Відповідність стандартам ISO, процеси сертифікації та акредитації

Міжнародний форум з акредитації (IAF) декларує простий принцип “одна аккредітація- міжнародне визнання”. Члени IAF дійшли згоди, що видані сертифікати взаємно ними визнаються.

Міжнародна організація по стандартизації (International Organization for Standardization (ISO)) щорічно розробляє тисячі стандартів в різних областях і для різних галузей. Окрема група стандартів відома як стандарти систем корпоративного управління (менеджменту), які розроблені для підтримки виробничих процесів і надання послуг в організаціях з гарантованими якістю, безпекою, надійністю і повагою до навколишнього середовища.

Ці стандарти добре відомі – ISO 9001 (Управління Якістю), ISO 27001 (Інформаційна Безпека), ISO 14001 (Екологія), ISO 22301 (Безперервність Бізнесу) та (готується до публікації) ISO 45001 (Охорона та безпека праці).

Деяким організаціям необхідно впровадити вимоги цих стандартів, іншим -тільки продемонструвати відповідність їх вимогам. Останнім часом практично в будь-якій галузі виробництва і послуг постійно ведуться розмови (“білий шум”) з приводу забезпечення відповідності (compliance), сертифікації та акредитації, а також відмінностей між цими термінами. Що ж це означає на практиці?

 

Відповідність (Compliance)

Будь-яка організація або підприємство можуть вибрати впровадження стандарту системи корпоративного управління або застосовувати стандарт для управління ризиками та поліпшення своїх процесів. Вони можуть вибрати відповідність вимогам стандарту і виконувати внутрішні аудити, як частину своєї загальної системи корпоративного управління. Коли організація впроваджує стандарти, то не існує обов’язкового вимоги (в самих стандартах) проводити зовнішній аудит. Спочатку передбачається, що будь-яка організація може запровадити стандарт і оголосити себе відповідної його вимогам. Клієнти таких організацій можуть просити, наприклад, своїх постачальників відповідати певним стандартам і, в деяких випадках, постачальники можуть просто заявляти про відповідність, проте, інші клієнти йдуть на крок далі і просять докази такої відповідності або проведення аудиту постачальника. Для організацій з великою кількістю клієнтів проведення протягом року різних аудитів від різних клієнтів явно створювало б зайве навантаження. Це все тимчасові витрати, ресурси і часто необхідність виробляти певний набір доказів за період часу.

 

Сертифікація (Certification)

Сертифікація по стандартах ISO – простий шлях для організації довести, що в ній дійсно забезпечується відповідність релевантному стандарту (ам). Це не вимагає додаткових вимог або заходів безпеки і, якщо організація дійсно відповідає вимогам стандарту, то сертифікація це просто наступний крок.

Сертифікація має на увазі виконання аудиту незалежною організацією, яка називається орган сертифікації (certification body). Орган сертифікації зазвичай виконує аудит в два етапи. Перший етап аудиту – це високорівнева аналіз системи корпоративного управління, в той же час другий етап застосовується для більш детального розгляду системи управління для збору доказів відповідності її в різних аспектах вимогам стандарту (або набору стандартів).

Хороший орган сертифікації та їх аудитори будуть проводити аудит в позитивному ключі, намагаючись відшукати докази відповідності, а не намагаючись “зловити на гарячому” або збити з пантелику учасників аудиту, щоб вони допустили помилку. У разі виявлення невідповідності (неможливості виконати вимоги стандарту) необхідно прийти до угоди про те, яким чином дана проблема може бути вирішена, що в деяких випадках може спричинити за собою повторне відвідування, а в інших вимагати більш значного часу на усунення невідповідності.

Якщо ж організація відповідає вимогам і рекомендована до сертифікації, то така сертифікація видається терміном на 3 роки. Протягом цього періоду організація повинна проводити щорічні наглядові аудити. Наглядові аудити набагато коротше за часом і змістом, ніж початковий аудит і дозволяють переконатися в тому, що організація підтримує і розвиває систему управління.

 

Які переваги від сертифікації?

Якщо організація витратила час і ресурси для досягнення відповідності, то сертифікація надасть їй такі переваги:

• Організація може легко довести відповідність того чи іншого стандарти для клієнтів та інших зацікавлених сторін (наприклад, регуляторів, громадськості);
• Організація отримує незалежне визнання її зусиль по досягненню сертифікації;
• Потік аудитів з боку клієнтів (партнерів) може бути значно знижений, так як незалежна сертифікація підвищує рівень впевненості в надійності і безпеки підприємства;
• Більшість організацій сьогодні вимагають, щоб їхні постачальники були сертифіковані за міжнародними стандартами ISO

 

Як вибрати орган сертифікації?

Необхідно врахувати безліч чинників, але найголовніше ми повинні визначити спочатку. Не існує правил або законів, які забороняють будь-кому заснувати компанію, назвати її «орган сертифікації» і почати видавати сертифікати. Як же тоді бути впевненим, що сертифікація видана “органом сертифікації” достовірна і надійна?

Один з відповідей – це акредитація. Для демонстрації того, що їх процеси чесні, достовірні і їм можна довіряти, органи сертифікації повинні відповідати стандарту ISO 17201. Міжнародний стандарт ISO 17021 говорить про те, яким чином орган сертифікації повинен вести свою діяльність для забезпечення достовірності видаваних сертифікатів відповідності.

Якщо орган сертифікації відповідає ISO 17021, він може пройти аудит і бути акредитованим органом акредитації. Більшість країн по всьому світу мають власні акредитаційні органи (іноді більше ніж один), що акредитують органи сертифікації. Всі ці органи є членами Міжнародного Акредитаційного Форуму (International Accreditation Forum (IAF).

Таким чином, при виборі органу сертифікації завжди перевіряйте акредитовані вони членом IAF. Існує кілька «органів сертифікації”, які не акредитовані або акредитовані організаціями, які не є членами IAF. Це автоматично не означає, що їх послуги погані, проте, в такому випадку, досить складно довести достовірність без зовнішнього визнання.

 

Чи повинен орган сертифікації бути акредитованим в моїй країні?

Міжнародний форум з акредитації (IAF) декларує простий принцип “одна аккредітація- міжнародне визнання”. Деякі органи сертифікації, наприклад PECB, працюють по всьому світу і проходження акредитаційного аудиту в кожній окремо взятій країні, де вони оперують, не має сенсу. Таким чином, члени IAF дійшли згоди, що видані сертифікати взаємно ними визнаються. Насправді існує вимога для органів акредитації “Члени органів акредитації зобов’язані задекларувати свій намір приєднатися до Угоди про взаємне визнання IAF (Multilateral Recognition Agreement (MLA)), визнаючи таким чином еквівалентність акредитації, виданої іншими органами.”

Іншими словами, якщо ваш орган сертифікації акредитований членом IAF, то, видані їм сертифікати, визнаються іншим органом сертифікації – також членом IAF – в цьому і полягає основна ідея.

 

На що ще звертати увагу?

Інші фактори при виборі органу сертифікації включають: їх достовірність, географічну присутність, ціну (ну звичайно ж!), Їх знання специфічної галузі та компетенції їх аудиторів. Останній фактор дуже важливий. Впевненість в тому, що команда аудиторів має потрібні навички, досвід і знання є фундаментом для позитивного досвіду в сертифікації.

Ось чому ми в PECB, постійно навчаємо і сертифікуємо фахівців, а також компанії за стандартами ISO, для підтримки їх розвитку на шляху до досконалості, прозорості та міжнародного визнання. Більш детальну інформацію, Ви зможете знайти на сайті www.pecb.com і www.pecb.com.ua.

Про автора

Грейм Паркер досвідчений професіонал в областях кібербезпеки, безперервності бізнесу, управління ризиками з практичним досвідом впровадження та розробки ефективних систем управління відповідно до різними міжнародними стандартами ISO. Він зараз керуючий директор Parker Solutions Group – представництва PECB в Великобританії.

Автор: Ткаченко Володимир

Компанія: PECB Ukraine (всі статті компанії)