. Зокрема, орган сертифікації повинен проаналізувати компетентність персоналу під час виконання ним робіт для того, щоб визначити потреби у навчанні.

7.2.11 Задокументовані процедури моніторингу аудиторів повинні поєднувати спостереження на місці, аналізування звітів про аудит і зворотній зв'язок від клієнтів або від ринку, і повинні бути визначені у задокументованих вимогах. Цей моніторинг повинен розроблятись таким чином, щоб мінімізувати порушення нормального процесу сертифікації, особливо, з точки зору клієнта.

7.2.12 Орган сертифікації повинен періодично спостерігати за діяльністю кожного аудитора під час аудиту на місці. Періодичність спостережень повинна ґрунтуватися на потребах, що визначаються на підставі всієї доступної інформації щодо моніторингу.

7.3 Залучення індивідуальних зовнішніх аудиторів та технічних експертів

Орган сертифікації повинен вимагати від зовнішніх аудиторів і зовнішніх технічних експертів підписати угоду, якою вони зобов'язуються дотримуватись відповідних політик і процедур, визначених органом сертифікації. Угода повинна враховувати аспекти конфіденційності і незалежності від комерційних та інших інтересів, і повинна вимагати від зовнішніх аудиторів і зовнішніх технічних експертів повідомляти орган сертифікації щодо існування будь-яких наявних або попередніх взаємовідносин з будь-якою організацією, на яку вони можуть бути призначеними для виконання аудиту.

ПРИМІТКА Використання індивідуальних аудиторів і технічних експертів згідно з такими угодами не є аутсорсингом, як визначено у п. 7.5.

7.4 Записи щодо персоналу

Орган сертифікації повинен вести актуальні записи щодо персоналу, включаючи доречну кваліфікацію, навчання, досвід, приналежність до інших організацій, професійний статус, компетентність і будь-який доречний консалтинг, який міг ним надаватись. Це стосується керівного і адміністративного персоналу на додаток до того персоналу, який виконує діяльність з сертифікації.

7.5 Аутсорсинг

7.5.1 Орган сертифікації повинен мати процес, де описані умови, за яких аутсорсинг може мати місце (а саме, яка частина діяльності з сертифікації передається органом сертифікації за субпідрядом іншій організації для виконання). Орган сертифікації повинен мати юридичну угоду, яка містить домовленості, зокрема, щодо конфіденційності і конфлікту інтересів, з кожним органом, який надає зовнішні послуги.

ПРИМІТКА 1 Це може включати аутсорсинг іншим органам з сертифікації. Вимоги до залучення аудиторів і технічних експертів згідно з контрактом визначені в п.7.3.

ПРИМІТКА 2 Для мети цього Міжнародного Стандарту, терміни «аутсорсинг» та «субпідряд» вважаються синонімами.

7.5.2 Рішення щодо надання, підтримування, поновлення, розширення, скорочення, призупинення або скасування сертифікації ніколи не повинні передаватися на умовах аутсорсингу.

7.5.3 Орган сертифікації повинен

a) нести відповідальність за будь-яку діяльність, що передана на умовах аутсорсингу іншому органу,

b) забезпечити, щоб орган, який надає послуги на умовах аутсорсингу, і особи, яких він залучає, відповідали вимогам органу сертифікації та, також, відповідних положень цього Міжнародного Стандарту, включаючи компетентність, неупередженість і конфіденційність, та

c) забезпечити, щоб орган, який надає послуги на умовах аутсорсингу, і особи, яких він залучає, не були пов’язані, як безпосередньо, так і через будь-якого іншого працедавця, з організацією, яка підлягає аудиту, таким чином, що може бути скомпрометовано неупередженість.

7.5.4 Орган сертифікації повинен мати задокументовані процедури щодо кваліфікації та моніторингу всіх органів, які надають послуги на умовах аутсорсингу для використання у сертифікаційній діяльності, і повинен забезпечити, що підтримуються записи стосовно компетентності аудиторів і технічних експертів.

8 Вимоги до інформації

8.1 Загальнодоступна інформація

8.1.1 Орган сертифікації повинен підтримувати і робити загальнодоступною або надавати на запит інформацію, що описує його процеси аудиту і процеси сертифікації для надання, підтримування, розширення, оновлення, скорочення, призупинення або скасування сертифікації та щодо діяльності з сертифікації, видів систем менеджменту і географічних районів, в яких він діє.

8.1.2 Інформація, яка надається органом сертифікації будь-якому клієнту або на ринку, включаючи рекламу, повинна бути точною і не вводити в оману.

8.1.3 Орган сертифікації повинен робити загальнодоступною інформацію про надані, тимчасово зупинені або скасовані сертифікати(цію).

8.1.4 На запит будь-якої сторони орган сертифікації повинен передбачити заходи для підтвердження чинності наданої сертифікації.

ПРИМІТКА 1 Якщо повна інформація розподілена між окремими джерелами (наприклад, в надрукованій або електронній формі або комбінації обох), може бути впроваджена система, що забезпечує простежуваність і відсутність невизначеності між джерелами (наприклад, унікальна система нумерації, або гіперпосилання в Інтернеті).

ПРИМІТКА 2 У виняткових випадках доступ до певної інформації може обмежуватись за запитами клієнта (наприклад, з причин безпеки).

8.2 Сертифікаційні документи

8.2.1 Орган сертифікації повинне надавати сертифікаційні документи сертифікованому клієнту у будь-який спосіб за його вибором.

8.2.2 Дата надання чинності на сертифікаційному документі не повинна передувати даті рішення щодо сертифікації.

8.2.3 Сертифікаційний документ(и) повинен(ні) визначати таке:

а) назву та географічне розташування кожного клієнта, чию систему менеджменту сертифіковано (або географічне розташування штаб-квартири і будь-яких філій в межах галузі сертифікації, що охоплює декілька філій);

b) дати надання, розширення або поновлення сертифікації;

c) дата закінчення або дата повторної сертифікації, що узгоджується з циклом повторної сертифікації;

d) унікальний ідентифікаційний код;

e) стандарт та/або інший нормативний документ, включаючи номер редакції та/або перегляду, що використовувався для аудиту сертифікованого клієнта;

f) галузь сертифікації з зазначенням продукції (включаючи послуги), процесу, і т. п., які стосуються кожної філії;

g) назву, адресу і сертифікаційний знак органу сертифікації; інші знаки (наприклад, символ акредитації) можуть використовуватися за умови, що вони не вводять в оману або не є двозначними;

h) будь-яка інша інформація, що вимагається стандартом та/або іншим нормативним документом, що використовується для сертифікації;

i) у разі видання будь-яких переглянутих сертифікаційних документів, спосіб відрізнити переглянуті документи від попередніх застарілих документів.

8.3 Перелік сертифікованих клієнтів

Орган сертифікації повинен підтримувати і робити публічно доступним або надавати на запит у будь-який спосіб на вибір органу перелік чинних сертифікацій, який, щонайменше повинен визначати назву, доречний нормативний документ, галузь і географічне розташування (наприклад місто і країна) для кожного сертифікованого клієнта (або географічне розташування головного офісу і будь-яких філій в межах галузі сертифікації у разі наявності декількох філій).

ПРИМІТКА Перелік залишається винятковою власністю органу сертифікації.

8.4 Посилання на сертифікацію та використання знаків

8.4.1 Орган сертифікації повинен мати політику, яка регламентує застосування будь-якого знаку, яким він дозволяє користуватися сертифікованих клієнтів. Це повинно забезпечити, серед іншого, простежуваність до органу сертифікації. Не повинно бути неоднозначності в знаку або в супроводжуючому тексті щодо того, що саме було сертифіковано і який орган сертифікації надав сертифікацію. Цей знак не повинен використовуватися на продукті або упаковці продукту, що видима споживачу або будь-яким іншим способом, який може інтерпретуватися як визначення відповідності продукції.

ПРИМІТКА Стандарт ISO/IEC 17030 визначає вимоги для використання знаків третьої сторони.

8.4.2 Орган сертифікації не повинен дозволяти, щоб його знаки використовувались в протоколах лабораторних випробувань, калібрувань або інспекційних звітів, оскільки вважається, що в цьому контексті такі звіти є продукцією.

8.4.3 Орган сертифікації повинен вимагати, щоб організація-клієнт

а) відповідала вимогам органу сертифікації під час посилання на свій сертифікований статус в засобах комунікації, як наприклад Інтернет, брошури або реклама або інші документи,

b) не робила або не припускала оманливих тверджень стосовно її сертифікації,

c) не використовувала або не припускала використання сертифікаційного документа або будь-якої його частини в оманливій формі,

d) у разі призупинення дії або скасування її сертифікації, припиняла використовування всього рекламного матеріалу, що містить посилання на сертифікацію, як було визначено органом сертифікації (дивіться 9.6.3 і 9.6.6),

e) вносила зміни у весь рекламний матеріал, якщо галузь сертифікації було скорочено,

f) не дозволяла, щоб посилання на сертифікацію її системи менеджменту використовувалося для припущення, що орган сертифікації сертифікує продукцію (включаючи послугу) або процес,

g) не робила припущень, що сертифікація стосується діяльності, яка не охоплена галуззю сертифікації, і

h) не використовувала її сертифікацію таким чином, що може дискредитувати орган сертифікації та/або систему сертифікації або привести до втрати довіри суспільства.

8.4.4 Орган сертифікації повинен здійснювати належний контроль власності і повинен вживати заходів у разі некоректних посилань на статус сертифікації або оманливого застосування сертифікаційних документів, знаків або звітів аудиту.

ПРИМІТКА Такі заходи можуть включати вимоги коригування та коригувальних дій, призупинення дії, скасування сертифікації, публікації про порушення і, якщо необхідно, судовий позов.

8.5 Конфіденційність

8.5.1 Орган сертифікації повинен за допомогою угод, що мають юридичну силу, мати політику і умови, щоб забезпечити конфіденційність інформації, отриманої або створеної під час виконання діяльності з сертифікації на всіх рівнях організаційної структури, включаючи комітети і зовнішні органи або осіб, що діють від його імені.

8.5.2 Орган сертифікації повинен заздалегідь інформувати клієнта щодо інформації, яку він має намір розмістити в загальному доступі. Вся інша інформація, за винятком інформації, яка робиться відкритою клієнтом, повинна вважатися конфіденційною.

8.5.3 За виключенням вимог цього Міжнародного Стандарту, інформація про конкретного клієнта або особу не повинна надаватися третій стороні без письмової згоди клієнта або особи, якої це стосується. Коли орган сертифікації зобов’язаний згідно закону надати конфіденційну інформацію третій стороні, клієнт або особа, якої це стосується, повинен, якщо це не врегульовано законодавством, сповіщатися заздалегідь про інформацію, що буде надана.

8.5.4 Інформація про клієнта, що отримана з інших джерел, ніж самого клієнта (наприклад, від позивача, регуляторного органу) повинна трактуватись як конфіденційна у відповідності до політики органу сертифікації.

8.5.5 Персонал, включаючи будь-яких членів комітету, підрядників, персонал зовнішніх органів або особ, які діють від імені органу сертифікації, повинен дотримуватися конфіденційності стосовно усієї інформації, отриманої або створеної під час діяльності органу сертифікації.

8.5.6 Орган сертифікації повинен мати в наявності і використовувати устаткування і засоби, які забезпечують безпечне зберігання конфіденційної інформації (наприклад, документи, записи).

8.5.7 Коли конфіденційна інформація робиться доступною іншим органам (наприклад органу акредитації, узгодженій групі за схемою взаємної оцінки), орган сертифікації повинен інформувати про це клієнта.

8.6 Обмін інформацією між органом сертифікації та його клієнтами

8.6.1 Інформація щодо сертифікаційної діяльності та вимоги

Орган сертифікації повинен забезпечити і надавати актуальну інформацію клієнтам щодо:

а) детального опису діяльності щодо первинної та подальшої сертифікації, включаючи заявку, первинні аудити, наглядові аудити; і процес для надання, підтримки, скорочення, розширення, призупинення, скасування сертифікації та повторної сертифікації;

b) нормативних вимог сертифікації;

c) інформації про сплату за подання заявки, первинну сертифікацію і продовження сертифікації;

d) вимог органу сертифікації для майбутніх клієнтів щодо:

1) відповідності вимогам сертифікації,

2) вживання усіх необхідних заходів для проведення аудитів, включаючи положення для розгляду документації і доступу до всіх процесів і ділянок, записів і персоналу для первинної сертифікації, нагляду, повторної сертифікації та вирішення скарг, і

3) передбачення, у разі необхідності, присутність(ості) спостерігачів (наприклад, аудитори з акредитації або аудитори-стажисти);

e) документів, що описують права і обов’язки сертифікованих клієнтів, включаючи вимоги, у разі посилання на сертифікацію в будь-яких засобах комунікацій, які узгоджені з вимогами п. 8.4;

f) інформації про процедури для вирішення скарг і апеляцій.

8.6.2 Сповіщення про зміни з боку органу сертифікації

Орган сертифікації повинен належно заздалегідь сповіщати своїх сертифікованих клієнтів про будь-які зміни у вимогах сертифікації. Орган сертифікації повинен перевірити, що кожний сертифікований клієнт відповідає новим вимогам.

ПРИМІТКА Можуть бути необхідні договірні умови із сертифікованими клієнтами, щоб забезпечити виконання цих вимог. Зразок ліцензійної угоди для використання сертифікації, включаючи аспекти, пов'язані із сповіщенням про зміни, наскільки це може застосовуватись, можна знайти в Додатку E ISO/IEC Guide 28:2004.

8.6.3 Сповіщення про зміни з боку клієнта

Орган сертифікації повинен мати угоди, що мають юридичну силу, для забезпечення того, щоб сертифікований клієнт невідкладно інформував орган сертифікації стосовно питань, які можуть впливати на спроможність системи менеджменту продовжувати відповідати вимогам стандарту, що використовувався для сертифікації. Це охоплює, наприклад, зміни, що пов’язані з:

a) юридичним, комерційним, організаційним статусом або правом власності,

b) організацією та управлінням (наприклад, ключовий управлінський, такий що приймає рішення або технічний персонал),

c) контактною адресою та місцями знаходження,

d) галуззю діяльності згідно із сертифікованою системою менеджменту, і

e) суттєвими змінами до системи менеджменту та процесів.

ПРИМІТКА Зразок ліцензійної угоди для використання сертифікації, включаючи аспекти, пов'язані із сповіщенням про зміни, наскільки це може застосовуватись, можна знайти в Додатку E ISO/IEC Guide 28:2004.

9 Вимоги до процесу

9.1 Загальні вимоги

9.1.1 Програма аудиту

9.1.1.1 Потрібно розробити програму аудиту для повного циклу сертифікації для того, щоб чітко визначити діяльність з аудиту, яка повинна продемонструвати, що система менеджменту клієнта відповідає вимогам до сертифікації у відповідності до обраного(их) стандарту(ів) або іншому(их) нормативному(их) документу(ів).

9.1.1.2 Програма аудиту повинна включати два етапи первинного аудиту, наглядові аудити в першій і другій роки та аудит повторної сертифікації на третій рік до закінчення сертифікації. Трирічний цикл сертифікації починається з рішення щодо сертифікації або повторної сертифікації . Визначення програми аудиту та
будь-які подальші доповнення повинні враховувати розмір організації-клієнта, галузь та складність його системи менеджменту, продукції та процесів, а також продемонстрований рівень ефективності системи менеджменту та результати попередніх аудитів.

ПРИМІТКА 1 Додаток Е, це блок-схема типового аудиту та сертифікації третьою стороною.

ПРИМІТКА 2 Додаток F наводить додаткові елементи, які можна враховувати при розробці або перегляді програми аудиту.

9.1.1.3 Якщо орган сертифікації приймає до уваги сертифікацію або інші аудити, які вже були надані клієнту, він повинен зібрати достатню кількість інформації, яку в свою чергу можна перевірити, для того щоб виправдати та зафіксувати будь-які зміни до програми аудиту.

9.1.2 План аудиту

9.1.2.1 Загальні положення

Орган сертифікації повинен забезпечити, щоб план аудиту було розроблено для кожного аудиту, що визначено в програмі аудиту, щоб забезпечити основу для узгодження порядку проведення та розкладу діяльності з аудиту. Цей план аудиту повинен ґрунтуватись на задокументованих вимогах органу сертифікації.

9.1.2.2 Визначення цілей, обсягу та критеріїв аудиту

ПРИМІТКА Аудит щодо сертифікації системи менеджменту не є аудитом юридичної відповідності.

c) оцінка ефективності системи менеджменту забезпечувати постійне виконання організацією-клієнтом своїх конкретних завдань;

d) у разі застосування, виявлення областей потенційного поліпшення системи менеджменту.

9.1.2.2.3 Обсяг аудиту повинен описувати масштаб та межі аудиту, такі як місця розташування об'єктів, підрозділи організації, діяльність та процеси, які підлягають аудиту. У разі, коли первинна або повторна сертифікація складається з більш ніж одного аудиту (наприклад, охоплює різні місця), галузь окремого аудиту може не покривати в повному обсязі всю галузь сертифікації, але сукупність аудитів повинна відповідати галузі в сертифікаційних документах.

ПРИМІТКА Додаток F наводить додаткові елементи, які можна врахувати при підготовці або перегляді обсягу аудиту.

9.1.2.2.4 Критерії аудиту повинні використовуватись в якості посилання, щодо яких визначається відповідність, та повинні включати:

⎯ вимоги, що визначені нормативним документом щодо системи менеджменту;

⎯ визначені процеси та документацію системи менеджменту, що розроблені клієнтом.

9.1.2.3 Підготовка плану аудиту

9.1.3.2 При визначенні розміру та складу групи з аудиту, приймається до уваги наступне:

а) завдання аудиту, обсяг, критерії та розрахунковий час аудиту;

b) чи є аудит комбінованим, інтегрованим або спільним;

c) загальна компетентність групи з аудиту для досягнення завдань аудиту;

d) вимоги сертифікації (включаючи будь-які відповідні законодавчі, нормативні та договірні вимоги);

е) мова та культура;
f) чи члени групи з аудиту раніше проводили аудит системи менеджменту клієнта.

9.1.3.3 Необхідні знання та навички керівника групи з аудиту та аудиторів можуть доповнюватись
технічними експертами, письмовими та усними  перекладачами, які повинні працювати під керівництвом аудитора. Де
використовуються письмові та усні  перекладачі, вони повинні бути обрані таким чином, щоб вони невиправдано не впливали на аудит.

ПРИМІТКА Критерії підбору технічних експертів визначаються на індивідуальній основі виходячи з потреб з боку групи з аудиту та галузі аудиту.

9.1.3.4 Аудитори-стажисти можуть бути включені в групу з аудиту в якості учасників, за умови, що аудитор призначений оцінювачем. Оцінювач повинен бути компетентним взяти на себе обов'язки і остаточну відповідальність за діяльність та висновки аудитора-стажиста.

9.1.3.5 Керівник групи з аудиту, в консультації з аудиторською групою, повинен визначити для кожного члена групи відповідальність за аудит конкретних процесів, функцій, місць, областей або діяльності. Такі завдання повинні враховувати необхідність компетентності та ефективного і раціонального використання групи з аудиту, а також різні ролі та обов'язки аудиторів, аудиторів-стажистів і технічних експертів. Для забезпечення досягнення цілей аудиту, зміни в робочих призначеннях можуть бути зроблені під час проведення аудиту.

9.1.4 Визначення часу для аудиту

9.1.4.1 Орган сертифікації повинен мати задокументовані процедури для визначення обсягу часу аудиту, і для кожного клієнта орган сертифікації повинен визначати обсяг необхідного часу, щоб спланувати і виконати повний і результативний аудит системи менеджменту клієнта. Час аудиту, визначений органом сертифікації, та обґрунтування для його визначення, повинно реєструватись. У визначенні обсягу часу аудиту, орган сертифікації повинен враховувати, серед іншого, такі аспекти:

a) вимоги відповідного стандарту системи менеджменту;

b) розмір і складність;

c) технологічні і законодавчі обставини;

d) будь-які види діяльності на умовах аутсорсингу, які охоплено галуззю системи менеджменту;

e) результати будь-яких попередніх аудитів;

f) розгляд кількості ділянок та місць розташування;

g) ризики, пов'язані з продукцією, процесами або діяльністю організації;

h) якщо аудит об'єднаний, спільний або інтегрований.

Якщо були розроблені  особливі критерії для конкретної схеми сертифікації, наприклад, ISO/TS 22003 або ISO/IEC 27006, то вони повинні застосовуватись.

9.1.4.2 Час, що використано будь-яким членом команди, який не призначений аудитором (тобто технічні експерти, письмові та усні перекладачі, спостерігачі і аудитори-стажисти), не повинно зараховуватись у встановлений вище час аудиту.

ПРИМІТКА Використання письмових та усних перекладачів може мати необхідність додаткового часу для аудиту.

9.1.5 Відбирання місць розгалуженої структури

У випадку розгалуженої структури, коли застосовується вибірковість аудиту системи менеджменту клієнта, що охоплює однакові види діяльностей на різних ділянках, орган сертифікації повинен розробити програму вибірковості для забезпечення належного аудиту системи менеджменту. Обґрунтування плану вибірки повинне документуватись для кожного клієнта.

9.1.6 Комунікація щодо завдань групи аудиту

Завдання, надані групі з аудиту, повинні визначатись і доводитись до організації-клієнта, і повинні вимагати від групи з аудиту

a) розглянути і перевірити структуру, політики, процеси, процедури, записи і пов'язані документи організації-клієнта стосовно системи менеджменту,

b) визначити, що вони задовольняють всі вимоги, відносно заявленої галузі сертифікації,

c) визначити, що процеси і процедури встановлені, впроваджені і виконуються результативно, щоб забезпечити основу для довіри до системи менеджменту клієнта, і

d) повідомити клієнту про його дії, будь-які несумісності між політикою клієнта, завданнями і цілями (що відповідають очікуваннями відповідного стандарту на систему менеджменту або іншому нормативному документу) та результати.

9.1.7 Комунікація стосовно членів групи з аудиту

Орган сертифікації повинен надати ім'я і, коли вимагається, іншу інформацію стосовно кожного члена групи з аудиту, за достатній проміжок часу для організації-клієнта, щоб відмовитись від призначення будь-якого конкретного аудитора або технічного експерта, а для органу сертифікації перезатвердити групу у відповідь на будь-яке вагоме заперечення.

9.1.8 Комунікація щодо плану аудиту

Клієнт повинен заздалегідь бути повідомлений про план аудиту та попередньо узгодити дати аудиту.

9.1.9 Проведення аудитів на місці

9.1.9.1 Загальні положення

Орган сертифікації повинен мати процес для проведення аудитів на місці. Цей процес має включати в себе вступну нараду на початку аудиту та заключну нараду наприкінці аудиту.

ПРИМІТКА На додаток до відвідування фактичного(их) місцезнаходження(ень) (наприклад, виробнича ділянка), «на місці» може охоплювати дистанційний доступ до електронної(их) ділянки(ок), що містить(ять) інформацію, яка доречна для аудиту системи менеджменту.

9.1.9.2 Проведення вступної наради

Офіційна вступна нарада, де повинна реєструватись відвідуваність, повинна бути проведена з керівництвом клієнта і, при необхідності, з особами, які відповідають за функції або процеси, які підлягають аудиту. 

Метою вступної наради, яка зазвичай проводиться керівником групи з аудиту, є надання короткого пояснення про те, як буде здійснюватись діяльність з аудиту і включає наступні елементи. Ступінь деталізації повинна відповідати усвідомленості клієнта щодо процесу аудиту:

Из за большого объема этот материал размещен на нескольких страницах: 1 2 3 4