Соответствие стандартам ISO, процессы сертификации и аккредитации

Международный форум по аккредитации (IAF) декларирует простой принцип “одна аккредитация- международное признание”. Члены IAF пришли к соглашению, что выданные сертификаты взаимно ими признаются.

Международная организация по стандартизации (International Organization for Standardization (ISO)) ежегодно разрабатывает тысячи стандартов в различных областях и для разных отраслей. Отдельная группа стандартов известна как  стандарты систем корпоративного управления (менеджмента), которые разработаны для поддержки производственных процессов и предоставления услуг в организациях с гарантированными качеством, безопасностью, надежностью и уважением к окружающей среде.

Эти стандарты хорошо известны - ISO 9001 (Управление Качеством), ISO 27001 (Информационная Безопасность), ISO 14001 (Экология), ISO 22301 (Непрерывность Бизнеса) и (готовится к публикации) ISO 45001 (Охрана и безопасность труда).

Некоторым организациям необходимо внедрить требования данных стандартов, другим -только продемонстрировать соответствие их требованиям. В последнее время практически в любой отрасли производства и услуг постоянно ведутся разговоры (“белый шум”) по поводу обеспечения соответствия (compliance), сертификации и аккредитации, а также различиям между этими терминами. Что же это означает на практике?

Соответствие (Compliance)

Любая организация или предприятие могут выбрать внедрение стандарта системы корпоративного управления или применять стандарт для управления рисками и улучшения своих процессов. Они могут выбрать соответствие требованиям стандарта и выполнять внутренние аудиты, как часть своей общей системы корпоративного управления. Когда организация внедряет стандарты, то не существует обязательного требования (в самих стандартах) проводить внешний аудит. Изначально предполагается, что любая организация может внедрить стандарт и объявить себя соответствующей его требованиям. Клиенты таких организаций могут просить, например, своих поставщиков соответствовать определенным стандартам и, в некоторых случаях, поставщики могут просто заявлять о соответствии, однако, другие клиенты идут на шаг дальше и просят доказательства такого соответствия или проведения аудита поставщика. Для организаций с большим количеством клиентов проведение в течение года различных аудитов от разных клиентов явно создавало бы излишнюю нагрузку. Это все временные затраты, ресурсы и часто необходимость производить определенный набор доказательств за период времени.

Сертификация (Certification)

Сертификация по стандартам ISO  - простой путь для организации доказать, что в ней действительно обеспечивается соответствие релевантному стандарту(ам). Это не требует дополнительных требований или мер безопасности и, если организация действительно соответствует требованиям стандарта, то сертификация это просто следующий шаг.

Сертификация подразумевает выполнение аудита независимой организацией, которая называется орган сертификации (certification body). Орган сертификации обычно выполняет аудит в два этапа. Первый этап  аудита - это высокоуровневый анализ системы корпоративного управления, в то же время второй этап применяется для более детального рассмотрения системы управления для сбора доказательств соответствия ее в различных аспектах требованиям стандарта (или набору стандартов).

Хороший орган сертификации и их аудиторы будут проводить аудит в позитивном ключе, пытаясь отыскать доказательства соответствия, а не стараясь “поймать на горячем” или сбить с толку участников аудита, чтобы они допустили ошибку. В случае обнаружения несоответствия (невозможности выполнить требования стандарта) необходимо прийти к соглашению о том, каким образом данная проблема может быть решена, что в некоторых случаях может повлечь за собой повторное посещение, а в других потребовать более значительного времени на устранение несоответствия.

Если же организация соответствует требованиям и рекомендована к сертификации, то такая сертификация выдается сроком на 3 года. В течение этого периода организация должна проводить ежегодные надзорные аудиты. Надзорные аудиты намного короче по времени и содержанию, чем начальный аудит и позволяют убедиться в том, что организация поддерживает и развивает систему управления.

Какие преимущества от сертификации?

Если организация потратила время и ресурсы для достижения соответствия, то сертификация предоставит ей следующие преимущества:

  • Организация может легко доказать соответствие тому или иному стандарты для клиентов и других заинтересованных сторон (например, регуляторов, общественности);
  • Организация получает независимое признание ее усилий по достижению сертификации;
  • Поток аудитов со стороны клиентов (партнеров) может быть значительно снижен, так как независимая сертификация повышает уровень уверенности в надежности и безопасности предприятия;
  • Большинство организаций сегодня требуют, чтобы их поставщики были сертифицированы по международным стандартам ISO 

Как выбрать орган сертификации?

Необходимо учесть множество факторов, но самое главное мы должны определить вначале. Не существует правил или законов, которые запрещают кому-либо учредить компанию, назвать ее "орган сертификации" и начать выдавать сертификаты. Как же тогда быть уверенным, что сертификация выданная “органом сертификации” достоверная и надежная?

Один из ответов - это аккредитация. Для демонстрации того, что их процессы честные, достоверные и им можно доверять, органы сертификации должны соответствовать стандарту ISO 17201. Международный стандарт ISO 17021 говорит о том, каким образом орган сертификации должен вести свою деятельность для обеспечения достоверности выдаваемых сертификатов соответствия.

Если орган сертификации соответствует ISO 17021, он может пройти аудит и быть аккредитованным органом аккредитации. Большинство стран по всему миру имеют собственные аккредитационные органы (иногда больше чем один), которые аккредитуют органы сертификации. Все эти органы являются членами Международного Аккредитационного Форума (International Accreditation Forum (IAF).

Таким образом, при выборе органа сертификации всегда проверяйте аккредитованы ли они членом IAF. Существует несколько "органов сертификации”, которые не аккредитованы  или аккредитованы организациями, которые не являются членами IAF. Это автоматически не означает, что их услуги плохие, однако, в таком случае, достаточно сложно доказать достоверность без внешнего признания.


Должен ли орган сертификации быть аккредитованным в моей стране?

Международный форум по аккредитации (IAF) декларирует простой принцип “одна аккредитация- международное признание”. Некоторые органы сертификации, например PECB, работают по всему миру и прохождение аккредитационного аудита в каждой отдельно взятой стране, где они оперируют, не имеет смысла. Таким образом, члены IAF пришли к соглашению, что выданные сертификаты взаимно ими признаются. В действительности существует требование для органов аккредитации “Члены органов аккредитации обязаны задекларировать свое намерение присоединиться к Соглашению о взаимном признании IAF (Multilateral Recognition Agreement (MLA)), признавая таким образом эквивалентность аккредитации, выданной другими органами.”

Другими словами, если ваш орган сертификации аккредитован членом IAF, то, выданные им сертификаты, признаются другим органом сертификации - также членом IAF - в этом и заключается основная идея.

На что еще обращать внимание?

Другие факторы при выборе органа сертификации включают: их достоверность, географическое присутствие, цену (ну конечно же!), их знания специфической отрасли и компетенции их аудиторов. Последний фактор  очень важен. Уверенность в том ,что команда аудиторов имеет нужные навыки, опыт и знания является фундаментом для позитивного опыта в сертификации.

Вот почему мы в PECB, постоянно обучаем и сертифицируем специалистов, а также компании по стандартам ISO, для поддержки их развития на пути к совершенству, прозрачности и международному признанию. Более детальную информацию, Вы сможете найти на сайте www.pecb.com и www.pecb.com.ua.

Об авторе

Грейм Паркер опытный профессионал в областях кибербезопасности, непрерывности бизнеса, управления рисками с практическим опытом внедрения и разработки эффективных систем управления в соответствии с различными международными стандартами ISO. Он в настоящий момент управляющий директор Parker Solutions Group - представительства PECB в Великобритании.


Залишити коментар
Будь ласка, введіть ваше ім’я
Будь ласка, введіть коментар.
1000 символів

Будь ласка, введіть email
або Відмінити

Інші статті в категорії IT, програмування, розробка Маркетинг, реклама, PR Менеджмент, керування, KPI