Как проходит сертификация по ISO 9001?

На сегодняшний день существует международный консенсус по тому, как должна проходить сертификация системы менеджмента качества (СМК, – ред.) по ISO 9001. Общепризнанная практика этой процедуры описана в ряде нормативных документов, в частности, в ISO 17021 (ГОСТ Р ИСО/МЭК 17021, – ред.), в ISO 19011 (ГОСТ Р ИСО 19011, – ред.), а также в национальном стандарте ГОСТ Р 40.003. Мы его здесь упоминаем лишь потому, что в свое время его готовили при учете «Руководства 62» IAF (International Accreditation Forum, – ред.). А так, ГОСТ Р 40.003-2008 сейчас признается экспертами устаревающим и нуждающимся в редакции, содержащим большое количество ошибок. Впрочем, он пока является действующим в нынешней редакции. Есть великое множество документов второго ряда, которые известны гораздо хуже и если так можно выразиться, еще более добровольны, чем вышеперечисленные стандарты. Если первые часто становятся частью условий аккредитации в таких органах по аккредитации, как IAF (International Accreditation Forum, – ред.), EA (European co-operation Accreditation, – ред.), то второстепенные документы – нет. Другой вопрос, что и аккредитация для сертифицирующих компаний часто добровольная, но это уже другая история. Документы второго ряда, обобщающие международный опыт интересны тем, что они более детально, чем ISO 17021 или ISO 19011 рассматривают отдельные аспекты проведения аудита. Например, у комитета ISO – CASCO, который специально создан для работы над стандартами для органов по сертификации, есть несколько документов, которые посвящены только использованию маркировки соответствия ISO 9001. У совместной экспертной группы ISO и IAF под названием ISO 9001 Auditing Practices Group есть руководства, целиком посвященные таким вопросам, как особенности аудита в организации с минимумом документации и аудиторская этика. Наш совет: в числе первых вопросов представителю органа по сертификации, у которого вы хотите заказать услугу по оценке на соответствие ISO 9001, задайте вопрос о том, каких стандартов аудита придерживается компания.

Если все-таки считать, что средний серторган следует букве ISO 17021, то сертификация стартует с подачи письма-заявки на проведение сертификации. Начинается так называемый организационный этап. Сроки реакции сертификационной компании на заявку, равно как и форма заявки, документы, которые требуют отправить вместе с заявкой, – все это стандартами не регулируется, и здесь вступают в права нормативные документы отдельных систем добровольной сертификации, правила которых, как вы понимаете, меняются, в зависимости от того, к какой системе принадлежит ваш серторган. Орган по сертификации уже вместе с заявкой обычно требует прислать документацию СМК. Сертификация проводится только тогда, когда система уже внедрена, а требуемые ISO 9001 документы, которые в ней действуют, являются неотъемлемой частью системы. Среди других документов, которые может потребовать прислать орган по сертификации – штатное расписание или выписка из него, выписка из ОГРН, описание деятельности подразделений организации-претендента на сертификат. Эта часть документации нужна сертификационной компании для знакомства с деятельностью предприятия, сложностью его процессов, для вычисления стоимости сертификации. Документация СМК – часть документарной проверки при внешнем аудите на соответствие ISO 9001.

Изучив письмо-заявку и прочие документы, орган по сертификации уведомляет кандидата на сертификацию об отказе или согласии на ее проведение. Отказ должен быть аргументирован и если недостатки устранены, то ничто не мешает подать заявку повторно. Обычно речь идет о нехватке или некорректности какого-то из присланных документов. Если на сертификацию дано согласие, начинается первый этап стандартного двух этапного аудита. Начинается документарная проверка присланных документов СМК, их соответствия стандарту ISO 9001, кроме того этот этап используется для подготовки органа по сертификации к внешнему аудиту системы менеджмента или выражаясь языком стандартов ISO «аудиту на месте». При проверке документов некоторые органы по сертификации используют телефонные интервью с сотрудниками организации, чтобы удостовериться, что документы действуют, а сотрудники знают о существовании «своих частей СМК». Что касается подготовки ко второму этапу аудита, то руководитель органа по сертификации назначает руководителя аудиторской группы, впрочем, можно обойтись и одним аудитором, но ISO 17021 требует убедиться, что его времени и компетентности достаточно, чтобы решать проблемы в одиночку. Руководитель аудиторской группы подбирает экспертов для группы аудиторов, в том числе заключаются договоры с теми, кому какие-то работы переданы на аутсорсинг или техническими экспертами (необходимы при экспертизе сложных отраслей, – ред.). ISO 17021 настаивает на составлении договора для привлеченных специалистов, в котором они соглашаются придерживаться принципов работы данного органа по сертификации и системы добровольной сертификации. Вовлеченные в аудит специалисты составляют программу и план аудита. Программа аудита содержит перечень проверок, которые будут проводиться в рамках сертификации. После сертификационного аудита следует инспекционный контроль, после него еще один, а потом и ресертификация. В программе оговорены критерии проведения аудита, ряд других сведений. План аудита – это детализированный план конкретной проверки – сертификационного аудита, здесь уже появляется такая информация, как объем аудита, перечисление членов аудиторской группы, цели аудита и другие сведения.

Второй этап открывается предварительным совещанием с руководством сертифицируемой компании и, возможно, некоторыми владельцами процессов, особенно важных для системы менеджмента качества. На совещании организация заказчик сертификации ставится в известность о процедурах, которые будут проведены в рамках сертификации, о составе аудиторской группы, о времени и объеме аудита. Кстати, ISO 17021 настаивает на тесном обмене информацией между органом по сертификации и заказчиком услуги. Орган по сертификации должен любому обратившемуся открывать информацию о ходе процедуры сертификации изменениях в ней, внешних документах, имеющих отношение к делу. Многие вопросы не только обсуждаются, но и согласовываются с компанией-заявителем. Он, например, может повлиять на состав аудиторской группы или на объем сертификационной проверки.

После совещания с руководством аудиторы приступают к делу. Длительность аудита в основном зависит от величины и сложности компании, которая подвергнута экспертизе. В проверке применяются все те же методы: интервью с сотрудниками, анализ документации. Однако присутствие аудитора на месте делает все гораздо нагляднее. Еще во время аудита он ставит руководство в известность о найденных несоответствиях стандарту. Сертификат по ISO 9001 не выдают при наличии одного критического несоответствия и двух некритических по одному пункту стандарта (Подробнее об этом здесь, – ред.). Однако, если еще во время аудита несоответствия были устранены, они не войдут в акт аудита, который специалист составляет для органа по сертификации. При возникновении конфликтной ситуации, которая не может быть решена без привлечения органа по сертификации, он составляет комиссию, которая работает с разногласиями. По результатам аудита проводится завершающее совещание, на котором о собранных данных ставится в известность руководство компании-претендента на сертификацию. Акт о проведении направляется в серторган, где и принимается решение о выдаче или не выдаче сертификата.

Кстати: Согласно распространяющейся сейчас на Западе концепции, аудит по ISO 9001 должен не просто проверять наличие системы менеджмента, а «добавлять стоимость» (add value, – ред.). Аудиторы должны показывать руководству предприятия, которое они анализируют точки роста, пути совершенствования, потенциальные проблемы, которые в будущем могут привести к несоответствиям. Однако при этом необходимо удерживаться от консалтинга и не сосредотачиваться на отдельных элементах СМК в ущерб другим, так как это наносит ущерб объективности – одному из главных принципов аудита по ISO 9001 в стандарте ISO 17021.