allgosts.ru03.100 Организация фирм и управление ими. Системы менеджмента03 УСЛУГИ. ОРГАНИЗАЦИЯ ФИРМ И УПРАВЛЕНИЕ ИМИ. АДМИНИСТРАЦИЯ. ТРАНСПОРТ. СОЦИОЛОГИЯ

ГОСТ Р ИСО 28003-2019 Системы менеджмента безопасности цепи поставок. Требования к органам, проводящим аудит и сертификацию систем менеджмента безопасности цепи поставок

Обозначение:
ГОСТ Р ИСО 28003-2019
Наименование:
Системы менеджмента безопасности цепи поставок. Требования к органам, проводящим аудит и сертификацию систем менеджмента безопасности цепи поставок
Статус:
Действует
Дата введения:
01.07.2020
Дата отмены:
-
Заменен на:
-
Код ОКС:
03.100.01

Текст ГОСТ Р ИСО 28003-2019 Системы менеджмента безопасности цепи поставок. Требования к органам, проводящим аудит и сертификацию систем менеджмента безопасности цепи поставок

        ГОСТ Р ИСО 28003-2019


НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ


СИСТЕМЫ МЕНЕДЖМЕНТА БЕЗОПАСНОСТИ ЦЕПИ ПОСТАВОК


Требования к органам, проводящим аудит и сертификацию систем менеджмента безопасности цепи поставок


Security management systems for the supply chain. Requirements for bodies providing audit and certification of supply chain security management systems

ОКС 03.100.01

Дата введения 2020-07-01


Предисловие


1 ПОДГОТОВЛЕН Автономной некоммерческой организацией "Международный менеджмент, качество, сертификация" (АНО "ММКС") совместно с Обществом с ограниченной ответственностью "Палекс" (ООО "Палекс"), Ассоциацией по сертификации "Русский Регистр" на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 010 "Менеджмент риска"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 23 декабря 2019 г. N 1435-ст

4 Настоящий стандарт идентичен международному стандарту ИСО 28003:2007* "Системы менеджмента безопасности цепи поставок. Требования к органам, проводящим аудит и сертификацию систем менеджмента безопасности цепи поставок" (ISO 28003:2007 "Security management systems for the supply chain - Requirements for bodies providing audit and certification of supply chain security management systems", IDT).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные и межгосударственные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет ()


Введение

Настоящий стандарт предназначен для использования органами по сертификации, которые проводят аудит и сертификацию систем управления безопасностью цепи поставок. Сертификация систем менеджмента безопасности цепи поставок является деятельностью по оценке соответствия третьей стороны (см. п.5.5 ИСО/МЭК 17000:2004). Таким образом, органы, осуществляющие данную деятельность, являются сторонними органами по оценке соответствия, называемыми в настоящем стандарте органами по сертификации. Эта формулировка не должна быть препятствием для использования настоящего стандарта органами с другими названиями, которые осуществляют деятельность в рамках области применения настоящего стандарта. Настоящий стандарт может быть использован любым органом, который принимает участие в оценке систем менеджмента безопасностью цепочки поставок.

Сертификация систем менеджмента безопасности цепи поставок организации является одним из средств внедрения организацией системы менеджмента безопасности цепи поставок в соответствии со своей политикой.

Сертификация систем менеджмента безопасности цепи поставок будет осуществляться органами по сертификации, аккредитованными признанным органом, таким как члены IAF.

Настоящий стандарт устанавливает требования к органам по сертификации. Соблюдение этих требований предназначено для обеспечения того, чтобы органы по сертификации действовали в рамках сертификации систем менеджмента безопасности цепи поставок профессиональным, последовательным и надежным образом, тем самым способствуя признанию таких органов и выданных ими сертификатов на национальном и международном уровнях. Настоящий стандарт является базой для признания результатов сертификации систем менеджмента в интересах международной торговли.

Сертификация системы менеджмента безопасности цепи поставок обеспечивает независимую верификацию того, что система менеджмента безопасности цепи поставок организации:

a) соответствует установленным требованиям;

b) способна последовательно достигать своей заявленной политики и целей;

c) результативно внедрена.

Сертификация системы менеджмента безопасности цепи поставок обеспечивает получение выгоды организацией, ее потребителями и заинтересованными сторонами.

Настоящий стандарт призван стать основой для признания компетенции органов по сертификации в предоставлении ими сертификации системы менеджмента безопасности цепи поставок. Настоящий стандарт может быть использован в качестве основы для признания компетенции органов по сертификации в предоставлении ими сертификации системы менеджмента безопасности цепи поставок (такое признание может быть в форме уведомления, экспертной оценки или прямого признания регулирующими органами или отраслевыми консорциумами).

Деятельность по сертификации включает аудит системы менеджмента безопасности цепи поставок организации. Форма подтверждения соответствия системы менеджмента безопасности цепи поставок организации определенному стандарту (например, ИСО 28000*) или другому указанному требованию, как правило, является сертификационным документом или сертификатом.

Настоящий стандарт предназначен для того, чтобы сертифицированная организация разработала собственные системы менеджмента безопасности цепи поставок (включая систему стандартов безопасности цепи поставок ИСО 28000, другие наборы системных требований по цепям поставок, менеджмента безопасности, системы качества, системы охраны окружающей среды, системы обеспечения безопасности труда). Организация вправе сама определять расстановку различных компонентов таких систем (за исключением тех случаев, когда соответствующие законодательные требования предписывают иное). Степень сопряжения различных компонентов системы менеджмента будет колебаться в зависимости от деятельности организации. Поэтому органам по сертификации, которые действуют в соответствии с настоящим стандартом, следует принимать во внимание культуру и методы своих заказчиков относительно внедрения их системы менеджмента безопасности в рамках более широкой организации.


1 Область применения

Настоящий стандарт содержит принципы и требования органов, проводящих аудит и сертификацию систем менеджмента безопасности цепи поставок в соответствии со спецификациями и стандартами ИСО 28000.

Настоящий стандарт определяет минимальные требования, предъявляемые к органам по сертификации и связанным с ними аудиторам, признавая уникальную потребность в конфиденциальности при аудите и сертификации/регистрации организации - заказчика.

Требования к системам менеджмента безопасности цепи поставок могут быть изложены в публикациях, и настоящий стандарт разработан для оказания помощи в сертификации систем менеджмента цепи поставок, которые отвечают требованиям ИСО 28000 и других международных стандартов в области менеджмента безопасности цепи поставок.

Настоящий стандарт:

- обеспечивает согласованное руководство по аккредитации органов по сертификации, подающих заявку на сертификацию/регистрацию ИСО 28000 или требованиям других стандартов менеджмента безопасности цепи поставок;

- определяет правила, применимые для аудита и сертификации системы менеджмента безопасности цепи поставок на соответствие требованиям стандартов (или набору других требований в отношении менеджмента безопасности цепи поставок);

- предоставляет потребителям необходимую информацию о том, как проведена сертификация их поставщиков.

Примечания

1 Сертификация систем менеджмента безопасности цепи поставок в определенных случаях может именоваться регистрацией, а органы по сертификации - органами по регистрации.

2 Органы по сертификации могут быть правительственными и неправительственными (с участием регулирующих органов или без их участия).

3 Настоящий стандарт может быть использован для аккредитации, коллегиальной оценки или других процессов аудита.


2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных ссылок применяют - указанное издание ссылочного стандарта, для недатированных ссылок - последнее издание (включая все изменения к нему):

ISO/IEC 17000:2004, Conformity assessment - Vocabulary and general principles (Оценка соответствия. Словарь и общие принципы)

ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing (Рекомендации по аудиту систем менеджмента качества и/или охраны окружающей среды)

ISO 28000:2007, Specification for security management systems for the supply chain (Спецификация на системы менеджмента безопасности цепи поставок)


3 Термины, определения и сокращения

В настоящем стандарте применены термины по ИСО/МЭК 17000, а также следующие термины с соответствующими определениями:

3.1 сертифицированный заказчик (certified client): Организация, чья система менеджмента безопасности цепи поставок прошла сертификацию/регистрацию у квалифицированной третьей стороны.

3.2 беспристрастность (Impartiality): Фактическое и воспринимаемое присутствие объективности.

Примечания

1 Объективность означает, что отсутствует конфликт интересов или он разрешается таким образом, чтобы не оказывать негативного влияния на последующую деятельность органа по сертификации.

2 Другими терминами, которые могут быть полезны для передачи сути беспристрастности, являются "независимость", "отсутствие конфликта интересов", "отсутствие предвзятости", "отсутствие предубеждений", "нейтралитет", "справедливость", "непредубежденность", "объективность", "отстраненность", "уравновешенность".

3.3 консультирование по системам управления и/или оценка сопутствующих рисков (management system consultancy and/or associated risk assessments): Участие в проектировании, разработке и поддержании в рабочем состоянии систем менеджмента безопасности цепи поставок и проведении оценки риска.

Примеры:

a) подготовка или разработка руководств или процедур;

b) предоставление конкретных советов, инструкций или решений для разработки и внедрения систем менеджмента безопасности цепи поставок;

c) проведение внутренних аудитов;

d) проведение анализа и оценки риска.

Примечание - Организация обучения и участие в качестве тренера не считается консультацией, если курс относится к системам менеджмента или контроля систем безопасности цепей поставок или аудита, и курс ограничивается предоставлением общей информации, которая находится в свободном доступе, то есть не предоставляются готовые решения для конкретной компании.


4 Принципы


4.1 Общие положения

4.1.1 Принципы, описанные в данном разделе, создают основу для последующей конкретной деятельности и представления о требованиях настоящего стандарта. Настоящий стандарт не содержит конкретных требований для тех случаев, которые могут иметь место при проведении аудита. Эти принципы следует применять в качестве руководства для принятия решения о том, какие меры следует принять в непредвиденных ситуациях. Причем принципы не носят обязательный характер.

4.1.2 Сертификация предназначена для гарантии того, что система, процесс, продукция (включая услуги) или цепь поставок соответствуют установленным требованиям. Ценность сертификации определена степенью общественного доверия и уверенностью в том, что она основана на беспристрастной и компетентной оценке, проведенной третьей стороной.

Стороны, проявляющие интерес к сертификации, включают (но не ограничиваются этим):

a) заказчиков органов по сертификации;

b) потребителей организаций, чьи системы менеджмента сертифицированы;

c) органы власти;

d) неправительственные организации;

e) покупатели и другие члены общества.

4.1.3 Принципы, направленные на создание доверия, включают:

a) беспристрастность;

b) компетентность;

c) ответственность;

d) открытость;

e) конфиденциальность;

f) реагирование на претензии/жалобы.


4.2 Беспристрастность

4.2.1 Для того чтобы проводить сертификацию, заслуживающую доверия, орган по сертификации должен быть беспристрастным.

4.2.2 Общепризнано, что источником доходов для органа по сертификации является оплата заказчиков за проведенную сертификацию, в чем заключается потенциальная угроза для беспристрастности.

4.2.3 Для достижения и поддержания доверия необходимо, чтобы решения органа по сертификации основывались на объективных свидетельствах соответствия (или несоответствия), полученных органом по сертификации и чтобы на его решения не влияли другие интересы или другие стороны.

4.2.4 Угрозы для сохранения беспристрастности, в частности, могут включать в себя следующее (но не ограничиваются только этим):

a) собственные выгоды - это угрозы, которые исходят от лиц или органов, действующих в собственных интересах; в отношении сертификации - такие как собственные финансовые интересы;

b) анализ собственной деятельности - это угрозы, которые исходят от лиц или органов, которые проводят анализ собственной работы. Выполнение аудита систем менеджмента заказчика, которому орган по сертификации предоставлял консультации по системам менеджмента, может привести к анализу собственной работы;

c) близкие отношения (или доверие) - угроза возникает при слишком близких отношениях с лицом или организацией или в том случае, когда аудитор слишком доверяет другому лицу вместо того, чтобы искать свидетельства аудита;

d) запугивание - это угрозы, которые исходят от лиц или органов, у которых возникло ощущение, что им открыто или завуалировано угрожают, например угрозой увольнения или направления жалобы в надзорную инстанцию.


4.3 Компетентность

Компетентность персонала, поддерживаемого системой менеджмента органа по сертификации, необходима для проведения сертификации, заслуживающей доверие. Компетентность - это продемонстрированная способность эффективно применять соответствующие знания и навыки.


4.4 Ответственность

4.4.1 Ответственность за достижение соответствия требованиям конкретного стандарта на систему менеджмента и за соответствие требованиям к сертификации несет сертифицированный заказчик, а не орган по сертификации.

4.4.2 Орган по сертификации несет ответственность за оценку достаточного количества объективных свидетельств, на основании которых принимают решение о сертификации. На основании выводов аудита орган по сертификации принимает решение о выдаче сертификата при наличии достаточных свидетельств соответствия или о невыдаче сертификата при их отсутствии.

Примечание - Свидетельства аудита должны быть проверяемыми. Они основаны на выборках доступной информации, так как аудит проводят в течение ограниченного периода времени и с ограниченными ресурсами. Надлежащее использование выборки тесно связано с уверенностью в объективном заключении по результатам проведенного аудита.


4.5 Открытость

4.5.1 Орган по сертификации должен обеспечивать открытый доступ или своевременно раскрывать соответствующую информацию в отношении процесса проведения аудита и сертификации, а также статуса сертификации (например, выдачи, подтверждения, обновления, приостановления сертификата, расширения, сужения области применения или отмены сертификата) любой организации, что будет подтверждением беспристрастности и надежности сертификации. Открытость - это принцип доступности или раскрытия соответствующей информации.

4.5.2 Для обеспечения или поддерживания доверия к сертификации орган по сертификации должен предоставлять необходимый доступ или раскрывать неконфиденциальную информацию о результатах конкретных проведенных аудитов (например, аудитов в ответ на жалобы) заинтересованным сторонам.


4.6 Конфиденциальность

Для обеспечения преимущественного доступа к информации, требуемой органу по сертификации для адекватной оценки соответствия требованиям, необходимо, чтобы орган по сертификации обеспечивал конфиденциальность частных сведений о заказчике и не раскрывал конфиденциальную значимую информацию и/или информацию, имеющую ценность для организации и касающуюся уязвимости системы менеджмента безопасности цепи поставок.


4.7 Реагирование на жалобы

Стороны, которые, полагаясь на проведении сертификации, ожидают, что их жалобы будут рассмотрены, должны быть уверены в том, что, в случае признания их обоснованными, жалобы будут соответствующим образом учтены и будут приложены надлежащие усилия для их разрешения. Результативное реагирование на жалобы - важное средство защиты органа по сертификации, его заказчиков и других пользователей сертификации от ошибок, упущений или ненадлежащего поведения. Доверие к деятельности по сертификации обеспечивается в том случае, если проводится соответствующая работа с жалобами.

Примечание - Требуемый баланс между принципами открытости и конфиденциальности, включая реагирование на жалобы, необходим всем пользователям сертификации для демонстрации целостности и надежности.


5 Общие требования


5.1 Особенности, связанные с законодательством и договорами

5.1.1 Юридическая ответственность


Орган по сертификации должен быть юридическим лицом или входящим в состав юридического лица, чтобы нести юридическую ответственность за все действия в области сертификации. Правительственный орган по сертификации является юридическим лицом вследствие его статуса.


5.1.2 Договор на сертификацию


Орган по сертификации должен заключить имеющий юридическую силу договор об оказании заказчику услуг по сертификации. Помимо этого, при наличии нескольких офисов у органа по сертификации или нескольких производственных площадок у заказчика орган по сертификации должен обеспечить заключение, имеющее юридическую силу договора между органом, проводящим сертификацию и выдающим сертификат, и всеми производственными площадками, включенными в область сертификации. В соглашении должно быть четко определено, по какому(им) стандарту(ам) и/или другим нормативным документам будет проведена сертификация.


5.1.3 Ответственность за решения о сертификации


Орган по сертификации сохраняет за собой полномочия и несет ответственность за свои решения, касающиеся сертификации, включая предоставление, поддержание, возобновление, расширение, сужение области сертификации, приостановку и отмену действия сертификата.


5.2 Управление беспристрастностью

5.2.1 Высшее руководство органа по сертификации должно принять на себя обязательства по обеспечению беспристрастности сертификации систем менеджмента безопасности цепи поставок. Орган по сертификации должен сделать публично доступное заявление о том, что понимает важность беспристрастности при проведении работ по сертификации системы менеджмента безопасности цепи поставок, управляет конфликтами интересов и гарантирует объективность своих действий по сертификации системы менеджмента.

5.2.2 Орган по сертификации должен определять, анализировать и документировать возможные конфликты интересов, возникающие при проведении сертификации, включая конфликты, вытекающие из его взаимоотношений, но не обязательно вовлекающих орган по сертификации в конфликт интересов. Однако если взаимоотношения создают угрозу для обеспечения беспристрастности, орган по сертификации должен документально оформить и суметь продемонстрировать, каким образом он устраняет или минимизирует угрозы подобного рода. Данная информация должна быть доступной комитету (совету), указанному в 6.2. Демонстрация должна охватывать все выявленные потенциальные источники конфликта интересов как в рамках органа по сертификации, так и в деятельности других лиц, органов или организаций.

5.2.3 Если взаимоотношения становятся недопустимой угрозой для обеспечения беспристрастности (например, запрос на проведение сертификации поступает от дочерней компании органа по сертификации, находящейся в полном его владении), сертификация не допускается.

5.2.4 Орган по сертификации не должен сертифицировать деятельность по сертификации систем менеджмента безопасности цепи поставок другого органа по сертификации.

5.2.5 Орган по сертификации, а также его любая часть не должны предлагать или проводить консультации по системам безопасности цепи поставок и связанную с ней оценку рисков. Это также применимо к той части правительственной структуры, которая идентифицирована как орган по сертификации.

5.2.6 Орган по сертификации, а также его любая часть не должны предлагать или проводить внутренние аудиты у сертифицированных ими заказчиков. Это также применимо к той части правительственной структуры, которая идентифицирована как орган по сертификации.

5.2.7 Орган по сертификации не должен сертифицировать систему менеджмента безопасности цепи поставок, в отношении которой заказчику оказана консультация или проведены внутренние аудиты, если взаимоотношения между организацией, оказавшей консультации, и органом по сертификации представляют недопустимую угрозу для обеспечения беспристрастности последнего.

Примечания

1 Наличие допустимого двухлетнего минимального периода с момента завершения консультаций по системе менеджмента является единственным путем снижения до приемлемого уровня угрозы обеспечения беспристрастности.

2 См. примечание к 5.2.2 и 5.2.4.

Примечание к 5.2.2 и 5.2.4 - Отношения, которые угрожают беспристрастности органа по сертификации, могут быть основаны на владении, руководстве, управлении, персонале, общих ресурсах, финансах, контрактах, маркетинге и оплате комиссионных за продажу или другом побуждении за направление новых заказчиков и т.д.

Примечание к 5.2.6 и 5.2.7 - Внутренние аудиты, в ходе которых аудиторы предлагают решения (для выявления несоответствий или возможностей для улучшения), рассматриваются как неприемлемая угроза беспристрастности.

5.2.8 Орган по сертификации не должен передавать право проведения аудитов организациям, консультировавшим по системе менеджмента, так как это представляет недопустимую угрозу для обеспечения беспристрастности органа по сертификации (см. 7.5).

Примечание - Это правило не распространяется на лиц, привлеченных в качестве аудиторов по договору (см. 7.3).

5.2.9 Деятельность органа по сертификации не должна быть представлена или предложена как связанная с деятельностью организации, занимающейся консультированием по системам менеджмента безопасности цепи поставок. Орган по сертификации должен предпринимать действия по корректировке неуместных заявлений любой организации, оказывающей консультации и заявляющей или подразумевающей, что сертификация будет более простой, легкой, быстрой или более рентабельной при привлечении этого органа по сертификации. Орган по сертификации не должен заявлять или подразумевать, что сертификация будет более простой, легкой, быстрой или менее дорогостоящей при привлечении определенной консультирующей организации.

5.2.10 Для того чтобы гарантировать отсутствие конфликта интересов, работники, оказывающие консультационные услуги по системе менеджмента безопасности цепи поставок и оценке риска, включая действовавших в пределах управленческих полномочий, не должны привлекаться органом по сертификации к участию в аудите или другой деятельности по сертификации конкретного заказчика в течение двух лет после завершения консультаций данного заказчика.

5.2.11 Орган по сертификации должен предпринимать ответные действия в отношении любых угроз для обеспечения беспристрастности, возникающих ввиду деятельности других лиц, органов или организаций.

5.2.12 Весь персонал органа по сертификации, как внутренний, так и внешний, или комитеты (советы), которые могут оказывать влияние на деятельность по сертификации, должны действовать беспристрастно и не допускать коммерческого, финансового или другого давления, компрометирующего их беспристрастность.

5.2.13 Органы по сертификации должны требовать от персонала, как внутреннего, так и внешнего, сообщать о тех ситуациях, о которых работники знают и которые могут вовлечь их или орган по сертификации в конфликт интересов. Органы по сертификации должны использовать подобную информацию в качестве входных данных при определении угроз для обеспечения беспристрастности вследствие деятельности таких работников или организаций, принявших их на работу, и не должны привлекать персонал, как внутренний, так и внешний, до тех пор пока работники не продемонстрируют отсутствие конфликта интересов.

Примечание - Например, тот факт, что организация наняла аудитора, предоставившего консультации по системе менеджмента безопасности цепи поставок и/или связанной с этим оценкой рисков в системе менеджмента безопасности цепи поставок, в течение двух лет после окончания консультации, вероятно, будет рассматриваться как высокая угроза беспристрастности.


5.3 Материальная ответственность и финансирование

5.3.1 Орган по сертификации должен быть способен продемонстрировать, что он оценивает риски, связанные с его деятельностью по сертификации, и что имеются надлежащие условия (например, страхование или наличие резервов) для выполнения обязательств, возникающих в ходе его работ по сертификации в каждой области деятельности и при нахождении в той географической зоне, в которой он функционирует.

5.3.2 Орган по сертификации должен оценить свои финансы и источники дохода и продемонстрировать комитету (совету), определенному в 6.2, что на начальном этапе и в дальнейшем коммерческое, финансовое или другое давление не поставит под угрозу беспристрастность органа по сертификации.


6 Требования к структуре


6.1 Организационная структура и высшее руководство

6.1.1 Структура органа по сертификации должна быть такой, чтобы обеспечить доверие к оказанию услуг по сертификации.

6.1.2 Орган по сертификации должен определить высшее руководство (совет, группу лиц или лицо), обладающее всеми полномочиями и несущее полную ответственность за нижеследующее:

a) разработку политики, относящейся к функционированию органа;

b) надзор за внедрением политики и процедур;

c) надзор за финансами органа;

d) проведение аудитов и сертификации, а также реагирование на жалобы;

e) принятие решений в отношении вопросов по сертификации;

f) делегирование полномочий комитетам или лицам для осуществления определенных действий от своего имени, если требуется;

g) за условия заключаемых договоров;

h) за обеспечение деятельности по сертификации соответствующими ресурсами.

6.1.3 Орган по сертификации должен документировать свою организационную структуру с указанием обязанностей, ответственности и полномочий руководства и другого персонала, занимающегося сертификацией, а также комитетов (советов). Если орган по сертификации является частью юридического лица, его организационная структура должна отражать распределение полномочий и взаимодействие с другими частями этого юридического лица.

6.1.4 Орган по сертификации должен иметь внутренние правила по назначению, распределению полномочий и функционированию комитетов (советов), вовлеченных в работу по сертификации.


6.2 Комитет (совет) по обеспечению беспристрастности

6.2.1 Структура органа по сертификации должна обеспечивать беспристрастность его деятельности в области сертификации и предоставлять комитету (совету) возможность:

а) принимать участие в разработке политики в отношении беспристрастности деятельности органа по сертификации;

b) противодействовать любым тенденциям части органа по сертификации по коммерческим или другим соображениям препятствовать последовательному и объективному выполнению работ по сертификации;

с) давать рекомендации по вопросам, затрагивающим доверие к сертификации, включая открытость и восприятие общественностью.

Примечание - Другие задачи или обязанности могут быть внесены в обязанности комитета (совета) с условием, чтобы эти дополнительные задачи или обязанности не препятствовали выполнению его основной роли по обеспечению беспристрастности.

6.2.2 Состав, направления деятельности, обязанности, полномочия, компетентность, ответственность членов комитета (совета) должны быть документально оформлены и утверждены высшим руководством органа по сертификации, чтобы обеспечить:

a) наличие баланса интересов, такого как отсутствие преобладания одного интереса [внутренний или внешний персонал органа по сертификации, рассматриваемый как имеющий свои интересы, не должен преобладать в составе комитета (совета)];

b) доступ ко всей информации, необходимой для выполнения функций комитета (совета) (см. также 5.2.2 и 5.3.2);

c) если высшее руководство органа по сертификации не следует рекомендациям комитета (совета), комитет (совет) должен иметь право предпринять самостоятельное действие (например, информировать органы власти, органы по аккредитации, заинтересованные стороны). Предпринимая самостоятельные действия комитет (совет) должен учитывать требования к конфиденциальности, изложенные в 8.5, по отношению к заказчику и органу по сертификации.

Примечание - Несмотря на то что комитет (совет) не может представлять интересы всех сторон, органу по сертификации следует определить и учесть ключевые интересы, которые могут включать в себя интересы следующих сторон: заказчиков органа по сертификации, потребителей организаций, система менеджмента безопасности цепи поставок которых была сертифицирована, представителей торгово-промышленных ассоциаций, представителей правительственных органов управления или других правительственных служб, или представителей неправительственных организаций, включая организации потребителей.


7 Требования к ресурсам


7.1 Компетентность руководства и персонала

7.1.1 Орган по сертификации должен обеспечить, чтобы персонал, участвующий в аудите и сертификации компаний - операторов цепи поставок, был компетентен в отношении своих обязанностей.

Орган по сертификации должен установить процессы получения персоналом необходимых знаний по видам систем менеджмента, которыми орган занимается, и географическим зонам, в которых он функционирует.

Орган по сертификации должен определить требуемый уровень компетентности для каждой технической области (относящейся к конкретной схеме сертификации) и для каждой функции в деятельности по сертификации.

Орган по сертификации должен установить средства для демонстрации компетентности до выполнения конкретных функций. Записи определения компетентности должны быть сохранены.

7.1.2 При определении требований к компетентности своего персонала, осуществляющего сертификацию, орган по сертификации должен учитывать функции руководства и административного персонала, а также тех, кто непосредственно проводит аудит и работы по сертификации.

7.1.3 Орган по сертификации должен иметь возможность обратиться к техническим специалистам для получения рекомендаций по вопросам, имеющим непосредственное отношение к сертификации, применительно к техническим областям, типам систем менеджмента и географическим зонам, в которых работает орган по сертификации. Такие рекомендации могут быть получены либо от третьих лиц, либо от персонала органа по сертификации.


7.2 Персонал, участвующий в деятельности по сертификации

7.2.1 В состав персонала органа по сертификации должны входить специалисты, обладающие достаточной компетентностью для управления типом и диапазоном программ аудита и выполнения других работ по сертификации.

7.2.2 Орган по сертификации должен обеспечить, чтобы персоналу, назначенному для проведения сертификационных аудитов безопасности цепи поставок, а также техническим экспертам можно было доверять для сохранения конфиденциальной информации, так как они имеют доступ к подобного рода данным, полученным в ходе аудита. Орган по сертификации должен обеспечить, чтобы аудиторы и технические эксперты не нанесли вреда безопасности проверяемой организации (см. п.7.4).

7.2.3 Персонал, назначенный для проведения аудитов соответствующей системы менеджмента безопасности цепи поставок должен обладать, как минимум, личными высокоморальными качествами, знаниями, навыками и образованием (см. п.7.2, 7.3.1, 7.3.2 и 7.4 ИСО 19011:2002), относящимися к управлению безопасности цепи поставок и анализу рисков.

7.2.3.1 Аудитор систем менеджмента безопасности цепи поставок должен обладать компетентностью в анализе рисков и критических контрольных точек, а также в методологиях управления рисками и обеспечения конфиденциальности информации, включая, но не ограничиваясь следующим:

a) пониманием требований стандарта или спецификации по менеджменту безопасности цепи поставок (например, ISO/PAS 28000);

b) пониманием процесса цепи поставок и анализа критических контрольных точек, знание соответствующих процессов и практик в цепи поставок;

c) идентификацией угроз, таких как физические, биологические, химические, радиационные и киберугрозы;

d) оценкой и анализом риска (понимание принципов оценки и анализа риска);

e) минимизацией, снижением и управлением рисками:

- понимание принципов минимизации, снижения и управления рисками;

- знания технологий и методологий безопасности, мероприятий и технологий предупреждения;

f) планированием и готовностью к инцидентам:

- знание роли правительства и лиц, принимающих первые ответные меры,

- знание протоколов обмена информацией об инцидентах,

- знания в области минимизации последствий инцидентов, реагирования и восстановления.

7.2.3.2 Каждый аудитор системы менеджмента безопасности цепи поставок должен успешно пройти подготовку (см. приложение В) и должны быть готовым продемонстрировать компетентность в понимании и применении методологий безопасности, анализа рисков и принципов управления. Аудитор систем менеджмента должен быть сертифицирован.

7.2.3.3 Каждый аудитор системы менеджмента безопасности цепи поставок должен проходить соответствующее непрерывное обучение в соответствии с конкретными квалификационными требованиями. Органы по сертификации должны ежегодно разрабатывать план обучения своих аудиторов методологиям безопасности, анализу рисков и принципам управления, анализу критических контрольных точек, методам аудита и требованиям к компетентности, указанным в 7.2.3.1. Это обучение должно:

a) планироваться в результате анализа потребностей по направлениям и видам компетенции, приведенным выше;

b) быть оформлено в виде записей;

c) включать проверку проведенных аудитов, позволяющих оценить компетенцию аудитора;

d) поддерживаться такой информацией, как интерпретация применимости стандартов систем менеджмента, данные относительно часто задаваемых вопросов, протоколы семинаров, стандартная коррекция на базе практических ситуаций. Эта информация должна быть доступна для аудиторов;

e) оцениваться в соответствии с требованиями к обучению, а органы по сертификации должны принимать надлежащие меры на основе результатов обучения;

f) проводиться квалифицированными тренерами.

7.2.3.4 Аудитор систем менеджмента безопасности цепи поставок должен иметь как минимум пять лет практического опыта, связанного с анализом рисков и управлением рисками, два года стажа аудита по лучшим производственным практикам и стандартам.

7.2.3.5 Аудитор систем менеджмента безопасности цепи поставок должен выполнять минимум пять аналогичных аудитов в год и минимум десять аудитодней в год для поддержания квалификации.

7.2.3.6 Орган по сертификации должен предоставить доказательства того, что каждый аудитор имеет соответствующую подготовку и опыт для тех категорий, в рамках которых он считается компетентным. Компетентность должна быть оформлена в виде записей [см. п.5.5 с) ИСО 19011:2002].

7.2.4 Орган по сертификации должен иметь возможность привлекать к работе по сертификации необходимое количество аудиторов, включая руководителей аудиторских групп и технических экспертов, для надлежащего оказания услуг в рамках своей деятельности и выполнения объема работ по аудиту.

7.2.5 Орган по сертификации должен четко разъяснять каждому сотруднику его обязанности, ответственность и полномочия.

7.2.6 Орган по сертификации должен установить процессы отбора, подготовки, официального наделения полномочиями аудиторов, а также отбора технических экспертов, привлекаемых к работам по сертификации. Первоначальная оценка уровня компетентности аудитора должна включать в себя демонстрацию им соответствующих личных качеств и способности применять требуемые знания и навыки при проведении аудитов на месте. Выполнять такую работу должен компетентный специалист, наблюдающий за аудитором, проводящим аудит.

7.2.7 Орган по сертификации должен установить процесс для достижения и демонстрации результативного проведения аудита, включая привлечение аудиторов и руководителей аудиторских групп, обладающих общими навыками и знаниями как в области аудита, так и в конкретных технических областях. Этот процесс должен быть основан на документально оформленных требованиях, разработанных в соответствии с руководящими указаниями, приведенными в ИСО 19011 (см., в частности, раздел 7 ИСО 19011:2002 и приложение С).

7.2.8 Аудиторы системы менеджмента безопасности цепи поставок должны иметь знания и опыт в области безопасности, применимые к цепи поставок, а также к производственным и другим секторам осуществляемой деятельности, которые они проверяют.

7.2.9 Аудиторы системы менеджмента безопасности цепи поставок должны проходить соответствующую подготовку для приобретения и демонстрации компетенций, перечисленных в приложении D.

7.2.10 Компетентность должна быть подтверждена письменными экзаменами. Экзаменационный балл должен свидетельствовать об отборе тех кандидатов, которые демонстрируют полное понимание содержания модулей и достигают цели курса.

7.2.11 Орган по сертификации должен обеспечить, чтобы аудиторы и, при необходимости, технические эксперты были знакомы с деятельностью по сертификации, требованиями к сертификации, методологией аудита и другими требованиями, посредством предоставления аудиторам и техническим экспертам доступа к обновленному набору документированных процедур, содержащих инструкции по аудиту и всю необходимую информацию о деятельности по сертификации.

7.2.12 Орган по сертификации должен привлекать к работе аудиторов и технических экспертов исключительно для тех мероприятий по сертификации, при участии в которых они продемонстрировали свою компетентность.

Примечание - Назначение аудиторов в команды для проведения аудитов в конкретной области рассматривается в разделе 9.

7.2.13 Орган по сертификации должен определить потребности в обучении и предложить или обеспечить возможности получения обучения для того, чтобы его аудиторы, технические эксперты и другие лица, участвующие в деятельности по сертификации, были осведомлены о требованиях и процессах сертификации.

7.2.14 Группа или лицо, принимающие решение о выдаче, подтверждении, обновлении, приостановлении действия сертификата, расширении, сужении области сертификации или отмене сертификата, должны знать положения применяемого стандарта, требования к сертификации и должны иметь продемонстрированную компетентность в оценке процессов аудита и соответствующих рекомендаций аудиторской группы.

7.2.15 Орган по сертификации должен обеспечить надежную работу всего персонала, вовлеченного в деятельность по аудиту и сертификации. С этой целью должны быть разработаны документированные процедуры и критерии для мониторинга и определения характеристик деятельности задействованных работников, основанные на частоте их привлечения к работам и на уровне риска, связанного с их действиями. В частности, орган по сертификации должен проводить анализ компетентности своих работников в рамках выполняемых ими работ с целью определения потребностей в обучении.

7.2.16 Документированные процедуры мониторинга аудиторов должны включать в себя наблюдения за работой на месте, анализ отчетов по результатам аудита, учет сигналов обратной связи от заказчиков или рынка и должны быть основаны на документированных требованиях, разработанных в соответствии с руководящими указаниями, приведенными в ИСО 19011. Данный мониторинг должен быть разработан таким образом, чтобы минимизировать вмешательство в естественное течение процесса сертификации, особенно с точки зрения заказчика.

7.2.17 Орган по сертификации должен периодически проводить наблюдение за работой каждого аудитора на месте. Частота наблюдений на месте должна обосновываться необходимостью, определяемой по всей имеющейся информации по мониторингу.


7.3 Привлечение внешних аудиторов и технических экспертов

Орган по сертификации должен подписать с внешними аудиторами и техническими экспертами соглашение в письменном виде с обязательствами по соблюдению применимой политики и процедур, установленных органом по сертификации. В соглашении должны быть предусмотрены аспекты, связанные с конфиденциальностью и отсутствием коммерческого и других интересов привлекаемых специалистов (аудиторов и технических экспертов), отражена информация относительно существующих или имевшихся ранее взаимоотношениях с организацией, для проведения аудита в которой они могут быть назначены.

Орган по сертификации должен гарантировать, что каждый внешний аудитор и внешний технический эксперт проходит проверку безопасности и соблюдает соглашения о конфиденциальности органа по сертификации.

Примечание - Привлечение отдельных аудиторов и технических экспертов по данным соглашениям не является привлечением соисполнителей (аутсорсингом) (см. 7.5).


7.4 Записи о персонале

Орган по сертификации должен поддерживать в актуализированном состоянии текущие записи обо всех работниках, вовлеченных в деятельность по сертификации, включая их квалификацию, обучение, опыт работы, стаж работы в организации, профессиональный статус, компетентность и любые консультационные услуги, которые могут быть ими оказаны.


7.4.1 Проверка благонадежности


Органы по сертификации устанавливают и документируют процесс проверки безопасности кандидатов для их привлечения в качестве аудиторов безопасности.

Органы по аккредитации также должны обеспечить соответствие своих аудиторов этим требованиям.

Процесс проверки благонадежности аудиторов должен быть задокументирован таким образом, чтобы к нему могли получить доступ организации, подающие заявки на сертификацию или аудит безопасности, и, где это применимо, другие заинтересованные организации.

Аудиторы должны быть проверены соответствующими аудиторскими органами. Процесс проверки безопасности должен включать перечисленное в 7.4.2-7.4.7.


7.4.2 Проверка анкетных данных


Орган по сертификации должен проводить проверку криминального прошлого аудиторов и технических экспертов, которые проводят аудит систем менеджмента безопасности цепи поставок. При возможности эти проверки должны быть проведены с привлечением органов национальной безопасности или органов полиции. В тех случаях, когда это невозможно, орган по сертификации должен обеспечить безупречность и адекватность внутреннего процесса проверки путем анализа документации и проведения собеседования по оценке соответствия требованиям безопасности, которые контролирует высшее руководство организации. Процесс проверки должен включать в себя контроль резюме кандидатов в аудиторские службы безопасности, собеседования и проверки документов, таких как паспорт, удостоверение личности, разрешение на работу, водительские права и справки с места работы. Те специалисты, которые проводят собеседования по безопасности с аудиторами, должны быть назначены и проконтролированы с использованием процесса в 7.4.3.


7.4.3 Интервьюирование


Орган по сертификации должен установить схему интервью, следование которой должно контролировать высшее руководство.

Высшее руководство должно назначить ответственное лицо, которое проверено путем собеседования и проверки объективной позиции как заслуживающие доверие и обладающие необходимой компетенцией и суждением для проверки кандидатов-аудиторов и технических экспертов. Ответственное лицо должно оценивать кандидатов посредством анализа документации, представленной кандидатами, а также собеседований и постоянного мониторинга достоверности и соответствующих поведенческих характеристик кандидатов-аудиторов и технических экспертов.


7.4.4 Опыт работы


Каждый кандидат-аудитор должен предоставить свидетельство о непрерывном стаже работы не менее пяти полных лет, которое должно быть проверено у настоящих или предыдущих работодателей. Кандидаты на должность аудиторов, занимающиеся индивидуальной трудовой деятельностью, должны предоставить другую документацию, которая демонстрирует тот же уровень доверия и достоверности, что и записи о трудоустройстве.


7.4.5 Удостоверение личности


Каждому аудитору должно быть выдано удостоверение личности, содержащее следующее:

- фотографию;

- фамилию, имя, отчество;

- национальность;

- номер удостоверяющего документа;

- наименование и логотип сертификационного органа;

- знаки и отличительные черты, предотвращающие внесение изменений и фальсификацию.

По требованию организаций, проходящих аудит, им должны быть предоставлены соглашения о конфиденциальности, подписанные аудиторами.


7.4.6 Записи


Процедура должна включать процесс, который будет реализован органом по сертификации для аудиторов, допустивших нарушения. Процедура должна включать применение дисциплинарной ответственности организации, включая отстранение аудиторов во время проведения расследований. Записи должны храниться в течение периодов, которые органы по сертификации считают целесообразными. Национальные, международные и другие нормативно-законодательные требования должны учитываться при определении сроков хранения записей.


7.4.7 Отчетность аудиторов


Аудиторы должны быть осведомлены и письменно подтвердить то, что нарушения могут повлечь за собой дисциплинарные взыскания, гражданскую и уголовную ответственность.


7.5 Привлечение соисполнителей (аутсорсинг)

7.5.1 Орган по сертификации должен разработать процесс, в котором должны быть установлены условия привлечения сторонних организаций (на условиях субподряда для выполнения части работ по сертификации от имени органа по сертификации). Орган по сертификации должен соответствующим образом документально оформлять юридически значимое соглашение, предусматривающее организацию деятельности, в том числе в отношении соблюдения конфиденциальности и отсутствия конфликта интересов с каждым органом, оказывающим подобного рода аутсорсинговые услуги.

Примечания

1 Данное положение относится также к привлечению сторонних органов по сертификации. Привлечение на договорной основе аудиторов и технических экспертов описано в 7.3.

2 В настоящем стандарте термины "аутсорсинг" и "выполнение работ на условиях субподряда" являются синонимами.

7.5.2 Сторонние организации не имеют права принимать решения о выдаче, подтверждении, обновлении, приостановлении действия сертификата, расширении, сужении области сертификации или отмене сертификата.

7.5.3 Орган по сертификации должен:

a) нести полную ответственность за работу, выполненную привлеченным сторонним органом;

b) взять на себя ответственность за предоставление, поддержание, обновление, продление, сокращение, приостановку или отзыв сертификата;

c) обеспечить соответствие органа, работающего по договору субподряда, и привлеченных им лиц требованиям органа по сертификации и выполнение положений настоящего стандарта, в том числе в отношении компетентности, беспристрастности и конфиденциальности;

d) убедиться в том, что орган, работающий по договору субподряда, и привлеченные им лица не связаны непосредственно или через другого нанимателя с проверяемой организацией таким образом, что это может повлиять на их беспристрастность;

e) получить согласие заказчика на использование данного органа, который предоставляет услуги по условиям аутсорсинга;

f) взять на себя ответственность за обработку жалоб/претензий и апелляций.

7.5.4 Орган по сертификации должен установить документированные процедуры по оценке квалификации и мониторингу всех органов, оказывающих услуги по сертификации на условиях аутсорсинга, и обеспечить, чтобы записи о компетентности аудиторов и технических экспертов поддерживались в рабочем состоянии.


8 Требования к информации


8.1 Информация, находящаяся в открытом доступе

8.1.1 Орган по сертификации должен делать общественно доступной или предоставлять по запросу информацию, описывающую его процессы аудита и сертификации, связанные с выдачей, подтверждением, обновлением, приостановлением сертификата, расширением, сужением области сертификации или отменой сертификата. Орган по сертификации должен делать общественно доступной информацию о работах по сертификации, видах систем менеджмента и географических зонах, в пределах которых данный орган осуществляет свою деятельность.

8.1.2 Информация, предоставляемая органом по сертификации заказчикам или рынку, включая рекламу, должна быть точной и не должна вводить в заблуждение.

8.1.3 Орган по сертификации должен обеспечить свободный доступ к информации о выданных, приостановленных или отмененных сертификатах.

8.1.4 По запросу заинтересованной стороны орган по сертификации должен предоставить свидетельства законности проведенной сертификации.

Примечания

1 Если общий объем информации содержится в нескольких источниках (например, в бумажном или электронном виде), может быть внедрена система обеспечения прослеживаемости и отсутствия двусмысленности между источниками (например, уникальная система нумерации или гиперссылки в Интернет).

2 В исключительных случаях доступ к определенной информации может быть ограничен по просьбе заказчика (например, по соображениям безопасности).


8.2 Сертификационные документы

8.2.1 Орган по сертификации должен выдать сертификационные документы сертифицированному заказчику выбранным им способом (см. примечание 1 к 8.1.4).

8.2.2 Дата вступления в силу сертификационного документа (сертификата) не должна быть более ранней, чем дата принятия решения о сертификации.

8.2.3 В сертификационном документе должно быть определено следующее:

a) наименование и географическое местоположение каждого заказчика, система менеджмента безопасности цепи поставок которого была сертифицирована (или географическое местоположение его главного офиса и производственных площадок, входящих в область сертификации организации со многими производственными площадками);

b) даты выдачи сертификата, расширения области применения или возобновления действия сертификата;

c) срок действия сертификата или дата проведения ресертификации в соответствии с циклом прохождения ресертификации;

d) уникальный идентификационный номер;

e) обозначение стандарта и/или другого нормативного документа, включая номер действующей и/или пересмотренной версии, используемого в ходе аудита сертифицированного заказчика;

f) область сертификации в отношении продукции, деятельности по менеджменту безопасности цепи поставок, включая услуги, процессы и т.д., относящиеся к каждой производственной площадке;

g) наименование, адрес и знак органа по сертификации; другие знаки (например, символ аккредитации) могут быть использованы способом, не вводящим в заблуждение или не допускающим неопределенное толкование.

Примечание - Если орган по сертификации не имеет право сделать это, могут быть использованы другие знаки (например, символ аккредитации). Однако орган по сертификации в качестве органа, выдавшего сертификат, должен обеспечить, чтобы значение знака(ов) не вводило в заблуждение и не было двусмысленным;

h) информация, требуемая стандартом, и/или другим нормативным документом, используемым при сертификации.


8.3 Реестр сертифицированных заказчиков (клиентов)

Орган по сертификации должен поддерживать в рабочем состоянии и предоставлять свободный (или по запросу) доступ к реестру действующих сертификатов с использованием любых средств, которые он выберет. В реестре, как минимум, должны быть приведены наименование, соответствующий нормативный документ, область деятельности и географическое местоположение (например, город или страна) каждого сертифицированного заказчика (или географическое положение его главного офиса и каждой производственной площадки при сертификации организации со многими производственными площадками).

Примечание - Реестр остается в единоличной собственности органа по сертификации.


8.4 Ссылка на сертификат и использование знаков соответствия

8.4.1 Орган по сертификации должен установить политику управления знаками соответствия, разрешенными для использования сертифицированными заказчиками. Кроме того, должна быть обеспечена их прослеживаемость со стороны органа по сертификации. В знаке или содержащемся в нем тексте не должно быть неоднозначности относительно предмета сертификации и органа по сертификации, выдавшего сертификат. Данный знак не следует использовать на продукции или ее упаковке, видимой потребителем, или другим путем, который может интерпретироваться как обозначение соответствия продукции.

Примечание - Требования к использованию знаков соответствия третьей стороны приведены в ИСО/МЭК 17030 [4].

8.4.2 Орган по сертификации не должен допускать использования своих знаков соответствия в отчетах о лабораторных испытаниях, отчетах по калибровке или инспекции, так как в данном случае такие отчеты считаются продукцией.

8.4.3 Орган по сертификации должен требовать, чтобы организация-заказчик:

a) выполняла требования органа по сертификации при ссылках на свой сертифицированный статус в СМИ, таких как Интернет, брошюры, реклама или другие документы;

b) не делала и не допускала вводящих в заблуждение высказываний относительно своего сертификата;

c) не использовала и не допускала использования сертификата или его части каким-либо образом, вводящим в заблуждение;

d) при приостановлении или отмене действия сертификата не ссылалась на него в рекламных целях, как это установлено органом по сертификации (9.6.3 и 9.6.6);

e) вносила коррективы в рекламу при сужении области применения ее сертификата;

f) не допускала, чтобы ссылки на ее сертификат на систему менеджмента использовались таким образом, который позволяет предположить, что орган по сертификации сертифицировал продукцию (включая услугу) или процесс;

g) не предполагала, что действие сертификата распространяется и на деятельность, не охваченную областью сертификации;

h) не использовала свой сертификат таким образом, который может негативно сказаться на репутации органа по сертификации и/или сертифицированной системы и привести к потере доверия общества.

8.4.4 Орган по сертификации должен надлежащим образом осуществлять контроль за правом владения и предпринимать действия в ответ на некорректные ссылки на статус сертификации или вводящее в заблуждение использование сертификационных документов, знаков соответствия или отчетов по результатам аудита.

Примечание - Данные действия могут включать в себя требования по проведению коррекций и корректирующих действий, приостановление, отмену действия сертификата, публикацию информации о нарушении и, при необходимости, предъявление судебного иска.


8.5 Конфиденциальность

8.5.1 Орган по сертификации должен сформулировать политику и условия, отвечающие действующему законодательству, для обеспечения конфиденциальности информации, полученной в ходе его деятельности по сертификации, на всех уровнях своей структуры, включая комитеты (советы) и внешние органы или лиц, действующих от его имени.

8.5.2 Орган по сертификации должен заблаговременно уведомить заказчика о том, какую информацию (как определено в 4.5.1 и 8.3) он предполагает сделать публичной. Другая информация, кроме той, которая раскрыта заказчиком, должна быть рассмотрена как конфиденциальная.

8.5.3 За исключением тех случаев, которые регулируются требованиями настоящего стандарта и информация о конкретном заказчике не должна быть раскрыта третьей стороне без получения письменного согласия заказчика. Если закон требует от органа по сертификации раскрытия конфиденциальной информации третьей стороне, то заказчик должен быть заблаговременно уведомлен о происходящем, если это не предусмотрено законом или не требуется законодательными органами.

8.5.4 Информация о заказчике, полученная из других источников (например, жалобы, информация от надзорных органов), должна быть рассмотрена как конфиденциальная в соответствии с политикой органа по сертификации.

8.5.5 Персонал, включая членов любого комитета (совета), подрядчики, сотрудников внешних органов или лиц, действующих от имени органа по сертификации, должен сохранять конфиденциальность всей информации, полученной или созданной данным органом в ходе его деятельности по сертификации.

8.5.6 Орган по сертификации должен иметь и использовать оборудование и средства, обеспечивающие безопасность хранения конфиденциальной информации (например, документов, записей).

8.5.7 Если конфиденциальная информация предоставляется другим органам (например, органу по аккредитации, группе соглашения в схеме взаимной оценки), то орган по сертификации должен уведомить об этом заказчика.


8.6 Обмен информацией между органом по сертификации и заказчиками

8.6.1 Информация о деятельности по сертификации и требованиях


Орган по сертификации должен обеспечивать, обновлять и снабжать заказчиков:

a) подробным описанием деятельности по сертификации в начальном и последующем периодах, включая подачу заявки, первичный аудит, надзорные аудиты (инспекционный контроль), а также процессы выдачи, подтверждения, приостановления действия сертификата, сужения, расширения области сертификации, отмены действия сертификата и ресертификации;

b) нормативными требованиями к сертификации;

c) информацией о стоимости подачи заявки, а также первичной и последующей сертификации;

d) данными о следующих требованиях органа по сертификации к будущим заказчикам:

1) соответствие требованиям к сертификации,

2) выполнение всех условий, необходимых для проведения аудитов, включая предоставление документации для проверки и доступ ко всем процессам и участкам, записям и персоналу для осуществления первичной сертификации, надзорного аудита (инспекционного контроля) и ресертификации, а также анализа жалоб,

3) обеспечение, при необходимости, присутствия наблюдателей (например, аудиторов по аккредитации или аудиторов-стажеров);

e) документами, в которых описаны права и обязанности сертифицированных заказчиков, включая требования о том, что при коммуникациях любого вида ссылки на свой сертифицированный статус должны быть осуществлены согласно требованиям 8.4;

f) информацией о процедурах рассмотрения жалоб и апелляций.


8.6.2 Информирование об изменениях со стороны органа по сертификации


Орган по сертификации должен своевременно уведомлять сертифицированных заказчиков обо всех изменениях своих требований, предъявляемых к сертификации. Орган по сертификации должен убедиться в том, что каждый сертифицированный заказчик соблюдает новые требования.

Примечание - Для обеспечения выполнения этого пункта могут потребоваться договорные отношения с сертифицированными заказчиками.


8.6.3 Уведомление об изменениях со стороны заказчика


Орган по сертификации должен установить юридически обоснованные требования для обеспечения того, чтобы сертифицированный заказчик незамедлительно информировал орган по сертификации обо всех вопросах, которые могут оказать влияние на способность системы менеджмента безопасности цепи поставок продолжать соответствовать требованиям стандарта, на соответствие которому проводилась сертификация. Данное требование предъявляется также к изменениям, связанным с нижеследующим:

a) юридическим, коммерческим, организационным статусом или формой собственности;

b) структурой организации и управлением (например, с ведущим управленческим персоналом, принимающим решения, или техническим персоналом);

c) контактным адресом и производственными площадками безопасности цепи поставок;

d) важными изменениями в системе менеджмента безопасности цепи поставок.


8.6.4 Информация о системе менеджмента безопасности цепи поставок


Орган по сертификации должен иметь процедуры, обеспечивающие безопасный обмен информацией о функционировании системы менеджмента безопасности цепи поставок заказчиков, между заказчиком и другими сторонами, которым разрешен доступ к информации. Орган по сертификации должен обеспечить своевременное информирование заказчиков и другие стороны о данных процедурах.


9 Требования к процессу


9.1 Общие требования, применимые к аудиту

9.1.1 Программа аудита должна включать аудит, состоящий как минимум из двух этапов первоначального аудита, а также инспекционный аудит и ресертификационный аудит. При определении программы аудита и любых последующих корректировок следует учитывать размер организации заказчика, объем и сложность его системы и процессов, а также продемонстрированный уровень эффективности системы и результаты предыдущих аудитов.

9.1.2 Орган по сертификации должен обеспечить, чтобы программа аудита, основанная на руководстве, приведенном в ИСО 19011, трансформировалась в соответствующие документированные требования для подготовки плана аудита. Для каждого аудита план предоставляет основу для соглашения о проведении аудита и графике действий по аудиту.

9.1.3 Орган по сертификации должен установить процесс отбора и назначения аудиторской группы, включая ее руководителя, принимая во внимание компетентность, необходимую для достижения целей аудита. Этот процесс должен быть основан на требованиях, разработанных и документально оформленных в соответствии с руководящими указаниями, приведенными в ИСО 19011.

9.1.4 Орган по сертификации должен установить официальные правила и/или условия на договорной основе для обеспечения беспристрастного поведения со стороны каждого члена группы. О существующей, прежней или предполагаемой связи с проверяемой организацией каждый член группы должен проинформировать орган по сертификации до принятия назначения аудита (см. также 5.2.9, 5.2.12 и 7.4).

9.1.5 Орган по сертификации должен установить в соответствии с документально оформленными процедурами время проведения аудита для полного и результативного завершения аудита системы менеджмента безопасности цепи поставок заказчика на местах, включенных в область сертификации.

9.1.6 Угрозы безопасности уникальны для каждого действующего предприятия, поэтому все рабочие площадки, включенные в область сертификации/регистрации организации, подлежат аудиту. Организация должна проводить оценку угроз и рисков для каждого объекта и соответствующим образом внедрять управление операциями. Точно так же угрозы безопасности, применимые к непроизводственным предприятиям, например предоставляющим вспомогательные административные услуги, также являются уникальными, но по характеру предпринимаемых действий могут представлять меньший риск для безопасности цепи поставок. Все производственные площадки следует подвергать проверкам органа по сертификации/регистрации, а риски, выявленные непроизводственными площадками, должны оцениваться и проверяться соразмерно этим рискам. Время аудита, установленное органом по сертификации для каждого участка/местоположения, и его обоснование должны базироваться на требованиях, изложенных в приложениях А, В, и в дальнейшем регистрироваться. При определении времени проведения аудита орган по сертификации должен учитывать в том числе следующие аспекты:

a) требования соответствующего стандарта на систему менеджмента безопасности цепи поставок;

b) сложность организации;

c) размер организации;

d) риски;

e) технологические особенности, законодательное регулирование, а также

f) число производственных площадок и предприятия, расположенные разрозненно. Требования к организациям, которые управляют несколькими предприятиями, описаны в приложении В;

g) привлечение соисполнителей (аутсорсинг) для любой деятельности, охватываемой системой менеджмента;

h) результаты предыдущих аудитов;

i) число производственных площадок и вопросы, связанные с проведением на них аудита.

Расчет человеко-дней для аудитов должен быть основан на таблицах аудитодней, приведенных в приложении А. Несмотря на то что приложение А является справочным, маловероятно, что количество человеко-дней аудита системы менеджмента безопасности цепи поставок будет меньше, чем приведено в приложении А.

9.1.7 Таблица аудитодней, приведенная в приложении А, не приемлема, для тех организаций, которые управляют несколькими производственными площадками, даже если их деятельность практически одинакова. Каждый объект, включенный в область сертификации, подлежит аудиту, однако может иметь место сокращение продолжительности аудита на некоторых площадках, где деятельность и система менеджмента безопасности цепи поставок одинаковы, или на непроизводственной площадке, где выполняется административная деятельность, не оказывающая существенного влияния на безопасность цепи поставок. В этих случаях орган по сертификации должен проводить оценку рисков и разрабатывать программу аудита на основе рисков для каждой площадки. Данный процесс должен гарантировать, что орган по сертификации проводит надлежащий аудит системы менеджмента безопасности цепи поставок всей организации, это требование более подробно описано в приложении В.

9.1.8 Если подготовка плана аудита поручается кому-либо, кроме руководителя группы аудита, руководитель группы аудита должен рассмотреть и утвердить план.

9.1.9 Задачи, поставленные перед аудиторской группой, должны быть определены и сообщены организации-заказчику, при этом аудиторская группа должна:

a) оценить и проверить на соответствие требованиям структуру, политику, процессы, процедуры, записи и другие документы организации-заказчика, относящиеся к системе менеджмента безопасности цепи поставок;

b) определить, что они соответствуют всем требованиям, относящимся к предполагаемой области сертификации. Определить, удовлетворяют ли процессы всем требованиям в отношении предполагаемой области сертификации;

c) удостовериться в том, что процессы и процедуры разработаны, внедрены и поддерживаются в рабочем состоянии, с целью обеспечения доверия к системе менеджмента безопасности цепи поставок заказчика;

d) выявить любые несоответствия между политикой, целями и целевыми показателями и результатами для того, чтобы заказчик предпринял необходимые действия для устранения несоответствий.

9.1.10 Орган по сертификации должен своевременно предоставить организации-заказчику данные по запросу, предоставить любую информацию о каждом члене аудиторской группы, для того чтобы заказчик мог своевременно выразить свое несогласие с назначением какого-либо аудитора или технического эксперта, а орган по сертификации имел возможность переформировать группу при наличии для этого объективных причин.

9.1.11 План и дата проведения аудита должны быть сообщены и согласованы с организацией-заказчиком заранее.

9.1.12 Орган по сертификации должен разработать и документировать требования к процессу проведения аудитов на месте в соответствии с руководящими указаниями, приведенными в ИСО 19011.

Примечания

1 Термин "на месте" помимо посещения физического местоположения (например, завода) может включать в себя удаленный доступ к веб-сайту(ам), содержащему(им) информацию, имеющую отношение к аудиту системы менеджмента безопасности цепи поставок.

2 Термин "проверяемая организация", используемый в ИСО 19011, означает организацию, в которой проводят аудит.


9.2 Первичный аудит и сертификация

9.2.1 Подача заявки


Орган по сертификации должен затребовать у полномочного представителя организации, подавшей заявку предоставление необходимой информации, для того чтобы установить:

a) планируемую область сертификации;

b) основные характеристики организации, подавшей заявку, включая ее наименование и физический(е) адрес(а), важнейшие аспекты ее деятельности и процессов, а также соответствующие обязательства, вытекающие из норм законодательства;

c) сведения общего характера, относящиеся к сфере, охватываемой сертификацией, в отношении деятельности организации, подавшей заявку, человеческих и технических ресурсов, функций и отношений в рамках корпорации, при ее наличии;

d) стандарты или другие требования, по которым организация, подавшая заявку, намерена получить сертификат;

e) информацию относительно предоставления консультаций по системе менеджмента.


9.2.2 Анализ заявки


9.2.2.1 До проведения аудита орган по сертификации должен проанализировать поступившую заявку и дополнительную информацию, имеющую отношение к сертификации, для того чтобы удостовериться в том, что:

a) информация об организации, подавшей заявку, и ее системе менеджмента безопасности цепи поставок является достаточной для проведения аудита;

b) требования к сертификации четко определены, задокументированы и предоставлены организации, подавшей заявку;

c) все известные разногласия в понимании требований между органом по сертификации и организацией, подавшей заявку, устранены;

d) орган по сертификации обладает компетентностью и возможностями для осуществления деятельности по сертификации;

e) приняты во внимание предполагаемая область сертификации, место(а) осуществления деятельности организации, подавшей заявку, период времени, необходимый для проведения аудита, и другие аспекты, влияющие на деятельность по сертификации (язык, условия безопасности, угрозы беспристрастности и т.д.);

f) записи об обосновании принятия решения о проведении аудита поддерживаются в рабочем состоянии.

9.2.2.2 На основе данного анализа орган по сертификации должен определить уровень компетентности, необходимый для формирования аудиторской группы и для принятия решения о сертификации (см. 7.2.7).

9.2.2.3 Если орган по сертификации принимает во внимание сертификацию или другие аудиты, уже предоставленные организации-заявителю, он должен собрать достаточную, поддающуюся проверке информацию, для обоснования и регистрации любых корректировок в программе аудита.

9.2.2.4 После проведения рассмотрения заявки орган по сертификации должен уведомить заявителя о том, что он принимает или отклоняет заявку, и сообщить о причинах отклонения заявителю.

9.2.2.5 Перед началом аудита должно быть заключено соглашение (см. 5.1.2) между органом по сертификации и организацией-заявителем, в котором:

a) определен объем работ, который необходимо выполнить, в том числе предполагаемый объем сертификации и детали предприятия;

b) предъявлено требование к организации-заявителю предоставить информацию, необходимую для ее предполагаемой сертификации;

c) установлено требование организации-заявителя о соблюдении положений по сертификации.

9.2.2.6 В ответ на заявку о расширении области уже предоставленной сертификации орган по сертификации должен провести технико-экономическое обоснование и аудиторские мероприятия, необходимые для определения возможности расширения.

9.2.2.7 Аудиторская группа должна быть назначена и сформирована из числа аудиторов (и технических экспертов, при необходимости), которые в совокупности обладают компетентностью, идентифицированной органом по сертификации, как установлено в 9.2.2.2, для сертификации организации, подавшей заявку. Подбор членов группы следует производить на основе требуемого уровня компетентности аудиторов и технических экспертов, определенного в 7.2.5, при этом могут привлекаться как внутренние, так и внешние человеческие ресурсы.

9.2.2.8 Лицо(а), которое(ые) буде(у)т принимать решение о сертификации, должно(ы) назначаться с учетом наличия соответствующей компетентности (см. 7.2.9).

9.2.2.9 Необходимо, чтобы группа обладала опытом работы, который гарантирует, что участники понимают требования, относящиеся к системе, которую они проверяют. Аудиторская группа должна иметь общее понимание и опыт работы в каждом технологическом и производственном секторе, в котором она работает, и должна быть в состоянии определить, соответствует ли конкретная система менеджмента безопасности типовым требованиям стандарта.

9.2.2.10 Вышеуказанное требование регламентирует положение о том, что аудиторская группа, назначенная в каждом конкретном случае органом по сертификации для проведения аудита организации по стандарту системы менеджмента безопасности цепи поставок, должна определить, какие элементы, общие для процессов и процедур, являются существенными для цепи поставок. Аудиторская группа должна обладать необходимой компетенцией, в том числе в области сектора экономики или полномочий регулирующего органа, для определения того, охватывает ли система существенные элементы таким образом, что система соответствует заданным требованиям.

9.2.2.11 В некоторых случаях, особенно когда существуют критические требования и специальные процедуры, базовые знания аудиторской группы могут быть дополнены инструктажем, специальным обучением или присутствием экспертов. Орган по сертификации может дополнительно присоединить технических экспертов к своим группам. Если орган по сертификации действительно использует технических экспертов, системы управленческого контроля должны обеспечивать и поддерживать компетентность экспертов в актуальном состоянии. В документации должны быть включены детали того, каким образом отобраны технические эксперты и обеспечена их компетентность. Орган по сертификации может рассчитывать на помощь извне, например от промышленных предприятий или профессиональных учреждений.

Орган по сертификации должен обеспечить, чтобы технические эксперты были связаны такими же требованиями, что и аудиторы, в отношении конфиденциальности и беспристрастности.


9.2.3 Первичный сертификационный аудит


Первичный сертификационный аудит системы менеджмента следует проводить в два этапа: первый этап и второй этап.

9.2.3.1 Проведение первого этапа аудита

9.2.3.1.1 Первый этап аудита и план первого этапа должны соответствовать 9.1.2 и 9.2.3.1.2.

9.2.3.1.2 Как правило, аудиторская группа должна проводить первый этап аудита системы менеджмента безопасности цепи поставок на территории заказчика. В редких случаях первый этап может быть проведен без посещения предприятия. Решение не посещать предприятие должно быть обоснованным и документированным, и заказчик должен быть проинформирован о том, что это создает риск для второго этапа аудита. Такое обоснование должно быть основано на размере организации, местонахождении, соображениях риска, предыдущих знаниях и т.д.

9.2.3.1.3 Аудит первого этапа должен быть проведен с целью:

a) оценки местоположения заказчика и специфических условий размещения производственных площадок, а также с целью обсуждения с персоналом заказчика готовности к проведению второго этапа аудита;

b) анализа состояния организации заказчика и понимания им требований стандарта, в частности, тех из них, которые относятся к идентификации ключевых видов деятельности или значимых аспектов, процессов, целей, а также к функционированию системы менеджмента безопасности цепи поставок;

c) сбора необходимой информации относительно области применения системы менеджмента, процессов и местоположения заказчика, а также нормативных и законодательных требований и соответствия им (например, правовые аспекты деятельности заказчика, связанные риски и т.д.);

d) анализа распределения ресурсов для проведения второго этапа аудита и согласования с заказчиком деталей его проведения;

e) обеспечения правильной расстановки акцентов при планировании второго этапа аудита на основе достижения четкого понимания системы менеджмента безопасности цепи поставок заказчика и функционирования производственных площадок в контексте возможных значимых аспектов;

f) оценки того, были ли спланированы и проведены внутренние аудиты и анализ со стороны руководства, и того, что уровень внедрения системы менеджмента безопасности цепи поставок является достаточным для признания готовности заказчика к проведению второго этапа аудита.

9.2.3.1.4 Наблюдения, полученные на первом этапе аудита, должны быть задокументированы и сообщены заказчику, включая указание на проблемные области, которые могут быть классифицированы как несоответствия в ходе второго этапа аудита.

9.2.3.1.5 Любая часть системы менеджмента безопасности цепи поставок, подвергнутая аудиту в ходе первого этапа и определенная как полностью внедренная, эффективная и соответствующая требованиям, может не проверяться в ходе второго этапа аудита, однако орган по сертификации должен обеспечить, что части системы менеджмента безопасности цепи поставок, которые уже проверены, продолжали соответствовать сертификационным требованиям. В этом случае отчет по аудиту на втором этапе должен включать эти выводы и четко указывать, что соответствие было установлено в ходе аудита на первом этапе.

9.2.3.1.6 При установлении промежутка времени между проведением первого и второго этапов аудита должны быть рассмотрены потребности заказчика, связанные с устранением проблемных областей, выявленных в ходе первого этапа аудита. Органу по сертификации также может потребоваться время на корректировку мероприятий по подготовке ко второму этапу аудита. Орган по сертификации, возможно, также должен пересмотреть свои процедуры для второго этапа.

9.2.3.2 Проведение второго этапа аудита

9.2.3.2.1 На втором этапе аудита должен быть представлен план аудита (см. 9.1.2), который должен соответствовать ИСО 19011, преобразованным в документированные требования, и учитывать информацию, полученную в ходе первого этапа аудита.

9.2.3.2.2 Второй этап аудита следует проводить исключительно на территории предприятия заказчика. Целью проведения второго этапа аудита является оценка внедрения, включая результативность, системы менеджмента безопасности цепи поставок заказчика.

9.2.3.2.3 Группа аудита должна проводить второй этап аудита для сбора объективных свидетельств того, что система менеджмента безопасности цепи поставок соответствует стандарту или другим сертификационным требованиям.

9.2.3.2.4 Группа аудита должна проводить аудит достаточного количества примеров деятельности организации заказчика в отношении системы менеджмента безопасности цепи поставок, для того чтобы получить надежную оценку внедрения системы, в том числе результативности системы менеджмента безопасности цепи поставок.

9.2.3.2.5 В рамках аудита группа по аудиту должна проводить собеседование с достаточным количеством персонала, включая высшее руководство и оперативный персонал проверяемого объекта, чтобы подтвердить внедрение и понимание системы во всей организации-заказчика.

9.2.3.2.6 Аудиторская группа должна проанализировать всю информацию и свидетельства аудита, собранные в ходе первого и второго этапов аудита, для определения степени выполнения всех требований сертификации и принятия решения о любом несоответствии. Аудиторская группа может предлагать возможности для улучшения, но не должна рекомендовать конкретные решения.

9.2.3.2.7 Второй этап аудита должен охватывать проверку системы менеджмента безопасности цепи поставок организации, которая предусматривает, как минимум, следующее:

a) проверку информации и свидетельств соответствия всем требованиям применяемого стандарта на систему менеджмента или другого нормативного документа;

b) мониторинг, измерение, регистрацию и анализ функционирования по ключевым показателям целей и задач, согласующихся с ожиданиями в применяемом стандарте на систему менеджмента или другом нормативном документе;

c) соответствие системы менеджмента безопасности цепи поставок и деятельности заказчика действующему законодательству;

d) управление заказчиком своими процессами;

e) проведение внутренних аудитов и анализа со стороны руководства;

f) ответственность руководства за политику организации;

g) взаимосвязь между нормативными требованиями, политикой, целями функционирования и задачами (с точки зрения их соответствия ожиданиям применяемого стандарта на систему менеджмента или другого нормативного документа), всеми применимыми требованиями законодательства, ответственностью, компетентностью персонала, операциями, процедурами, показателями функционирования, с одной стороны, и результатами внутренних аудитов и заключениями по ним, с другой.

9.2.3.2.8 Действия, которые должны быть предприняты после завершения второго этапа аудита, должны включать, как минимум, следующее:

a) записи о выявленных и согласованных несоответствиях должны быть вручены заказчику до отъезда с места аудита;

b) составление отчета по аудиту, указанного в 9.2.4.

9.2.3.2.9 Выявленное несоответствие должно определяться как отсутствие или неспособность внедрить и поддерживать одно или несколько требований предъявляемых к системе менеджмента безопасности цепи поставок, или как возможность на основании имеющихся объективных данных поставить под сомнение безопасность деятельности, осуществляемой организацией.

Орган по сертификации/регистрации может определять различные степени несоответствия и потенциалов для улучшения (например, серьезные и незначительные несоответствия, наблюдения и т.д.).


9.2.4 Отчетность по первому этапу сертификационного аудита


9.2.4.1 Орган по сертификации должен иметь документированные процедуры отчетности.

9.2.4.2 Первый этап аудита должен включать комментарии по адекватности документации системы менеджмента безопасности цепи поставок, анализ результатов деятельности значимых аспектов и уровень внедрения системы менеджмента безопасности цепи поставок, с указанием готовности ко второму этапу аудита. Отчет по первому этапу аудита должен соответствовать требованиям 9.2.3.1.3.

9.2.4.3 Отчет о проведении второго этапа аудита должен быть основан на руководстве, представленном в ИСО 19011, преобразованном в соответствующие документально оформленные требования.

9.2.4.4 Отчет по аудиту должен, по крайней мере, включать или ссылаться на следующее:

a) идентификацию заказчика аудита;

b) идентификацию представителей проверяемой организации;

c) идентификацию органа по сертификации;

d) определение руководителя и членов аудиторской группы;

e) цели аудита;

f) объем аудита, в частности определение проверенных организационных и функциональных подразделений или процессов, охватываемый период времени и оцениваемые элементы цепи поставок;

g) критерии аудита;

h) ссылку на используемые стандарты безопасности цепи поставок и/или другие нормативные и справочные документы;

i) даты и места проведения аудиторской деятельности на месте и дату предыдущего аудита;

j) результаты аудита:

1) краткое изложение наиболее важных замечаний, как положительных, так и отрицательных, относительно внедрения и результативности системы менеджмента безопасности цепи поставок,

2) обзор и краткое изложение наиболее конструктивной/полезной информации, как положительной, так и отрицательной, относительно реализации и эффективности методологии оценки рисков,

3) несоответствия, выявленные в ходе аудита в отношении конкретных требований стандарта,

4) отчет об устранении каждого выявленного ранее несоответствия,

k) заключения по результатам аудита,

1) степень взаимосвязи между методологией оценки риска и системой менеджмента безопасности цепи поставок,

2) рекомендации группы аудиторов относительно статуса сертификации.

9.2.4.5 Как минимум, документированные процедуры должны гарантировать, что после второго этапа аудита в течение взаимосогласованного периода времени проверяемой организации предоставляется письменный отчет по аудиту, включая положительные и отрицательные результаты аудита. Отчет по аудиту должен отражать результативность системы менеджмента безопасности цепи поставок (в частности, ссылки на результативность процесса внутреннего аудита и выполнение обязательств, изложенных в политике) со всеми требованиями стандарта, включая выявление любых несоответствий.

9.2.4.6 Право собственности на отчет по аудиту должно быть подтверждено органом по сертификации. Если содержание отчетов включает в себя конфиденциальные данные, тогда хранение отчета может быть передано организации, но право собственности и право вносить изменения в отчеты остается за органом по сертификации.


9.2.5 Выполнение последующих действий


9.2.5.1 Орган по сертификации должен требовать от заказчика проведения в установленные сроки анализа причин и определения того, какие именно коррекции и корректирующие действия предприняты или запланированы для устранения выявленных несоответствий.

9.2.5.2 Проверяемая организация должна быть уведомлена о том, какой дополнительный полный или сокращенный аудит, документально оформленные свидетельства, подлежащие проверке в ходе будущего надзорного аудита/инспекционного контроля, могут потребоваться для подтверждения результативности коррекций и корректирующих действий. Это решение будет основано на типах и количестве выявленных несоответствий.

9.2.5.3 Орган по сертификации должен проанализировать предложенные заказчиком коррекции и корректирующие действия для определения их приемлемости и, если они уже выполнены, результативности.


9.2.6 Первоначальное сертификационное решение о предоставлении или продлении сертификации


9.2.6.1 Информация, предоставляемая группой аудиторов органу по сертификации для принятия решения о сертификации, должна включать, как минимум:

a) отчеты (см. 9.2.4);

b) комментарии о несоответствиях, а также коррекциях и корректирующих действиях, предпринятых проверяемой организацией;

c) подтверждение информации, предоставленной органу по сертификации, которая использовалась при рассмотрении заявки (см. 9.2.2);

d) рекомендацию о том, предоставлять или не предоставлять сертификат наряду с определенными условиями или наблюдениями.

9.2.6.2 Орган по сертификации должен принять решение о сертификации на основе оценки результатов аудита и другой соответствующей информации (например, публичной информации, комментариев к отчету аудитора от заказчика).

9.2.6.3 Орган по сертификации должен обеспечить, чтобы лицо(а) или комитеты, которые принимают участие в решениях по сертификации, не входили в число тех, кто проводил аудит.

9.2.6.4 Орган по сертификации должен до принятия решения подтвердить, что:

a) информация, предоставленная аудиторской группой, является достаточной относительно требований сертификации и в области сертификации;

b) орган по сертификации рассмотрел и принял как удовлетворительное выполнение коррекций и корректирующих действий, включая действия по устранению и предотвращению причины повторения, для всех несоответствий, которые обозначают либо отсутствие, либо неспособность внедрить и поддерживать выполнение одного или нескольких требований системы менеджмента безопасности цепи поставок;

d*) существует вероятность того, что организация-заказчик не сможет последовательно выполнять требования и обеспечивать эффективность системы менеджмента безопасности цепи поставок;

e) для других несоответствий, организацией были приняты запланированные шаги по коррекции и корректирующим действиям, включая действия по предотвращению повторения.


9.3 Деятельность по инспекционному контролю

9.3.1 Общие положения


9.3.1.1 Орган по сертификации должен осуществлять деятельность по надзору таким образом, чтобы области и функции деятельности организации-заказчика, входящие в область сертификации, регулярно контролировались и учитывались изменения в деятельности заказчика и в системе менеджмента безопасности цепи поставок.

9.3.1.2 Деятельность по осуществлению надзорного аудита (инспекционного контроля) должна включать в себя проведение аудита на месте с целью оценки соответствия сертифицированной системы менеджмента безопасности цепи поставок заказчика определенным требованиям стандарта, на соответствие которому выдан сертификат.

Другие действия по проведению надзорного аудита (инспекционного контроля):

a) запросы органа по сертификации сертифицированному заказчику по аспектам сертификации;

b) анализ заявлений заказчика, касающихся его деятельности (например, рекламных материалов, веб-сайта);

c) запросы заказчику по предоставлению документов и записей (на бумаге или электронных носителях);

d) другие способы мониторинга деятельности сертифицированного заказчика.

9.3.1.3 Орган по сертификации должен иметь установленную программу для проведения периодических надзорных аудитов (инспекционных аудитов) с достаточно близкими интервалами для подтверждения выполнения сертифицированной системой менеджмента безопасности цепи поставок всех требований сертификации и ее эффективности.

9.3.1.4 Дата первого надзорного аудита, следующего за первоначальной сертификацией, должна быть запланирована с конца второго этапа первоначального аудита (например, с даты заключительного совещания).


9.3.2 Надзорный аудит


9.3.2.1 Надзорный аудит (инспекционный контроль) - это аудит, проводимый на месте. Он не обязательно подразумевает полный аудит системы и должен планироваться вместе с другими мероприятиями по надзору таким образом, чтобы позволить органу по сертификации удостовериться в том, что сертифицированная система менеджмента безопасности цепи поставок соответствует требованиям в периоды между ресертификационными аудитами. Программа надзорного аудита (инспекционного контроля) должна предусматривать, по крайней мере, следующее:

a) внутренние аудиты и анализ со стороны руководства;

b) анализ действий, предпринятых в отношении несоответствий, выявленных в ходе предыдущего аудита;

c) обращение с жалобами;

d) результативность системы менеджмента безопасности цепи поставок в части достижения целей, установленных сертифицированным заказчиком;

e) прогресс в реализации запланированных мероприятий, нацеленных на постоянное улучшение;

f) непрерывное управление операциями;

g) анализ изменений;

h) использование знаков соответствия и/или других ссылок на сертификацию.

9.3.2.2 Надзорный аудит (инспекционный контроль) следует проводить по крайней мере один раз в год.

9.3.2.3 Для проведения надзорного аудита (инспекционного контроля) должен быть составлен план аудита (см. 9.1.2).

9.3.2.4 Продолжительность надзорного аудита (инспекционного контроля) основана на руководстве, представленном в приложении А, и на решениях органа по сертификации, базирующихся на следующей информации:

a) категория риска в процессах и элементах цепи поставок;

b) количество элементов цепи поставок, предприятий (площадок), процессов и продукции;

c) количество сотрудников, имеющих отношение к цепи поставок;

d) размер случайной выборки;

e) количество выявленных несоответствий в ходе прошлого аудита;

f) изменения в организации, продукции и процессах.


9.3.3 Отчет по надзорному аудиту (инспекционному контролю)


9.3.3.1 Отчет по надзорному аудиту (инспекционному контролю) должен включать:

a) требования стандарта системы менеджмента безопасности цепи поставок, на соответствие которым проводился аудит;

b) комментарии о выполнении сертификационных требований, включая результативность;

c) верификацию результативности предпринятых корректирующих действий по всем выявленным несоответствиям в ходе аудита;

d) новые несоответствия.

Данный отчет должен быть основан на ИСО 19011, изложенном в виде документально оформленных требований органа по сертификации.

9.3.3.2 Этот отчет должен быть предоставлен сертифицированному заказчику и органу по сертификации.

9.3.3.3 Если при проведении надзорного аудита (инспекционного контроля) выявляют случаи несоответствия или отсутствия доказательств соответствия, орган по сертификации должен определить сроки выполнения коррекций и корректирующих действий.

Примечание - Рекомендуется, чтобы ограничения по времени основывались на значимости несоответствия и его влиянии на цепь поставок.

9.3.3.4 Проверяемая организация должна быть уведомлена о том, в каком объеме аудит и документированные свидетельства, подлежащие проверке в ходе будущего надзорного аудита (инспекционного контроля), могут потребоваться для подтверждения результативности коррекций и корректирующих действий. Это решение будет основано на типах и количестве выявленных несоответствий.


9.3.4 Подтверждение сертификации


Орган по сертификации должен подтверждать сертификацию, руководствуясь объективной информацией относительно того, что заказчик выполняет требования стандарта на систему менеджмента безопасности цепи поставок. Кроме того, орган по сертификации может подтверждать сертификацию заказчика на основе положительного заключения руководителя аудиторской группы, без проведения последующего независимого анализа при условии, что:

a) в органе по сертификации действует система, благодаря которой при выявлении любого несоответствия или другой подобной ситуации, в перспективе, ведущей к приостановлению или отмене сертификации, руководитель аудиторской группы сообщает органу по сертификации о необходимости проведения анализа этого факта персоналом, имеющим соответствующий уровень компетентности (7.2.9) и не принимавшим участие в аудите с целью определения возможности подтверждения сертификации;

b) критерии для устранения несоответствий и принятия последующих корректирующих действий известны руководителю группы аудита;

c) компетентный персонал органа по сертификации осуществляет мониторинг деятельности по надзорному аудиту (инспекционному контролю), включая мониторинг отчетности аудиторов, с целью подтверждения того, что деятельность по сертификации осуществляется результативно.


9.4 Ресертификация

9.4.1 Цикл ресертификации


Интервал между первоначальным сертификационным аудитом и повторным сертификационным аудитом или между двумя повторными сертификационными аудитами не должен превышать три года.


9.4.2 Планирование ресертификационного аудита


9.4.2.1 Ресертификационный аудит должен быть спланирован и проведен для оценки постоянного выполнения всех требований соответствующего нормативного документа. Целью ресертификационного аудита является подтверждение постоянства соответствия и результативности системы менеджмента в целом, а также ее приемлемости в рамках области сертификации.

9.4.2.2 При ресертификационном аудите следует рассматривать функционирование системы менеджмента в течение периода действия сертификата, включая анализ отчетов о предыдущих надзорных аудитах (инспекционных контролях) (9.3.3).

9.4.2.3 В ходе ресертификационного аудита может потребоваться проведение первого этапа аудита в тех случаях, если произошли значительные изменения в системе менеджмента безопасности цепи поставок у заказчика или в условиях функционирования системы менеджмента (например, изменения в законодательстве).

9.4.2.4 При большом числе производственных площадок в системе менеджмента безопасности цепи поставок, а также при планировании аудита орган по сертификации должен гарантировать адекватность выбранных для аудита производственных площадок в отношении обеспечения доверия к сертификации.

9.4.2.5 Должны быть приняты во внимание результаты последних надзорных аудитов (инспекционного контроля) и внутренних аудитов сертифицированного заказчика. План аудита должен быть основан на руководстве в ИСО 19011 и документально оформлен.

9.4.2.6 Продолжительность ресертификационного аудита основана на руководстве, изложенном в приложении А.


9.4.3 Ресертификационный аудит


Ресертификационный аудит системы менеджмента безопасности цепи поставок должен обязательно включать в себя аудит на месте [который может заменить или расширить надзорный аудит (инспекционный контроль)]. Ресертификационный аудит системы менеджмента безопасности цепи поставок должен включать в себя аудит, в ходе которого анализируют следующее:

a) результативность взаимодействия между процессами системы менеджмента безопасности цепи поставок;

b) результативность системы менеджмента безопасности цепи поставок в целом, с учетом внутренних и внешних изменений, а также постоянство ее соответствия и применимости в области сертификации;

c) демонстрация выполнения обязательства по поддержанию результативности и совершенствованию системы менеджмента безопасности цепи поставок с целью улучшения деятельности организации-заказчика в целом;

d) способствует ли функционирование сертифицированной системы менеджмента безопасности цепи поставок реализации принятой политики и достижению целей организации.


9.4.4 Отчет по ресертификационному аудиту


9.4.4.1 В отчете по ресертификационному аудиту группой аудиторов сертифицированному заказчику и органу по сертификации должны быть указаны следующие замечания:

a) проверка системы менеджмента безопасности цепей поставок, включая анализ рисков;

b) выполнение требований сертификации;

c) проведение анализа и проверки постоянного эффективного выполнения корректирующих действий для каждого несоответствия, выявленного в ходе предыдущего аудита, а также

d) эффективность системы менеджмента безопасности цепи поставок проверяемой организации.

Этот отчет должен быть основан на руководстве, приведенном в ИСО 19011, в котором будут отражены соответствующие документально оформленные требования.

9.4.4.2 Если во время повторной сертификации обнаружены случаи несоответствия или отсутствия доказательств соответствия, орган по сертификации должен определить сроки выполнения коррекций и корректирующих действий проверяемой организацией.

Примечание - Рекомендуется, чтобы временные рамки основывались на значимости несоответствия и его воздействии на цепь поставок и не были такими длительными, чтобы поставить под сомнение достоверность сертификации.

9.4.4.3 Проверяемая организация должна быть уведомлена о том, в каком объеме аудит (дополнительный полный или сокращенный) и документально оформленные свидетельства, подлежащие проверке в ходе будущего надзорного аудита (инспекционного контроля), могут потребоваться для подтверждения результативности коррекций и корректирующих действий.


9.4.5 Принятие решения о сертификации


9.4.5.1 Орган по сертификации должен обеспечить, чтобы лица или комитеты, инициирующие процедуру повторной сертификации, не принимали участие в аудите.

9.4.5.2 Орган по сертификации должен принимать решения о возобновлении сертификации на основе результатов повторной сертификации, а также итогов проверки системы за период сертификации и жалоб/претензий, полученных от потребителей сертифицированного заказчика.

9.4.5.3 Орган по сертификации должен до принятия решения подтвердить, что:

a) информация, предоставленная аудиторской группой, достаточна в отношении требований сертификации и области сертификации;

b) орган по сертификации рассмотрел и принял как удовлетворительное выполнение коррекций и корректирующих действий, включая действия по устранению и предотвращению причины повторения, для всех несоответствий, которые обозначают либо:

1) отсутствие или неспособность внедрить и поддерживать выполнение одного или нескольких требований системы менеджмента безопасности цепи поставок,

2) вероятность того, что организация-заказчик не способна последовательно выполнять требования и обеспечивать эффективность системы менеджмента безопасности цепи поставок;

c) для других несоответствий организация-заказчик приняла запланированные действия по коррекции и корректирующим действиям, включая действия по предотвращению повторения.


9.5 Специальные аудиты

Органу по сертификации может потребоваться провести внеплановый аудит сертифицированных заказчиков в кратчайшие сроки для расследования жалоб/претензий (см. 9.8) или реагирование на изменения (см. 8.6.3). В подобных случаях:

a) орган по сертификации должен заранее изложить и сообщить сертифицированным заказчикам (например, в документах, как описано в 8.6.1) те условия, при которых должны быть проведены эти посещения в короткие сроки;

b) орган по сертификации должен проявлять дополнительную осторожность при назначении аудиторской группы ввиду отсутствия у организации возможности возражать против кандидатур членов аудиторской группы.


9.6 Приостановление, отмена действия сертификата или сужение области сертификации

9.6.1 Орган по сертификации должен установить политику и документированные процедуры по приостановлению, отмене действия сертификата или сужению области сертификации, а также указать на последующие за этим действия органа по сертификации.

9.6.2 Орган по сертификации должен приостановить действие сертификата, если, например:

а) сертифицированная система менеджмента безопасности цепи поставок заказника* постоянно или в значительной мере не может выполнить требования, предъявляемые к результативности системы менеджмента безопасности цепи поставок;

b) сертифицированный заказчик не позволяет проводить надзорные аудиты (инспекционный контроль) или ресертификационные аудиты с требуемой периодичностью;

с) сертифицированный заказчик добровольно сделал запрос о приостановлении действия сертификата.

9.6.3 После приостановления сертификат на систему менеджмента безопасности цепи поставок заказчика становится временно недействительным. Орган по сертификации должен иметь юридически значимое соглашение с заказчиком, позволяющее гарантировать, что в случае приостановления действия сертификата заказчик воздержится от дальнейших рекламных действий, ссылающихся на наличие сертификата. Орган по сертификации должен сделать общественно доступной информацию относительно статуса приостановленного сертификата (см. 8.1.3) и принять другие меры, которые он сочтет нужными.

9.6.4 Следствием неспособности заказчика разрешить проблемы, которые привели к приостановлению действия сертификата, выданного органом по сертификации, должны быть отмена действия сертификата или сужение области сертификации.

Примечание - В большинстве случаев период приостановления действия сертификата должен быть не более 6 мес.

9.6.5 Орган по сертификации должен сузить область сертификации заказчика, для того чтобы исключить области, не удовлетворяющие установленным требованиям, если заказчик постоянно или в значительной степени не может выполнить сертификационные требования применительно к этим областям. Любое сужение области сертификации должно быть осуществлено в соответствии с требованиями стандарта, используемого при сертификации.

9.6.6 Орган по сертификации должен иметь юридически значимое соглашение с сертифицированным заказчиком относительно условий отмены действия сертификата [см. 8.4.3 а)], гарантирующее, что после получения уведомления об отмене действия сертификата заказчик прекратил использовать в рекламных целях ссылку на свой сертифицированный статус.

9.6.7 По запросу любой стороны орган по сертификации должен предоставлять точные сведения относительно статуса сертификации системы менеджмента безопасности цепи поставок заказчика: приостановлено, отменено действие сертификата или сужена область сертификации.


9.7 Апелляции

9.7.1 Орган по сертификации должен иметь документированный процесс получения, оценки и принятия решений, связанных с апелляциями.

9.7.2 Описание процесса рассмотрения апелляций должно быть общественно доступным.

9.7.3 Орган по сертификации должен нести ответственность за все решения, принятые на всех уровнях, задействованных в процессе рассмотрения апелляций. Орган по сертификации должен обеспечивать, чтобы лица, вовлеченные в процесс рассмотрения апелляций, не участвовали в соответствующих аудитах и не принимали решения по сертификации.

9.7.4 Деятельность по подаче, исследованию и принятию решений, связанных с апелляциями, не должна носить дискриминационный характер по отношению к предъявителю апелляции.

9.7.5 Процесс рассмотрения апелляций должен включать в себя, по крайней мере, следующие элементы и методы:

a) схема процесса получения, признания обоснованности и исследования апелляции, а также принятия решения о том, какие ответные действия должны быть предприняты с учетом результатов предыдущих апелляций подобного рода;

b) сопровождение и запись действий, предпринимаемых для решения по апелляциям;

c) предоставление гарантий относительно того, что соответствующие коррекции и корректирующие действия были выполнены.

9.7.6 Орган по сертификации должен подтвердить получение апелляции, предоставить ее предъявителю отчеты о ходе ее рассмотрения и сообщить о результатах ее рассмотрения.

9.7.7 Решение, которое должно быть сообщено предъявителю апелляции, должно быть принято, или проанализировано и подтверждено лицами, ранее не имевшими отношения к предмету апелляции.

9.7.8 Орган по сертификации должен официально уведомить предъявителя апелляции об окончании процесса рассмотрения апелляции.


9.8 Жалобы

Заказчики и потребители сертификации (см. 4.1.2 и 4.7) вправе рассчитывать на то, что жалоба/претензия будет рассмотрена детально и, если она будет признана обоснованной, надлежащим образом и что будут предприняты разумные усилия для решения этой проблемы.

Примечание - Эффективное разрешение жалоб/претензий является важным средством защиты органа по сертификации, его заказчиков, органов, уполномочивающих органы по сертификации, и других пользователей сертификации от ошибок, упущений или необоснованных действий. Доверие к сертификационной деятельности гарантируется, когда жалоба/претензия обработаны надлежащим образом.

9.8.1 Описание процесса рассмотрения жалоб должно быть общественно доступным.

9.8.2 При получении жалобы орган по сертификации должен убедиться в том, что поступившая жалоба относится к деятельности по сертификации, за которую данный орган несет ответственность, и, при подтверждении этого рассмотреть. Если жалоба имеет отношение к сертифицированному заказчику, то при ее исследовании основное внимание должно быть уделено результативности сертифицированной системы менеджмента безопасности цепи поставок.

9.8.3 Орган по сертификации должен в установленный срок передать сертифицированному заказчику поступившую в его адрес жалобу.

9.8.4 Орган по сертификации должен документировать процесс получения, оценки и принятия решений, связанных с жалобами. К данному процессу следует применять требования конфиденциальности в части, относящейся к предъявителю жалобы и ее предмету.

9.8.5 Процесс рассмотрения жалоб должен включать в себя, по крайней мере, следующие элементы и методы:

а) схему процесса получения, признания обоснованности, расследования жалобы, а также принятия решения о том, какие ответные действия должны быть предприняты;

b) сопровождение и регистрация жалоб, включая действия, предпринимаемые для их удовлетворения;

c) предоставление гарантии того, что соответствующие коррекции и корректирующие действия выполнены.

Примечание - Руководство по управлению жалобами приведено в ИСО 10002 [1].

9.8.6 При получении жалобы орган по сертификации должен нести ответственность за сбор и проверку всей информации, необходимой для оценки обоснованности жалобы.

9.8.7 Орган по сертификации должен подтвердить, при возможности, получение жалобы, предоставить ее предъявителю отчеты о ходе ее рассмотрения и сообщить о результатах рассмотрения.

9.8.8 Решение, которое должно быть сообщено предъявителю жалобы, должно быть принято или проанализировано и подтверждено лицами, не имевшими отношения к предмету жалобы.

9.8.9 Орган по сертификации должен официально уведомить при возможности предъявителя жалобы об окончании процесса ее рассмотрения.

9.8.10 Орган по сертификации, совместно с заказчиком и предъявителем жалобы, должен определить необходимость (если да, то в какой степени) разглашения предмета жалобы и сделанного по ней заключения.


9.9 Записи о сертифицированных заказчиках

9.9.1 Орган по сертификации должен поддерживать в рабочем состоянии записи об аудите и другой деятельности по всем заказчикам, включая все организации, подавшие заявки, прошедшие аудит, сертифицированные, а также организации, действие сертификатов которых приостановлено или отменено.

9.9.2 Записи о сертифицированных заказчиках должны включать:

а) информацию о заявке и отчеты о первичном, надзорном (инспекционном контроле) и ресертификационном аудите;

b) договор на сертификацию;

c) обоснование методологии, используемой для выборки;

d) обоснование трудоемкости аудита (9.1.5);

e) результаты верификации коррекций и корректирующих действий;

f) записи о жалобах и апелляциях, а также последующих коррекциях и корректирующих действиях;

g) протоколы и решения комитета (совета), если применимо;

h) документацию по принятию решений о сертификации;

i) сертификационные документы, содержащие область сертификации в отношении продукции, процесса или услуги, в зависимости от конкретных обстоятельств;

j) связанные записи, необходимые для обеспечения доверия к сертификации, такие как свидетельства компетентности аудиторов и технических экспертов.

Примечание - Методология выборочного исследования включает определение выборки, используемой для оценки конкретной системы менеджмента, и/или выбора производственных площадок при оценке организации со многими производственными площадками.

9.9.3 Орган по сертификации должен обеспечить защиту записей о заявителях и заказчиках, гарантируя при этом соблюдение конфиденциальности информации. Транспортирование, пересылка или передача записей должны быть осуществлены способом, позволяющим сохранить их конфиденциальность (см. 10.2.3).

9.9.4 Орган по сертификации должен иметь документированную политику и документированные процедуры хранения записей. Записи должны сохраняться на протяжении текущего цикла сертификации и следующего полного цикла.

Примечание - В некоторых странах законодательством установлен более длительный срок хранения записей.


10 Требования к системе менеджмента органов по сертификации

Орган по сертификации должен разработать и поддерживать в рабочем состоянии систему менеджмента, способную обеспечивать и демонстрировать последовательное выполнение требований настоящего стандарта, а также разрабатывать и внедрять свою систему менеджмента в соответствии с требованиями, содержащимися в 10.1 или 10.2.


10.1 Вариант 1. Требования к системе менеджмента в соответствии с ИСО 9001

10.1.1 Общие положения


Орган по сертификации должен разработать и поддерживать в рабочем состоянии систему менеджмента, соответствующую требованиям ИСО 9001, способную обеспечивать и демонстрировать постоянное выполнение требований, изложенных в 10.2.2-10.2.5.


10.1.2 Область применения

Для обеспечения выполнения требований ИСО 9001 [2] область применения системы менеджмента органа по сертификации должна включать в себя требования, предъявляемые к проектированию и разработке услуг по сертификации.


10.1.3 Ориентация на потребителя


Для того чтобы система менеджмента соответствовала требованиям ИСО 9001 [2], орган по сертификации должен обеспечить доверие к процессу сертификации, учитывать потребности всех заинтересованных сторон (см. 4.1.2), которые доверяют аудиту и сертификации, включая своих заказчиков.


10.1.4 Анализ со стороны руководства


Для того чтобы система менеджмента соответствовала требованиям ИСО 9001 [2], орган по сертификации должен использовать информацию об апелляциях и жалобах пользователей услуг по сертификации как входные данные анализа со стороны руководства.


10.1.5 Проектирование и разработка


При разработке новой или адаптации к изменившимся обстоятельствам существующей схемы сертификации систем менеджмента, для того чтобы система соответствовала требованиям ИСО 9001 [2], орган по сертификации должен обеспечить включение руководящих указаний, приведенных в ИСО 19011, относящихся к аудиту третьей стороны в качестве входных данных для разработки схемы сертификации систем менеджмента.


10.2 Вариант 2. Общие требования к системе менеджмента

Орган по сертификации должен разрабатывать, документировать, внедрять и поддерживать в рабочем состоянии систему менеджмента, способную обеспечивать и демонстрировать устойчивое выполнение требований настоящего стандарта.

Высшее руководство органа по сертификации должно устанавливать и документировать политику и цели деятельности органа, а также обеспечивать наличие свидетельств своей приверженности разработке и внедрению системы менеджмента в соответствии с требованиями настоящего стандарта. Кроме того, высшее руководство должно обеспечить, чтобы политика была понятной и применяемой внутри организации, и поддерживаться в рабочем состоянии на всех уровнях органа по сертификации.

Высшее руководство органа по сертификации должно назначить представителя из состава руководства, который независимо от других обязанностей должен нести ответственность и иметь полномочия, распространяющиеся на нижеследующее:

a) обеспечение разработки, внедрения и поддерживания в рабочем состоянии процессов и процедур, требуемых системой менеджмента;

b) представление отчетов высшему руководству о функционировании системы менеджмента и необходимости ее улучшения.


10.2.1 Руководство по системе менеджмента


Все применимые требования настоящего стандарта должны быть представлены либо в руководстве по системе менеджмента, либо в связанных с ним документах. Орган по сертификации должен обеспечивать доступность руководства по системе менеджмента и связанных с ним документов для соответствующего персонала.


10.2.2 Управление документами


Орган по сертификации должен разработать процедуры для управления документами внутреннего и внешнего происхождения, относящимися к соблюдению требований настоящего стандарта. Данные процедуры должны предусматривать использование средств управления, необходимых для нижеследующего:

a) проверки документов на адекватность до момента их выпуска;

b) анализа и актуализации документов по мере необходимости и их повторного утверждения;

c) обеспечения идентификации изменений и статуса пересмотра документов;

d) обеспечения наличия действующих версий документов в местах их применения;

e) обеспечения сохранения документов четкими и легко идентифицируемыми;

f) обеспечения идентификации документов внешнего происхождения и управления их рассылкой;

g) предотвращения непреднамеренного использования устаревших документов и применения соответствующей идентификации таких документов, хранящихся в определенных целях.

10.2.3 Поддержание и уничтожение документов конфиденциального характера


Орган по сертификации должен установить и внедрить процедуры для обеспечения того, чтобы документы и записи заказчиков конфиденциального характера в отношении безопасности, а также информация и данные, полученные по итогам проведенных аудитов, такие как замечания аудиторов, всегда сохранялись в безопасности, архивировались и впоследствии уничтожались с должным учетом классификации безопасности.

Документы, данные и записи, имеющие отношение к безопасности, должны быть предоставлены исключительно персоналу органа по сертификации и другим лицам, не относящимся к органу по сертификации, при условии, что они должны знать, на кого распространяется соответствующий уровень допуска.

Примечание - Документация может быть представлена в любой форме или на любом носителе.


10.2.4 Управление записями


Орган по сертификации должен разработать процедуры по определению средств управления записями, требуемых при идентификации, хранении, защите, восстановлении, определении сроков хранения и изъятия для выполнения требований настоящего стандарта.

Орган по сертификации должен разработать процедуры для обеспечения сохранности записей в течение периода времени, установленного в договорах и законодательных актах. Доступ к этим записям должен соответствовать условиям конфиденциальности.

Примечание - Требования к записям о сертифицированных заказчиках приведены также в 9.9.


10.2.5 Анализ со стороны руководства


Высшее руководство органа по сертификации должно установить процедуры по проведению анализа системы менеджмента органа по сертификации через запланированные промежутки времени с целью обеспечения ее пригодности, адекватности и результативности, включая политику и цели, связанные с выполнением требований настоящего стандарта. Такой анализ должен проводиться не менее чем один раз в год.

10.2.5.1 Входные данные для анализа

Входные данные для анализа со стороны руководства должны включать следующую информацию:

a) результаты внутренних и внешних аудитов;

b) данные обратной связи с заказчиками и заинтересованными сторонами, относящиеся к выполнению требований настоящего стандарта;

c) статус предупреждающих и корректирующих действий;

d) предпринятые действия, вытекающие из предыдущего анализа со стороны руководства;

e) информацию о достижении целей;

f) изменения, которые могут повлиять на систему менеджмента;

g) апелляции и жалобы.

10.2.5.2 Выходные данные анализа

Выходные данные анализа со стороны руководства должны включать в себя все решения и необходимые действия в отношении:

a) повышения результативности системы менеджмента и ее процессов;

b) улучшения услуг по сертификации согласно требованиям настоящего стандарта;

c) потребности в ресурсах.

10.2.6 Внутренние аудиты


10.2.6.1 Орган по сертификации должен разработать процедуры по проведению внутренних аудитов с целью проверки того, что система менеджмента соответствует требованиям настоящего стандарта и что она функционирует результативно и поддерживается в рабочем состоянии.

Примечание - Руководство по проведению внутренних аудитов приведено в ИСО 19011.

10.2.6.2 Программу аудитов следует планировать с учетом важности процессов и областей, подлежащих аудиту, а также результатов предыдущих аудитов.

10.2.6.3 Внутренние аудиты следует проводить по крайней мере один раз в год.

Периодичность проведения внутренних аудитов может быть снижена, если орган по сертификации может продемонстрировать, что его система менеджмента продолжает оставаться результативной, внедрена в соответствии с требованиями настоящего стандарта, а также доказана ее стабильность.

10.2.6.4 Орган по сертификации должен обеспечивать, чтобы:

a) внутренние аудиты проводились квалифицированным персоналом, обладающим необходимыми знаниями в области сертификации, проведения аудитов, а также требований настоящего стандарта;

b) аудиторы не проверяли собственную работу;

c) персонал, ответственный за область аудита, был проинформирован о результатах аудита;

d) любые действия, предпринимаемые по итогам внутренних аудитов, выполнялись своевременно и надлежащим образом;

e) были определены все возможности для улучшения.

10.2.7 Корректирующие действия


Орган по сертификации должен разработать процедуры по определению и управлению несоответствиями своей деятельности. При необходимости, орган по сертификации должен предпринимать действия по устранению причин несоответствий для предупреждения их повторного возникновения. Корректирующие действия должны быть адекватными относительно последствий выявленных несоответствий. В данной процедуре должны быть установлены требования к нижеследующему:

a) определению несоответствий (например, по жалобам или результатам внутренних аудитов);

b) установлению причин несоответствий;

c) коррекции несоответствий;

d) оцениванию необходимости предпринимаемых действий во избежание повторения несоответствий;

e) определению и своевременному осуществлению необходимых действий;

f) записям результатов предпринятых действий;

g) анализу результативности предпринятых корректирующих действий.


10.2.8 Предупреждающие действия


Орган по сертификации должен разработать процедуры по осуществлению предупреждающих действий с целью устранения причин потенциальных несоответствий. Предупреждающие действия должны соответствовать возможным последствиям потенциальных проблем. В процедурах по осуществлению предупреждающих действий должны быть определены требования к нижеследующему:

a) установлению потенциальных несоответствий и их причин;

b) оцениванию необходимости предупреждающих действий с целью предотвращения появления несоответствий;

c) определению и осуществлению необходимых действий;

d) записям результатов предпринятых действий;

e) анализу результативности предпринятых предупреждающих действий.

Примечание - Отдельные процедуры, описывающие корректирующие и предупреждающие действия, устанавливать необязательно.


Приложение А

(справочное)


Руководство для процесса определения продолжительности аудита

В таблице А.1 указано количество аудитодней первоначального аудита (первый и второй этапы) в зависимости от количества сотрудников, сложности и/или риска организации (см. примечание 8).

Таблица А.1 - Количество аудитодней для первоначального аудита


Количество "эффективных" сотрудников

Среднее количество аудитодней (средней сложности и/или риска)

Минимальное количество аудитодней (низкой сложности и/или риска)

Обычное количество аудитодней (высокой сложности или риска)

Сокращение, если организация сертифицирована по другому стандарту системы менеджмента, коду безопасности, который интегрирован с системой менеджмента безопасности

1 (см. примечание 9)

1

1

1

0

10

3

3

3

0

30

6

4

8

<20%

100

8

5

11

<20%

500

12

9

15

<20%

2000

15

10

20

<20%


Примечания

Если аудиторская группа нуждается в помощи переводчиков с пониманием письменного материала, то вышеуказанное время следует увеличить на 10% и еще на 10%, если требуются услуги устного перевода.

Как правило, часть первого этапа аудита будет составлять около 1/3 вышеуказанных дней аудитора, а второй этап - оставшееся время.


Руководство по расчету аудитодней


Отправная точка для расчета аудитодней будет основана на количестве "эффективных" работников (см. таблицу А.1.)

1 Следует учитывать все атрибуты объекта, площадки, систем, процессов и продуктов/услуг организации. При этом, можно произвести объективную корректировку на основе факторов, приведенных в таблице А.1. Аддитивные факторы могут быть компенсированы вычитающими факторами. В тех случаях, когда вносятся корректировки времени аудита в период, указанный в таблице А.1, должны храниться достаточные доказательства и записи, чтобы аргументировать это изменение.

Для крупных площадок и организаций должен быть предоставлен план площадки, на которой будет проводиться аудит, что поможет при оценке сроков проведения аудита. При этом необходимо рассмотреть все особенности площадки и объектов. Следует учитывать уязвимости объектов, соседние объекты, а также близость дорог, рек и других точек доступа и т.д.

2 "Эффективные" сотрудники - это лица, описанные в системе управления организации и охватываемые областью сертификации, включая непостоянных (сезонных, временных и субподрядных) сотрудников, чья работа потенциально может повлиять на безопасность цепи поставок в организации. Орган по сертификации должен согласовать с проверяемой организацией сроки проведения аудита, которые наилучшим образом продемонстрируют всю сферу деятельности организации. Рассмотрение может включать сезон, месяц, день/дату и смену в зависимости от ситуации.

Сотрудников, занятых неполный рабочий день, следует рассматривать как работников, занятых полный рабочий день. Это определение будет зависеть от количества отработанных часов по сравнению с работником, работающим полный рабочий день (см. примечание 7 для расчета влияния смен). При расчете эффективных работников должное внимание следует уделять тем лицам, чья работа влияет на безопасность цепи поставок. Например, те, кто работает в финансовом отделе, могут влиять не в той степени на процесс, как те, кто занят непосредственно в производстве.

3 "Время аудитора" включает время, затрачиваемое аудитором или группой по аудиту (включая проверку документов за пределами площадки, если это необходимо), на взаимодействие с организацией и другим соответствующим персоналом, записи, документирование, изучение процессов и написание отчетов. Предполагается, что при таком планировании и составлении отчетов "время аудитора" для аудита на месте должно быть не менее чем 80% времени, выделенного на аудит. Это относится к первичным, инспекционным и ресертификационным аудитам. Если для планирования и/или составления отчета требуется дополнительное время, это не будет оправданием для сокращения времени аудитора на месте. Время поездки аудитора не включено в этот расчет и является дополнительным ко времени аудитора, указанному в таблице А.1.

4 "Время аудитора" (см. таблицу А.1), указывается в термине "аудитодень", потраченный на оценку. "Аудитодень" - это, как правило, полный рабочий день продолжительностью 8 ч. Количество рабочих дней аудитора не может быть уменьшено на начальных этапах планирования путем программирования более продолжительного рабочего дня.

5 В течение первых трех лет цикла аудита инспекционный период для данной организации должен быть пропорционален времени, затрачиваемому на первоначальную оценку, при этом общее количество времени, затрачиваемого на надзорный аудит (инспекционный контроль) ежегодно, составляет около 1/3 времени, затрачиваемого на первоначальную оценку. Запланированное время аудита должно периодически пересматриваться для учета изменений в деятельности организации, зрелости системы и т.д. и, по крайней мере, во время переоценки.

6 Общее количество времени, затрачиваемое на проведение повторной сертификации, будет зависеть от результатов анализа эффективности системы менеджмента и ее внедрения в течение предыдущего трехлетнего периода. Время, затраченное на повторную оценку, должно быть пропорционально времени, которое затрачено на первоначальную оценку той же организации, и составлять не менее 2/3 времени, которое требуется для первоначальной оценки той же организации на момент ее повторной оценки. Повторная оценка - это время, затраченное сверх обычного инспекционного времени. Если повторную оценку проводят одновременно с запланированным текущим инспекционным визитом, то повторной оценки будет достаточно для удовлетворения требований, предъявляемых к инспекционному аудиту.

7 Если значительная часть операций выполняется посменно, то общая численность работников может быть рассчитана следующим образом:


Это сокращение может быть применено при условии, что между сменами в отношении типа и интенсивности деятельности существенные различия отсутствуют.

8 Сложность следует определять по количеству и типу выполняемых операций, а риск - на основе качественной оценки риска, влияющего на такие критерии, как: потенциальные угрозы безопасности, типы и вероятность того, что продукты и/или услуги будут целевыми, географическое положение, местная культура, история и тенденции инцидентов и т.п.

9 Организация с одним действующим сотрудником является владельцем/оператором. Например, операторы владельцев грузовых автомобилей, которые работают с системами, подобными тем, которые определены в Руководстве по безопасности международного союза автомобильного транспорта (МСАТ).


Приложение В

(обязательное)


Критерии для проведения аудита организаций, имеющих несколько производственных площадок

В.1 Определения


В.1.1 Организации, имеющие несколько производственных площадок


В.1.1.1 Организация, имеющая несколько производственных площадок, определяется как организация, которая предоставляет услуги безопасности цепи поставок из более чем одного местоположения.

В.1.1.2 Такая организация не обязательно должна быть одним юридическим лицом, но все объекты должны иметь юридические или договорные отношения с центральным офисом организации и подчиняться общей системе менеджмента безопасности цепи поставок, которая разрабатывается, устанавливается, утверждается и постоянно управляется из центрального офиса. Это означает, что центральный офис имеет право при необходимости предпринимать корректирующие действия на любой площадке, что должно быть указано в контракте между центральным офисом и площадками, при возможности.

Примеры организаций с несколькими площадками:

- организации, работающие по франшизе;

- сервисные компании с сетью дистрибьюторов/складов, терминалов, другими площадками и логистикой, которые проводят аналогичные процессы и работают по тем же процедурам;

- компании с несколькими филиалами и/или предприятиями, предоставляющими аналогичные услуги.


В.2 Критерии применимости для организации


В.2.1 Угрозы безопасности цепи поставок уникальны для каждой производственной площадки, поэтому все производственные площадки, включенные в область сертификации/регистрации организации, подлежат аудиту. Организация должна провести оценку угроз и рисков для каждого объекта и соответствующим образом внедрить управление операциями/деятельностью. Точно так же угрозы безопасности цепи поставок, применимые к непроизводственным площадкам, которые осуществляют вспомогательную административную деятельность, также являются уникальными, но по характеру предпринимаемых действий могут представлять меньший риск для безопасности цепи поставок. Все рабочие площадки следует подвергать аудитам со стороны органа по сертификации/регистрации, а риски на непроизводственных площадках - оценивать и проверять соразмерно их значимости.

В.2.2 Некоторое послабление аудитов площадок применимо в двух ситуациях (см. В.2.2.1).

В.2.2.1 Если услуги цепи поставок, предоставляемые всеми площадками и всеми видами деятельности, в основном одинаковы и выполняются полностью в соответствии с одними и теми же методами и процедурами, то, вероятно, существуют определенные возможности для сокращения аудитодней для некоторых площадок, эксплуатируемых организацией. Тем не менее для всех площадок специфичные угрозы должны быть идентифицированы и подвергнуты оценке риска, а далее проверены органом по сертификации во время аудита на месте. Для того чтобы рассмотреть возможность сокращения аудита, следует применять критерии, приведенные в В.2.2.1.1 и В.2.2.1.2.

В.2.2.1.1 Система менеджмента безопасности цепи поставок организации имеет централизованное руководство и работает в соответствии с централизованно управляемым процессом для проведения оценок безопасности и разработки планов безопасности, на которую распространяется центральная система сбора и анализа данных с площадок, связанная с нижеследующим:

- локальной системой документации и изменениями в системе;

- анализом со стороны руководства;

- улучшением целей, целевых показателей и программ управления;

- оценкой жалоб/претензий, инцидентов, корректирующих действий.

Все соответствующие площадки, включая центральный офис, должны быть предметом программы внутреннего аудита организации и оценки результатов аудита. Каждая площадка должна проходить аудит в соответствии с этой программой до начала аудита со стороны сертификационного органа.

Организация должна провести оценку угроз безопасности для каждой площадки и соответствующим образом внедрить управление операциями/деятельностью.

В.2.2.1.2 Организация должна продемонстрировать, что центральный офис организации разработал систему менеджмента безопасности цепи поставок в соответствии с оцениваемым стандартом и что деятельность организации в целом удовлетворяет требованиям стандарта, по которому проходит сертификация.

В.2.3 Организация должна продемонстрировать свою способность и возможности проводить сбор и анализ данных, в том числе, но не ограничиваясь ниже приведенным списком, поступающих со всех площадок, включая центральный офис, если это необходимо:

- изменения в системе в целом и системе документации;

- анализ со стороны руководства;

- улучшение целей, целевых показателей и управление программами;

- оценку жалоб/претензий, инцидентов, корректирующих действий;

- планирование и оценку результатов внутренних аудитов.

Организация должна проводить оценку риска для каждой площадки в отдельности, соответствующим образом внедрять средства управления операциями/деятельностью и иметь возможность продемонстрировать посредством записей результативность средств контроля для всех объектов, включая те, которые не подлежат проверкам органов по сертификации/регистрации.

В.2.4 При отклонении от требуемой продолжительности в аудитоднях (см. приложение А) или при условии использования подхода "все площадки должны быть проверены органом по сертификации" для любого объекта, включенного в область сертификации, для обоснования отклонения по продолжительности аудита и подхода "все площадки должны быть проверены", предписанного настоящим стандартом, орган по сертификации должен документировать и внедрять процедуры, в которых применяется подход менеджмента рисков.

Такие обоснования органа по сертификации/регистрации должны включать:

- попадание направления деятельности или деятельности организации в целом в область аудита, базирующееся на оценке рисков или сложности этой деятельности;

- тип и размер производственной площадки, относящийся к организации, подходит по критериям к организации с несколькими площадками;

- модификации внедрения на местах системы менеджмента безопасности цепи поставок, такие как необходимость учета местных нормативно-законодательных требований, особенностей поведенческих характеристик, специфики угроз исходя из статистики терроризма и преступности, использования планов безопасности цепи поставок в системе менеджмента безопасности цепи поставок для различных видов деятельности или различных договорных или регулирующих систем;

- использование временных площадок, которые работают по системе менеджмента безопасности цепи поставок организации.

В.2.5 Записи, поддерживаемые центральным офисом должны демонстрировать результативность внедрения системы менеджмента безопасности для всех площадок, включая те, которые не посещал орган по сертификации.


В.3 Критерии соответствия органа по сертификации/регистрации


Орган по сертификации/регистрации должен предоставить организации информацию о критериях, изложенных в настоящем стандарте, до начала процесса оценки и не должен проводить аудит, если какой-либо из критериев не соблюден. Перед началом процесса оценки следует проинформировать организацию о том, что сертификат/регистрация не будут выданы, если во время оценки будут обнаружены несоответствия в отношении этих критериев.


В.3.1 Анализ контракта


В.3.1.1 Процедуры органа по сертификации/регистрации должны обеспечивать, чтобы при первоначальном рассмотрении контракта определялись сложность и масштаб работ, охватываемых системой менеджмента безопасности цепи поставок, подлежащих сертификации/регистрации, и любые различия между площадками в качестве основы для определения объема выборок.

В.3.1.2 Орган по сертификации/регистрации должен определить центральную организацию, которая является ее договорным партнером для выполнения сертификации/регистрации.

В.3.1.3 Орган по сертификации/регистрации должен проверять в каждом отдельном случае, в какой степени площадки организации производят или предоставляют в значительной степени одинаковые виды продуктов или услуг в соответствии с теми же процедурами и методами. Процедура отбора образцов может быть применена к отдельным участкам исключительно после положительного рассмотрения органом по сертификации/регистрации того, что всех участков, предложенных для включения в комплексную проверку, на основании их соответствия установленным критериям.

В.3.1.4 Если все производственные площадки организации, на которых осуществляется деятельность, подлежащая сертификации/регистрации, не готовы к одновременной подаче на прохождение сертификации/регистрации, организация должна заранее проинформировать орган по сертификации/регистрации о площадках, которые она планирует включить в сертификат.


В.3.2 Оценка


В.3.2.1 Орган по сертификации/регистрации должен иметь документированные процедуры для проведения оценок в соответствии со своей процедурой для нескольких площадок. Такие процедуры должны определять способ, которым орган по сертификации/регистрации, убеждается, в частности, что единая система менеджмента цепи поставок управляет деятельностью на всех площадках, и фактически применяется ко всем площадкам, а также, что все критерии, представленные в В.2, выполнены.

В.3.2.2 Если в оценке/надзорном аудите (инспекционном контроле) задействовано более одной аудиторской группы, орган по сертификации/регистрации должен назначить одного руководителя, в обязанности которого входит объединение результатов всех аудиторских групп и составление сводного отчета.


В.3.3 Работа с несоответствиями


В.3.3.1 Если несоответствия обнаруживаются на отдельной площадке посредством внутреннего или сертификационного аудита, необходимо провести расследование для того, чтобы определить, могли ли быть затронуты другие площадки. В связи с чем орган по сертификации/регистрации должен требовать, чтобы организация проверила несоответствия на предмет системного характера в отношении всех площадок. Если несоответствие носит системный характер, то корректирующие действия должны быть выполнены как в центральном офисе, так и на отдельных площадках. Если несоответствие носит локальный характер, то организация должна иметь возможность продемонстрировать органу по сертификации/регистрации обоснование ограничения своих последующих действий.

В.3.3.2 Орган по сертификации/регистрации должен требовать подтверждения этих действий и увеличивать частоту выборок, до тех пор, пока не убедится в том, что контроль восстановлен.

В.3.3.3 Если во время процесса принятия решения какая-либо площадка имеет несоответствие, всей организации может быть отказано в сертификации/регистрации до момента выполнения корректирующих действий в тех ситуациях, когда выявленная несоответствующая деятельность может отрицательно повлиять на соответствие операций на других площадках.

В.3.3.4 Недопустимо, чтобы для преодоления препятствия, возникающего в связи с наличием несоответствия на одной площадке, организация исключила эту "проблемную площадку" из области сертификации в процессе сертификации/регистрации.


В.3.4 Сертификация/регистрация


В.3.4.1 Если выдается один(но) сертификат/свидетельство о регистрации с указанием названия и адреса центрального офиса организации, то должен быть приложен список всех площадок, к которым относится сертификат, либо на самом сертификате, либо в приложении, либо в порядке, указанном в сертификате. Область сертификации или другая ссылка на сертификат должны указывать, что сертифицированные/зарегистрированные действия выполняются сетью площадок в списке. Если область сертификации/регистрации площадок выдается только как часть общей деятельности организации, ее применимость ко всем площадкам сети должна быть четко указана в сертификате/свидетельстве о регистрации и в любом приложении.

В.3.4.2 Суб-сертификат/свидетельство о регистрации может быть выдан организации для каждой площадки, входящей в область сертификации/регистрации. Суб-сертификат должен включать в себя четкую ссылку на основной сертификат/свидетельство о регистрации.

В.3.4.3 Сертификат/свидетельство о регистрации будет отозван, если центральный офис или какая-либо из площадок не соответствует необходимым критериям для сохранения сертификата/свидетельства о регистрации (см. В.3.2).

В.3.4.4 Список площадок должен быть обновлен органом по сертификации/регистрации. С этой целью орган по сертификации/регистрации должен уведомить организацию о необходимости информирования органа по сертификации/регистрации о закрытии любой площадки. Непредоставление данной информации будет рассматриваться органом по сертификации/регистрации как неправомерное использование сертификата/свидетельства о регистрации, и орган по сертификации/регистрации будет действовать в соответствии со своим регламентом.

В.3.4.5 Дополнительные площадки сети могут быть добавлены к существующему сертификату в ходе надзорного или ресертификационного аудита. Орган по сертификации/регистрации должен иметь в составе своих процедур процедуру добавления новых площадок.

Примечание - Временные объекты, например, те которые были приобретены или подготовлены организацией для конкретных эксплуатационных или контрактных целей для выполнения конкретных действий, не должны включаться в схему сертификации в качестве отдельных площадок.


Приложение С

(обязательное)


Требования к образованию аудиторов, опыту работы и проведению аудитов

Таблица С.1 - Пример уровней образования, опыта работы, обучения аудиторов и опыта в качестве аудитора аудиторов, проводящих сертификацию или аналогичные аудиты


Параметры

Аудитор

Аудитор с опытом работы в других системах менеджмента

Ведущий аудитор

Образование

Среднее образование (см. примечание 1*)

Аналогично

Аналогично

Общий стаж работы

5 лет (см. примечание 2)

Аналогично

Аналогично

Опыт работы, относящийся к сфере безопасности цепи поставок (см. примечание 8)

Минимум 2 года из общих 5 лет (см. приложение D)

Аналогично

Аналогично

Опыт проведения аудита

Четыре полных аудита, в общей сложности не менее 20 дней опыта работы в качестве аудитора в процессе обучения под руководством аудитора, компетентного в качестве руководителя группы аудита (см. примечание 5). Аудиты должны быть проведены в течение последних трех лет подряд

По крайней мере один полный аудит, охватывающий все пункты спецификации/стандарта аудита, что приводит к удовлетворительной демонстрации навыков (см. примечание 5)

Три полных аудита, в общей сложности не менее 15 дней опыта аудита в роли руководителя группы аудита под руководством аудитора, компетентного в качестве руководителя группы аудита (см. примечание 5). Аудиты должны быть проведены в течение последних двух лет подряд (см. примечание 7)

Подготовка аудиторов

Подготовка 40 ч, включая 16 ч обучения аудиторов и 8 ч по системе менеджмента безопасности цепи поставок

Подготовка 24 ч, обучение 8 ч по системе менеджмента безопасности (см. примечание 6)

Примечания

1 Среднее образование - это та часть национальной системы образования, которая идет после начальной школы, но завершается до поступления в университет или подобное высшее учебное заведение.

2 Требование к опыту работы может быть сокращено на один год, если человек получил соответствующее средне-специальное образование.

3 Опыт работы, связанный с безопасностью, может совпадать с общим стажем работы.

4 Подготовка по дисциплине безопасности заключается в приобретении знаний о соответствующих стандартах, законах, правилах, принципах, методах и методиках.

5 Полный аудит - это аудит, охватывающий все этапы проведения аудита, включая проверку документации, подготовку к проведению аудита на месте, проведение вводного совещания и проведение аудита на месте. Общий опыт по проведению аудита должен охватывать весь стандарт системы менеджмента.

6 Аудиторы, прошедшие подготовку по другим системам менеджмента, могут не проходить полный 16-часовой модуль обучения аудиторов.

7 Ведущие аудиторы, имеющие право руководить группами аудита других систем менеджмента должны продемонстрировать свою компетентность в руководстве аудиторской группой при применении требований стандарта или спецификации системы менеджмента безопасности цепи поставок, например ИСО 28000.

8 Опыт в области безопасности цепи поставок должен включать в себя полученные знания и навыки в идентификации, анализе, контроле и управлении рисками.


Приложение D

(обязательное)


Требования к компетентности аудиторов

Данное приложение определяет требования к компетентности аудиторов систем менеджмента безопасности цепи поставок.


D.1 Инструменты и методы оценки риска


Аудиторы системы менеджмента безопасности цепи поставок должны иметь знания и навыки в нижеследующем:

a) понимании угроз цепи поставок;

b) оценке риска, методов и технологий анализа риска;

c) работе с инструментами оценки безопасности цепи поставок, включая обследования безопасности цепи поставок на месте и типичную выходную документацию;

d) управлении, контроле и снижении риска.


D.2 Требования и интерпретация аудита с позиции спецификаций аудита


Аудиторы системы менеджмента безопасности цепи поставок должны иметь следующие знания и навыки относительно:

a) содержания, структуры и применения стандартов систем менеджмента безопасности цепи поставок и аналогичных спецификаций;

b) целей и задач стандартов систем менеджмента безопасности цепи поставок и других спецификаций;

c) определений, используемых в стандартах систем менеджмента безопасности цепи поставок и аналогичных спецификаций;

d) применения стандартов систем менеджмента безопасности цепи поставок и аналогичных спецификаций на разных этапах цепи поставок.


D.3 Правительственные и межправительственные положения, инициативы и программы, влияющие на безопасность цепи поставок


В конце этого модуля аудиторы должны продемонстрировать свои знания и навыки в следующем:

a) в движущих силах и истории различных межправительственных положений и инициатив;

b) таможенных процедурах, влияющих на безопасность цепи поставок;

c) знании минимальных требований к документации на грузоперевозки;

d) правительственных и межправительственных нормативных актов, инициатив и программ, влияющих на безопасность цепи поставок;

e) специфичных методах оценки риска для цепи поставок.


D.4 Уязвимости и угрозы цепи поставок


Аудиторы системы менеджмента безопасности цепи поставок должны иметь знания и навыки в следующем:

a) в существующих уязвимостях и угрозах с примерами;

b) технологии выявления;

c) мероприятиях по мониторингу, корректирующих и предупреждающих действий для снижения риска.


D.5 Техники аудита


В конце этого модуля аудиторы должны продемонстрировать свои навыки в следующем:

a) в проведении анализа и утверждении систем и планов менеджмента безопасности цепи поставок, включая документацию, связанную с оценкой рисков;

b) объяснении видов верификационных аудитов;

c) объяснении ответственности и полномочий аудиторов;

d) разъяснении процедур, относящихся к сертификации менеджмента безопасности цепи поставок своего органа по сертификации;

e) указании условий выдачи и поддержания сертификатов по менеджменту безопасности цепи поставок.


D.6 Аудит информации и данных, связанных с безопасностью


Аудиторы систем менеджмента безопасности цепи поставок должны иметь знания и навыки обращения с конфиденциальными данными и соответствующей информацией, включая гражданскую и уголовную ответственность аудиторов.


D.7 Действия по планированию, готовности, реагированию и восстановлению после инцидента


Аудиторы систем менеджмента безопасности цепи поставок должны иметь знания и навыки по действиям в сфере планирования, готовности, реагирования и восстановления после инцидента, включая роли официальных органов и служб быстрого реагирования, протоколы и требования к внутреннему и внешнему обмену информацией.


Приложение ДА

(справочное)


Сведения о соответствии ссылочных международных стандартов национальным и межгосударственным стандартам

Таблица ДА.1


Обозначение ссылочного международного стандарта

Степень соответствия

Обозначение и наименование соответствующего национального и межгосударственного стандарта

ISO/IEC 17000:2004

IDT

ГОСТ ISO/IEC 17000-2012 "Оценка соответствия. Словарь и общие принципы"

ISO 19011:2002

IDT

ГОСТ Р ИСО 19011-2012 "Руководящие указания по аудиту систем менеджмента"

ISO 28000:2007

-

*

* Соответствующий национальный стандарт отсутствует. До его принятия рекомендуется использовать перевод на русский язык международного стандарта ISO 28000:2007. Официальный перевод данного стандарта находится в Федеральном информационном фонде стандартов.

Примечание - В настоящей таблице использовано следующее условное обозначение степени соответствия стандартов:

- IDT - идентичные стандарты.


Библиография


[1]

ИСО 10002

(ISO 10002)

Менеджмент качества. Удовлетворенность потребителя. Руководство по управлению претензиями в организациях

(Quality management - Customer satisfaction - Guidelines for complaints handling in organizations)

[2]

ИСО 9001:2000

(ISO 9001:2000)

Система менеджмента качества. Требования

(Quality management systems - Requirements)

[3]

ИСО/МЭК 17030:2003 (ISO/IEC 17030:2003)

Оценка соответствия. Общие требования к знакам соответствия при оценке, проводимой третьей стороной

(Conformity assessment - General requirements for third - party marks of conformity)

[4]

ИСО 17021

(ISO 17021)

Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента

(Conformity assessment - Requirements for bodies providing audit and certification of management systems)


УДК 656.614.3.004:006:354

ОКС 03.100.01


Ключевые слова: система менеджмента, безопасность, цепь поставок, требования, орган, аудит, сертификация